Вначале Уиндоу Снайдер работала директором по архитектуре безопасности в @Stake. Это была крупная компания, занимающаяся ИБ и поиском уязвимостей, которая создала или приобрела больше, чем множество компьютерных суперзвезд. Компания была приобретена Symantec в 2004 году. Снайдер начала работать в Microsoft в 2002 году и была старшим стратегом в области безопасности в группе безопасности и коммуникаций. Она внесла свой вклад в жизненный цикл разработки SDL и создала новую методологию программного обеспечения для моделирования угроз. Она также была лидером безопасности в Microsoft Windows Server 2003 и Windows XP Service Pack 2, которая была первой серьезной попыткой Microsoft создать по умолчанию безопасную операционную систему. Она координировала работу консалтинговых служб безопасности и отвечала за стратегию работы сообщества в сфере ИБ.
Она присоединилась к Mozilla в 2006 году и носила ироничный титул «начальник Службы безопасности того или другого» вместо более формального «главного сотрудника Службы безопасности (CSO)». Помню, многие из нас завидовали этому титулу. В конце концов, она стала работать старшим менеджером по продуктам безопасности в Apple, разрабатывая стратегию безопасности и конфиденциальности и функции для iOS и OS X. Сегодня она работает на Fastly (https://www.fastly.com/), сеть доставки контента, которая быстро расширяется на другие сферы, такие как информационная безопасность. Отец Снайдер – американец, а мать родом из Кении. Снайдер стала соавтором книги Threat Modeling (https://www.amazon.com/Threat-Modeling-Microsoft-Professional-Swiderski/dp/0735619913/) совместно с Франком Суидерски. Она единственный человек, которого я знаю лично, кто работал в трех из четырех крупнейших компаниях, предоставляющих очень популярные браузеры и программное обеспечение. Она, так сказать, стояла у истоков.
Я был обязан начать наше интервью с вопроса об ее имени. Она рассказала: «Я могу поделиться с вами историей о том, как работала в Microsoft. Тогда, по умолчанию, адреса электронной почты большинства людей начинались с их имени, за которым следовал последний инициал. Но большая группа рассылки, группа продуктов Windows, уже имела слово Windows в адресной строке (что было бы в адресе моей электронной почты, если бы я оставила ее по умолчанию). На протяжении долгих лет многие пытались отправить мне что-то личное или конфиденциальное… Возможно, речь шла о вредоносном ПО или новом отчете об уязвимости. Но вместо того чтобы отправить его мне, они случайно посылали его в одну из наших крупнейших групп рассылки по электронной почты».
Потом я спросил ее, как она попала в сферу ИБ. Она сказала: «Я изучала информатику и заинтересовалась криптографией и криптоанализом. Я увлеклась идеей секретов, связанных сложностью математической задачи. Это было примерно в то же время, когда я впервые получила доступ к многопользовательским операционным системам. Я начала думать о границах безопасности между различными пользователями и процессами, а также о том, что препятствует им вмешиваться в чужую программу или ОС. Я обнаружила, что тогда в лучшем случае были полупроницаемые барьеры. Это было весело, как разбирать головоломку или машину и выяснять, как она работает. Захватывающая работа!»
Я знал, что Уиндоу участвовала в разработке жизненного цикла безопасности (SDL) в Microsoft. Меня интересовало, как это произошло и что именно она сделала. Она ответила: «Когда я впервые попала в Microsoft, эта тема не была хорошо продумана. Безопасностью занимались всего одиннадцать сотрудников. Я была двенадцатой, сосредоточившейся на безопасности Windows. И тогда мы в основном реагировали на те уязвимости, которые находили другие люди. Не было сильной внутренней программы. Затем появились SQL Slammer и Blaster. Я помогала в создании первых основных методологий моделирования угроз [и написала в соавторстве книгу на эту тему]. С моей помощью началось активное обнаружение ошибок и общение с пользователями. Когда я впервые попала в Microsoft, если кто-то извне обнаруживал ошибку безопасности, компания называла их хакерами. СМИ в то время смешивали хакеров всех мастей с преступниками. Но люди, сообщающие о проблемах в Microsoft, даже публично писавшие о них, не были преступниками. Я помогала продвигать информационные программы, чтобы сделать этих людей нашими союзниками, а не противниками. Одним из таких улучшений было назвать их исследователями безопасности, а не хакерами, чтобы сосредоточиться на том, что их работа оказалось ценным вкладом. Я также помогла создать программу, спонсировавшую множество небольших внешних хакерских конференций, таких как Hack-in-the-Box. Мы смогли в итоге изменить представление о том, что Microsoft не заботится о безопасности или не знает о ней, и стали вместе с этими исследователями командой.
