Как вчерашнему студенту вырасти в настоящего ИБ-профессионала? Что происходит на рынке труда и чем компании привлекают специалистов? В чём секрет профессионального мастерства менеджера по развитию ИБ-продукта? Об этом и многом другом мы поговорили с менеджером по развитию UserGate Иваном Черновым.
Расскажи, как ты попал в кибербезопасность?
Я интересовался этой темой со школьной скамьи — хотелось узнать, как устроен мир хакеров. Даже приоткрою завесу тайны: первые мои шаги были в «серой» зоне кибербеза. Мне было интересно разобраться, как работают хакерские группировки, где они обитают, какие цели себе ставят, как работают их скрипты и другие технологии.
Все это привело меня в Новосибирский государственный технический университет, на кафедру защиты информации. Учёба, конечно, немного разочаровала, потому что выяснилось, что реальность отличается от кино.
Многие говорят, что сейчас в институтах учат «бумажной» безопасности.
На 100% соглашусь. Безусловно, были преподаватели, которые по своей инициативе пытались дать и практические знания, но в основном действительно речь скорее про документы.
Тем не менее, я доучился и пошел на практику в компанию UserGate, которая одна из немногих в Новосибирске предоставляла такую возможность студентам. Дальше, погрузившись в работу, я решил от инженерных задач двинуться в сторону развития продуктов — этим я сейчас и занимаюсь.
Какие проекты можно поручить молодому специалисту, чтобы он поскорее влился в процессы?
Отвечу вам темой моего диплома: «Обеспечение информационной безопасности учебного заведения на базе решения компании UserGate». Это достаточно типовой проект на базе стандартного оборудования, который направлен на защиту школы от внешних атак и на ограничение доступа к информации для школьников, как того требует законодательство. Это и был мой первый проект на стыке рабочей практики и подготовки диплома. С таких задач вполне можно начинать, пройдя «курс молодого бойца» и изучив оборудование, с которым предстоит работать.
В дальнейшем такой специалист может выбирать любое направление ИБ из всего их огромного количества. Можно пойти в разработку ПО, можно заниматься внедрением — то есть стать пресейл-менеджером или инженером по внедрению, который в полях собственными руками настраивает сети, оборудование и устройства. Можно заняться чистыми продажами — почему нет? Многие ребята с техническим бэкграундом довольно успешно продают, потому что они отлично разбираются в своей области.
Техподдержка — очень важная тема для клиентского сервиса. Многие компании с радостью набирают специалистов, которые могут помочь заказчикам решать проблемы.
Есть ещё множество направлений: DevSecOps, пентесты, тестирование ПО, поиск уязвимостей. Очень большой спектр возможностей, и выбирать себе направление лучше ещё в университете.
А ты сам почему решил сменить область?
Это было совместное решение с руководителем, который меня собеседовал: посмотрели на моё образование, на мои софт-скиллы — у меня меня был опыт публичных выступлений и продаж. Поэтому решили, что есть хорошие перспективы в работе с заказчиками. И всё действительно получилось.
Чем работа менеджера по развитию продуктов в кибербезопасности отличается от работы в другой технологической компании?
Я бы сказал, что большой разницы нет. Задача менеджера по развитию чего-либо — это найти новые точки роста в своей рабочей области. В моём случае это значит создавать продукты, которые будут полезны рынку, которые будут решать пользовательские задачи. А если по каким-то причинам это не получается, нужно, чтобы пользователи могли к кому-то обратиться, кто донесёт информацию до команды разработки.
То есть я коммуникатор между рынком и разработчиком. Я рассказываю аудитории на понятном ей языке, что делает наш продукт, какие задачи решает и какие возможности открывает. И в обратную сторону: чего хочет пользователь, каковы его потребности, как это выглядит в техническом исполнении.
Насколько сложно оказывается построить этот мост?
В каждом случае всё индивидуально. Прежде чем идти к разработчикам, нужно провести очень серьёзную работу с заказчиком. Нужно вытащить «потаённые» желания, чтобы определить, какое решение ему нужно.
Сейчас у компаний резко расширился пул заказчиков, из которых большинство ищет отечественную замену недоступным зарубежным системам. Здесь возникают пробелы в коммуникации: пользователи привыкли к определённому набору инструментов и, естественно, хотят найти абсолютный аналог.
Это понятное желание, но, к сожалению, так не бывает. Причин тому очень много: есть ограничения технологии, есть особенности продуктовой архитектуры, прочие условия. Поэтому пользователям нужно помочь подобрать имеющиеся инструменты так, чтобы в условиях нынешнего дефицита максимально закрыть их потребности. Это интересная задача — понять задачу, которую стремится решить заказчик.
