BiblioteczkaITRozwójWeb Dev

Słowo o rekomendacjach i aferze z podwórka cybersecu

Słowo o rekomendacjach i aferze z podwórka cybersecu

Latem zeszłego roku dostałam do recenzji książkę o podstawach cybersecurity. Nie wiedziałam wtedy, że za rok będę wycofywać się z rekomendacji w dość burzliwych okolicznościach.

Wtedy sama książka mi się spodobała jako coś, co pozwoli laikowi zorientować się, z czym mniej więcej się je cybersecurity. A był to dla mnie palący temat biorąc pod uwagę, że miałam okazję już wtedy brać udział w The Hack Summit czy w szkoleniach od Niebezpiecznika i widziałam swoje braki w wiedzy o cyberbezpieczeństwie, a także swój brak „otrzaskania” czy oswojenia z terminologią. Szukałam czegoś, co pozwoli mi w miarę szybko zorientować się, co musiałabym nadrobić, by iść dalej.

Wciąż jestem w temacie laikiem, ale trochę mniejszym, o czym świadczy zakup książek od Sekuraka: „Wprowadzenie do bezpieczeństwa IT – Tom 1” oraz „Bezpieczeństwo aplikacji webowych”. Grubych knig, na które pewnie nie raz będę „jojczyć”, że za trudne. Jednak po roku mam już na tyle spore rozeznanie w tym, co się dzieje na rynku, że dziś zapewne nie popatrzyłabym aż tak przychylnym okiem i na wspomnianą we wstępie książkę, i na kurs, który również recenzowałam.

Niewiedza nowicjusza

Zanim będę kontynuować moją opowieść, zwrócę uwagę na trzy problemy, na które napotykają nowicjusze w każdej branży. Problem pierwszy to niewiedza co do zakresu wiedzy, która jest potrzebna by pracować w danej dziedzinie. Problem drugi – to brak odpowiedniego nastawienia do nauki. Problem trzeci zaś to nieznajomość specyfiki branży, tematu, dziedziny w której chcemy zacząć działanie.

Problem pierwszy to problem człowieka, który może i ma przed oczami roadmapę danej ścieżki rozwoju, ale zanim na nią wejdzie to nie ma absolutnie żadnego pojęcia, jak obszerne są zagadnienia, które chce opanować. Nawet gdy zabierze się za naukę, to brak kontekstu dla nauki, nieznajomość słownictwa czy brak życzliwego mentora, którego można podpytać o mniej zrozumiałe zagadnienia potrafią mocno zatrzymywać w nauce. Pomocne może być odpowiednie nastawienie do nauki, czyli takie, które pomaga konsekwentnie i systematycznie zdobywać nową wiedzę, i uzupełniać te działania o komunikację z kimś, kto wie od nas więcej. Rozwiązanie problemu drugiego niezwykle ułatwia stworzenie naszej osobistej roadmapy i zdobycie wiedzy o tym, czego i jak się uczyć.

Problem trzeci uzupełnia obraz udręki nowicjusza i jest powiązany z pozostałymi o tyle, że znajomość specyfiki branży pozwala na dobranie lepszych środków do nauki i zagadnień, które powinniśmy opanować na pierwszym miejscu. Przykładowo w psychologii są takie zagadnienia, których lepsze poznanie wymaga studiowania literatury w języku francuskim czy niemieckim, o angielskim nie wspominając – jeśli chce się być na bieżąco z rozwojem nauki. Przy innych wystarczy rodzima literatura i przetłumaczone książki czy podręczniki.

Moje obserwacje związane ze światem cybersecurity są następujące: po pierwsze, aby wejść do do branży trzeba mieć sporą wiedzę z różnych obszarów związanych z szeroko pojętymi podstawami informatyki. Dwa – aby rozwijać się w branży potrzebna jest przynajmniej przyzwoita znajomość języka angielskiego. Są oczywiście różne źródła polskojęzyczne, ale w moich rozmowach z „bezpiecznikami” na pierwszy ogień w ramach polecenia idą źródła anglojęzyczne typu Try Hack Me.

Tak więc wygląda zazwyczaj nowicjusz na scenie – wie, gdzie mniej więcej chce być, ale nie ma ani mapy, ani przewodnika, a i nie zawsze ma dobrze spakowany plecak na drogę.

