En muchos trabajos de contratistas gubernamentales o de defensa, se requiere cierto nivel de autorización de seguridad porque se supone que el trabajo es "secreto". En otras palabras, los empleados no pueden hablar sobre lo que hacen con nadie . Esto dificulta que una persona ajena evalúe la verdadera naturaleza de un lugar de trabajo con requisitos de autorización.
He estado pensando en encontrar trabajo en lugares que requieren autorización de seguridad. Técnicamente, parte del trabajo parece muy interesante, pero me preocupa si dicho trabajo tendrá una seguridad tan onerosa que se vuelva miserable porque no tendré acceso a los recursos que necesito para hacer mi trabajo.
Específicamente, me gustaría saber de otros que han tenido trabajos de seguridad, ¿ qué tan draconiana es la seguridad en cuanto a hacer el trabajo ?
Específicamente:
Por lo que entiendo, pasar por el proceso de autorización de seguridad es muy invasivo, lleva mucho tiempo y es dudoso en cuanto a que realmente se le otorgue la autorización. Sería profundamente decepcionante pasar por todo eso y luego terminar en un miserable lugar "ultrasecreto".
Vamos a empezar desde el principio. Solo para preparar el escenario, con la excepción de un puesto de TA que tuve en la universidad, cada trabajo (trabajo de verano, cooperativa, pasantía, puesto de tiempo completo) que he tenido ha sido en la industria de defensa, ya sea como un empleado civil del gobierno o en un contratista de defensa. Además, solo he solicitado un trabajo fuera del sector de defensa/inteligencia. Planeo pasar toda mi carrera en esta industria.
La noción de que a los empleadores no se les permite hablar sobre lo que hacen es incorrecta. Fui candidato para un puesto en una agencia de inteligencia del Departamento de Defensa que se especializa en inteligencia de señales, la protección de los sistemas de redes y comunicaciones de EE. UU., seguridad de la información y criptografía/criptoanálisis. En el momento de la entrevista, no tenía la autorización adecuada ni siquiera para ingresar a sus instalaciones principales: me entrevistaron fuera del sitio, en un lugar remoto, y no pude ir mucho más allá del vestíbulo y las áreas de entrevista. Sin embargo, pude hacer preguntas sobre el tipo de trabajo que haría: el entorno de la oficina, las herramientas y tecnologías, y los problemas en los que se estaba trabajando (o problemas representativos de los que se estaban trabajando). A menudo, no son los problemas los que se clasifican, sino lossoluciones a esos problemas y las capacidades generadas. Pude aprender lo suficiente sobre lo que hizo ese equipo en particular para decir que no estaba interesado en el puesto por razones morales y éticas.
Durante el proceso de solicitud y entrevista, debe poder aprender lo suficiente sobre el puesto para poder tomar una decisión informada sobre qué tipo de trabajo hará en el trabajo. Y aprender sobre los aspectos del entorno laboral del trabajo sería lo mismo que cualquier otro trabajo: pregunte sobre la cultura, los beneficios, las oportunidades de crecimiento y desarrollo. En una agencia gubernamental, a menudo se trata de información pública, ya que es consistente en todas las agencias y departamentos. En un entorno de contratista, estarán más que felices de discutir esas cosas, ya que normalmente es un tema de recursos humanos que se aplica independientemente del proyecto o programa.
En términos de política en la oficina, nunca me he encontrado con eso, y cuando hablo con amigos míos fuera de la industria de defensa, parece bastante similar en naturaleza. Sospecho que esto es más una cuestión de cultura corporativa que algo que pueda generalizarse a la industria de la defensa o a los contratistas del gobierno.
