19 янв. 2015 г.

Анна Гольдштейн: ломая стандарты

Мы продолжаем специальный проект посвященный женщинам, работающим на рынке ИБ. Наша сегодняшняя героиня – Анна Гольдштейн.

ДОСЬЕ
Анна Гольдштейн – классический «инженер минус программист» (прим. ред. – «как говорят в Бауманке»), директор по развитию в крупном ИБ-интеграторе, имеет степень MBA Калифорнийского государственного университета, является сертифицированным аудитором платежных систем PCI QSA, CISSP и CISA, экспертом по системам управления информационной безопасностью в соответствии со стандартами ISO 27001 и СТО БР ИББС. И это только часть профессиональных успехов нашей героини. Ее карьера – пример того, что все в этой жизни возможно, если очень захотеть.


Анна, Вы окончили МГТУ им. Баумана, программист по образованию. Сейчас Вы – руководитель департамента по развитию бизнеса в крупном ИТ-интеграторе. Абсолютно разные направления, согласитесь. Расскажите, с чего вы начинали и как из инженера-программиста превратились в управленца?

Несмотря на то, что мои родители окончили ВМК (прим. ред. – факультет вычислительной математики и кибернетики МГУ им. Ломоносова), мне в детстве казалось, что я никогда не буду программистом. Это были дремучие советские времена, и компьютеров дома еще ни у кого не было. Персональный компьютер впервые я увидела значительно раньше большинства своих сверстников – у папы на работе. Первой игрой был «Диггер». Чуть позже мы с братом развлекались тем, что втихаря от родителей играли до умопомрачения в «Арканоид» и «Ларри». Так что первым, и надолго единственным знанием, об устройстве компьютера для меня стала перемычка, позволяющая включить клавиатуру, ключ от которой папа уносил с собой на работу. Математику я обожала, а вот программирование до окончания школы, к большому сожалению моих родителей, меня не интересовало совершенно. Уже потом, поступив на факультет информатики МГТУ им. Баумана, поняла, что это мое. Я училась с удовольствием, хотя отнюдь не была примерной студенткой. У нас была очень сильная кафедра, за счет того, что нам старались дать как можно больше практики: изучали программную и аппаратную части, системное программирование, учились строить сети. По большому счету, мы выпускались готовыми ИТ-специалистами и могли идти работать сразу после института. К сожалению, с тех пор все сильно поменялось.

Очевидно, что уровень высшего образования в области ИТ и ИБ сильно понизился за последние 10 лет. Что, на Ваш взгляд, этому способствовало? Почему настолько велика пропасть между уровнем подготовки, который давали Вам, и тем, что сейчас могут и умеют современные ИТ-шники и специалисты по ИБ?

Современные студенты хотят быть материально обеспеченными, поэтому они вынуждены работать. Очевидно, что при такой системе у студента нет возможности full-time заниматься учебой. По своему опыту могу сказать, насколько это тяжело – совмещать работу и учебу. В свое время я тоже пыталась работать во время учебы. Но я человек увлекающийся, и после очередного такого погружения просто перестала ходить в институт и с головой окунулась в работу. Тогда с небес на землю меня вернул мой папа, с которым у меня состоялся очень серьезный разговор. Думаю, что он смог донести до меня важность образования, потому что на семейном совете мы постановили, что больше я работать до окончания института не буду, а папа, в свою очередь, пообещал обеспечить мне комфортное материальное существование, чтобы эта сторона вопроса тоже не была определяющей в моем выборе между работой и учебой. У меня вообще очень мудрые родители. Они всегда оставляли нам с братом свободу выбора и давали шанс ошибиться самим, при этом мы не теряли мотивацию принимать самостоятельные решения. Сейчас я сама родитель, и понимаю, насколько они были правы, но поступать так же пока очень сложно.

Сегодняшние студенты уже больше привыкли работать и учатся, зачастую, ради получения «корочки». Поэтому качество образования, конечно, падает. Плюс десятилетний опыт проведения ЕГЭ в школах сделал свое дело. Вся система среднего образования, к сожалению, несовершенна и ориентирована на то, чтобы «выжить» и сдать экзамен. Все это убивает способность логически рассуждать, развивает у детей шаблонное мышление и сделать шаг влево, шаг вправо они уже не могут. В вузы приходят абитуриенты с очень слабой базой, они просто не имеют аппарата для восприятия тех знаний, которые готовы были им дать в высшей школе. Это касается всех вузов, и в большей степени, конечно, технических.

Анна, как развивалась Ваша карьера после окончания университета? Стоял ли перед Вами выбор: заняться наукой или сразу взяться за практику?

