суббота, 28 марта 2020 г.

Самозащита. Учимся работать на себя в ИБ. Ксения Шудрова

Сегодня 9 лет моему блогу, в честь такого события отвечаю на вопросы, которые я обычно задаю фрилансерам.

1. Расскажите, пожалуйста, немного о себе. Образование, стаж работы, опыт.
Я закончила Сибирский государственный университет с красным дипломом в январе 2011 года. Училась 5,5 лет на специальности "Информационная безопасность телекоммуникационных систем". В 2018 году защитила кандидатскую диссертацию по специальности "Системный анализ, управление и обработка информации", являюсь кандидатом технических наук. В 2013 и 2015 годах проходила курсы повышения квалификации. Работаю с 2009 года, начинала с техника по защите информации в лицензиате, потом перешла в газовое хозяйство, где была единственным специалистом по защите информации, затем ушла в банк, где была старшим специалистом службы безопасности, сейчас работаю инженером 2 категории на заводе также по специальности. Также являюсь руководителем Красноярского отделения RISC. С 2011 года веду блог.
2. Где сейчас живете?
В г. Железногорске (пригород Красноярска).
3. Когда начали заниматься фрилансом/подрядом/удаленкой?
Попытки заниматься фрилансом предпринимала еще в 2008 году, но из-за кризиса наш проект свернули. Вернулась к теме подработки в 2011 году, когда поняла, что на одну зарплату прожить сложно, да и много времени свободного остается вечером. Со школьных лет привыкла быть в тонусе и организовывать свой день так, чтобы на свободное время оставалось 1-2 часа в день максимум.
4. Какие виды работы вы выполняете?
В основном, пишу статьи, веду лекции (вебинары), продаю свою книгу.
5. Кто заказывает работу (интегратор, университет, завод, портал, журнал, физические лица)?
Пишу статьи для журналов, лекции веду для учебного центра, книгу продаю специалистам. Раньше были заказы на статьи от порталов, например, мне нравилось писать на sec.ru, но потом что-то с порталом произошло, какое-то время вообще был недоступен, потом появился в виде архива и снова исчез.
6. Оформляете ли вы отношения с помощью договоров? На что обращаете внимание в договоре? 
Только договор. Научена собственным горьким опытом, где нет договора, там ничего и не предъявишь в итоге. Тем более, я нахожусь в Красноярске, и решить спорные вопросы отсюда  вряд ли смогу. На честность не полагаюсь, потому что были случаи, когда очень известный бренд обманывал. С посредниками после определенных событий тоже не связываюсь. Имена называть не хочу, но могу посоветовать на репутацию внимание не обращать. В нашей отрасли о реальной репутации можно узнать только в личных разговорах, в кулуарах, очень все закрыто. 
7. Оформляете юридическое лицо, ИП, самозанятость? Расскажите о нюансах.
Как только в Красноярском крае ввели режим самозанятости, так сразу и зарегистрировалась (в январе). Выгодно, когда работаешь с физиками, в моем случае - это продажа книги, налог всего 4%. С юриками больше суеты с самостоятельной оплатой налога, в договорах дополнительные условия, надо не забыть отправить электронный чек. Заказчикам самозанятые выгоднее, так как зачастую они платят тебе такой же гонорар, но прибавляют к нему не 13%, как раньше, а 6%. Самозанятым стать просто, все делала через приложение "свое дело" и разобралась за несколько часов. Отдельно хочу сказать, что за налогами надо следить самостоятельно, само не вычтется. Поэтому я с каждой книги, которая стоит 200 рублей, сразу оставляю 8 рублей на налог, чтобы потом не искать эти деньги.
8. Где ищете заказы?
Давно никого не ищу, заказов больше, чем времени. Сейчас все приоритеты отданы воспитанию ребенка, поэтому беру только самое интересное. Расскажу, как начинала. Я завела блог в 11 году и стала думать, как фрилансить. На ум пришло, что можно зарабатывать текстами для журналов. Но как попасть в журнал, ведь я только что выпустилась из универа? Сначала просто гуглила названия журналов по информационной безопасности и писала всем одинаковое письмо: "Я работаю единственным специалистом по защите информации, на предприятии и хочу поделиться своим опытом". Многие письмо игнорировали. Самая первая публикация была на itsec.ru. А дальше стало проще - публикация есть, я на нее уже в письме ссылалась: "Я писала для itsec, хочу писать для вас". Журналы стала искать в постах у известных блогеров, думаю, если они туда пишут, значит, и я могу. Также в самом начале ссылалась на свои научные статьи. Ну а потом заключила договор с "Директором по безопасности", в 2012-2013 годах писала для них каждый месяц уже за деньги. Не стоит бояться начинать с бесплатных публикаций - это не стыдно.
9. Важна ли публичность в вашей работе? Личный бренд повышает стоимость услуг?
Личный бренд - это все для меня. Я знаю во многих городах специалистов по ИБ и руководителей ИТ компаний, пиарщиков, журналистов, редакторов, авторов, могу предложить им свой проект, или они обращаются ко мне со своими предложениями. Поэтому все, что мне остается - наращивать экспертность и следить за репутацией, на это влияет качество заказов, есть заказы, которые я принципиально не беру:

