Jump to content
TheNothing

Salariu Infosec

Recommended Posts

53 minutes ago, Nytro said:

Daca nu ai experienta de munca sau cel putin proiecte personale, orice, nu iti da nimeni 5000 RON.

 

Dar de crescut poate sa creasca destul de mult.

De ce sa nu iti dea ?

Toata lumea vorbeste de experienta ca de cel mai 'sfant' lucru pe care trebuie sa-l aiba cineva.

 

Experienta in IT e relativa, nu poti sa compari 5 ani in care ai fixat cate un bug pe ici pe colo pe un proiect mic, iar jumate din cod pe care il scriai era copy-paste de pe stackoverflow  cu cineva care a lucrat 2 ani pe un proiect mare in care interactiona cu foarte multi developeri, testeri, analisti, pe un proiect in care nu isi permitea sa bage mizerii in codul de productie ca il arata arhitectul cu degetu'.

 

Eu cred ca cineva care e la inceput, cineva care a investit timpul personal chiar si bani ca sa isi imbunatateasca cunostinte, sa obtina certificari, e mult mai valoros. Dovedeste entuziasm, pasiune si determinare.

 

Ca ai 5 ani de experienta, ca ai 1 an de experienta de cele mai multe ori la noul loc de munca esti pe un proiect total diferit de ceea ce faceai si perioada de tranzitie e la fel pentru ambii.

 

 

Legat de salariu, depinde cum te vinzi. Cred ca poti pleca lejer de la 4.000 in Bucuresti, dar depinde ce alte beneficii primesti, de numele firmei, de volumul de munca.

 

 

Si inca ceva, nu cred ca ai certificarile respective. Daca le aveai nu mai intrebai pe forum despre cat ai putea castiga. :)

Daca vrei sa le dai, pune mana pe carte si mult succes.

 

Edited by tjt
  • Upvote 3
Link to comment
Share on other sites

  • Active Members
1 hour ago, tjt said:

Eu cred ca cineva care e la inceput, cineva care a investit timpul personal chiar si bani ca sa isi imbunatateasca cunostinte, sa obtina certificari, e mult mai valoros. Dovedeste entuziasm, pasiune si determinare.

Asta e doar parerea ta. Si a mea, sincer sa fiu. Dar nu a celor de la HR. Vezi tu, daca totul era roz, era plina lumea de entuziasti plini de vise...

  • Upvote 1
Link to comment
Share on other sites

4 hours ago, Nytro said:

Daca nu ai experienta de munca sau cel putin proiecte personale, orice, nu iti da nimeni 5000 RON.

 

Dar de crescut poate sa creasca destul de mult.

Cunosc pe cineva care primeste in jur de 3.7k pe post de reverse engineer, nu are experienta si nici diploma

Edited by Philip.J.Fry
  • Upvote 1
Link to comment
Share on other sites

Depinde de modul de operare al firmei. Daca firma te "inchiriaza" clientului si castigarea contractelor depinde de oamenii pe care ii ai (CV-uri), atunci conteaza si experienta, si certificarile si diploma. Daca nu, accentul o sa se puna mai mult pe ce stii sa faci.

  • Upvote 2
Link to comment
Share on other sites

Am avut saptamanile astea un interviu la avira pt malware analyst. Am ceva experienta pe c#(5+), un pic retele(3+), os samd, dar nu in echipe mari si bine structurate, ci in firme mai mici in care se pune accentul pe adaptabilitate (pe sistemul asta e documentatia, descurca-te sau dc nu e documentatie tot descurca-te).
Am reusit sa termin masterul de la atm.
Am descarcat aproape toate resursele gasite pe torrenti referitoare la orice tip de certificare de infosec. Le-am citit bineinteles haotic, dar consider ca tot am ramas cu ceva.
Postul vizat era despre reverse engineering pe windows.
Am avut doua intalniri: prima cu project managerul si cu doamna de la resurse umane, cea de-a doua cu doamna de la resurse umane in care am avut de rezolvat un test.
Prima intalnire a decurs ok. S-a discutat fugitiv pot spune cam despre ce se gaseste in cursul Sans 601 - malware analysis tools and techniques. Si despre tangentele mele cu domeniul, sa mentionez cartile citite (practical malware analysis, malware analyst cookbook samd).
Am inceput de la high level pana la low level, mentionez aici:
Suspicious: porturi, procese, registrii, drivere, servicii, startup apps, analiza traficului de retea, hashuri (aici m-a intrebat cum se aplica hashul si i-am spus ca pe tot fisierul, el spunand ca e mai bine pe portiuni).
1) porturi, verificarea conexiunilor cu alte deviceuri - am amintit netstat, tcpview.
2) process monitor de la sysinternals, process hacker.
3) registrii - citisem ceva despre regshot, am mentionat
4) drivere - a mentionat el ca se verifica semnaturile
5) servicii - service manager
6) startup - security autorun
7) wireshark