Когда я училась, система бакалавриат – магистратура только появилась, и наш поток фактически был экспериментальным. После 4-хлетнего курса бакалавриата и защиты дипломов нас разделили на две группы: одна «как бы» была предназначена для чисто научной работы, вторая – для практической. Следующие два года я училась в той группе, которая занималась практическими вещами, т.е. прикладным программированием. В результате по окончании института я получила два диплома: диплом бакалавра и диплом инженера, поэтому я – классический «инженер минус программист», как у нас в Бауманке говорят. После окончания вуза в 1999 году я сразу попала в «Информзащиту». Это произошло совершенно случайно. Тогда межсетевой экран Check Point только появился на нашем рынке и чтобы сертифицировать его во ФСТЭК по классу защищенности МЭ, требовалось разработать систему тестирования. Вот я как раз писала эту систему тестирования в качестве дипломной работы. Она представляла собой нечто, что могло генерировать различный трафик, а межсетевой экран в соответствии с правилами – принимать решение о его фильтрации. Это была чисто «юниксовая» вещь, на FreeBSD, в саморазворачивающейся оболочке, с графическим интерфейсом, где выбираешь, что это будет за пакет (кому отправлять, всякие протоколы/порты или типы/коды сообщений, что отправлять, какие-то опции) – все, что можно было тогда «навернуть» на базе заполнения IP-пакета.

В то время в мире развивались технологии Windows, active scripting, ASP, в общем, «активный» html. Я мышку из рук не выпускала, а тут передо мной только черный экран монитора, клавиатура, да еще и никакие команды ms-dos не работают. Казалось, что мне отрубили руки (смеется). Это был настоящий вызов для меня. Но рядом оказались люди, которые знали и подсказали, что делать. Man, «TCP/IP illustrated» и RFC-шки надолго стали моим любимым чтивом. Все это мне нравилось до фанатизма. Сейчас, оглядываясь назад, думаю, что этот опыт предопределил мою профессиональную жизнь на много лет вперед. Защиту диплома случайно увидел мой институтский знакомый, Андрей Свердличенко. Он работал в «Информзащите» на старте проекта по разработке нового продукта, и ему нужен был тестировщик. Надо сказать, что тогда в «Информзащите» отдел тестирования был целиком женским, а FreeBSD, сети и… девочка – все это было редкой комбинацией для далекого 1999-го. Так совпали звезды, и я попала в «Информзащиту». Стыдно сказать, но я в своей жизни даже не успела ни одного резюме составить.

В тестировщиках я пробыла недолго. В принципе, занималась тем же самым, развивала свою систему, через какое-то время достигла определенного уровня, и захотелось двигаться дальше. В тот момент мне очень хотелось в программисты, но там работали одни мужчины. Тогда я сказала тогдашнему генеральному директору компании, руководившему разработкой, Владимиру Юрьевичу Гайковичу, о своих «муках» и о том, что мне очень хочется программировать и поэтому мне, наверное, придется покинуть компанию. На что он сказал: «А почему собственно?» Я промямлила что-то типа: «Ну как же, в программистах же работают только мальчики, а я вот девочка, и все такое». На что он кратко ответил: «Попробуй». И я попробовала и перешла «на другую сторону баррикад» - в разработку. За то, очень важное для меня, решение – низкий поклон от меня Владимиру Юрьевичу Гайковичу и спасибо, что поверил и рискнул, сделав для меня исключение. Мне вообще очень повезло в жизни с руководителями. Несмотря на кучу тараканов в голове, категоричность, упорство, они видели и опирались на мои положительные стороны и позволяли мне выполнять даже самые сложные задачи.

Дальше была программистская карьера?

Нет. Если посмотреть на весь мой карьерный путь, то в сумме у меня не такой уж большой опыт в разработке. После рождения моего первенца я планировала продолжать работать удаленно, но на тот момент организовать это было достаточно сложно, поэтому пришлось оставить мысли о программировании до окончания декретного отпуска. За это время у меня было достаточно времени, чтобы подумать о своих планах на будущее, и я осознала, что в разработке мое дальнейшее развитие все-таки ограничено. Так и началась для меня абсолютно новая жизнь - в департаменте проектирования и консалтинга, куда я вышла на начальную позицию аналитика.

Из программиста в аналитики. Интересно. Наверно, многому пришлось учиться заново?