Pułapki na drodze do wiedzy

Nasz nowicjusz może być człowiekiem, który od zawsze wiedział, co chce robić i wręcz wyssał cybersecurity z mlekiem matki. Może jednak być osobą, która – tak jak ja – potrzebuje jakiegoś wycinka wiedzy, albo po prostu chce zmienić branżę. Zaczyna od zera, wiedząc tylko, że za rok, dwa trzy chce być życiowo w innym miejscu niż teraz. Bywa, że nowicjusz ma trochę nóż na gardle – z jakichś przyczyn szuka czegoś – książki, kursu – co szybko pomoże mu podnieść kwalifikacje. Albo – zachęcony reklamami – sięga po konkretne rozwiązanie.

Tu ujawnia się pierwsza psychologiczna pułapka. W fast-foodowym świecie zanika świadomość tego, że na wyniki trzeba ciężko zapracować, poprzez zdobywanie wiedzy, doszkalanie się, słowem – wejście na drogę systematycznego rozwoju. Nawet jeśli mamy taką świadomość, to życiowe wydarzenia potrafią nas na tyle „dociążyć”, że szukamy rozwiązania „na szybko”, byle ograniczyć sobie dodatkowego trudu. Im jest ono prostsze, tym lepsze. Im więcej obiecuje, tym czasem chętniej jesteśmy w stanie uwierzyć, że to właśnie to rozwiązanie pomoże nam w rozwoju.

Dlatego też, wybierając kurs, nie czytam już opinii innych kursantów. Patrzę bardziej na plan kursu, na pozycję człowieka w danym środowisku, na to co i jak publikuje, czy jego przekaz jest spójny, czasem podpytuję człowieka na konferencji, gdy mam możliwość… Świadoma tego, jak bardzo dużo mówi się o kreowaniu wizerunku stosuję dostępne mi sposoby, by powiedzieć „sprawdzam”.

Nawet, jeśli nie mam możliwości aż tak pogłębionej analizy stawiam sobie jedno, niezwykle ważne pytanie – do czego jest mi potrzebne do narzędzie, po które teraz sięgam? I daję sobie dzień, dwa, tydzień na refleksję. Jeśli po tym czasie wciąż chcę kupić kurs to jest spora szansa, że z niego skorzystam. W ten sposób próbuję, choć częściowo, ominąć pułapki marketingowe.

To jednak nie zawsze jest możliwe. Nie zawsze mamy możliwość ocenić, czy dane źródło jest dobre, czy kurs jest kompletny, a wreszcie – czy jego przerobienie przyniesie spodziewane korzyści.

To wszystko, o czym napisałam do tej pory, tworzy przestrzeń do niezłego poobijania się – zachwytu nad czymś, co wcale nie jest tak wspaniałe gdy patrzy się z perspektywy zdobytego doświadczenia; wydania pieniędzy na coś, co nie jest ich warte, spędzenia czasu nad czymś, co nie da spodziewanych efektów. Takie rozpoznanie bojem nie zawsze jest przyjemne, jednak po czasie (zazwyczaj) pozwala nieco innym okiem spojrzeć na rzeczywistość, nie tylko w danej branży.

Dziura w cyber i trwające ekskrementornado

I tu wracamy do historii, którą zaczęłam snuć. Historii o biznesie, który stara się przybliżać cyber szarym żuczkom takim, jak ja. Obecna afera w środowisku cybersecurity ma sporo innych aspektów, o których pisać nie będę – chętnych do pogłębiającej lektury zapraszam na Discord grupy 1753. Dość powiedzieć, że sytuacja eskalowała do poziomu, w którym obie strony – i sprzedawca, i klienci – sięgają po pomoc prawników, a atmosfera od kilku tygodni gęstnieje.

I to gęstnieje na tyle, że zaczęłam dostawać pytania o to, jak się zapatruję na temat, skoro wystawiłam taką a nie inną opinię o konkretnym kursie i konkretnej książce od konkretnego człowieka.

Moja lektura dedykowanego sprawie czatu doprowadziła mnie do licznych wniosków, z których zaprezentuję kilka.

