Sergey

Вредные советы для менеджеров

2024-11-15T15:59:52.585Z

В современных реалиях дефицита менеджеров в ИТ/ИБ часто их функции выполняют старшие и ведущие специалисты, которых повышают до этой роли. Молодые руководители часто допускают одни и те же ошибки, поэтому у меня появилась мысль об этом посте в стиле "вредных советов", которые могут привести к тому, что весь отдел разбежится.

"Будьте выше этого"

Итак, представим, что вас назначили руководителем в отделе, где вы давно работаете и наладили дружеские связи с остальными коллегами. Что же надо сделать первым делом? Конечно же показать челяди на свое место! Теперь никаких шуток над вами, никаких сплетен! Для особого эффекта можно даже перестать обедать с командой и общаться на любые темы, за исключением работы. Кроме того, ни в коем случае не принимайте критику, ведь как обычные технари могут понять ваш менеджерский гений. И не забывайте почаще говорить: "я руководитель, я лучше знаю!", пусть не забывают, кто босс.

"1984"

Конечно, после того, как вы возвысились, вас тут же начнут обсуждать, критиковать и так далее. Вспомните, как вы сами недавно крысили на свое руководство. Так что же делать с этим, чтобы не подорвать свой авторитет? Конечно же, ввести цензуру! Запретите критику в общих чатах, запретите обсуждать коллег друг с другом, запретите критиковать коллег, помните, от вашего управления могут только позитивные эмоции. Ну и не забывайте следить за сотрудниками, а особо рьяных критиков вызывайте на разговор, делайте замечания публично, не вступайтесь за них, давайте неинтересные задачи, в общем сделайте так, чтобы он не хотел работать с вами.

"Микроменеджемент"

Вот и остались у вас лояльные сотрудники, которые не говорят гадости и не сплетничают. Как же они вас могут еще подставить? Ответ прост - плохо сделанная работа отбрасывает тень на вас. Необходимо устроить тотальный контроль за их рабочими обязанностями. Старайтесь всё замыкать на себе, ведь кто кроме вас может лучше понять свою работу? Заставьте согласовывать с вами каждую мелочь, чтобы вы всегда знали, что и как делается. Кроме того, если вас вдруг решат уволить, то найти замену вам будет очень сложно, ведь только вы знаете, как правильно.

"Самый умный"

От ваших действий часть сотрудников определенно уйдет и вам предстоит искать замену. Кого же нанимать? Всегда ищете исполнителей слабее по техническим навыкам, чем вы. И ни в коем случае не берите людей с менеджерскими амбициями, вам же не нужны конкуренты? Слабые технические специалисты будут всегда видеть в Вас лидера и никто не покусится на ваше место. Качество услуг может просесть, но кого это волнует? Будете отдавать тот же объем работы за большее количество времени, но будете, так что определенно стоит это сделать.

Применив эти нехитрые советы можно достичь того, что вы будете самым главным и скилловым человеком, но это сильно повлияет на качество работы. У вас будет большая текучка кадров и в целом будет плохая репутация, как внутри компании, так и на рынке. Исходя из этого все же советую избегать этих ошибок и быть максимально продуктивным. Помните, главная задача менеджера - решать проблемы коллектива и удерживать максимально талантливых людей, чтобы приносить больше прибыли компании.

Собесы в пентест

2024-03-25T15:37:07.243Z

Пора разобрать самую популярную тему, связанную с менеджментом, а именно - собесы. Собеседование кандидата является очень стрессовым событием как для собеседуемого, так и для менеджера. Важно уметь заинтересовать друг друга и не упасть в грязь лицом. “Что же происходит на таких собесах? Как подготовиться? Как себя вести на собеседованиях? Что спрашивать?” - все эти постоянно возникают в голове всех участников собеседований. Что ж, давайте разберем по частям написанное.

Первое, о чем стоит помнить: если вы дошли до этапа технического общения, то можете смело радоваться, ведь тест на адекватность вы уже прошли🙂 Тем не менее, нанимающие менеджеры хотят сперва как можно лучше узнать кандидата: его опыт, мотивацию, что побудило менять работу, в каких сферах он хочет развиваться. Часто просят рассказать какой-то факт с прошлого, которым вы гордитесь. Часто ожидают услышать какой-то интересный чейн атак, поиск 0-day уязвимостей, может методов защиты от каких-то баг - тут все зависит от вашего бэкграунда.

