About Teletype
Join
Sergey
@redteammanager
January 15, 2024

Зачем нужен 1х1 в пентесте?

Что такое 1х1?

1х1 (один на один, one to one, 121) довольно популярный способ общения менеджеров со своими подчиненными Основная причина для таких переговоров довольно банальная: даже в слаженной и дружной команде люди редко готовы рассказывать о всех проблемах открыто, особенно если они связаны с коллегами.

Важно понимать, что 1х1 встречи не служат для обсуждения проектов. Как обстоят дела всегда можно в любой момент времени где угодно и когда угодно, например, во время обеда или кофе-брейка. На самой встрече необходимо обсуждать вещи, которые целиком касаются сотрудника, его моральном и физическом состоянии. Например, можно спросить:

  • Нравится ли тебе проект? есть ли сложности?
  • Как тебе команда? Есть ли конфликты, влияющие на работу?
  • Как ты себя чувствуешь? Есть ли проблемы, не связанные с работой?
  • Чувствуешь ли ты выгорание? Куда и когда планируешь в отпуск?
  • Как ты видишь свое развитие? Чему ты хочешь научиться и кем стать?

Важно донести до сотрудников, что менеджер и подчиненый не враги, а находятся в одной лодке. Открытость и честность очень важны при личных встречах, так как позволяют наметить общий вектор развития сотрудника и позволяет решить проблемы, которые мешают развитию вашего отдела. На самой первой такой встрече, я предпочитаю говорить, что не стоит стесняться задавать глупых вопросов, так как гораздо проще сразу полностью правильно понимать задачи, чтобы потом не пришлось переделывать.

Обязательно подчеркните, что не стоит бояться высказывать критику относительно руководства, проектов, коллег. Если возникают любые проблемы, такие как: надоел проект, чувствуется выгорание, то необходимо тут же написать своему менеджеру и обсудить их, так как в интересах руководителя прорабатывать такие проблемы для комфорта и продуктивности в команде. Кажется, что это довольно очевидно: есть проблема – ее надо решать, но люди –довольно непредсказуемые создания. Кто-то считает, что не стоит грузить руководителя своими проблемами, кто-то боится, что жалобами покажет слабость, а кто-то считает, что это ничего не решает. Главное, что нужно понять - нельзя решить проблему, не зная о ней, поэтому открытая коммуникация – главный приоритет на 1х1 встречах.

О чем говорить на 1х1 с пентестерами?

Развитие

Пентестеры и аппсекеры – очень творческие люди. Для того, чтобы оставаться в тренде и поддерживать свои компетенции, им необходимо постоянное развитие и обучение. Получать они его могут массой разных способов: самообучение, интересные и сложные проекты, конференции и сертификации. Важно удерживать интерес сотрудника к работе именно у вас. Необходимо понять, нравится ли ему в компании, какие компетенции он планирует развивать и какие сертификации для этого нужны. Необходимо определить план развития сотрудника на год, выбрать те концференции и сертификации, которые не только улучшат навыки вашего подопечного, но и принесут компании прибыль. Например, если мы говорим про отдел безопасности внутри компании, нет смысла отправлять сотрудника изучать Active Directory, если ваша внутрянняя инфраструктура ее не использует. Или, например, отправлять изучать основы кубернетиса, если он отсутствует. Когда разговор заходит о консалтинге, то тут сложнее: некоторые сертификаты обязательны для тендеров, поэтому имеет смысл отправлять сотрудников сдавать их.

Инфраструктура

Не секрет, что для качественного выполнения задач необходима мощная инфрастурктура: сканеры, тестовые стенды, различные лаборатории, для исследования и поиска уязвимостей, внутренняя википедия со своей информацией, например, confluence, гитлаб. Перечислять можно до бесконечности. Вам, как руководителю, необходимо узнавать, всего ли достаточно, можно ли что-то улучшить, если да, то как. Потребности сотрудников в этом аспекте очень важны. Может иногда даже разумно отдать приоритет внутренним задачам, чем внешним заказчикам.

Публичная деятельность

Рано или поздно ваши сотрудники захотят делать меньше проектов и больше участвовать в так называемом R&D - Research and Development. Внести свой вклад в общую безопасность, путем разработки своих правил для сканеров (или свой сканер), написать статью, с разбором новой критической уязвимости – все это является очень почетным в сообществе безопасников. Да, это может негативно влиять на их прямые обязанности, однако я бы рекомендовал подумать, как это все обернуть в пользу для компании, не запрещая заниматься любимым хобби. Например, попытаться сформировать отдел R&D. Хорошим решением также будет общение с PR службой компании, может таким образом удастся привлечь новых сотрудников и заказчиков.

Личная жизнь

Данный пункт может быть немного спорный, но я убежден, что необходимо узнавать сотрудников не только в работе, но и в жизни. Сейчас нас окружает слишком много стресса, который влияет на нашу работу, наших подчиненных и наших руководителей. Средний возраст пентестеров и аппсекеров сильно снижается, поэтому не забудьте поинтересоваться, все ли хорошо с университетом, не нужно ли время на сессию. Отношения, основанные на доверии и понимании обоюдо выгодны, так как лояльный сотрудник несколько раз подумает, менять ли работу, если к нему хорошо относятся тут. Не обязательно становиться друзьями со всеми коллегами, но держать руку на пульсе его морального состаяния необходимо.

Sergey
January 15, 2024, 15:48
0 views
0 reactions
0 replies
0 reposts