Как я стала продактом, не входя в айти
Это конечно кликбейтный заголовок. Инфобез, в котором я всегда была, считается за ИТ, меня даже могут попросить настроить принтер, роутер и дефейснуть сайт. Но важно отметить, что ИБ совсем не про разработку. Здесь другие процессы, другой подход к решению задач. Я очень смутно представляла, что такое скрам, agile и зачем на самом деле нужна Jira. Пентестила себе и все. 20-минутные конфы по утрам? Пфф, зачем? Я так-то пентестер.
Продактом затруднительно стать сразу после универа. Нужно понимать бизнес процессы, запросы заказчиков и клиентов, как работать с командой, что говорить стейкхолдерам. Да и здравый смысл для решения рабочих задач приходит скорее с опытом, чем с красным дипломом. Я это к тому, что бекграунд роляет.
Одна из задач продакта - «переводить» идеи с бизнесового на разработческий. Чтобы переработать идеи нужно понимать, откуда они взялись и зачем могут понадобиться на самом деле. В итоге задача по переработке идей зависит от бекграунда и жизненного опыта, которые у меня были весьма специфичные. Ниже установки из пентестерской жизни, которые повлияли на начало моего продактовского пути.
Если это есть в интернете, то я найду
Умение гуглить и находить ответы нужно всем специалистам с долей аналитики в работе. Следующий уровень - уметь гуглить на английском. Необходимый мне уровень при проведении тестирований на проникновение - уметь искать информацию на китайских форумах или осинтить «кличку домашнего животного» по имени пользователя.
Разница между пентестером и продактом в том, что пентестер ищет конкретную сущность и проблемы имеют фиксированное количество правильных решения, а продакт создает сущность, и 100% правильных решений проблем нет.
Нужно проэксплуатировать уязвимость - значит нужно найти работающий эксплойт (или написать самому). Нужно решить продактовскую задачу? Ну вот дружочек тебе пачка самых разных подходов и нет того самого «правильного ответа». Хочешь научиться приоритизировать - вот 150 моделей. Как оценивать параметры - решать тебе. Например, в модели RICE есть параметр «Уверенность». «Уверенность» - это абстракция, а не факт. И в продуктовых подходах достаточно таких абстракций, и подходов, опирающихся на субъективные оценки.
Если что-то не работает, то проблема во мне
При проведении пентестов у меня многое не получалось. Неправильно написала конфиг-файл, неверно поставила точку, нагуглила решение для младшей версии, накосячила с переводом, не так заполнила поле. Мой факап - мне и фиксить. Моя задача - мне и решать. Раньше я перетаскивала свой пентестерский опыт на пользователей своего продукта. «И чего он жалуется? Не может настроить фильтры правильно? Пусть старается лучше, есть ведь гайд!». К счастью я так же быстро нашла в себе толерантность к человеческим проблемам. Если у моего пользователя возникли трудности, то я придумаю как упростить взаимодействие, а не заставлю его искать обход.
Если что-то пошло не так, то я здесь главный злодей
Упал сайт? Виноваты пентестеры. У топа что-то пошло не так? Виноваты пентестеры. Сервак ушел в ребут? Ну в общем вы поняли. Да, бывает и проблема на стороне технического эксперта, но не в 100% случаев. Для некоторых заказчиков я долго была в роли «главного злодея». И занимала оборонительную позицию. Приходилось доказывать, что эксплуатация состоялась успешно, показывать логи, хранить архивы скриншотов и так далее. В общем характер закалился. На каждое «но», «ващето» и «возражаю» был пак простых и вразумительных ответов.
Я больше не главный злодей, а опыт оборонительных диалогов остался. Над тем, чтобы избавиться от ощущения недовольства со стороны оппонента в дискуссиях работаю. Терапия проходит успешно
Эмпатия - это что-то на софт скиловом
Я специализировалась на социалке. Фишинговые письма, звонки от службы безопасности, «пропустите на территорию, я забыла пропуск» - это моя тема. Хорошое фишинговое письмо - хорошее рекламное письмо. Просто ведет не к покупке, а к вводу данных. Я была уверена, что раз могу соврать кому угодно и мне ок, значит и эмпатии у меня нет.
В то же время проявлять эмпатию, понимать чувства и эмоции клиентов, команды и стейкхолдеров - один из ключевых навыков хорошего продакта, которые не воспитываются книгами и вебинарами.
Но если разобраться, то навык «понимание» используется в атаках методом соц. инженерии. Так что я несколько лет качала эмпатию, а не убивала ее. И такой опыт вряд ли можно получить будучи разработчиком.
Пентесты конечны, продукты нет
Пентест любой сущности конечен. Есть множество подходов и методик, например, поискать уязвимости из Owasp TOP 10, или проанализировать код по чек-листу. В некоторых командах есть собственные разработанные методики. Пентестер движется от «Ничего не проанализировано», до «полностью изучил сущности и нашел вот такие недостатки». Развитие продукта никогда не завершается. Продукт масштабируется, добавляются новые фичи, расширяется ЦА. Даже MVP живой, постоянно трансформируется и уточняется. Что значит «полностью готовый» продукт никто не знает. Пентест ограничен сущностью, работа с продуктом это почти неограниченное «делай, что считаешь нужным». К этому я не адаптировалась до конца и иногда хочется увидеть «отчет с подписью заказчика». Понять, что путь завершен.
Ну и напоследок, Long story short: продактом я стала случайно. Про эту случайность пишу в канале
Текст вкратце: "меня юзают как собаки ногу хозяина но это все супер я продакт подпишитесь на кОнал"
Если что, я продакт.. но меня юзают. Подпишитесь