***

Pierwszy z nich – wchodząc w jakąś branżę łatwo o nadmierny entuzjazm, w ocenie dostępnych kursów czy książek włącznie. Dziś przerobiony kurs i przeczytaną książkę pewnego znanego autora pewnie oceniłabym inaczej, mając większą wiedzę na temat środowiska cyber i możliwości zdobywania wiedzy, a także o tym, kto w jaki sposób tę wiedzę przekazuje.

Kolejny to wniosek, że brakuje czegoś na wzór bootcamu z cybersecurity dla osób takich jak ja, które z IT jeszcze jakiś czas temu miały niewiele do czynienia i szukają czegoś, co przybliży im zagadnienia cyber. Pewną pomocą dla mnie są nagrania i kursy od Kacpra Szurka – swego czasu po zapisie na swój newsletter dawał on dostęp do świetnego webinaru opisującego różne obszary cyberbezpieczeństwa, co pozwoliło mi zdefiniować, jakie zagadnienia cyber są mi potrzebne w pracy programisty. Pewną pomocą będzie pewnie inicjatywa Hackuj Dobroczynnie, a przede wszystkim – dobre wypozycjonowanie treści, które pokażą żuczkowi mojego pokroju wystarczająco wcześnie z czym się je cyber w sposób dostępny i przyjazny osobom nietechnicznym.

Następnie – wniosek, by mieć z tyłu głowy mniej emocji pt. „sam autor ze mną rozmawia” a więcej rozwagi w pisaniu o czyimś produkcie. Lekcję – mam nadzieję – odrobiłam.

Nie zabrakło też refleksji o dawaniu kredytu zaufania, dobrych ocen (by wspierać czyjeś działania), ale też o tym, że nauka czegokolwiek wymaga czasu, wysiłku, zasobów i czasem wsparcia mentora. A przede wszystkim – wejścia w odpowiednie środowisko które podpowie, w co inwestować czas, co może być pomocne, a czego należy unikać.

Mogę więc powiedzieć, że się nie zawiodłam ani na kursach Niebezpiecznika, ani na Akademii Sekuraka, na kursach od Andrzeja Dyjaka, Kacpra Szurka czy Adama Goli, na kilku społecznościach (w tym 1753 czy Bezpiecznego Kodu). Te miejsca mam sprawdzone, przetestowane, na tyle, na ile moja programistyczna wiedza pozwala mi ocenić jakość odpowiedzi z zagadnień cyber. Mam jeszcze na oku kilka innych osób, z których wiedzy czerpię w tematach związanych z WordPressem. Z ciekawością w temacie cyber obserwuję konferencyjnie niektóre ścieżki z Warszawskich Dni Informatyki, całościowo zaś The Hack Summit czy Confidence, a niedługo przetestuję to, co ma do zaoferowania konferencja BSides w Warszawie.

Jakby zapytać cyberwyjadaczy to okazałoby się, że lista jest zdecydowanie dłuższa. Na ten moment moja lista wygląda tak, jak powyżej. A co najważniejsze – przy żadnej z tych inicjatyw nie pojawiło się, w czasie w którym byłam z nimi związana w jakiś sposób, tyle kontrowersji jak w przypadku produktów, które recenzowałam.

***

Dlatego też, do czasu wyjaśnienia sprawy, wycofałam recenzje, popełniłam ten wpis, podzieliłam się pewnymi refleksjami. Nie staję po żadnej stronie, lecz mówię, że moje doświadczenie podpowiada inne środki do zdobycia wiedzy bez konieczności wchodzenia w środek ekskrementornado, które wciąż krąży po social mediach i komunikatorach.

Mając obecnie taką wiedzę, jaką mam, pewnie bym już tak bezkrytycznie nie poleciła ani książki, ani kursu. To jednak nie znaczy, że nie wyciągnęłam z nich pewnej ważnej dla mnie wiedzy czy wskazówek, jak zmienić moje nastawienie do nauki cybersecurity. Natomiast na ten moment mam na tyle duże rozpoznanie, że mogę podzielić się refleksją o zupełnie innych kursach czy lekturach, które mogą wnieść więcej w porównywalnym czasie spędzonym na ich przerabianiu, a jednocześnie nie obarczonych aż takimi kontrowersjami.

Udostępnij

O autorze

Wysoko wrażliwa web developer w mniej-wrażliwym świecie.