  • если требуют отказ от авторства, вместо меня будет указан анонимный источник или другой автор. Мне это неинтересно, но на этом можно хорошо заработать. Корпоративные блоги по ИБ и юридические организации иногда ищут авторов для статей, методичек, брошюр;
  • если был негативный опыт сотрудничества, у меня есть свой "блэк лист" заказчиков, пока из него никто обратно не выходил;
  • если ставят невыполнимые сроки, например, разработать шаблоны документов для организации за две недели, написать курс за неделю и т.д. Раньше пара месяцев бессонных ночей были нормой, но уже год, наверное, как здоровье в приоритете;
  • если предлагают неинтересный проект;
  • если оплата будет мизерной. Советую перед тем, как стать автором статей по ИБ, ознакомиться с тарифами для копирайтеров. На мой взгляд, авторская статья явно должна стоить дороже.
10. Как проводятся переговоры? Устно, письменно?
Я за письменные переговоры. Люблю, когда все зафиксировано в письмах. Всей душой ненавижу телефонные переговоры. Все проекты, которые не сбылись, начинались со звонков.
11. Как вы определяете стоимость своих услуг? Из чего она складывается?
По статьям и лекциям я знаю среднюю цену по рынку, где-то из своего опыта установила ее, где-то у знакомых и друзей узнаю. Книгу оценила сама по ценности материала - 200 рублей минимальная, на мой взгляд, цена. Ее и поставила. Раньше думала, что степень кандидата повысит мои расценки, но пока такого не случилось. Но свободы в творчестве стало больше, типа "кандидат знает, что делает". Если мне предлагают какой-то новый для меня вид работ, то стоимость я определяю исходя из количества часов, которое предположительно потрачу на выполнение работы. Оцениваю, за сколько я готова продать свое свободное время.
12. Требует ли ваша работа наличия лицензии, специального образования или сертификата? Нужно ли покупать что-то кроме ноутбука?
Мой рабочий инструмент - ноутбук. Образование, думаю, важно. Я работаю по специальности и знаю, что делаю.
13. Какими инструментами планирования вы пользуетесь? Бумажные ежедневники или электронные планеры?
Очень люблю бумажные ежедневник, почеркать на листах а4, порисовать схемы. Активно использую диктофон для записи своих мыслей. Правда, потом не очень интересно наколачивать текст по записи звука, но я довольно быстро печатаю вслепую десятью пальцами. Полезный навык для бумажного безопасника.
14. Как оцениваете показатели своего труда? Можно ли спрогнозировать нагрузку?
Уже никак не оцениваю, просто получаю удовольствие от работы. Многие проекты делаю бесплатно и перестала, наконец, об этом волноваться. Нагрузку раньше рассчитывала так - не более двух больших статей в месяц. Это выходило до 40.000 символов с пробелами, 40 тысяч - это очень много, когда совмещаешь с основной работой. Сейчас стараюсь работать 1-2 часа в день каждый день (иногда устраиваю себе 1-2 дня выходных, но все равно веду группу и бесплатные проекты в эти дни), но каждый месяц бывает неделя, когда работаю по 3-4 часа в день. Это довольно комфортно для меня сейчас, когда я нахожусь в отпуске по уходу за ребенком, сыну 2г. 5 месяцев.
15. По каким признакам определяете «плохого» или «хорошего» заказчика? Используете интуицию?
Для меня все любители поболтать по телефону - потенциально плохие заказчики. Такая сложилась статистика, за редким, очень редким исключением. Интуицию стараюсь использовать, плюс помогает публичность, как гарант выполнения заказчиком обязательств по оплате.
16. Расскажите интересный/смешной/пугающий случай из практики.
Я вам приведу один из негативных отзывов, чтобы вы понимали, что нельзя всем угодить и не расстраивались по пустякам:


Такой отзыв я получила после нескольких лет написания авторских статей. Тогда надолго запомнились эти эпитеты "поверхностный" и "дилетантский". Но знаете, что интересно, на другом ресурсе эту статью купили и она пользовалась очень большой популярностью у читателей, ее даже цитировали. Так что все относительно.

17. Какой совет можете дать начинающим фрилансерам?
Делайте работу качественно, даже если она бесплатная. Вы работаете на репутацию, в сообществе все друг друга знают п вас будут рекомендовать как хорошего исполнителя.

Успеха в делах!

_________
Ну и, как всегда, минутка саморекламы. В ноябре вышла моя вторая книга по защите персональных данных. Чтобы приобрести "Персональные данные: как перестать беспокоиться и начать защищать?", обратитесь в личные сообщения:


Вконтакте: https://vk.com/shudrova
telegram: @KseniaShudrova
instagram: @boyarinya_marshmelova 
Книга электронная! Стоимость - 200 р.

среда, 25 марта 2020 г.

Самозащита. Учимся работать на себя в ИБ. Viktor Davydych


1. Расскажите, пожалуйста, немного о себе. Образование, стаж работы, опыт.
У меня профильное образование НТУУ КПИ «Защита информации», МВА, экономическое. Опыт работы по профилю Информационная безопасность с 2007 года – 13 лет. География проектов – Украина, Россия, Азербайджан, Британия, Кипр, Болгария. Были совместные проекты с США и Китаем. Основная специализация – стандарты безопасности PCI DSS и GDPR. Построение процессов информационной безопасности.
Больше информации на сайте - https://www.davydych.com/ и в профиле Linkedin http://ua.linkedin.com/in/davydych
2. Где сейчас живете?
Основные места это Украина и Таиланд. Но часто бываю в разных странах как по рабочим проектам, так и в личном порядке.
3. Когда начали заниматься фрилансом/подрядом/удаленкой?
Первый серьезный британский проект на консалтинге был в 2012 году. Последние 8 лет занимаюсь консалтингом удаленно и онсайт, для больших проектов могу работать inhouse. Последний раз на большой проект приехал из за рубежа в Украину и он занял 20 месяцев.  
4. Какие виды работы вы выполняете?
Основная специализация - подготовка компаний к аудитам PCI DSS. Подготовка соответствия GDPR. Это где-то половина проектов. Вторая половина, это построение процессов информационной и физической безопасности, разработка и внедрение документации, анализ рисков и аудит. Среднее время проекта зависит от размера компании, целей и объема работ. Обычно это 6-12 мес. В части случаев заказчик просит также помочь с выбором специалиста, который в дальнейшем будет поддерживать процессы безопасности в компании. 
5. Кто заказывает работу (интегратор, университет, завод, портал, журнал, физические лица)?
Основные сферы деятельности клиентов это финтех, екомерс и ИТ компании.
6. Оформляете ли вы отношения с помощью договоров? На что обращаете внимание в договоре?
Да. Всегда вычитываю договора, NDA. Пользуюсь юридическими услугами.
7. Оформляете юридическое лицо, ИП, самозанятость? Расскажите о нюансах.
Работаю как ФОП. Плачу 5% и ЕСВ.
8. Где ищете заказы?
Около половины заказов приходят через площадки:

Вторые 50%:
  • Рекомендации коллег
  • Повторные заказы от клиентов, с которыми работал по другим задачам.