Когда я попала в Microsoft, не было никого, кто занимался бы безопасностью продуктов Windows, поэтому я вмешалась. Я представляла безопасность на “военных собраниях” Windows, где общались спонсоры и заинтересованные стороны. Было огромное количество ошибок, которые мы решали в своего рода игровом стиле, и это было неэффективно. В рамках SDL мы начали рассматривать более глобальные причины ошибок, пытаясь найти более широкие категории, которые, если бы были исправлены, смягчили бы сразу много ошибок. Мы взяли уроки у сторонних хакеров и начали применять их в других продуктах, например в Microsoft Office».
Я попросил ее назвать еще один ценный урок, который она извлекла из этого опыта. Она поделилась: «За сегодняшним вредоносным ПО стоит целая финансовая система. Есть одна команда людей, обнаруживающая уязвимости, и другая команда, которая превращает эту уязвимость в эксплойт или набор эксплойтов. Таким образом, есть люди, которые могут взломать множество сайтов, и те, кто может это исправить. Если вы можете сделать ключевые точки системы более трудными или дорогими для взлома, то и всю цепочку сложнее сломать. Microsoft и Windows недостаточно рано это поняли. Когда я присоединилась, они уже испытывали натиск вредоносных программ, червей и вирусов. Позже я начала работать на других платформах, включая iOS и OS X в Apple, и использовала свой опыт, чтобы успешно поставить препятствия, которые делали вредоносную систему менее действенной и прибыльной. Если вы можете подорвать экономику вредоносных программ, то можете выиграть и таким образом тоже».
Снайдер работала в некоторых из самых известных крупных компаний. Интересно, что общего она видит в корпорациях, которые так сильно отличаются? «Во всех компаниях вы должны заставить безопасность работать на конечных пользователей. Функции безопасности, которые стоят слишком дорого или сильно прерывают обычный рабочий процесс, не будут работать. Нам нужно реализовать большую и лучшую безопасность, но не мешать пользователю. Кроме того, не собирайте данные, которые вам не нужны. Если вы занимаетесь сбором, то должны защитить данные и предоставить пользователям контроль над ними. Самая большая проблема в сфере ИБ – это успешное выполнение того, что мы уже умеем делать».
Без сомнений, ее позицию можно считать экспертной.
Информация об Уиндоу Снайдер
Более подробную информацию об Уиндоу Снайдер смотрите по ссылкам:
• профиль Уиндоу Снайдер на LinkedIn: https://www.linkedin.com/in/window;
• Уиндоу Снайдер в Twitter: https://twitter.com/window.
47. Карьера писателя
Я дважды завалил английский в школе. В аспирантуре, во время стажировки в больнице, мой первый корпоративный отчет был настолько плох, что босс вслух разругал всю систему образования нашей страны. Когда я время от времени перечитываю его, чтобы напомнить себе, с чего начал, мне физически больно. Почти 30 лет спустя я стал автором или соавтором девяти книг и почти 1000 статей в национальных журналах по информационной безопасности, а также веду колонку, посвященную ИБ, в журнале InfoWorld вот уже 12 лет. Все благодаря моему брату (первому и лучшему настоящему писателю в семье), моей настойчивости и множеству хороших редакторов.