После первого знакомства начинаются уже технические вопросы. Тут все зависит от ваших грейдов. Для удобства я разделю людей на 2 группы: стажер/джун/мидл и мидл/ сеньор. Может возникнуть резонный вопрос, а почему так? На мой взгляд, первая категория похожа и зависит от глубины знаний и опыта. Во второй категории появляются уже навыки тимлида либо ну очень глубокое погружение.

Стажер/Джун/Мидл

На стартовые позиции приходит много кандидатов, ведь бытует уверенность, что стажером может стать кто угодно, ведь на работе научат всему. Я считаю, что это утверждение в корне неверно. Кандидат на начальные позиции в пентесте должен понимать теоретическую базу, понимать смысл уязвимостей и иметь какой-никакой практический опыт эксплуатации, например, решение лабораторных работ или же участие в CTF соревнованиях.

Так что же стоит спрашивать по теории у данной категории? Я предпочитаю проводить проверку по следующим темам:

понимание работы основных протоколов какие атаки на них возможны
знание различных особенностей и векторов атак на различное ПО. Например, чем опасен доступ от рута в PostgreSQL или что делать, если видим redis без авторизации.
какие атаки(не веб) в принципе есть? Например, что такое брут или спуфинг.

Ну и, конечно же, куда без проверок на веб. Здесь спрашивают различные баги клиента(xss/csrf) и сервера (rce/sqli) и так далее. Довольно сложно как-то конкретно сказать, что и на какую должность кандидат обязан знать, но по глубине ответа в целом понятен уровень специалиста. Например, на вопрос о способах вытаскивания данных из php файла через ххе начинающий вспомнит только 1 способ (допустим, использование php фильтров), а вот мидл уже должен уметь это делать, при условии, что фильтры выключены. Поскольку веб - основа практически любого проекта (даже мобилки, по факту, это веб, просто с другим клиентом), то глубокие познания данной тематики будут иметь решающую роль при собесе на любую позицию.

Мидл/Сеньор

При собеседовании кандидатов на данные позиции процесс идет куда сложнее. Как правило, нет смысла спрашивать какую-либо теоретическую основу, так как кандидаты, очевидно, это знают. На мой взгляд, есть два подхода к собеседованию скилловых ребят: задавать очень глубокие вопросы по механике работы уязвимостей/средств защиты(и способов их обхода)/ред тиму либо же проводить кейс-интервью. Последний метод позволяет оценить, как кандидат мыслит, понимает ли архитектуру и принципы взаимодействия различных компонентов. Хорошим примером кейса может служить, например, следующая задача “У нас есть функциональность загрузки картинки по урлу. Какие ты видишь риски, как бы ты защитился от них? В том числе и архитектурно”. Хороший специалист будет рассуждать о том, какие есть баги веба, что делать, если было пробитие, и, конечно, о методах защиты такой функциональности. Еще неплохо бы оценить софт скиллы, так как люди на таких позициях часто будут менторами на проектах для своих менее опытных коллег, поэтому стоит понимать, способен такой человек быть учителем или все же джунов стоит ставить с другими людьми.

Важно помнить, что люди на таких герйдах часто специализируются на чем-то одном, например, на тестировании Active Directory. В таких случаях необходимо четко понимать, нужны ли вам узкая специализация кандидата. Допустим, что у вас нет AD (если вы в инхаусе) или же нет проектов, где нужны такие компетенции (если вы в консалтинге), поэтому зачем вам такой специалист, если вы не сможете удовлетворить его потребности? Да, он может быть очень крутым и в других областях, но такой человек быстро выгорит и уйдет в другую компанию, чтобы делать интересные ему проекты.

Меня не взяли, я плохой специалист?

Ответ простой: не факт:) Часто бывают ситуации, когда компания не может позволить себе ваши финансовые ожидания, или же им не нужны ваши компетенции на текущий момент. Конечно, бывают ситуации, когда вы сами виноваты в своем провале: оказались не готовы к вопросам, переоценили свои силы, не смогли ответить на каверзные вопросы. Самое главное - не расстраиваться и не отчаиваться. Вы всегда можете подготовиться получше и попробовать еще раз, если не в эту компанию, так в другую. Помните, мест, где нужны специалисты по иб полно и вы всегда сможете найти то, что подойдет вам.

Терпеть нельзя уволить

2024-03-07T18:38:36.022Z

Как часто вы сталкиваетесь с ситуацией, когда смотришь на коллегу и думаешь: "да как тебя еще не уволили"? Увы, реальность такова, что уволить надоедливого или ленивого коллегу довольно сложно, так еще и менеджер не хочет этого делать. Но почему, ведь вам очевидно, что данный сотрудник вредит работе?Неужели руководитель некомпетентен и не видит проблем? Что же, давайте разбираться.