9. Важна ли публичность в вашей работе? Личный бренд повышает стоимость услуг?
Скорее положительные рекомендации клиентов и коллег. Ранее много выступал на конференциях, писал статьи в журналы. Не видел большой корреляции с объемов заказов. Сейчас в большинстве случаев нет времени на данную деятельность. 
10. Как проводятся переговоры? Устно, письменно?
Бывает очень по разному. Если есть возможность, проект сложный и объемный, удобнее часть вопросов согласовать лично и проведя аудит компании онсайт, подтвердив в дальнейшем договоренности в письменном виде. Многие проекты географически разнесены, потому есть те, в которых я никогда лично не встречался с заказчиком. Важно чтобы работа была выполнена в нужном объеме и в срок. Реализация же, зависит от обстоятельств.
11. Как вы определяете стоимость своих услуг? Из чего она складывается?
Стоимость зависит от нескольких факторов. Стоимость на рынке данных услуг, моя загруженность в данные сроки, сложность задач и величина риска проекта, накладные расходы, объем работ.
12. Требует ли ваша работа наличия лицензии, специального образования или сертификата? Нужно ли покупать что-то кроме ноутбука?
Лицензия не требуется. Сложно себе представить специалиста без образования и опыта. Возможно, такие есть. Но у меня есть и профильное образование. И МВА, чтобы лучше понимать собственника и процессы в компании, а также экономическое. Есть профильные знания в области стандартов и технологий, курсы и сертификаты. 
13. Какими инструментами планирования вы пользуетесь? Бумажные ежедневники или электронные планеры?
Сам я планирую в Google docs, Evernote, Word. Проекты в Jira, MS Project. 
14. Как оцениваете показатели своего труда? Можно ли спрогнозировать нагрузку?
Стараюсь прогнозировать. Больше всего заказов появляется в октябре-ноябре и феврале-марте.
Показатели оцениваю в соответствии выполняемому графику и объему работ.
15. По каким признакам определяете «плохого» или «хорошего» заказчика? Используете интуицию?
Интуицию не использую. Собираю информацию в открытых источниках и отзывы.
16. Расскажите интересный/смешной/пугающий случай из практики.
В одной большой компании 1к+ человек нашли подключенные к сети неучтенные сервера в углу одной из комнат с внутренним форумом сотрудников, персональными данными клиентов и пр.
17. Какой совет можете дать начинающим фрилансерам?
Сейчас интересное время. Учитывая предпосылки к кризису и повальный переход на удаленную работу по всему миру в связи с пандемией (по крайней мере в этом месяце) заказчикам все привычнее будет работать с распределенными командами и удаленными сотрудниками. Это приведет к новым рискам для компаний, но и к новым возможностям для консалтинга.
Большое спасибо за ответы!

Личная информация Viktor Davydych
E-mail – viktor.davydych@gmail.com


_________
Ну и, как всегда, минутка саморекламы. В ноябре вышла моя вторая книга по защите персональных данных. Чтобы приобрести "Персональные данные: как перестать беспокоиться и начать защищать?", обратитесь в личные сообщения:


Вконтакте: https://vk.com/shudrova
telegram: @KseniaShudrova
instagram: @boyarinya_marshmelova 
Книга электронная! Стоимость - 200 р.

Приглашаем на межблогерский вебинар по проверкам ПДн

Добрый день, коллеги! 01 апреля в 15:00 по московскому времени мы проведем 5й межблогерский вебинар, на этот раз темой нашей встречи будут проверки по персональным данным.


Запись 1го вебинара О защите персональных данных
Запись 2го вебинара Об угрозах БДУ и мерах защиты
Запись 3го вебинара Ответы на вопросы
Запись 4го вебинара О СКЗИ

Всех ждем! Будет интересно и полезно!

Ну и, как всегда, минутка саморекламы. В ноябре вышла моя вторая книга по защите персональных данных. Чтобы приобрести "Персональные данные: как перестать беспокоиться и начать защищать?", обратитесь в личные сообщения:

Вконтакте: https://vk.com/shudrova
telegram: @KseniaShudrova
instagram: @boyarinya_marshmelova 
Книга электронная! Стоимость - 200 р.

пятница, 20 марта 2020 г.