La seguridad en el trabajo varía. La mayoría de los lugares proporcionarán a las personas un espacio de trabajo no clasificado además de espacios de trabajo en entornos clasificados. En mi escritorio, tengo acceso casi gratuito a Internet. Sin embargo, en un entorno clasificado, no tiene este acceso. Gran parte del trabajo que he visto realizado en realidad ocurre en entornos no clasificados y luego se lleva a entornos clasificados porque los datos reales del mundo real sobre los que operan los sistemas están clasificados. El sistema en sí puede ser propietario y, a veces, incluso de código abierto.
En cuanto a obtener una autorización de seguridad, los formularios requieren algo de tiempo. Con frecuencia, debe contar sus trabajos, direcciones, amigos, colegas y familiares desde hace 5 a 15 años, según el tipo de investigación de autorización. Dependiendo de algunas de sus respuestas, puede haber entrevistas, polígrafos y cuestionarios para completar. Puede ver los formularios en línea, como el SF-86 ( PDF aquí ), que se utiliza para la autorización secreta del Departamento de Defensa (y quizás también para otras agencias; solo estoy familiarizado con el Departamento de Defensa).
Tengo una autorización de seguridad. El trabajo clasificado real se realiza en una red segregada (no conectada a Internet), en salas con disposiciones especiales de seguridad. Sin embargo , la mayoría del trabajo en realidad no está clasificado. Hacemos nuestro trabajo (desarrollar software) en un entorno de oficina normal y, si necesitamos acceder a datos clasificados, vamos al laboratorio.
La mayoría de las grandes empresas tienen algunas restricciones de TI; es probable que encuentre bloqueados sitios como YouTube, Facebook y Blogspot. Sin embargo, eso no tiene nada que ver con las autorizaciones de seguridad.
Si se entrevista en una empresa que requiere una autorización de seguridad, es muy probable que aún puedan hablar con usted sobre el trabajo con suficiente detalle para que decida si desea trabajar allí. No todo lo que sucede en una empresa así es clasificado.
Si toda la instalación está clasificada (es un gran laboratorio de clase), no podrá pasar por la puerta sin una autorización.
He trabajado tanto en el sector privado como en proyectos de defensa que requieren autorización a lo largo de mi carrera. Me gustan los dos, pero yo diría que son diferentes.
No existe un "talle único para todos" en el trabajo que requiere autorización. Le recomiendo encarecidamente que considere cada oportunidad a medida que se presente.
Aquí hay algunos puntos de variación:
Cosas que no varían: la calidad de las personas, la calidad de la gestión. Hay personas increíblemente inteligentes en esta industria y algunos gerentes realmente geniales. Y están los polos opuestos. En su mayor parte, los increíbles tienden a mantener un perfil bajo y ser muy relajados... no es una industria para tipos de personalidad llamativos, ya que gran parte del trabajo solo lo ve una comunidad limitada.
Tecnologías COTS: si bien hay mucho código especializado, COTS es tan atractivo para los gobiernos como para las empresas privadas. Hay muchas oportunidades para mantenerse al día con productos COTS de comercialización cruzada.
Cosas que preguntar antes de subirse a bordo
opciones para el equilibrio entre el trabajo y la vida personal, es probable que sean diferentes. Las empresas todavía están buscando respuestas creativas, pero algunas de las protecciones físicas de seguridad simplemente no están disponibles en el hogar, por lo que, como cualquier empresa, descubra las reglas y la cultura corporativa antes de unirse.
la naturaleza de la verificación de antecedentes: deben saber qué nivel de autorización quieren que usted tenga. Y lo intrusivo que será. También tenga una idea de cuánto más pueden aumentar sus necesidades de autorización. A menudo, las empresas iniciarán a alguien en un nivel más bajo, porque es costoso actualizar las autorizaciones y la cantidad de espacios en los niveles más altos no es infinita. Así que obtenga la respuesta escuchar y ahora, así como la toma en el futuro.
¿Cuál es la tecnología del proyecto? ¿Cuál es la probabilidad de cambio entre proyectos y qué otra tecnología podría estar involucrada? Por lo general, no pueden responder preguntas específicas de "este proyecto usa X/Y/Z". Pero deberían poder darle una idea de si todo el lugar es una tienda JEE o si es 10% .NET y 90% VAX. ¡programación!
