Anul trecut mi-am luat inima in dinti si am reusit efectiv printr-o intamplatare sa colaborez cu un client din US pentru o perioada de 6 luni.
Dupa ce s-a terminat acest proiect, am ales sa mai caut pe piata si altele insa din Ianuarie si pana acum nu am obtinut nimic.
Am plecat de la hourly rate de 60e si am ajuns la 37e insa nici asa nu pun mana pe vreun contract.
Ce imi lipseste? Ma simt super incepator in a ma vinde pe zona de B2B insa majoritatea firmelor la care aplic nici macar nu ma suna; asadar cu cine sa exersez?!
PS: Aria de expertiza a mea este in sfera securitatii cibernetice.
Ai picat într-o perioadă destul de nasoală. Se fac layoffs în toate părțile, implicit ai concurență mai mare decât în mod normal, deci și provocarea de a găsi job-uri este ceva mai mare.
Mai în glumă, mai în serios, poți face bug bounty. Nu știi niciodată de unde sare iepurele.
Altfel, ce am scris aici rămâne valabil: fii prezent (contribuții GH, bagă-te în seamă pe forumuri, reddit, twitter etc) și cere testimoniale.
Dacă un potențial client îți caută numele pe google ce găsește?
Pe la începutul anilor 2000 era la modă un banc:
Microsoft caută experți în securitate. Candidații sunt rugați să depună CV-urile pe homepage-ul microsoft
poate are legatura cu tipul de client pentru serviciul asta.
tind sa cred ca aici sunt mai importante recomandarea, portofoliu si echipa decat pretul.
imi e greu sa cred ca un freelancer incepator (in ale freelancingului) il face pe client sa se simta in siguranta suficient cat sa comande un serviciu despre siguranta.
oricum, in general in b2b nu este in primul rand despre pret.
imi e greu sa cred ca un freelancer incepator (in ale freelancingului) il face pe client sa se simta in siguranta suficient cat sa comande un serviciu despre siguranta.
Ca sa nu va fie inteleasa gresit aceasta meserie, va voi spune ca ceea ce faci in cybersecurity nu prea face cinste acestui domeniu. Toate companiile vor sa aibe un tool minimal pentru o siguranta oarecare impotriva atacurile si cam atat. Foarte rar investesc masiv in domeniul acesta - de aici si munca pe care o poate face un contractor fara a avea vreo constrangere pt ca ar face parte dintr-o ramura sensibila a firmei.
Recomandările merg pe o piață foarte locală (gen in același oraș). Când extinzi aria la nivel național sau global este nevoie să fii prezent într-o formă sau alta.
Gândește-te că un potențial angajator nu doar că nu știe nimic despre tine, dar… nici nu găsește ceva.
da, problema e ca alea care au asa ceva nu mai au nevoie de tine, iar cele care nu au e probabil sa nu se priceapa la domeniu (caz in care se raporteaza la lucruri pe care le pot evalua, respectiv portofoliu, recomandare, echipa, etc).
e similar cu modul in care ne alegem noi (din domeniu) serviciile din alte domenii… de la contabilitate, medic, dentist, zugrav, instalator, etc:
cautam pe google, intrebam prietenii, verificam portofoliu si echipa… si abia la final cerem oferta de pret.
si de obicei merg daca vin de la o persoana de incredere care deja a beneficiat de serviciul tau (experienta concreta cu tine, nu doar ca stie depre tine).
iar pentru asta… ai nevoie deja de un volum cat de cat mare de clienti.
Nu e neaparat sa ai website, dar profil Linkedin cel putin e un must, cu un headline bun, poza, si niste recomandari nu strica. Cateva postari in care scrii despre cunostintele tale in domeniu… Nu e asa de greu. Probabil tu aplici la diferite job-uri dar ei nu gasesc nimic relevant despre tine.
Si tu cand cumperi ceva faci putin due-diligence sa vezi daca ceea ce vrei sa cumperi e ok, ei de ce nu ar face asta?