Самозащита. Учимся работать на себя в ИБ. Иван Пискунов

1. Расскажите, пожалуйста, немного о себе. Образование, стаж работы, опыт.
Меня зовут Пискунов Иван Владимирович, мне 31 год. Я начал работать еще с 4 курса университета, то есть, по большому счету, где-то 11-12 лет в индустрии. Образование у меня профильное: информационная безопасность, специалитет, красный диплом. Общий бал у меня 4,92, если я не ошибаюсь, лучший показатель в группе, группа у меня была человек 30 — 35. Я начинал с техника техподдержки, с администратора информационной безопасности. Долгое время работал просто системным администратором, потому что я сам из Иркутска и, к сожалению, в этом городе не было работы по информационной безопасности, приходилось идти по смежке, чтобы хоть как-то заработать и развивать технические скиллы. 
После этого я работал в различных организациях, в том числе в государственных, в частности, я работал в муниципальной больнице, участвовал в конкурсе на госслужбу в Министерство финансов Иркутской области. Работал в Научно-исследовательском проектном строительном институте – это коммерческая организация, холдинг на 700 человек, работал в подрядчике ПАО «Газпрома», работал в иностранной компании, которая занимается аутсорсингом услуг, в том числе по информационной безопасности. Последние два года я работаю на фрилансе. У меня было свое ООО, его пришлось закрыть, сейчас я нахожусь в режиме самозанятого. По сути, это частная практика, фриланс, практически как индивидуальный предприниматель, только новая форма.
2. Где сейчас живете?
Живу я в Москве, в марте будет 4 года, как переехал. Сам из города Иркутска, там родился, рос, там получал образование, там проходил дополнительные курсы, которые были доступны на тот момент.
3. Когда начали заниматься фрилансом/подрядом/удаленкой?
После ВУЗа приходилось работать на двух работах или где-то подрабатывать, потому что, к сожалению, зарплаты были не очень. Жить хочется полноценно, на тех должностях, на которых я работал, не хватало денег. Поэтому я работал на основной работе и пытался выполнять любые работы, которые мне помогали заработать: от настройки конфигурации оборудования до решения проблем с безопасностью, например, системы сертификации КриптоПро, установки специализированного софта. Если говорить о том времени, когда я занялся фрилансом полноценно, то это последние два года, с конца 18го.
4. Какие виды работы вы выполняете?
Я стараюсь выполнять все виды работ в информационной безопасности, которые пользуются спросом. За что платит клиент на рынке, то я и стараюсь предлагать. Прежде всего это пентесты: пентесты инфраструктуры, пентесты веба, любое техническое тестирование информационных систем, которые базируются на Windows, либо на Linux, как на open source софте, так и на enterprise коммерческом, в виде SQL серверов и тому подобного, для всего, что в IT ландшафте есть у enterprise я могу провести тестирование либо аудит защищенности. Вторая услуга, которую я стараюсь продвигать – это форензика или кибер расследования. Если были какие-то инциденты, утечки, проблемы, связанные с потерей данных от НСД, то я использую определенные инструменты чтобы восстановить сценарий произошедшего, идентифицировать эту проблему, если это возможно, то установить злоумышленника (чаще это не получается), предложить варианты защиты, чтобы в будущем этого не повторилось. Третье чем я занимаюсь, это классический консалтинг. Это консультирование по любым вопросам: техническим, правовым, юридическим, связанным с ИБ. это корректировка политик, регламентов, написание различной документации, которая регулирует процессы безопасности в организации, – все, что так или иначе относится к бумажной безопасности. Четвертая составляющая, которой занимаюсь я исключительно (иногда у меня есть коллеги, которые подключаются) - преподавание и обучение. Веду частные курсы, сотрудничаю с различными учебными центрами и школами, которые предоставляют курсы по информационной безопасности. У меня есть опыт преподавания: два года в университете в Иркутске и один год в Московском Политехе.
5. Кто заказывает работу (интегратор, университет, завод, портал, журнал, физические лица)?
Поскольку я частник и, собственно говоря, у меня нет какого-то маркетинга, громкой кампании, мои клиенты – это мелкий бизнес: магазинчики, кафешки, которые думают о безопасности, но у которых нет больших денег, чтобы платить их большим игрокам рынка. Это те, кто задумываются о проблемах ИБ, или у кого случилась утечка, и они хотят обеспечить достойный уровень безопасности. Бюджета у них под это нет, и я пытаюсь решить эту проблему за адекватные деньги для них с адекватным качеством. Обращаются физические лица. Ко мне обращалась женщина, которая подозревала своего мужа в «нечестных отношениях с женщинами незнакомыми ей», и просила помочь ей расшифровать переписку в WhatsApp, восстановить удаленные фотографии. На эту тему у меня есть статья в журнале Хакер, я там описал все обезличено, но это реальный кейс, с которым я сталкивался. Больше заказчиков нет: либо мелкий бизнес, либо физические лица.
6. Оформляете ли вы отношения с помощью договоров? На что обращаете внимание в договоре?
