@smrak, ja ne hodam po vodi, samo sam zagrejao stolicu i uradio po meni veliku stvar, makar mi karijera i ne bila vezan aza security. Lepo je znati da mozes da pocnes od prakticno nule u nekoj oblasti i savladas ne toliko tesko koliko obimno stivo, treba malo vremena da pocnes da mislis na odredjeni nacin.
Lepo si primetio da CISSP nije kao pojedini (ne svi, naravno) MS sertifikati koji sluze kao ulaznica za entry-level pozicije. Kreiran je i koncipiran za srednje i vise managere. Skini recimo neka poglavlja All In One od Shon Harris pa ces da vidis da se ipak radi o konceptualnom znanju a ne o bubanju cinjenica. Najbanalnije, iako ce mi mnogi CCxx-ovci zameriti, ne znam napamet klase adresa od-do, ali znam sustinu podele i cemu to sluzi, kao i prednosti i nedostatke (kao recimo kod eMule-a na Telekomovom ADSLu). I tako u svih deset domena. Sertifikat nije vecan, treba za tri godine skupiti 120 poena za resertifikaciju (poseta seminarima, predavanjima, webcasti, 1 poen za 1 sat prisustva), pa u krug.
Volim da se salim sa kolegama pa kazem da je moj posao da drugim ljudima pravim posao ;-). Ne, ne radim nista hands-on, ne administriram AD, najblize sto sam prisao ruteru je na metar od zakljucanog reka, ali sam tu kada se pokrecu projekti jer je mnogo jeftinije i efikasnije odredjene zahteve uslisiti u design fazi nego kasnije, ucestvujem u definisanju (a kasnije kontroli sprovodjenja) procesa, vodim razne projekte koje imaju dodirnih tacaka sa CIA (Confidentiality, Integrity, Availability) podataka i resursa.
Sto se tice odnosa sa ljudima, bes apsolutne podrske top managementa nema ni govora o nekom ozbiljnijem radu. Ljudi koji na kompaniju gledaju kao na blok semu sa strelicama koje recimo predstavljaju protok informacija/novca/ljudi/... imaju mnogo zdraviji odnos prema ovom poslu od onih nize na lestvici (koji te gledaju kao nuzno zlo), da kada dodjes do "obicnih" radnika, radilica koje nose posao, ti im predstavljas samo prepreku. Zato se obavezno na pocetku kreira i Awareness Program, pa onda radis na podizanju svesti ljudi zasto je to sto ne smeju da daju kolegi svoj password toliko bitno, iako mu je on kum i da "nece on nista"...
Nativno se saradjuje sa Internom kontrolom (svaka firma je ima, samo je pitanje koliko je uticajna; mislim da su pre par godina sklanjani neki ljudi iz Ptt-a cini mi se jer su naleteli na marifetluke - eto primera zasto je podrska "direktorijuma" veoma vazna, da im je generalni bio naklonjen ne bi oni leteli), sluzbom obezbedjenja vezano za kontrolu pristupa, ako postoji, i jos bitnije, server sobe - neko mora stalno da proverava temperaturu, vlaznost, testira instaliranu opremu. U sustini svuda gde postoje podaci koji su nekome vazni ili postoji zakonska obaveza da se stite (recimo kada radis ankete medju konzumerima tvojih proizvoda, sta vole da jedu/puse/voze/... kakvog su zdravlja, to mora ozbiljno da se cuva).
Kolicina securityja direktno zavisi od toga koliko je kompanija spremna da plati i da li uopste obraca paznju na to. Ima primera medju svetskim igracima (citao sam izvestaj) da su im nasli servere bez AV-a, nepecovane mesecima, Local Admini na sve strane, ali imas i potpunu suprotnost gde se prvi covek za security kotira veoma visoko. Sto bi rek'o Ajnstajn, sve je to relativno!
Da li ce neko da ti izadje u susret prevashodno (bar u mom slucaju) zavisi od profesionalnosti i odnosa prema poslu. Imas ljude koji jednostavno ne znaju nista o necemu, ali sednu sa tobom, postave par pitanja pa radite dalje normalno, ali imas i one koji cu cak i upuceni ali ili ih mrzi ili rade samo ono sto im sef kaze, ili... Isto je i na zapadu, da se ne lazemo, svuda ima kretena.
Nije mi tesko da se "cimam", ja sam se iskreno nasao u poslu i voleo bih da vidim jos sertifikovanih kolaga. Nasao sam se jer mi odgovara dinamika, dubina (nikada ne zalazimo u sitna crevca, zasto placamo ljude koji deset puta bolje od mene znaju sta je ruter), sirina (od ADa, mreza, servera do aplikacija, continuity managementa, server soba i video nadzora). Negde dajem savete, negde trazim savete, u kontaktu sam sa puno ljudi, od onih supervizora "obicnih" radnika do pojedinih direktora sluzbi...
Bilo je tesko na pocetku (a koji pocetak nije tezak), ali kada sam shvatio sta je odusevio sam se, i zaista bih voleo da se ne samo u Srbiji vec i regionu razvije ova grana ITa. Prvo da se donesu zakoni, pa ce se otvoriti radna mesta, uvesce se malo reda a kad se formira kriticna masa ovo je skoro idealno za konsultantku firmu. Uz ovo odlicno ide i i ISO 17799/27001 (IRCA - International Register of Certificated Auditors). Ima puno preklapanja, u Svici je vec obavezan za (ne znam da li sve) firme, lagano ce i kod nas krenuti. Iskreno planiram na prolece da se namuzim...
Na kraju, ne hodam po vodi, samo sam imao upornost i srecu da mi firma omoguci skolovanje u oblasti koja na zapadu cveta (kod nas je tek priprema jesenje setve), nadam se da ce biti jos srecnika ili onih koji to sebi mogu da plate (srpske cene su oko 2500 EUR).
Ajd' u zdravlje!
Computer asked me something and I said ‘Yes’ / You can’t stop an idiot from being an idiot…