Am mai vorbit despre debugging tools (ida pro si ollydbg) dar fara a intra in detalii.
Ca memory forensics am mentionat volatility.
Am mai intrebat eu de crypters si packagers (UPX) dar nu mai stiu ce a raspuns.
A spus ca se lucreaza cu python, a zis ca sunt binevenite orice tooluri.

Discutia asta s-a incheiat intr-o nota optimista, urmand sa fie dat un test de cultura generala, care nu parea asa important ca discutia fata in fata.
Problemele testului:
    1. In python se citea un fisier si trebuia sa scrii liniile sale inversate. Adica linia 5 din primul sa fie prima linie din al doilea, fara sa incarci tot fisierul in memorie. Am gasit ceva cu import fileinput pt fiecare linie citita faceam append la inceputul fisierului.
    2. Ceva de best practices, testing etc
    3. Doua secvente de cod in python, una cu foruri imbricate, alta cu un do while de facea infinite loop
    4. Niste serii de numere, de completat elementul urmator
    5. Problema cu doua trenuri, unul pleaca din A, altul din C, trec prin B. Ce se poate spune despre dist dintre A,B,C dc trenul care pleaca din C ajunge in B inainte.
    6. Problema cu daca primele 1000 de piese costa x si fiecare piesa peste costa y, cat costa n piese, stiind ca n> 1000. -> 1000x + (n -1000)y si desfaci parantezele.
    7. Problema cu niste unii de diferite inaltimi, trebuia sa alegi care lucru este sigur adevarat.
    8. Teste cu imagini ca la recrutare in armata (nu am facut armata).
    9. Un snapshot de fisier trebuia sa zic ceva despre el (scria this program cannot be run in dos mode) - am scris ca este fisier executabil.
    10. Era un PE file pe unde am gasit UPX si am scris ca este un exe packed cu UPX.

Feedbackul a fost urmatorul:
"Dear ********,

Thank you very much for your application and for attending the onsite test.

Unfortunately the test results were not as positive as we expected. Thus, we have to tell you that we have to reject your application.

This decision was not an easy one and we regret being unable to give you a positive response.

We wish you all the best and every success in your future personal life and professional career.

Sincerely"

Feedbackul meu la feedbackul lor a fost urmatorul:
<<Hi,

If this wasn't an auto reply, for my own knowledge, can you please tell me what was my test grade?
What do you mean by "as positive as we expected"?
Tests are made to improve people's skills so a specific response from you might be necessary.
It's really awkward losing 4 hours at interview and getting this response, based on the fact that face to face discussion evolved in a positive manner.
Thanks>>

Eu ii banuiesc totusi ca problema a fost suma ceruta.
M-am gandit ca cineva este interesat si poate incercat totusi un interviu la ei.

Link to comment
Share on other sites

  • Active Members
6 minutes ago, gigiRoman said:

M-am gandit ca cineva este interesat si poate incercat totusi un interviu la ei.

Am avut si eu interviu la ei chiar luna trecuta pentru pozitie de Senior Python Dev. Testul a fost super asemanator cu al tau (mai putin chestiile legate de security). Doar ca mie mi-au zis ca am trecut si ca vor sa vin la "proba practica". Proba practica = sa stau juma' de zi acolo sa vada cum m-as descurca intr-o zi de munca. Am zis pas :) 

 

Posibil sa ma fi chemat la proba aia ca sa justifice suma pe care o cerusem. Sunt sigur ca daca ceream mai putin nu mai exista o astfel de proba. 