Хотя мне все еще непросто писать электронные письма без опечаток, мой навык письма улучшился настолько, что я очень хорошо зарабатываю этим на жизнь. Я часто выполняю письменные задания, за которые могу заработать до 500–1000 долларов в час, и получаю за год больше, чем средний доход американской семьи, – и это только подработка. Несмотря на работу консультантом в сфере ИБ, я писал об информационной безопасности еще до этого. Это неплохой дополнительный доход, который я могу получить, записывая запасные циклы дома, во время полета, в гостиничных номерах. Некоторые люди смотрят телевизор ночью, а я обычно пишу, когда смотрю телевизор. Это хобби финансировало моей семье несколько грандиозных отпусков и позволяет мне тратить слишком много денег на другие любимые занятия. И я не один такой.
Сотни людей по всему миру зарабатывают на жизнь благодаря тому, что пишут об информационной безопасности. Даже находясь вне дома, с хорошим подключением к Интернету, они обеспечивают достойную жизнь для себя и своих семей. Некоторые работают на известных медиагигантов, а другие – фрилансеры, продающие статьи и услуги заинтересованным сторонам. Некоторые пишут книги, блоги и статьи. У них есть страсть к информационной безопасности, они не обращают внимания на рекламную шумиху вендора и раскрывают правду читателям более понятным языком.
Куда можно писать об информационной безопасности
Существует много способов написать об ИБ, в том числе описанные ниже.
Блоги
Большинство авторов книг по информационной безопасности ведут один или несколько блогов. По сути, это современная версия журнальных статей. Публикации в блогах могут быть платными или бесплатными, а также могут иметь или не иметь редактора, который поможет проверить и исправить содержимое перед публикацией. Личные блоги и посты очень легко начать, хотя самая большая проблема – это привлечение читателей и поддержание работы в долгосрочной перспективе. Подавляющее большинство блогов существует всего около года, если авторы либо не получают желаемой читательской аудитории, либо сказали все, что хотели. Ведение блога, как и написание журнальных статей, – тяжелая работа.
Если вы хотите вести блог и не знаете, с чего начать, ознакомьтесь с одним из многих популярных сайтов, из которых WordPress (http://www.wordpress.com) – неоспоримый лидер на данный момент. WordPress, созданный и поддерживаемый компанией Automattic, управляет 27 % всех интернет-сайтов и примерно 70 % всех сайтов блогов.
Социальные сети
Большинство людей, пишущих об информационной безопасности, также пишут посты в Twitter. У них могут быть профессиональные (и личные) сайты на LinkedIn или Google. Многие авторы пишут в сетях в дополнение к другим профессиональным местам публикации.
Статьи
Большинство профессиональных авторов по информационной безопасности пишут статьи, что обычно означает написание контента в диапазоне от нескольких сотен до многих тысяч слов. Средняя длина столбца составляет около 1000 слов. Статьи могут быть опубликованы в печатных журналах, в интернет-изданиях или на сайте блога. Темы статей могут быть в категориях новостей, мнений, учебных пособий или технических обзоров продуктов.
Если вам нравится писать и вам повезет, вы можете даже получить еженедельную или ежемесячную колонку. Хотя, прежде чем взять на себя регулярное письменное задание, убедитесь, что готовы к этому. Помню, как я был рад получить свою еженедельную колонку в журнале InfoWorld еще в августе 2005 года. Я не мог дождаться, чтобы рассказать миру все, что думал и чем был увлечен. Оказывается, поведать миру обо всем, чем вы действительно интересуетесь, можно примерно в 12 статьях. После этого придется читать о новых открытиях, явлениях и тенденциях перед написанием очередной статьи. Иногда я просыпаюсь в 4 утра и пишу три колонки, но порой изо всех сил пытаюсь придумать новую интересную тему или точку зрения, пока не наступит крайний срок. Большинство рутинных писателей сгорают, поэтому, если вы хотите сделать карьеру, придумайте творческую рутину, которая будет интересна вам и вашему работодателю.
Книги
Книги – это замечательный способ поделиться тем, что вы знаете, и даже подтвердить свои навыки писателя. Я до сих пор помню ту невероятную радость, когда получил первый контракт на книгу (после многих лет попыток и более 100 писем с отказом), и чувства, которые испытывал, держа ее в руках. Если вы стали автором книги, велик шанс, что в некрологе вас так и назовут. Этого у вас никто не отнимет.