Какие же есть способы увольнения сотрудника? Чаще всего встречаются всего два способа: по соглашению сторон (ПСЖ) или увольнение по статье. Стоит сразу сказать, что увольнение по статье - безумно сложный и муторный процесс, так как законодательство РФ почти всегда на стороне работника. Работадателю необходимо провсети кучу процедур, фиксировать нарушения и так далее. Не буду в это глубоко погружаться. Увольнять по соглашению сторон в разы проще - по сути, это переговоры для освобождения должности и здесь все зависит от переговорной позиции менеджера и его сотрудника.

Логичный вопрос, если сотрудник мешает коллективу или недотягивает, то почему его не увольняют? Ответа, на самом деле два: либо процесс уже идет, либо в текущий момент сотрудник устраивает менеджмент. Но как же так, ведь остальные коллеги им недовольны, неужели мнение коллектива не учитывается?

Допустим в коллективе есть какой-то крутой пентестер, который собой может закрывать большое колличество задач в разных сферах. Человек при этом очень токсичный, высокомерный и никто не хочет с ним работать. Стоит ли увольнять такого человека для поддержания нужного климата в коллективе? Как уже видно из вводных, решение непростое. С одной стороны, это ценный специалист, которых мало на рынке, с другой стороны он отравляет коллектив. Каждый руководитель волен решать сам, что ему необходимее. На мой взгляд, стоит сначала попытаться "изолировать" его от коллектива: давать только напарников, которых он хочет, выделять сложные проекты, чтобы он не ныл и давать иные плюшки. Да, это несправедливо по отношению к остальным ребятам, которые такие плюшки не получают, но никто и не обещал равенство на работе:) Кроме того, можно попробовать спровоцировать человека на самостоятельное увольнение: не давать развиваться, не повышать зарплату/должность. Если это не поможет, на мой взгляд, необходимо расставаться, так как обстановка в коллективе куда важнее чем один, пусть и очень ценный человек.

Другой пример - человек плохо работает, показывает низкие знания профессии, много коллег "горит" с человека. Казалось бы, стоит просто расстаться с ним, ведь зачем платить человеку за его низкую квалификацию. Но тут есть нюанс. Сфера пентеста в консалтинге очень обширна: есть анализ веб и мобильных приложений, есть внутрянки и внешки. Люди могут быть узкоспециализированы, поэтому это важно учитывать. Если такой специалист закрывает какие-либо задачи, в котоырх остальная команда не хочет разбираться, например, смотреть код или триажить отчеты сканеров, то имеет смысл его оставить, так как закрывается большой пласт гемморойных задач, которые почти никому не интересны. Тем не менее, думаю, что менеджеру, все же стоит задуматься, о потенциальной замене сотрудника, либо так же, как и в первом случае, стоит задуматься об изоляции.

Ну если с кейсами опытных ребят все понятно, то что делать, если я новенький, в сфере, порой косячу и боюсь увольнений? Здесь тоже довольно просто. Если вы осознаете свои ошибки, стремитесь их исправить, то менеджменту будет выгодно вас оставить. Для отсеивания специалистов существует испытательный срок, и даже в рамках такого срока надо очень постараться, чтобы быть уволенным. Если вас взяли, то компания уже потратила на вас много ресурсов разных отделов, и, чтобы не терять деньги, увольняют только, если человек абсолютно непригоден или не вписывается в коллектив. Помните, что испытательный срок - проверка на адекватность. Если вы ведете себя нормально и стараетесь работать, то все будет хорошо.

Подытожим, когда же стоит увольнять человека? Если он:

не вписывается в коллектив
саботирует работу коллег
если сотрудник не спарвляется с задачами и есть много кандидатов на замену

Иначе проще договориться и проработать возникающие проблемы на 1х1 (о них можно подробнее почитать тут)

Зачем нужен 1х1 в пентесте?

2024-01-15T15:48:56.710Z

Что такое 1х1?

1х1 (один на один, one to one, 121) довольно популярный способ общения менеджеров со своими подчиненными Основная причина для таких переговоров довольно банальная: даже в слаженной и дружной команде люди редко готовы рассказывать о всех проблемах открыто, особенно если они связаны с коллегами.

Важно понимать, что 1х1 встречи не служат для обсуждения проектов. Как обстоят дела всегда можно в любой момент времени где угодно и когда угодно, например, во время обеда или кофе-брейка. На самой встрече необходимо обсуждать вещи, которые целиком касаются сотрудника, его моральном и физическом состоянии. Например, можно спросить:

Нравится ли тебе проект? есть ли сложности?
Как тебе команда? Есть ли конфликты, влияющие на работу?
Как ты себя чувствуешь? Есть ли проблемы, не связанные с работой?
Чувствуешь ли ты выгорание? Куда и когда планируешь в отпуск?
Как ты видишь свое развитие? Чему ты хочешь научиться и кем стать?