И я училась заново практически всему, потому что это был другой, неизвестный мне мир. Я помню свой ужас, когда, придя в тестировщики, в первый рабочий день столкнулась с кучей «железа», из которого мне было велено собрать стенд. Ровно также я сначала смотрела на стопки документов от заказчика и схемы сети в формате А1, которые мне надо было «переварить». И на самом деле, именно с этого момента для меня началась безопасность. Когда я занималась программированием, мне кажется, я не знала безопасность. Да, я знала межсетевые экраны и участвовала в разработке средства защиты, но это была просто прикладная область. А развитие по ИБ началось именно в департаменте проектирования и консалтинга. В то время, когда я пришла в это направление, одновременно зарождался и сам рынок. И это было вдвойне интересно. Когда я училась, гражданские вузы еще даже не выпускали специалистов по ИБ, там не было таких специальностей. Рынок ИБ тогда, по сути, составляла только криптография, и только-только начинали внедряться межсетевые экраны. Так что пришлось развиваться вместе с рынком. Но мне повезло, у меня ИТ-образование, и мне было чуть легче. Потому что когда я говорила «сеть», «маршрутизатор» или «пакет», я понимала, что это. Сегодняшние выпускники – специалисты по ИБ – учатся технологиям защиты, но им, зачастую, не на что наложить свои академические знания, и это их большая беда. Помню, как мы проводили собеседования и задавали соискателю любимый вопрос: «как работает trace route», чем ставили людей в тупик. И по этому вопросу можно было сразу понять, разбирается человек или нет.

Дальше моя карьера уже развивалась только в области ИБ. Отделы и департаменты назывались по-разному, делились, объединялись, все время появлялись новые темы, но основное направление деятельности оставалось тем же.

За все это время приходилось ли сталкиваться с предвзятым отношением к тому, что Вы женщина? И особенно тогда, когда Вы стали руководителем?

Я смотрю на этот вопрос с двух сторон: есть общение внутреннее, и есть общение с заказчиками. Если говорить о внешнем взаимодействии, то, думаю, любая женщина в отрасли, так или иначе, сталкивается с предвзятым отношении к себе. Просто кто-то легче с этим справляется, а кто-то тяжелее. Пока я была рядовым специалистом, мне кажется, я этого вообще не замечала. Просто выполняла свои функции, была хорошим техническим специалистом в узкой области, знала, что я делаю, и могла легко это выполнить. Когда у меня появились управленческие функции, и при взаимодействии с заказчиком за моей спиной уже никого не было, вот тогда я почувствовала себя иначе. Представьте, когда в рамках проекта аудита ты приводишь за собой команду и взаимодействуешь с высокопоставленными лицами, которые, вдобавок, существенно старше тебя. И они мужчины, кто-то из них с предубеждениями, кто-то – нет, но потенциально каждый из них готов поддеть тебя и напомнить, что ты женщина и единственное место, где ты вправе безраздельно властвовать – кухня.

Некоторые задачи создавали дополнительные сложности, в частности, аудит, где априори присутствует конфликт интересов с аудируемой стороной. Здесь главный ключ к успеху в борьбе за свое место, за возможность иметь право голоса и принятия решений – не перейти грань и не стать «контрой». Мой технический бэкграунд давал мне фору, и я могла в деталях пояснять на профессиональном уровне, в чем суть выявленной проблемы и почему предлагаемое решение удобнее и выгоднее именно заказчику, а не мне лично или моей компании. И это вызывало уважение. С кем-то из прежних заказчиков мы не только сохранили нормальные отношения, но и со временем стали друзьями.


Анна, получается, что для знаний и получения результата, для бизнеса в целом пол не имеет никакого значения.

Да, именно так. Каждый может быть экспертом в своей области. Я знаю прекрасных технических специалистов, в т.ч. «сетевиков», среди женщин, которые очень недурны собой. Визуально это может восприниматься как пустая «красивая обертка», но ровно до того момента, когда этот специалист начинает выдавать свою экспертизу. К примеру, разбирать «конфиги» Cisco и делать это так, как никто. Тут уже все меняется. Ну и очень важно иметь положительный контакт. Его можно наладить, умея пользоваться преимуществами своего пола. Женщины могут улыбнуться, пошутить легко, дать расслабиться, и тогда складывается уже другая атмосфера, и тебя воспринимают иначе. Если ты открыт, если ты изначально на стороне заказчика, если у тебя нет собственных амбиций, и ты пытаешься понять, переварить и сделать все, чтобы имеющийся у тебя инструмент повернуть в пользу заказчику – заказчик обязательно ответит тебе взаимностью.