¿Cuál es la respuesta a una violación de seguridad? Todo el mundo mete la pata de vez en cuando; la gran pregunta es qué hace la empresa en respuesta. Saber cómo funciona esto antes de ingresar puede ayudarlo a decidir si este trabajo es para usted.
Mi primer trabajo después de la universidad fue para un contratista de defensa. Seguí adelante después de unos años porque, aunque estaba trabajando en sistemas de defensa en lugar de sistemas de ataque , decidí que entraba demasiado en conflicto con mi postura moral. Este lado de las cosas es una decisión personal que solo usted puede responder.
Cuando me mudé al sector comercial, había poca diferencia. El trabajo que hice estaba cubierto por los acuerdos de no divulgación en lugar de por la Ley de Secretos Oficiales , pero mi responsabilidad seguía siendo mantener la confidencialidad de mi empleador con respecto a mi trabajo.
En cualquier entorno podía hablar sobre cómo me trataban, quejarme de los horarios apretados y lamentar (en términos no específicos) que los clientes cambiaran sus especificaciones todo el tiempo, y en ninguno de los entornos podía hablar sobre quién era mi cliente o qué era yo. ayudando a construir para ellos.
Cualquier lugar con serias preocupaciones de seguridad tendrá políticas específicas para abordar esas preocupaciones. Ya sea que esté trabajando en sistemas de guía de misiles o software antivirus, puede haber algunas redes sin conexión a Internet. Es posible que incluso tenga que trabajar dentro de una bóveda reforzada TEMPEST , donde se buscan teléfonos/tarjetas de memoria antes de que se le permita la entrada. Sin embargo, en un entorno comercial, podría quedarse atrapado fácilmente en una trastienda o en un sótano sin luz natural y con un servidor proxy configurado por un BOFH .
Alternativamente, puede tener un escritorio con varias computadoras y un espacio de aire entre ellas, por lo que todo lo que tiene que hacer para cambiar de una computadora de red segura a una computadora con capacidad para Internet es pasar de un teclado a otro. Claro, pierde la posibilidad de copiar/pegar entre ellos (en comparación con el uso de una VPN para acceder a una red más segura), pero no afecta tanto la productividad .
En última instancia, un trabajo examinado por seguridad no es realmente diferente a cualquier otro trabajo, es solo que las prioridades y las consecuencias pueden ser bastante diferentes. Si crees que no puedes afrontarlo éticamente, aléjate, de lo contrario mantén la nariz limpia y podrías ponerte a trabajar en algunos proyectos interesantes y únicos.
Pasé 15 años en la industria de la defensa y creo que lo más relevante que puedo decirles sobre el efecto de la seguridad en su entorno de trabajo es que varía mucho.
Regularmente descubrí que las directivas del Pentágono me parecían bastante razonables y sensatas. Que nuestra gente de seguridad de la base local los interpretaría en lo que yo consideraba formas extrañas.
Por ejemplo, había una directiva del Pentágono que decía que no se debe descargar software de sitios desconocidos o que no sean de confianza e instalarlo en computadoras del gobierno. Bueno, eso me pareció de sentido común: no descargue un juego de hackers-are-us.com e instálelo en un sistema seguro. No tuve ningún problema con eso. El personal de seguridad de nuestra base interpretó que eso significaba que no podíamos usar ningún software de código abierto.
Ejemplo 2: El Pentágono dijo que no se hiciera trabajo de desarrollo en los sistemas de producción. Nuevamente, una regla obvia de sentido común que la mayoría de los desarrolladores dirían "duh". Nuestra gente de seguridad de base interpretó que eso significaba que no podía tener sistemas de producción y desarrollo en la misma red, es decir, no se nos permitía hacer trabajo de desarrollo en la red de base. Así que dijimos, está bien, configuraremos una red privada para el desarrollo. No, dijeron, todas las computadoras en la base deben estar conectadas a la red base para que podamos administrar las políticas de seguridad. Entonces, ¿cómo se supone que debemos hacer el desarrollo? No tenían respuesta. Bailé alrededor de eso durante años.