Eu ce vad ca fiind ok pentru 2024:
cum am zis Linkedin facut cel putin ok
Github cu cateva proiecte ideal sau macar putina activitate (nu trebuie sa fie proiecte mari, dar macar ceva sa indice ca poti scrie cod cat de cat ok)
cateva postari despre ceea ce zici ca stii
Incearca sa obtii un reference pe Linkedin de la cei pentru care ai lucrat in US, ajuta mult. E o vorba… Do the work to get the work.
Dar ce experiență ai în spate? Dincolo de domeniul de securitate? Oare faci development în zona de securitate cibernetică sau ești specialist în securitate și ai lucrat în departamente de tip SOC (security operations center). Lucrând mai demult la o companie unde era destul de bine pusă la punct partea de securitate erau câteva layere.
De exemplu:
partea de security aproape de cod. Echipe care creau tooluri și platforme folosite de toate echipele de engineering. De exemplu se puneau la punct base images hardened și scanate cu tot feluri de tooluri ca să fie safe. Apoi pipelines în care erau incluse scannere de dependințe vulnerabile și static scan pe cod. Sisteme interne în care developerii vedeau toate aceste rezultate de scanare, primeau notificări, etc. Puteau pune excepții și așa mai departe. Aici core competencies sunt partea de devops (să știi să creezi imagini, pipelines) dar și development pentru acele tooluri interne
Partea de offensive security. Echipe de white hackers anagajați care încercau constant să spargă sistemele companiei. Aici ca și core competency e hacking în primul rând, dar făceau și foloseau tot feluri de tooluri de automation pentru a rula în mod automat tot feluri de penetration testing, plus evident și încercări manuale. Plus aici intră și scanning de posibile secrete leaked în tot felul de surse, de la source code, la loguri, la controllere de Jenkins, etc.
Partea de SOC. Aici avem security operations center, care e o umbrelă în care intră orice fel de incident de securitate. De la potențiale probleme de genul: black hat hackers care încearcă să penetreze sistemele (aici avem atât detecție de spargere cât și detection de încercare), dar și vulnerabilități în librării care afectează o mare parte din sisteme (celebrul log4j), dar și pishing attempts, laptopuri furate, ransomware, data loss, gdpr breaches, practic orice poate fi definit ca incident. Aici nici nu sunt sigur care sunt core competencies, am văzut că echipa respectivă era formată din ingineri foarte capabili, cu multă experiență în IT, foarte generaliști, stăpânesc o gamă variată de sisteme, platforme, limbaje, super buni la data aggregations (să facă on the spot diverse utilities care procesează diverse loguri și surse de date pentru a găsi probleme, evident și pe termen lung lucrând la automatizarea acestor procese). Plus erau tot timpul informați de latest attack vectors, latest breaches, făcut analize pe tot felul de breaches publicate de alte companii dacă acele vulnerabilități nu se manifestă și în sistemele companiei, etc.
Așadar e foarte variat domeniul, și ar trebui să știi bine cam ce competențe ai, și ce fel de muncă îți place să faci în acest domeniu vast
Sunt ca un medic generalist cand vine vorba de expertiza mea. Cu alte cuvinte, nu sunt super specializat in nimic dar stiu sa fac de toate.
Din pacate asa m-a format piata cerandu-mi sa fiu flexibil in task-uri si mai putin profesionist intr-o zona anume. Nu este o scuza ci o constatare.
Cand ma uit la rolurile din piata de job-uri nu pot sa intuiesc cum cineva ajunge bun pe aria lui schimband tehnologiile foarte frecvent. Azi este bun Linux, maine Windows-ul i-a luat fata si apare cerinta de 4000 ani experienta cu el si tot asa…
Sincer, pana apuc sa devin bun la ceva, piata isi schimba trend-ul si acest lucru ma omoara psihic. (asta a fost ca side note)