Да, конечно, обязательно, я оформляю все через договор. Есть стандартный, который оформляю я, либо предлагает сам заказчик. Я его изучаю и, если все в порядке, мы его подписываем. Обязательно фиксируем сроки, стоимость и условия, по которым считается, что работа выполнена. Потому что я не раз натыкался на «честное слово», когда я делал работу, вперед отдавал отчеты, а мне потом долгое время не могли заплатить деньги, либо когда я делал работу, а мне отказывали и не платили деньги, либо говорили, что там что-то не доделано, а договора не было, я просто верил человеку на слово. Однозначно все через договор, все через фиксацию условий и еще могу добавить, что я всегда работаю с авансом. Раньше много было ситуаций, когда, например, достаточно крупной суммы договор, я делал все вперед, отдавал и мог пару месяцев дожидаться своих денег, и никакого рычага давления у меня не было. А идти в суд было просто невыгодно, потому что, если нанять адвоката, оплатить пошлины, пройти процедуры востребования, вышли бы как раз те деньги, которые я заработал, даже дороже. Это просто невыгодно. Так что обязательно договор, обязательно аванс и обязательно условия, по которым определяется что работа выполнена.
7. Оформляете юридическое лицо, ИП, самозанятость? Расскажите о нюансах.
В принципе я уже сказал, изначально у меня было свое ООО на общем режиме налогообложения, но ООО пришлось закрыть. В Москве введен режим самозанятого, это более выгодно, чем ИП. Я нахожусь на режиме самозанятого: 4% при расчете с физиками и 6% с юр лицами, это гораздо выгоднее, чем 13% по ГПД.
8. Где ищете заказы?
Либо я ищу заказы, либо меня ищут. У меня есть некая известность в ИБ индустрии, потому что мир тесен, все друг друга знают, если не лично, то через кого-то точно, даже в Москве несмотря на то, что здесь достаточно много компаний, занимающихся безопасностью. У меня есть своя известность, свой бренд, есть блог, Telegram канал, статьи в Хакере, публичные выступления, я где-то общаюсь с людьми, обмениваюсь контактами. Иногда меня по этим контактам находят и предлагают какую-то работу выполнить. Я размещался в различных сайтах по фрилансу, предлагал свои услуги, размещал свои контакты, таким образом люди на меня выходили, мы обсуждали условия, если могли договориться, то я брался за работу.
9. Важна ли публичность в вашей работе? Личный бренд повышает стоимость услуг?
Да, конечно, однозначно. Я занялся фрилансом, потому что у меня есть личный бренд, узнаваемость, репутация, если я делаю работу, то делаю работу качественно, либо я не берусь за работу, если в ней не уверен, потому что репутацию купить невозможно. Деньги заработать можно, репутацию вернуть обратно невозможно. Личный бренд я создавал годами, начиная со статей, с блога, с выступлений на конференциях, на каких-то больших ивентах и т.п. Публичность в этом плане мне помогла. Правда иногда меня находят люди, которые вообще обо мне ничего не знают, им кто-то порекомендовал, передал мою визитку, они верят на слово тем людям, которые порекомендовали. В целом публичность свой плюс однозначно дает.
10. Как проводятся переговоры? Устно, письменно?
Здесь, конечно, от ситуации зависит. Если есть возможность подъехать в офис и увидеться с человеком неформально (бывает в кафе сидим после конца рабочего дня), мы, конечно, обговариваем условия прежде всего устно. Если сначала запрос поступает на почту, то мы сначала все фиксируем предварительно, потом встречаемся, все обговариваем и перекладываем в договор. Здесь в зависимости от ситуации, кому как удобно, от сложности задачи, от того каким образом был инициирован первичный контакт: был это звонок, письмо, сообщение в мессенджере или личная встреча.
11. Как вы определяете стоимость своих услуг? Из чего она складывается?
Во-первых, есть понимание, сколько может стоить та или иная услуга на рынке, я конечно отталкиваюсь от этого. Во-вторых, я отталкиваюсь от своих трудозатрат: какие инструменты использую, покупаю ли программное обеспечение, приходится ли тратиться на дорогу, на перелеты в другой город, на командировку, либо это можно сделать локально, добравшись на метро, на такси. Затраты складываются из трудочасов, которые потрачены, одну задачу можно сделать за один рабочий день, другую задачу, например, аудит за 25-30 часов. Из понимания стоимости трудового часа, используемых инструментов, средней услуги по рынку, из всех этих моментов складывается некая средняя сумма, которая в конечном счете все равно обговаривается с заказчиком, в зависимости от лояльности заказчика, от того как мы договариваемся, она фиксируется и попадает уже в конечный договор.
12. Требует ли ваша работа наличия лицензии, специального образования или сертификата? Нужно ли покупать что-то кроме ноутбука?
Ноутбук идет по умолчанию. Раньше, когда я только начинал, у меня было два или три ноутбука. С одного я запускал сканирование, с другого я запускал сканирование внешнего периметра веба, с третьей машины я, например, делал еще какие-то операции при penetration test. Сейчас виртуальные машины стоят в облаке, у меня есть ноутбук, с которым я приезжаю, дальше мне дают VPN канал и какие-то работы я делаю через облачную инфраструктуру. Мне хватает того образования, которое я получил в университете, дополнительных курсов и самообразования в виде книг и тому подобного за те 11 лет, что я занимаюсь безопасностью. Сертификат у меня есть и не один, у меня есть и Cisco Certified Network Associate и Certified Ethical Hacker, у меня есть Microsoft Certified Systems Administrator и т.п. Не скажу, что они требуются для работы, но, если надо, я могу их показать, иногда они играют положительную роль. Что касается наличия лицензий: для предоставления услуг по penetration test требуется лицензия.
13. Какими инструментами планирования вы пользуетесь? Бумажные ежедневники или электронные планеры?