Mi punto es que la forma en que se interpretan las reglas puede variar entre bases, empresas, etc.
En el lado positivo, una vez asistí a una conferencia sobre seguridad donde dijeron que las reglas de seguridad deben lograr un equilibrio entre ser lo suficientemente estrictas para mantener alejadas a las personas no autorizadas y ser lo suficientemente flexibles para que las personas autorizadas puedan hacer su trabajo.
Como casi en cualquier parte de la vida, supongo, hay personas racionales y personas dementes.
Las políticas de seguridad para el trabajo clasificado varían mucho según el nivel de clasificación del programa, la empresa y el personal real que establece las políticas de seguridad. En un extremo están los programas en los que la gran mayoría del trabajo no está clasificado y se realiza en redes no clasificadas y puede discutirse libremente excepto por detalles técnicos muy específicos. En casos como este, incluso las especificaciones de software completas y los documentos de algoritmos podrían no clasificarse y solo se protegerían los números de rendimiento reales. En esos casos, su trabajo podría estar completamente en el mundo blanco y solo clasificarse cuando se combinó con entradas clasificadas. En una situación como esta, podría hablar mucho y aprender bastante sobre el trabajo potencial antes de comenzar.
En el otro extremo del espectro están los programas cuyos mismos nombres están clasificados. Casi todo el trabajo del programa ocurrirá en redes dedicadas sin conexión a Internet y con procesos tediosos y unidireccionales para transferir información a ellas desde el lado no clasificado (por ejemplo, grabar CD). En este tipo de entorno, es posible que solo tenga acceso a Internet en computadoras tipo quiosco lejos de su escritorio normal o entorno de trabajo de laboratorio, lo que le impediría usar Google o Stack Overflow mientras trabaja. Además, la configuración de hardware y software del equipo en la red se supervisa de cerca y no se puede cambiar sin una ampliapapeleo. Esto significa que las máquinas a menudo son lentas y obsoletas, el espacio en el disco duro suele ser escaso, el software está desactualizado y se parchea con poca frecuencia, y obtener un nuevo software para ayudarlo a hacer su trabajo pasa de un gran dolor que hace que probablemente no vale la pena el esfuerzo de directamente imposible. En parte, es este entorno el que subyace al increíble costo de los programas de defensa.
El proceso de autorización es también una función del tipo de autorización. En lo más básico, es un cuestionario sobre dónde vivió y trabajó. Mucho papeleo, pero no tan malo y si no ha pasado un tiempo significativo en el extranjero o no tiene contactos con ciudadanos extranjeros, es sencillo. Para los niveles más altos, hay más preguntas que se remontan más atrás y el proceso implicará entrevistas en persona con los investigadores, quienes también hablarán con amigos y familiares y, en última instancia, con personas que usted conoce cuyos nombres no proporcionó. Es posible que se requieran polígrafos, tanto inicialmente como periódicamente, y es posible que deba obtener un permiso previo para viajar al extranjero.
Por lo tanto, puede haber desventajas claras de trabajar en un entorno clasificado y para muchos no es su taza de té. Dicho esto, hay cosas que se desarrollan en esos entornos que están años luz por delante de cualquier cosa que suceda en el mundo exterior. El problema y los inconvenientes a menudo se ven superados por la naturaleza convincente de trabajar y resolver estos problemas y poder trabajar en estrecha colaboración con expertos mundiales en tecnologías y campos particulares.
jcmeloni
luego
jcmeloni
HLGEM
luego
jcmeloni
Dipan Mehta
voretaq7
joelfan
Bill Leeper