Edited by MrGrj
Link to comment
Share on other sites

@tjt  " De ce sa nu iti dea ? " - Tu daca ai avea firma ta i-ai da unuia care nu a muncit o zi pe ceea ce ai nevoie 5000 RON? Desi omul poate a mai citit cate ceva, daca nu a lucrat macar 1-2 ani cu ceea ce se cere, nu o sa se compare cu unul care a lucrat. De exemplu, cand m-am angajat ca C++ developer acum 6 ani, stiam limbajul extrem de bine. Dar ca sa vezi, nu prea era deajuns. Nu lucrasem cu sockets, multi-threading, STL, semaphores si mai stiu eu ce, pe cand cineva cu experienta probabil se lovise de cel putin o parte dintre ele. Nu cred ca cineva care nu a lucrat la o companie pe ceva anume, indiferent de ce, a petrecut aproape zilnic cateva ore sa isi dezvolte cunostiintele.

 

Un alt exemplu, e ca inainte sa ma angajez prima oara am vrut sa lucrez ca PHP developer. Scrisesem peste 20.000 de linii de cod, aveam ceva proiecte DAR: nu scrisesem cod MVC (evident), nu lucrasem cu OOP (proiecte mici, evident), nu lucrasem cu niciun framework (la fel). Asadar, de ce sa imi dea 5000 RON pe luna cand eu ar trebui sa stau luni de zile sa invat cum trebuie lucrurile astea?

 

" cineva care a investit timpul personal chiar si bani ca sa isi imbunatateasca cunostinte, sa obtina certificari " - Nu a investit nimeni destul din timpul personal pentru a fi la fel de bun ca cineva care a facut acel lucru 8 ore pe zi timp de 1-2 ani. Si nici nu o sa o faca nimeni. Ca mai citesti zilnic cate un articol, ca din cand in cand citesti o carte, e OK, dar nu e de ajuns. Da, dovedeste entuziasm si conteaza mult, dar nu e de ajuns. Pune-te in locul angajatorului. Cat despre HR, sau "Professional Linkedin browser", din pacate, nu au capacitatea de a trece peste anumite lucruri si de a intelege anumite lucruri. Intotdeauna o sa te lovesti de probleme cu ei si poti pierde locuri de munca bune din cauza ca ei vor considera poate ca "nu are facultate de IT, nu poate sa lucreze pe security", pentru ca ei nu inteleg ca nu exista facultate pentru asa ceva de exemplu.

 

@Philip.J.Fry Nu stiu daca RON sau EUR, nu cred ca EUR in Romania. Da, diploma nu ar trebui sa conteze, ca nu stiu pe nimeni sa fi terminat Facultatea de Reverse Engineering si Analiza Malware in Romania, insa fara experienta mi se pare greu de crezut. Adica serios, ai da cuiva 3.7 EUR pe luna in Romania cuiva care probabil are ceva cunostiinte tehnice dobandite in timpul liber, in locul unuia care a facut asta luni de zile la cine stie ce companie care face antivirus?

 

@gigiRoman Acum vreo 4 ani cred, am avut si eu interviu la Avira pe C++ Developer. Am avut de facut o aplicatie client-server, multithreading si cu nu stiu mai ce functionalitati in 3 ore. Am facut-o si a mers foarte bine, si ziceau cei de acolo ca majoritatea nu o fac in cele 3 ore. Apoi am avut o discutie tehnica. Toate bune si frumoase, pana sa vorbim despre antivirus. Le-am zis ca am facut un crypter, un program care ia un fisier detectabil si il face nedetectabil. Au zis ca "nu se poate, antivirusul nostru il prinde". Le-am explicat cum functioneaza si de ce nu l-ar prinde, ca se incarca in memorie bla-bla, dar nu au parut sa inteleaga. Apoi m-au intrebat: "De ce te-am angaja, de unde stim ca avand acces la codul sursa al antivirusului, nu ai dezvolta in continuare astfel de lucruri?". Am inceput sa rad si le-am zis ca nu am nevoie de codul sursa sa fac asa ceva. Nu m-au mai contactat deloc.