Честно говоря, я не любитель всех этих электронных вещей, гаджетов, я пользуюсь двумя: у меня есть календарь Mail.ru, на него у меня почта завязана рабочая, и Google календарь. И, собственно говоря, записная в телефоне, в которую я могу накидывать что-то чтобы не забыть по дороге, когда я еду в метро, если надо после звонка зафиксировать о чем говорили. Специальными программами я не пользуюсь. Никакими диаграммами Гантта по продвижению проектов я тоже не пользуюсь. Все остальное то, что мне нужно я помню, все что нужно записать, чтобы не держать в памяти, я записываю просто в виде текстовика в телефоне, звонки встречи я подвязываю в и Google календарь. В принципе, всего этого набора мне хватает, и расширять его я не собираюсь.
14. Как оцениваете показатели своего труда? Можно ли спрогнозировать нагрузку?
Начну отвечать с крайнего вопроса. Нагрузку, наверное, спрогнозировать невозможно. Потому что было такое, что я пару месяцев работал без выходных, было много проектов, задач насыпалось, нужно было их делать, я подписал контракт. Но как правило летом где-то с конца мая по середину сентября работ нет. Многие уезжают в отдых, ротации, переходы, жара сказывается. Как правило проекты буксуют. Все переносят их либо на осень, либо на конец года, чтобы закрывать бюджеты. Из этой практики можно сказать, что в теплый сезон нагрузка минимальная, а максимальная где-то, скорее всего, на осень, зиму, еще на весну. Но выстрелить может в любое время. Однозначно говорить невозможно. Как я оцениваю результаты своего труда? Да очень просто. Заработал я что-то за месяц или не заработал, проел эти деньги и прокатал их? Иногда приходится продавать услуги, делать презентации, рассказывать что-то клиентам, а в итоге клиент отказывается, говорит, что подумает, или ему это не нужно. И в итоге несколько дней презентаций, поездок, несколько встреч, часов прошли впустую. Я потратил их, и мне никто не компенсировал. Показатель очень простой – сколько ты заработал за месяц. По состоянию счета можно сказать хорошо ты сработал или плохо.
15. По каким признакам определяете «плохого» или «хорошего» заказчика? Используете интуицию?
Мне этот вопрос очень нравится. Интуицию я безусловно тоже использую. Некоторый внутренний голос мне что-то подсказывает, но все-таки я смотрю по манере человека общаться и по его потребностям. Есть люди, которым серьезно нужно решить какую-то проблему, и они хотят это сделать. А некоторые просто интересуются, спрашивают, но видно, что они больше заинтересованы в информационных услугах: что-то узнать, стоимость выяснить или просто поговорить нужно. Если люди конкретного толка: «Что будешь делать, в какие сроки, что тебе нужно, какая цена, мы подписываем договор». Есть люди, которые тянут: «Вот расскажи, что ты можешь, можешь ли то, другое, у нас есть то и то, как ты считаешь, например». Или: «Ну ты там скинь нам презентацию, мы посмотрим, через неделю встретимся». Есть люди, которые ориентированы на дело, с ними можно сразу результат получить. А есть заказчики, которые не заинтересованы, они тратят свое и твое время, и ничего хорошего из этого не получается. Либо есть люди, которые начинают увиливать, например, от подписания договора, в котором я сразу прописываю аванс. Если человек начинает отказываться, не объясняя почему он так делает, то скорее всего он что-то темнит. Здесь с ним нужно быть осторожным.
16. Расскажите интересный/смешной/пугающий случай из практики.
Все кейсы, которые мне попадались, были интересными и нестандартными. Иногда приходилось искать нестандартный подход, потому что спросить было не у кого. В интернете такой информации не найдешь. Коллеги тоже не расскажут, обратиться к кому-то вариантов нет, ты решаешь эту проблему сам, а ты уже взялся и подписал контракт, уже пообещал заказчику, что задача будет решена, и уже не имеешь права слиться и отказаться. Все кейсы были интересные - это некий челендж, и так или иначе я со всеми справлялся. Смешной или пугающий случай? При тестировании на проникновение пароль по умолчанию admin admin, какая-нибудь база неучтенная висела с открытыми портами, о ней вообще никто не знал. Ну то есть какие-то глупые ошибки, детские, которые могли привести к печальным последствиям, если бы это был реальный хак, а не проникновение по заказу.
17. Какой совет можете дать начинающим фрилансерам?
Я, наверное, скажу так, порой фриланс не проще чем работа «на дядю». Потому что, помимо того, что тебе нужно делать работу, помимо того, что тебе нужно обладать компетенциями техническим, скиллами ты еще должен уметь продавать, уметь общаться с заказчиками, ты должен быть психологом. Как минимум, ты должен правильно подавать свои услуги, а это не всем дано, не все это могут. Есть люди, которые хорошо разбираются в технике, но не очень хорошо разбираются в продажах. Либо, например, в психологии коммуникации. Они просто не могут продать. Здесь можно подумать начинающим фрилансерам: готовы они к этому или нет? Можно продолжать развиваться и набирать опыт и расти в рамках enterprise, быть наемным работником. Либо, если ты чувствуешь силы, и по каким-то причинам тебе это больше подходит, ты чувствуешь, что фриланс – это по жизни твое, ты не готов сидеть в душном офисе, кому-то подчиняться и работать на кого-то, тогда, конечно, нужно заниматься фрилансом и пробовать и пробовать. Главное, оценить на входе свою готовность, чтоб потом не жалеть. Я бы дал такой совет: все взвесить, подумать оценить и потом только принять решение.
Большое спасибо за ответы!