Итак, если вы не найдете способ интересно писать на нестандартную тему, то вряд ли сделаете хорошую писательскую карьеру. Подавляющее большинство книг по информационной безопасности не приносят своим авторам больше 10 000 долларов. Так было не всегда, но все изменилось с тех пор, как поисковые интернет-системы стали популярными, и люди могут найти необходимую информацию бесплатно. Однако есть исключения. Я знаю некоторых авторов компьютерных книг, которые заработали сотни тысяч долларов и смогли купить яхты и пляжные домики. Просто не начинайте писать, если ваша цель – разбогатеть. Сделайте это, потому что у вас есть интересная идея, которая понравится десяткам тысяч читателей. Убедитесь, что действительно можете помочь сделать их жизнь и карьеру проще и приятнее.
Однако, хотя написание компьютерной книги может и не сделать среднестатистического автора богатым, это почти всегда приводит к более высокооплачиваемой работе. Если вы пишете книги, у вас такой же авторитет, как у доктора наук или человека с хорошим сертификатом, если не больше. Среднестатистический автор компьютерной книги зарабатывает гораздо больше, чем те, кто этого не делает. И опять же, всего за несколько часов работы я могу заработать больше, чем другие получают за неделю или две. Неплохо для парня, который дважды завалил английский!
Самиздат или издатель?
Если вы собираетесь написать книгу, вам нужно решить, хотите ли вы самостоятельно опубликовать ее или отнести в издательство, предварительно выбрав его. Для начинающих авторов книг может быть трудно получить контракт на книгу, в котором есть гарантированные и текущие договоренности об оплате. Многие авторы, как в первый раз, так и в других случаях, решают опубликовать книгу самостоятельно отчасти потому, что хотят получить более высокую долю прибыли от каждой проданной книги. Чаще всего авторы решают публиковаться без помощи после того, как их не приняли в издательстве. Это может быть очень трудно.
Если авторы могут гарантированно получить более высокий процент прибыли от каждой самостоятельно опубликованной книги по сравнению с сотрудничеством с издательством, многие читатели зададутся вопросом, почему кто-то вообще решает обратиться в издательство. На самом деле по многим причинам. Среднестатистический автор тратит на написание книги примерно год – некоторые меньше, некоторые больше. Если вам не посчастливилось делать это на работе, значит, придется жертвовать каждым свободным моментом. В итоге вы пренебрегаете членами семьи, пропускаете веселые вечеринки и вообще застреваете перед компьютером дольше, чем длится ваша профессиональная деятельность в области ИБ. Несмотря на усилия, вы хотите, чтобы книга была хорошей. Книга, выпущенная издательством, с большей вероятностью будет таковой. Самостоятельно изданные книги редко продаются тиражом более нескольких десятков экземпляров (особенно в области ИБ) и обычно выглядят не так профессионально, как книги, выпущенные издательствами.
Работа с издательством сделает вашу книгу лучше. Кроме того, издательство возьмет на себя «неписаные» части книги, которые могут быть существенными. Прежде чем писать эту книгу, я задавался вопросом, должен ли самостоятельно опубликовать ее, но потом понял, что лучше написать главы и передать их в издательство, где за меня займутся редактированием, техническим редактированием, профессиональной графикой, маркетингом и продажей, а сэкономленное на этом время провести с семьей или за любимым хобби. Например, вместо того, чтобы создавать переднюю и заднюю обложки книг с нуля, редактор отправил несколько макетов, сделанных более профессионально и творчески, чем если бы этим занимался я. Я просто выбрал те, которые мне понравились. Это заняло буквально одну минуту вместо нескольких дней или недель работы, и вышло куда лучше. Кроме того, профессиональные редакторы, которые будут работать над вашей книгой в издательстве, вероятно, профессиональнее, чем любимый человек или друг, редактирующий вашу книгу безвозмездно.