Для этого мы проводим глубинные интервью, где определяем ключевую цель. Как правило, выясняется, что заказчику всё равно, как работает та или иная функция у зарубежного вендора и у нас. Есть вопрос привычки, а есть конкретная задача.
Другими словами, вы перестраиваете систему координат для заказчика?
Да, именно так. Каждый раз это непредсказуемый процесс: кому-то проще определить свои потребности, кому-то — сложнее. Это очень сложный и интересный челлендж для менеджера. Умение настроить заказчика на совместную работу — а это действительно совместная работа — один из главных профессиональных навыков. Вместе с умением презентовать, донести идею.
Дальше начинается поиск решения: какие возможности есть в существующем продукте, а какие потребуют доработки. С этим уже можно идти к команде, причём планы можно положить и на бизнес-плоскость: если мы это сделаем, наши продукты будут пользоваться большим спросом, их будут охотнее покупать, миссия компании будет выполнена.
С софт-скиллами понятно. А что насчёт профессионального кругозора — как человеку твоей профессии его развивать?
Ходить на конференции, слушать конкурентов и экспертов, погружаться в материал. Это всё довольно сложные вещи, особенно в ИБ: как работают сети, как передаются данные, как хакеры проводят атаки. Всё, что касается прикладной безопасности, обязательно нужно знать, иначе вы не сможете разговаривать ни с заказчиком, ни с разработчиком.
Если вы работаете в DevSecOps, вам нужно всё понимать про Kubernetes, контейнеры, процессы разработки. И так в каждом прикладном домене.
Насколько серьёзно для компании UserGate сейчас стоит проблема кадрового голода?
Мне не очень нравится это выражение — разве нет у нас специалистов на рынке? Нам люди нужны, потому что мы активно расширяемся. В том числе и я ищу сейчас людей в свою команду, которые будут выводить на рынок несколько новых продуктов. В первую очередь это решения в области SIEM и EDR.
Рук не хватает, и их всегда будет не хватать. Мы стремимся сделать так, чтобы людям было интересно работать именно у нас. Здоровая конкуренция за талантливых ребят — это нормально. Много людей высвободилось после ухода зарубежных компаний, многие из них довольно быстро нашли себе новую работу, в том числе и у нас.
Как вы, как работодатель, привлекаете к себе специалистов?
Тут многое зависит от области. Например, разработчикам важны интересные задачи и доступ к современным технологиям. Далеко не всем хочется разбираться с open source, они хотят развивать проприетарный продукт. Мы как раз к таким людям обращаемся: у нас своя технология практически без открытого кода, многим разработчикам интересно с ней работать. Это становится видно уже на собеседованиях, когда мы рассказываем про свой технологический стек. Таких компаний в России не очень много, и даже на собеседованиях на джуновские позиции у нас идёт сильный отсев.
С точки зрения инженерной работы, мы предлагаем развивать живой продукт, который действительно помогает клиентам. Были истории, когда к нам приходили ребята, которые до этого обслуживали наше решение на стороне заказчика или интегратора. В процессе они так погрузились в продукт, полюбили его, что стали этаким евангелистом, а потом решили сами присоединиться к команде.
А что касается высоких зарплат, печенек в комфортном современном офисе — это всё тоже есть, но для сегодняшних специалистов эти критерии не всегда на первом месте.
Как ты считаешь, повлияет ли уход западных компаний на конкурентоспособность российских продуктов? Рынок освободился, заказчиков стало больше, стимулов к развитию, возможно, меньше.
Нет, я с этим категорически не согласен, и причина очень простая. Мы на рынке больше 20 лет, и все эти годы мы развивались по вполне обычному пути. Были маленькой компанией, развивали свой продукт, продавали его, на вырученные деньги нанимали больше людей. К 2022 году мы сформировали своё позиционирование, заняли свою часть рынка, работая с энтерпрайзом среднего размера.
Более крупные компании предпочитали работать с зарубежными вендорами, поскольку у них свои требования к производительности, масштабированию и прочее, и прочее. Мы в свою очередь эти требования учитывали в своих роадмапах на три года вперёд.
А потом так случилось, что эти большие заказчики пришли к нам сами, и не через три года, а сейчас. Это, во-первых, сильно повлияло на темпы разработки, а во-вторых, очень усилило конкуренцию. На рынке началась такая гонка в лабиринте, где ты не видишь, как бежит твой конкурент. Кто первый сможет предоставить новым заказчикам функционал западных вендоров, тот и победит.
Никто не может сказать: «Вам некуда идти, поэтому ждите». Пока один сидит, второй вкладывается в разработку и предоставляет заказчику то, что он хочет.