Сайт Ивана:



_________
Ну и, как всегда, минутка саморекламы. В ноябре вышла моя вторая книга по защите персональных данных. Чтобы приобрести "Персональные данные: как перестать беспокоиться и начать защищать?", обратитесь в личные сообщения:


Вконтакте: https://vk.com/shudrova
telegram: @KseniaShudrova
instagram: @boyarinya_marshmelova 
Книга электронная! Стоимость - 200 р.

четверг, 5 марта 2020 г.

Самозащита. Учимся работать на себя в ИБ. Сергей Воробьев

1. Расскажите, пожалуйста, немного о себе. Образование, стаж работы, опыт.

Образование: в настоящий момент имею четыре образования: Военная академия связи - инженер радиоспутниковых систем связи, Международный Институт Экономики и права - специальность бухгалтерский учет, Международный Институт Экономики и Права - специальность юриспруденция, направление гражданское право, академия информационных систем АИС - специальность информационная безопасность. А также ряд других дополнительных сертификатов, повышение квалификации, курсы.
2. Где сейчас живете?

г. Курск

3. Когда начали заниматься фрилансом/подрядом/удаленкой?

По моему мнению, вопрос должен был звучать: "Почему начали заниматься...?"))
Подряд позволяет: 
1. Расширять компетенции, так называемый Soft skills - (англ. «мягкие» навыки);
2. Заниматься новыми проектами, закрепляя и получая новые компетенции.
3. Дополнительный заработок.
4. Какие виды работы вы выполняете?
1.Организационные мероприятия по ЗПДн:
  • оценка текущего состояния процессов обработки ПДн, организационно-распорядительной документации, а так же СЗИ на соответствие требованиям 152-ФЗ;
  • разработка модели угроз безопасности ИСПДн, проектирование эффективной работающей совместно с бизнес-процессами системы ИБ;
  • консультирование по вопросу возложения обязанностей по организации защиты ПДн;
  • консультирование по вопросу требований законодательства в сфере защиты персональных данных и т.д.
2. Технические мероприятия по созданию системы защиты персональных данных:
  • поставка технических средств защиты информации для ИСПДн;
  • консультирование по средствам и системам защиты информации в соответствии с требованиями.
3. Дополнительно:
  • помощь в подготовке к прохождению проверки и сопровождение при проверке контролирующих органов (Роскомнадзор);
  • помощь в автоматизации процесса защиты персональных данных.
5. Кто заказывает работу (интегратор, университет, завод, портал, журнал, физические лица)?
Юридические лица: заказчиками были медицинские учреждения, рекламные агенства, фирма по производству текстиля и ряд других юридических лиц.
6. Оформляете ли вы отношения с помощью договоров? На что обращаете внимание в договоре?
Услуги оказываю в рамках требований законодательства РФ с оформлением договоров оказания услуг.
В договорных условиях стараюсь минимизировать риски как исполнителя, так и заказчика.
7. Оформляете юридическое лицо, ИП, самозанятость? Расскажите о нюансах.
ИП (С нюансами не сталкивался, оформил по стандартной процедуре).
8. Где ищете заказы?
Большинство заказчиков обращались ко мне с помощью так называемого сарафанного радио.
Остальных заказчиков нахожу с с помощью холодных звонков.
9. Важна ли публичность в вашей работе? Личный бренд повышает стоимость услуг?
Думаю, что публичность в подряде не так важна, заказчику интересен результат с удобными для него условиями. Предполагаю, что в стандартной практике личный бренд, конечно же, добавляет стоимость к оказываемым услугам.
10. Как проводятся переговоры? Устно, письменно?
Все зависит от конкретной ситуации. Проводил переговоры и по телефону, и с выездом к заказчику, осталось только по ВКС провести)))
11. Как вы определяете стоимость своих услуг? Из чего она складывается?
Просчитываю маржинальность услуги. Стоимость складывается из операционных затрат и объема предполагаемых работ. Допустимы и индивидуальные расценки, в зависимости от проекта и заказчика.
12. Требует ли ваша работа наличия лицензии, специального образования или сертификата? Нужно ли покупать что-то кроме ноутбука?
Выполняемая работа лицензии не требует, на этот случай взаимодействую с партнерами, у которых имеется необходимая лицензия. Наличие образования обязательно. Я бы сказал, что минимум для начала необходим ноутбук и принтер, а остальное зависит от возникающих задач.
13. Какими инструментами планирования вы пользуетесь? Бумажные ежедневники или электронные планеры?
Стандартный календарь в мобильном телефоне, сервис Trello, а так же надежный и всем знакомый ежедневник.

14. Как оцениваете показатели своего труда? Можно ли спрогнозировать нагрузку?
Показатель эффективности рассматриваю относительно количества выполненных проектов. Спрогнозировать нагрузку достаточно тяжело, поэтому прогнозы не делаю)

15. По каким признакам определяете «плохого» или «хорошего» заказчика? Используете интуицию?

Проверяю заказчиков с помощью возможных инструментов (бесплатные и платные сервисы), открытых источников, изучаю финансовую отчетность.

16. Расскажите интересный/смешной/пугающий случай из практики.
Если заказчик пытается вам предъявить претензии, не спешите игнорировать его и не брать трубки. Практика показывает, что все быстро решает в диалоге, т.к. возникшая претензия - это упущение или недопонимание заказчика в полученных услугах.
17. Какой совет можете дать начинающим фрилансерам?
Старайтесь не перенапрягаться. Проекты часто длятся дольше, чем запланировано, поэтому всегда резервируйте время для срочных правок, дополнительной работы и подготовки. Не забывайте про отдых. Фрилансеры особенно нуждаются в качественном отдыхе.


Страница ВК: https://vk.com/s.vorobeyev



_________
Ну и, как всегда, минутка саморекламы. В ноябре вышла моя вторая книга по защите персональных данных. Чтобы приобрести "Персональные данные: как перестать беспокоиться и начать защищать?", обратитесь в личные сообщения:


Вконтакте: https://vk.com/shudrova
telegram: @KseniaShudrova
instagram: @boyarinya_marshmelova 
Книга электронная! Стоимость - 200 р.

среда, 4 марта 2020 г.

Самозащита. Учимся работать на себя в ИБ. Alexander Sverdlov


1. Расскажите, пожалуйста, немного о себе. Образование, стаж работы, опыт.
Я строил защиту самой современной атомной станции в мире – в Эмиратах, прежде чем создать свою собственную компанию. Три раза подряд выступал на PHDays, написал две книги по ИБ.
2. Где сейчас живете?
Живу в Болгарии с детства, поэтому связи с русской „диаспорой“ ИБ у меня не очень сильные – но много лучше знаю безопасников в США, например.
3. Когда начали заниматься фрилансом/подрядом/удаленкой?