 

Asadar, ca idee generala, de care m-am lovit si eu acum vreo 6 ani cand m-am angajat pe 1600 RON: NU va asteptati sa sara cu banii pe voi, pentru ca nu au de ce. In plus, nu sunteti singurele persoane care isi cauta un loc de munca in IT. Desi sunt destule job-uri, pentru pozitiile de inceput sunt foarte multi care aplica. De asemenea, banuiesc ca daca cineva lucreaza la un proiect in timpul personal, sau face ceva ca sa invete, poate mai posteaza si pe aici. Nu am vazut de ani de zile astfel de lucruri postate. Am fost si eu tanar student, si ce crezi, preferam sa stau sa scriu cod, sau sa beau pana picam din picioare?

  • Upvote 12
Link to comment
Share on other sites

  • Active Members

Facand putin abstractie de intrebarea-n sine, cred ca am cel putin 2 boli mintale din pricina arogantei intalnite pe la interviuri (fie si programare). Rar am intalnit niste oameni cu cap sa iti vorbeasca de la egal la egal sau macar sa nu-ti vanda povesti cu sirop.

 

Adica pe bune acum, tu iti pui angajatii sa sara pe geam cand vine ANAFu (real story) iar la interviuri o arzi ca o zdreanta cu figuri si oferte pe care nu le poti indeplini? Poate e vremea sa dai faliment sau macar sa iti dai 2 palme... hmm :rolleyes:.

 

Cred ca cea mai mare greseala pe care o poti face la un interviu e sa le demonstrezi (fie si accidental) ca nu au unul mai bun ca tine pe acolo, asta ii scoate din minti, ar prefera sa cada tavanul peste ei decat sa inghita asa ceva. Ultima experienta pe care am avut-o a fost sa ii demonstrez prostului ca e prost (ala chipurile era un fel de smecher pe acolo) si asta m-a costat, ironia e ca a sarit si ala la vreo 2 luni :)).

  • Thanks 1
  • Upvote 3
Link to comment
Share on other sites

3 hours ago, Nytro said:

 

Asadar, ca idee generala, de care m-am lovit si eu acum vreo 6 ani cand m-am angajat pe 1600 RON: NU va asteptati sa sara cu banii pe voi, pentru ca nu au de ce.

Man, nu mai zice asa... Celor dupa RST trebuie sa le dai 3k eur/luna ca entry ca ei "au nevoie"! 

Nu conteaza domeniul, experienta, pregatirea, lor le dai ca e penurie de programatori si punct!

Link to comment
Share on other sites

Se plang expertii pe Info Sec si pe Twitter ca nu gasesc angajati entry level sau medium level, si ca va fi un shortage de vreo 2 milioane de info sec pros pana in 2022. Angajatorii vor sa fi expert, vor diploma de facultate, sa lucrezi deja la Master in InfoSec, sa ai 5+ ai experienta, CISSP, sa fi expert in vreo 2-3 limbaje de programare, si sa ai certificate, sa nu mai vorbesc de salarii de mizerie. Si asta in "the good old U.S.A.".

Pai cum sa nu fie, daca HR-ul ii plin de tampiti, care folosesc metode invechite de angajare, si care nici nu stiu ce ii ala un OSCP sau alte certificari, si efortul pe care trebuie sa il depuna careva sa obtina certificarile alea. Nu vorbesc de certificarile care au dumps pe undeva, si de alea care nu au dumps, si la care trebuie sa iti bati capul.

Din cate aplicatii am trimis pentry entry level, cu ani de experienta in IT, HR-ul nici nu s-au obosit ca macar sa imi raspunda ca de ce. Pentru ca li se rupe, sunt lenesi si incompetenti! O fi vreun fel de PR stunt combinat cu batjocura.

Anul asta am zis sa ma duc la DefCon in Las Vegas, ca am zis sa fac un pic de "social networking" ca da-de va fi ceva.

Am fost la niste cursuri foarte bune printr-o comunitate la vreo 1 ora distanta de mine, in infrastructure si web application pentesting, si toti ar vrea sa faca tranzitia de la sys admin, helpdesk in Info Sec, dar vad batjocura si lipsa de educatie legata de Info Sec a celor din HR, si prefera sa ramana pe pozitiile lor. In plus, multi ca sa intre in Info Sec trebuie sa inceapa de la entry level, si asta ar insemna sa piarda bani.