Я считаю, что нет чисто женских и мужских дел дома, так же, как и профессий и позиций на работе. Есть качества у человека, которые делают его профессионалом. Но ни мужчина, ни женщина, на мой взгляд, не будут успешными, если они не умеют слушать, понимать, находить пути решения. Надо обладать гибким умом и коммуникативными навыками, чтобы добиться успеха в сфере услуг по ИБ. Женщине просто тяжелее, но не потому что она меньше приспособлена, а потому что в социуме все-таки существуют некоторые стереотипы. Всем девчонкам, которые прошли в моей жизни как подчиненные, я говорила, что, если они хотят двигаться в сфере ИБ, им будет тяжело в этой области. Они должны это понимать и быть к этому готовыми. Мужчина, скорее всего, раньше выйдет один на один к заказчику, потому что заказчик его будет воспринимать всерьез, а ее, молодую женщину, вероятнее всего, нет. Поэтому будет нелегко проявить себя и для этого, вероятно, потребуется больше времени, чем мужчине, но если женщина захочет, то она сможет. В отрасли ИБ нет негласных правил, нет железобетонных стен. Все зависит только от тебя.

Вы как руководитель замечали ли какие-то различия в подходах к работе у мужчин и женщин?

Конечно. Более того, есть не только особые характеристики, свойственные мужчинам или женщинам, но и разные психотипы, и личностные особенности человека, которые тоже нужно учитывать. Женщины более аккуратны, чем мужчины, они могут повторять одну и ту же последовательность действий постоянно, стабильно правильно. Мужчины, не отличающиеся такой педантичностью в исполнении задач, чаще могут посмотреть комплексно на проблему или проект, что, зачастую недоступно слабому полу. Женщины скорее склонны «закапываться», зато они могут делать работу, где важны детали, где требуется сопоставление больших массивов информации. Мужчин и женщин надо использовать в разных качествах в рамках одних и тех же направлений деятельности. Проводить работы по обследованию и анализу, наверное, лучше женщине, а выносить решения – мужчине. Конечно правильная «расстановка сил» в бизнесе имеет огромное значение.

Ваше главное достижение в работе. Что удалось внести в работу компании своего и чем Вы особенно гордитесь?

Очень горжусь тем, что мы, когда-то начав серьезно заниматься аудитом, научились оказывать по-настоящему профессиональные услуги. Мы научились погружаться в технологии и бизнес заказчика, предъявлять высокие требования к качеству своей работы и отвечать за каждое свое решение. Горжусь тем, что удалось сплотить команду, где экспертиза и профессионализм сотрудника определяли меру его влияния в коллективе. Это дает нам возможность расти и развиваться.

И обратный вопрос – совершали ли Вы ошибки в работе? Какие это были ошибки, и как Вы с ними справлялись?

Мне кажется, что свои основные ошибки я допустила не на публичном рынке, а внутри компании. Это частично связано с моими личностными качествами и недостатком житейской мудрости –требовательностью (к себе и, как следствие, к окружающим), категоричностью, излишней прямолинейностью и недостатком гибкости. К сожалению, последствия таких ошибок бывают очень плачевными. Возникновение любой конфликтной ситуации мешает работе, оно разделяет направления, не дает им двигаться к общей цели, начинается дележ одной и той же шкуры. За этими конфликтами вы перестаете видеть себя звеньями одной цепи по достижению общей цели. Как это ни звучит странно, только калифорнийский МВА и временный «выход из игры», связанный с рождением второго ребенка, дали возможность взглянуть на ситуацию со стороны и по-настоящему почувствовать, что компания – это часовой механизм с шестеренками, где нет важного и неважного. Эта связь настолько тесная, что, повернув одну шестеренку, ты проворачиваешь весь механизм. Мне потребовалось время, чтобы понять и осознать это.

Сообщество RISC, в том числе, работает с молодыми специалистами по ИБ, и не только в Санкт-Петербурге. Вы как руководитель с чего бы советовали начать молодому специалисту по ИБ?

Если мы говорим об ИБ, я бы очень рекомендовала изучать всю сферу ИТ, чтобы иметь хороший базовый уровень, фундамент. Теорию можно взять в книгах, практику – на работе. Мне кажется, что будущим специалистам по ИБ очень пригодится практический опыт работы системным или сетевым администратором, хотя бы part-time. Такой опыт даст необходимый бэкграунд. К тому же отрасль очень требовательна к интеграционной составляющей. Средств защиты стало много, они рассматриваются в комплексе, все взаимодействуют между собой и влияют друг на друга. Поэтому если специалист хочет найти себе применение, то ему хотя бы «до половины земной коры» нужно понимать ИТ. Дальше можно и нужно изучать направления ИБ, отдельные технологии. К примеру, брать те же аналитические отчеты Gartner: вот есть такая технология, есть такой функционал, что он дает и какие проблемы закрывает. Я бы также рекомендовала читать отдельных экспертов по ИБ. Но только тех, которые, во-первых, уже утвердились на рынке и заслуженно считаются экспертами, и, во-вторых, дают ссылки на источники, нормативные документы, анализ которых позволит молодым специалистам подкрепить полученные знания, а, может быть, и составить свое собственное мнение по рассматриваемой проблематике.

Спасибо!