Зачем инфобезопаснику знать OSI

[xatkaru]

Я как-то выкладывала под замком серию заметок, сделанных мной за время интервью, когда я, будучи начальником отдела ИБ, набирала себе в команду технических специалистов. И многие меня критиковали за то, что я прошу кандидатов назвать уровни OSI и отклоняю тех, которые не могут ответить на этот вопрос. Мол, cybersecurity!=network

Comments

[inetman]

Спецу по ИБ не знать OSI грешно, как мне кажется. Я вот даже от девопсов этого требую...

[jackindeed]

ты иногда такое пишешь что я в шоке. как можно не знать OSI безопаснику (а вообще то как бы начиная с более менее серьезного программера это нужно понимать

[xatkaru]

Да ты крут, что хоть до собеседования дошел.
Я, в свое время, три раза резюме подавала в Яндекс (как безопасник и как админ), мне даже не ответили.

Интересно ещё и то, что у меня был знакомый (лично) человек, который там работал и почему-то упорно отказывался меня рекомендовать. Объяснял тем, что в компаниях "уровня Яндекса" нужно всего добиваться самостоятельно. Ну фиг знает... В компаниях уровня Майкрософта и Гугла рекомендации от действующих сотрудников, наоборот, ожидаются и приветствуются :)

[jackindeed]

у меня к Яндексу в итоге сформировалась стойкая антипатия если честно.

они были что то вроде "наш гугол" но... когда я по работе решал с ними вопросы из серии они обещали дать документ подтверждающий что мы можем использовать их Апи в коммерческом продукте - на словах они обещали а потом сотрудники переставали отвечать на письма и звонки - я замонался месяцами их пинговать и решил вопрос только через личные контакты в яндексе уже.

по подавляющему большинству вопросов при взаимодействии с яндексом (вспоминается взамодействие с их почтовой поддержкой в стиле - у нас ИИ тут работает и мы не можем ничего настраивать) - постоянно негатив, увы.

я честно говоря рад что не прошел туда.

про Гугл сейчас тоже пишут что стала большая компания - и в ней большинство просто винтики. Сейчас типа время стартапов - и вот я как раз получается в нужном месте в нужное время (ну я надеюсь)

[xatkaru]

Кто хочет быть винтиком в большой корпорации - тот им становится. Для остальных есть куча сайд-проектов, которые спонсируются корпорациями. Впрочем, это не касается IBM. В айбиэме, кажется, ничего не менялось с 1970х :)

А про стартапы. В январе написал мне один чувак из Квебека. Приглашал на должность Cloud Security Architect в стартап. Но мне не понравилось, что они описание вакансии перевели с французского на английский гуглтранслейтом и опубликовали, не проверив опечатки и явные глюки. А сами при этом пишут, что strive for excellence. Я отказалась.

На прошлой неделе он мне снова написал (почему-то забыл, что мы уже общались). Пишет, что уверен, что позиция Cloud Security Architect будет отличным шагом в моей карьере.

Я попросила пояснить, почему он считает, что для человека в должности Senior Architect переход на позицию "просто Architect" будет хорошим карьерный шагом. Ну разве что денег больше дадут, так с этого и начинать надо. Обиделся, перестал отвечать :-Р

Вот так и ищут они своего архитектора с января...

[donz_ru]

Если речь в принципе про понимание разных сетевых уровней, то да.
А если брать именно OSI... TCP/IP, который вроде как не идеально ложится на OSI, намного полезнее и практичнее. Собственно, даже в вики можно видеть: "эти протоколы основывались на концепциях, не имеющих в современных сетях никакого смысла;"

В абсолютном большинстве проектов вопросы про уровни OSI на вакансии программистов - это вопросы из разряда "что б такого хитрожопого спросить, чтобы умным показаться". Ну как любили про *Reference в яве спрашивать. Или про поколения сборщиков мусора в проекте с десятью пользователями.

У безопасников, полагаю, не так. Но, опять же, сдается мне TCP/IP будет намного полезнее.

[xatkaru]

Скорее, про понимание разных уровней. Так уж сложилось, что OSI до сих пор более раскручена, и если уж люди не могут объяснить, какие там уровни, то про модель TCP/IP они не слышали (точнее, читали, если хвастаются сертификатом CEH/CISSP или, тем более, CCNA, но не обратили внимания и не поняли, в чем смысл).

[donz_ru]

Почему? Наоборот же - TCP/IP везде. А OSI только в книжках и на собеседованиях.

Но мысль понял

[xatkaru]

Не знаю, если честно. Может, всем нравится число 7 больше, чем 5 :)

Даже когда читаешь описание современных облачных сервисов, таких как Cloudflare, то они используют в документации OSI.