Я работал по специальности – ИБ – на фриланс площадках до 2013 года, когда увидел, что цены там начали очень быстро падать в связи с резким увеличением желающих на этом заработать именно на фриланс площадках. С тех пор я оттуда ушел и не думаю возвращаться. Основная проблема фриланс площадок, что они забирают себе очень большой процент денег – между 10 и 20%, потом еще теряешь деньги на налогах, а также приходится считаться с конкуренцией по цене – на один и тот же проект пишут десятки, иногда сотни человек, огромное количество которых новенькие и работать готовы „за отзыв“. Теряешь огромное время на создание „профиля“ что тебя завязывает там, не позволяя строить настоящий бизнес и настоящий бренд / сервис в реальной жизни. В общем фриланс на площадках – не для меня.
В 2014 году вернулся работать – CISO в болгарском банке – а через год меня пригласили в телеком Эмиратов, где я проработал 2 года. Потом поработал в Майкрософте, где консультировал множество банков и гос учреждений на Ближнем Востоке и внешним консультантом в вышеупомянутой эмиратской атомной электростанции.
4. Какие виды работы вы выполняете?
Virtual CISO – но в отличие от обычного CISO кого берут „чтобы был“, - я работаю по четко установленной программе, с четкими KPI – клиент видит что покупает, у него есть дашборд всех выполняемых работ... в общем, CISO очень редко может постичь такого качества – и клиенты это видят, а один раз увидев – больше не хотят нанимать человека на эту позицию – сервис для них работает намного лучше.
5. Кто заказывает работу (интегратор, университет, завод, портал, журнал, физические лица)?
Кому продадите, тот и заказывает. Учитесь продавать! Ходите на курсы, слушайте аудиокниги, читайте книги и потом просто идите и делайте так, как это описывали авторы. Да, у вас нифига не будет получаться, будете думать, что написанное в книгах – фуфло. Но фуфло не в книгах, а в вашем опыте – поэтому делайте пока не начнет получаться. Иногда бывает что 10 страниц советов в одной книге будут стоить вам месяцы труда, тысячи долларов пустых трат – считайте это платой за опыт и продолжайте делать пока не начнет получаться. Физ лицо с миллиардом на счету с удовольствием потратит немало денег на свою защиту, если сумеете это продать.
6. Оформляете ли вы отношения с помощью договоров? На что обращаете внимание в договоре?
На договорах не экономьте, оплатите услуги хорошего юриста. Они знают на что обратить внимание, какие вопросы вам задать, чтобы составить грамотный договор. Если придете к заказчику с договором из Интернета, потеряете репутацию навсегда, а возможно и немало денег и времени в последствии.
7. Оформляете юридическое лицо, ИП, самозанятость? Расскажите о нюансах.
Однозначно юрлицо. Если будут проблемы, проблемы должны быть у юрлица, а не у вас и вашей семьи.
8. Где ищете заказы?
Я выстраиваю отношения с клиентами задолго до того, как начинаю им продавать свои услуги.
9. Важна ли публичность в вашей работе? Личный бренд повышает стоимость услуг?
Личный бренд исключительно важен. Критичен. Ниша тоже. Нельзя уже быть просто „специалистом по ИБ“ – это как „специалист по финансам“ – прямой путь в голодный ад. Дам пример – можно стать специалистом по защите птицеферм от хакерских атак – это уже бренд. Если вашими клиентами станут все птицефермы страны, (любой страны) – у вас все будет хорошо. Посчитайте.
10. Как проводятся переговоры? Устно, письменно?
Очень важно встретиться с человеком лично. Но иногда бывает, что клиент никогда меня не видел лично – тогда очень важно начинать знакомство с видео связи. Пусть клиент увидит красивый дом или домашний офис.
11. Как вы определяете стоимость своих услуг? Из чего она складывается?
Стоимость услуг исключительно зависит от принесенной пользы. Если можно посчитать пользу – можно посчитать цену. Никогда не определяйте свои цены по конкуренции и никогда не давайте цену ниже средней по рынке, если ваш сервис – выше среднего по качеству. На фрилансе вы конкурируете с очень большим количеством компаний и фрилансеров – поэтому очень четко вырабатывайте свою нишу. Всем хочется например работать с инвестиционными банками – но они выбирают себе подрядчиков исключительно по рекомендациям. А вы знакомы с теми, кто дает советы по выбору подрядчика инвестиционным банкам? Из всего интерьвью, я б занялся только этим вопросом и не читал ничего другого.
12. Требует ли ваша работа наличия лицензии, специального образования или сертификата? Нужно ли покупать что-то кроме ноутбука?
Все должно быть частью личного бренда. От костюма сшитого у портного, до обуви – клиент знает чем отличается шитый костюм от купленного и сразу это заметит. Клиент заметит какой у вас ноутбук, какая обувь, какие часы, прежде, чем вы успеете открыть рот и показать свои сертификаты. И если то, что он увидит ему не понравится, никакие сертификаты это не исправят. Потом необходимо рассказать о том каким компаниям вы уже помогли и в последнюю очередь можно показать сертификаты. Не только вы – все знают как легко их получить, поэтому не стоит на них сосредатачиваться.
13. Какими инструментами планирования вы пользуетесь? Бумажные ежедневники или электронные планеры?
Джира, Трелло, календарь. Это минимум. Для клиентов делаю отдельные борды в Трелло, чтобы они могли отслеживать статус всего что происходит в проекте постоянно.
14. Как оцениваете показатели своего труда? Можно ли спрогнозировать нагрузку?
Можно, если можно спрогнозировать продажи и встречи. Готовьтесь в первые два года пахать как бешеные. Чтобы потом пахать еще больше. Я не ожидал, что буду работать по 14 часов 7 дней в неделю – а на фрилансе это бывает так довольно часто, пока не дорастете до уровня нанимать продавца, маркетолога, личного ассистента. На работе вы работаете ИБшником – а на фрилансе вы еще фултайм продавец, маркетолог, сисадмин, и тд. Считайте это прежде, чем начинать, потому что „зарабатывать“ можете только в те часы, свободные от встреч, продаж, переездов между городами и тд.
15. По каким признакам определяете «плохого» или «хорошего» заказчика? Используете интуицию?
По офису, по тому как они заботятся о своих подчиненных. Если подчиненные сидят на стульях за 30 баксов и обедают шаурмой, бегите оттуда и даже не пытайтесь продать этой компании ничего. Хороший заказчик обращает внимание и тратит время на мелкие детали во всем – но сразу видно это по их офису.
16. Расскажите интересный/смешной/пугающий случай из практики.
Смешные случаи в этой профессии редко бывают. Были тяжелые моменты, когда эмоциональная интеллигентность была намного полезней технических знаний. Так что советую очень над этим поработать.   
17. Какой совет можете дать начинающим фрилансерам?
Знакомьтесь с потенциальными клиентами „с вашего двора“ – но также можно выбрать отдельный город в Европе и сделать так, чтобы вас там знали. Ходите по офисам, относите капкейки, бутылки вина, подарки, вас должны знать в лицо и по имени. Это ваша цель, если хотите преуспеть не только в фрилансе, но и в жизни. Выступайте на конференциях – и не только на ИБ – ходите, например, рассказывать на конференциях птицеферм, как надо защищать птицефермы от хакерских атак. Ну, вы поняли. Вас должны знать клиенты – а набивать себе личный бренд в ИБ сфере – люкс, когда уже поток клиентов зашкаливает. Тогда можно позволить себе пощеголять на ИБ конференции.
Большое спасибо за ответы!

Ну и, как всегда, минутка саморекламы. В ноябре вышла моя вторая книга по защите персональных данных. Чтобы приобрести "Персональные данные: как перестать беспокоиться и начать защищать?", обратитесь в личные сообщения:


Вконтакте: https://vk.com/shudrova
telegram: @KseniaShudrova
instagram: @boyarinya_marshmelova 
Книга электронная! Стоимость - 200 р.