Trionfa nel tuo nuovo lavoro nella Cybersecurity fin dal primo giorno
Quindi, sei un Ingegnere della Sicurezza che ha appena ottenuto il lavoro che cercavi da tempo. Congratulazioni! E ora?
Prima di tutto, datti una pacca sulla spalla e festeggia – te lo sei meritato. Cercare lavoro è un lavoro a tempo pieno in sé. Ma una volta arrivato il primo giorno nel nuovo ruolo, vorrai partire alla grande e posizionarti per il successo sia a breve che a lungo termine.
Come si presenta questa situazione per Ingegneri della Sicurezza, Analisti della Sicurezza e ruoli simili? Recentemente abbiamo chiesto a un esperto del settore – Himanshu Anand, Security Analyst presso l’azienda di cybersecurity c/side – di condividere alcune riflessioni su come affrontare l’onboarding in un nuovo team e una nuova organizzazione. Anand ha lavorato come Security Analyst o Security Engineer per gran parte della sua carriera, con esperienze precedenti in aziende come Cloudflare, Symantec e JPMorgan Chase.
Want more from The CTO Club?
Create a free account to finish this piece and join a community of CTOs and engineering leaders sharing real-world frameworks, tools, and insights for designing, deploying, and scaling AI-driven technology.
Have an account? Log In
Un principio chiave da ricordare: imparare gli aspetti tecnici del lavoro è solo una parte della storia.“I primi 90 giorni per gli ingegneri della sicurezza servono a sviluppare una comprensione sia degli elementi tecnici che di quelli umani della nuova organizzazione e del proprio ruolo al suo interno,” racconta Anand. “Ho imparato che, sebbene le competenze tecniche in ambito sicurezza siano ovviamente fondamentali, il successo dipende anche da quanto bene si comprendono i contesti di business sottostanti e da quanto efficacemente – e a volte quanto rapidamente – si riesce a costruire relazioni tra i vari team.”
In questo articolo condividerò idee accessibili e orientate all’azione per iniziare con il piede giusto nei primi 90 giorni di lavoro. Prima, definiamo il ruolo.
Cos’è un Ingegnere della Sicurezza?
Usiamo qui il titolo di Ingegnere della Sicurezza, ma gli stessi consigli potrebbero valere per molti ruoli simili, come Analista della Sicurezza, Cyber Analyst, Cybersecurity Analyst e SOC Analyst, solo per citarne alcuni.
Per sottolineare il concetto, puoi trovare una chiara descrizione del ruolo sul sito di annunci di lavoro Glassdoor – sotto il titolo “Information Security Engineer”:
“Gli ingegneri della sicurezza pianificano, progettano, costruiscono e integrano strumenti e sistemi utilizzati per proteggere le informazioni elettroniche e i dispositivi. Implementano sistemi per raccogliere informazioni su incidenti di sicurezza e relativi risultati. Possono sviluppare metriche o procedure per valutare l’efficacia dei sistemi e delle tattiche in uso, e possono anche essere coinvolti nella creazione di materiali di formazione. Spesso costruiscono anche l’infrastruttura di supporto a questi sistemi e processi.”
In breve, gli ingegneri della sicurezza sono in prima linea nella difesa delle organizzazioni moderne da una vasta gamma di potenziali rischi informatici. Il ruolo è più importante che mai, il che significa anche che può essere ben retribuito. Il sito specializzato Built In stima lo stipendio medio negli Stati Uniti per i Security Engineers in $129,059. Naturalmente, sedi, esperienza e altri fattori possono far variare tale cifra in entrambi i sensi.
Vediamo altri consigli utili.
I Primi 30 Giorni
Una volta archiviata la burocrazia dell’HR, i primi giorni e settimane di lavoro si riducono a imparare. Indipendentemente dalle esperienze precedenti, è una nuova organizzazione con tutto ciò che ne consegue: persone, processi, strumenti, infrastrutture e così via.
Consiglio #1: Concentrati sulle basi e cresci da lì.
“Guardando a quei primi 30 giorni come nuovo assunto, mi concentrerei soprattutto sull’apprendere le basi degli asset critici dell’azienda, degli strumenti chiave e, forse ancor più importante, nel capire come i vari team preferiscono lavorare nella pratica,” dice Anand.
Per quanto riguarda gli aspetti tecnici, non essere timido nel occuparti delle “piccole cose” come mezzo per imparare a conoscere i dettagli della stack tecnologica della nuova azienda e degli asset di cui sei responsabile per la sicurezza. (Questa discussione Reddit sull’onboarding come staff engineer – un ruolo diverso, certo, ma comunque IT – sottolinea anche che essere disposti a partire da qualche mansione umile comunica ai nuovi colleghi che il tuo ego non è troppo grande per entrare dalla porta principale.)
Quest’ultimo punto può sembrare difficile per alcuni. La tua curva di apprendimento dovrebbe includere gli aspetti umani della nuova azienda – ma come affrontarli? Parte di questa conoscenza arriva col tempo, ma ci sono modi per velocizzare il processo. Ecco un esempio specifico dall’esperienza di Anand.
Consiglio #2: Incontra i team non tecnici per capire i loro obiettivi e il loro modo di lavorare.