Pana vom vedea ca se schimba mentalitatea celor din HR legat de info sec, vor trece cativa ani. In plus, e foarte multa aroganta in Info Sec din partea celor deja stabiliti in industrie, si asta nu face decat sa dauneze celor care vorb sa intre in Info Sec.

Cam ce am vazut ca se poate face, e sa te muti in alte orase, numai ca sa lucrezi in Info Sec, ceea ce insemna sa lasi in urma casa (fara chirie), prietenii, familia, etc. Putini is dispusi sa faca asta si mai ales pe bani putini!

 

 

  • Upvote 1
Link to comment
Share on other sites

6 hours ago, gaddafi said:

Se trag pe cur cand vine vorba de bani, noobii stau la usa sa se angajeze dar in media se plang in fiecare an ca nu au oameni

 

2772012.jpg

 

 

 

Administratorul unei firme romanesti

 

ir004.gif

 

 

 

Angajatii model pentru multinationala

 

12-years-slave.jpg

 

 

End of the story

 

cat de true poate sa fie ultima poza ... 

dar si cand reprezinti o multinationala si esti intro echipa care a castigat premii substantiale parca e altfel ... :D

  • Upvote 1
Link to comment
Share on other sites

7 hours ago, gaddafi said:

Se trag pe cur cand vine vorba de bani, noobii stau la usa sa se angajeze dar in media se plang in fiecare an ca nu au oameni

 

2772012.jpg

 

 

Mai bine iei 17.000 de incompetenti si le dai salarii mici, decat sa iei 1,000 capabili cu salariu rentabil ( care deabia ii gasesti oricum ), stii vorba aia, "cantitate", "volum", "forta de munca" ( pardon, frecat menta )

  • Upvote 1
Link to comment
Share on other sites

30 minutes ago, Robert1995 said:

 

 

Mai bine iei 17.000 de incompetenti si le dai salarii mici, decat sa iei 1,000 capabili cu salariu rentabil ( care deabia ii gasesti oricum ), stii vorba aia, "cantitate", "volum", "forta de munca" ( pardon, frecat menta )

 

incerc sa inteleg postul tau daca e troll sau nu , 

 

Link to comment
Share on other sites

25 minutes ago, n3curatu said:

 

incerc sa inteleg postul tau daca e troll sau nu , 

 

 

Cam asa a incercat si el cu postul meu fara sa ajunga la o concluzie. @Robert1995 cuvintele importante sunt "cerere", "oferta" si "piata fortei de munca".

In mare parte in topic se vorbeste despre firmele care doresc angajati cu experienta si se plang intruna ca nu gasesc. Asta ii cererea.

Oferta ii plina de tineri fara experinta si dornici de munca, nu ca unii dinozauri plictisiti care asteapta sa se termine ziua de lucru. Vorbim la modul general pentru ca sigur exista si exceptii de la aceste tipare. Un tanar va fi mult mai usor de integrat si modelat intr-o firma/structura organizatorica/regim de lucru. Bineinteles ca ii doare in cot de avantajele unui noob, dar si cand au o ciurda de dinozauri care se incoarda unu la altul sa vada care ii mai smecher pot sa spuna adio la teamwork si cooperare. Si asa te trezesti cu oamenii care nu se pot integra si creaza mai mult rau cu atitudinea lor decat toate liniile de cod pe care le scriu. Lucrurile astea cu relatiile intre angajati intra sub jurisdictia departamentului de HR unde ii plin de pizde cu mofturi si figuri care habar nu au ce se intampla in firma. 

 

Cand vine vorba de bani fie ca ii esti dinozaur sau noob o firma tot timpul va incerca sa te ingroape in munca pana la gat sau sa iti dea un salar mic, asta daca nu esti un pupincurst care profita de munca altora (a treia categorie si cea mai periculoasa).

 

In concluzie, fiecare categorie are avantaje si dezavantaje.

 

P.S. Mai sunt si alte caracteristici ale grupurilor enumerate doar ca nu am chef sa imi largesc cunostintele in HR pentru un amarat de topic legat de salarii.

P.S.S. Unii dinozuari mai si formeaza haite in lupta lor acerba spre suprematie. Vai ce m-as distra intr-un departament de HR. Play time with real people and fellings.

 

  • Upvote 2
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.



×
×
  • Create New...