Важно донести до сотрудников, что менеджер и подчиненый не враги, а находятся в одной лодке. Открытость и честность очень важны при личных встречах, так как позволяют наметить общий вектор развития сотрудника и позволяет решить проблемы, которые мешают развитию вашего отдела. На самой первой такой встрече, я предпочитаю говорить, что не стоит стесняться задавать глупых вопросов, так как гораздо проще сразу полностью правильно понимать задачи, чтобы потом не пришлось переделывать.

Обязательно подчеркните, что не стоит бояться высказывать критику относительно руководства, проектов, коллег. Если возникают любые проблемы, такие как: надоел проект, чувствуется выгорание, то необходимо тут же написать своему менеджеру и обсудить их, так как в интересах руководителя прорабатывать такие проблемы для комфорта и продуктивности в команде. Кажется, что это довольно очевидно: есть проблема – ее надо решать, но люди –довольно непредсказуемые создания. Кто-то считает, что не стоит грузить руководителя своими проблемами, кто-то боится, что жалобами покажет слабость, а кто-то считает, что это ничего не решает. Главное, что нужно понять - нельзя решить проблему, не зная о ней, поэтому открытая коммуникация – главный приоритет на 1х1 встречах.

О чем говорить на 1х1 с пентестерами?

Развитие

Пентестеры и аппсекеры – очень творческие люди. Для того, чтобы оставаться в тренде и поддерживать свои компетенции, им необходимо постоянное развитие и обучение. Получать они его могут массой разных способов: самообучение, интересные и сложные проекты, конференции и сертификации. Важно удерживать интерес сотрудника к работе именно у вас. Необходимо понять, нравится ли ему в компании, какие компетенции он планирует развивать и какие сертификации для этого нужны. Необходимо определить план развития сотрудника на год, выбрать те концференции и сертификации, которые не только улучшат навыки вашего подопечного, но и принесут компании прибыль. Например, если мы говорим про отдел безопасности внутри компании, нет смысла отправлять сотрудника изучать Active Directory, если ваша внутрянняя инфраструктура ее не использует. Или, например, отправлять изучать основы кубернетиса, если он отсутствует. Когда разговор заходит о консалтинге, то тут сложнее: некоторые сертификаты обязательны для тендеров, поэтому имеет смысл отправлять сотрудников сдавать их.

Инфраструктура

Не секрет, что для качественного выполнения задач необходима мощная инфрастурктура: сканеры, тестовые стенды, различные лаборатории, для исследования и поиска уязвимостей, внутренняя википедия со своей информацией, например, confluence, гитлаб. Перечислять можно до бесконечности. Вам, как руководителю, необходимо узнавать, всего ли достаточно, можно ли что-то улучшить, если да, то как. Потребности сотрудников в этом аспекте очень важны. Может иногда даже разумно отдать приоритет внутренним задачам, чем внешним заказчикам.

Публичная деятельность

Рано или поздно ваши сотрудники захотят делать меньше проектов и больше участвовать в так называемом R&D - Research and Development. Внести свой вклад в общую безопасность, путем разработки своих правил для сканеров (или свой сканер), написать статью, с разбором новой критической уязвимости – все это является очень почетным в сообществе безопасников. Да, это может негативно влиять на их прямые обязанности, однако я бы рекомендовал подумать, как это все обернуть в пользу для компании, не запрещая заниматься любимым хобби. Например, попытаться сформировать отдел R&D. Хорошим решением также будет общение с PR службой компании, может таким образом удастся привлечь новых сотрудников и заказчиков.

Личная жизнь

Данный пункт может быть немного спорный, но я убежден, что необходимо узнавать сотрудников не только в работе, но и в жизни. Сейчас нас окружает слишком много стресса, который влияет на нашу работу, наших подчиненных и наших руководителей. Средний возраст пентестеров и аппсекеров сильно снижается, поэтому не забудьте поинтересоваться, все ли хорошо с университетом, не нужно ли время на сессию. Отношения, основанные на доверии и понимании обоюдо выгодны, так как лояльный сотрудник несколько раз подумает, менять ли работу, если к нему хорошо относятся тут. Не обязательно становиться друзьями со всеми коллегами, но держать руку на пульсе его морального состаяния необходимо.