“Mi assicuro di incontrare i team non legati alla sicurezza per comprenderne i flussi di lavoro,” afferma Anand. “Ho scoperto che sapere su quali strumenti e processi si basano team come vendite o marketing—che sia Dropbox, lavoro da reti pubbliche, ecc.—mi aiuta a pianificare come bilanciare i requisiti di sicurezza con il business e le operazioni.”
Consiglio #3: Preparati a discussioni e confronti su fornitori e strumenti.
Anand osserva inoltre che le discussioni su fornitori, strumenti e migliori pratiche sembrano inevitabilmente verificarsi e ripetersi quando nuove persone – ovvero tu – si uniscono al team. Accoglile con entusiasmo: sono una buona occasione per condividere la tua esperienza e le tue competenze, oltre a conoscere meglio i colleghi e approfondire la realtà aziendale – soprattutto perché i professionisti della sicurezza (e dell’IT in generale) spesso hanno opinioni, ehm, piuttosto accese sull’argomento.
“Mi capita spesso di partecipare a discussioni sui fornitori già nelle prime settimane,” afferma Anand. “La maggior parte degli ingegneri della sicurezza arriva con opinioni forti su strumenti di sicurezza in base alle esperienze precedenti, e condividere questi punti di vista fin da subito può essere prezioso per il team. Ricordati solo di restare aperto a comprendere perché alcune scelte sono state fatte nel tuo nuovo ambiente.”
I primi 60 giorni
Quando saprai abbastanza da non rischiare di mandare in crash i server aziendali o accumulare accidentalmente un’enorme fattura cloud, potrai iniziare a prendere con più sicurezza nuovi incarichi.
In questa fase Anand dà priorità ad attività e progetti – puoi partire da piccole attività e poi aggiungere progetti di media e grande portata – che abbiano un collegamento diretto con gli obiettivi e le priorità strategiche dell’organizzazione.
Consiglio #4: Assumiti la responsabilità di lavori che siano esplicitamente collegati agli obiettivi aziendali.
Questo può includere tutto: dal lavoro minuzioso di affinamento degli avvisi al controllo delle configurazioni fino a individuare potenziali vulnerabilità di sicurezza. Non sottovalutare nulla come “troppo piccolo” – se è importante per l’azienda, è importante anche in questo contesto.
È un’opportunità per accelerare la tua familiarità con l’organizzazione e, allo stesso tempo, allineare ancora meglio il tuo ruolo e il tuo lavoro alla missione più ampia.
“Usa questo periodo per approfondire come il tuo lavoro possa essere in linea con ciò che la tua nuova organizzazione considera più importante,” dice Anand.
I primi 90 giorni
Nella fase finale del classico periodo di inserimento di tre mesi, è il momento di mettere in pratica ciò che hai imparato – non solo nei primi 60 giorni nella nuova organizzazione ma durante tutta la carriera.
Consiglio #5: Sii proattivo nell’applicare le tue competenze ed esperienze.
Come regola generale, le persone non sono entusiaste se un nuovo assunto inizia già dal secondo giorno a dire a tutti che hanno sempre fatto tutto nel modo sbagliato – non è proprio la strategia migliore. Ma questo non significa che tu non debba offrire con sicurezza le tue competenze già da subito: questo è il momento giusto per iniziare a farlo.
“Condividi le tue osservazioni sulla sicurezza, ma fallo accompagnandole con raccomandazioni concrete,” dice Anand. “Il tuo compito è fondamentalmente quello di permettere all’azienda di prosperare in modo sicuro, non solo di applicare regole – c’è una differenza.”
È una buona regola generale: non limitarti a segnalare potenziali problemi o criticità. Offri anche suggerimenti e soluzioni.
Infine, ricorda che i primi 90 giorni sono proprio questo: i primi 90 giorni. È solo l’inizio di quella che si spera sarà una lunga storia di successo.
Consiglio #6: Rimani umile e ricorda che va bene non sapere tutto.
Anand sottolinea che i SOC e il lavoro nella sicurezza in generale sono spesso ambiti ad alta pressione e responsabilità. Non imparerai ogni dettaglio della tua nuova azienda in 90 giorni. Non temere di chiedere aiuto.
“Ho scoperto che è fondamentale stabilire percorsi chiari di escalation e non esitare mai a coinvolgere membri più esperti del team quando qualcosa sembra anomalo,” dice Anand. “Meglio segnalare subito un alert che provare a gestire tutto da soli.”
In sintesi
Consiglio #7: Ricorda che la sicurezza riguarda tanto le persone quanto la tecnologia.
Come consiglio finale, Anand spiega: “Probabilmente, la cosa più importante da ricordare per i neoassunti nel settore della sicurezza è che la tua realtà riguarda tanto le persone quanto i sistemi. Essere disponibili e collaborativi ti porterà molto più lontano delle sole competenze tecniche. Mantieni sempre aperti i canali di comunicazione e ricorda che ogni organizzazione ha il suo ritmo. Il tuo lavoro è migliorare la sicurezza senza interrompere quel flusso.”
Iscriviti alla newsletter di The CTO Club per ricevere le ultime novità dai principali esperti del settore software.