Я думаю, что сотрудничество с профессиональным издательством сэкономит вам половину сил и имеет гораздо больше шансов сделать лучший продукт с большим количеством продаж, чем самиздат. С учетом сказанного, если вы преданный профессионал и не возражаете против дополнительных усилий, самиздат – хорошая альтернатива для тех, кто готов делать дополнительную работу. К сожалению, в книгах, выпущенным самостоятельно, зачастую присутствует множество опечаток. Это не значит, что в книгах издательства ошибок нет, но их определенно гораздо меньше.
Если вы заинтересованы в публикации книги профессиональным издательством, перейдите на их веб-сайт и найдите форму предложения книги. Не торопитесь при ее заполнении. Обычно это занимает несколько дней. Отправьте ее на свой адрес электронной почты. Если вы впервые пишете книгу и хотите, чтобы вас приняли быстрее, свяжитесь с книжным агентом, который специализируется на типах книг, которые вы хотите написать. Они помогут усовершенствовать вашу идею и предложение книги, и, скажу по собственному опыту, это поможет получению контракта. Я не всегда прибегал к услугам книжного агента, но когда обращался к ним (я использую StudioB [http://www.studiob.com/]), это стоило небольшого процента, который они берут из роялти.
Техническая редактура
Задолго до того, как стать автором опубликованной книги, я был техническим редактором, рецензирующим книги, направленные на публикацию. Я и сегодня продолжаю этим заниматься. Многие авторы книг по информационной безопасности с этого начинают. Это отличный шанс узнать, как работает процесс, что ожидается от авторов и как избежать распространенных ошибок, которые делают новички.
Новостные рассылки
Существуют десятки ежедневных, еженедельных и ежемесячных новостных рассылок по информационной безопасности, для которых вы можете писать. С популярными изданиями может быть трудно начать сотрудничать. Многие не принимают новичков. Однако другие, менее популярные, издания новостных рассылок ищут новых авторов на условиях бесплатного сотрудничества. Новостные информационные рассылки могут стать отличным местом для создания письменных работ и написания резюме, чтобы помочь вам получить другие более высокооплачиваемые контракты.
Подробные отчеты
По моему опыту, подробные отчеты, спонсируемые вендорами, часто могут принести большую сумму денег. Вендоры предлагают хороший гонорар за 5–10 страниц. Некоторые хорошо оплачиваемые отчеты я могу написать за несколько часов, другие требуют больше исследований и интервью и в итоге занимают много недель. Но в целом вы можете заработать те же деньги за несколько отчетов с гораздо меньшими усилиями, чем требует написание книги. Помните об этичной стороне: если вы когда-либо получали оплату от вендора за отчеты, вы всегда должны раскрывать это в любом другом проекте с участием того же вендора или его конкурентов.
Технические обзоры
Самое сложное, что я когда-либо делал, – это технические обзоры продуктов. Вы просматриваете один или несколько продуктов, чтобы удалить постоянно присутствующую рекламу вендора и сообщить читателям о возможностях реального продукта. Обзоры занимают дни или недели и часто включают в себя тестовые лабораторные моделирования и интервью с реальными клиентами. За эти усилия обычно платят недостаточно много. Хороший технический обзор может быть гораздо более полезным и помочь большему количеству людей. Я стараюсь делать несколько обзоров каждый год, когда вижу перспективный продукт или чрезмерно раздутые проекты, которые интересуют читателей.
Конференции
Как только вы начнете писать для того, чтобы заработать на жизнь, вы можете начать участвовать в конференциях. Мне потребовалось два десятилетия, чтобы преодолеть страх сцены, но я могу серьезно сказать, что выступление на конференциях – одна из самых плодотворных работ, которые я когда-либо делал. Вы не только получите возможность поделиться своими идеями, но и встретите кучу единомышленников, получите дополнительные предложения о работе и узнаете что-нибудь новое. Конечно, выступление требует дополнительных навыков, таких как умение создавать хорошие слайд-шоу и презентации. Многие конференции проводят предварительные семинары, чтобы помочь как новым, так и опытным докладчикам улучшить свои презентационные и устные навыки.