В России не хватает специалистов по информационной безопасности. Где искать их? Можно ли принимать на работу студентов и в каких случаях это делать? Может ли стать хорошим «ибэшником» переученный айтишник? Как заинтересовать специалиста и сделать так, чтобы он остался с вами надолго?
- Введение
- Сотрудники ИБ — кто они
- Где лучше всего «ловятся» ибэшники
- Мотивация разных ибэшников разного типа
- Набрали специалистов и получили проблемы. Что делать?
- Выводы
Введение
Согласно соцопросу, почти треть выпускников школ планируют учиться и работать в сфере ИТ. Четверть из них — в ИБ. И данная тенденция наблюдается не первый год. Несмотря на это, кадровый голод в секторе ИБ огромен: вакансии «висят» месяцами, а аудиторы и хедхантеры пополняют их всё новыми запросами — бизнес растёт, издаются новые законы, политическая ситуация меняется, рынку нужно всё больше «ибэшников». По некоторым оценкам, сегодня потребность в специалистах по ИБ достигает 30 тыс. незакрытых вакансий. Что делать, где искать и находить дефицитных сотрудников? Разбираемся вместе с Фёдором Музалевским, директором технического департамента RTM Group.
Сотрудники ИБ — кто они
Для начала давайте разберёмся, кого вообще ищет рынок. Условно специалистов по ИБ можно разделить на три большие группы. Первая — профессионалы, которые получили полноценное образование по безопасности, вторая — переученные айтишники (зачастую — с хорошими дипломами 512-часового обучения). Эти две категории сотрудников наиболее релевантны существующим в организациях специфическим задачам, с учётом, разумеется, персональных особенностей. Третья категория — сотрудники, которые «выросли» из службы безопасности (в том числе отставные силовики) или юридического отдела. Они представляют наименьший интерес для работодателя, и их ценность, как правило, зависит от каждого конкретного случая.
Поэтому сфокусируемся на двух первых группах: «ибэшниках-ибэшниках» и «ибэшниках-айтишниках». К слову сказать, с усложнением ситуации в сфере атак и защиты CISO поднялись по иерархической лестнице и уже принимают решения наравне с руководством крупных организаций, входят в советы директоров. Эта тенденция обозначилась ещё более отчётливо с выходом в свет указа Президента России о повышении ответственности руководителей за инциденты в области ИБ. Так что теперь, помимо прочего, «ибэшникам» требуются новые навыки — в области управления. Готовых специалистов, умеющих всё-всё, найти почти невозможно, но эта проблема решается дополнительным обучением.
В целом, если говорить о тех, кто перешёл в безопасность из ИТ, можно отметить их повышенную стрессоустойчивость, а также детальные знания в области нормативных документов (законодательных и внутренних). Основываясь на практике, можно отметить, что они имеют преимущества перед другими в части работы со средствами защиты и с расследованием инцидентов. Так, они совершенно спокойно могут проводить анализ логов под давлением вышестоящего руководства и выполнять другие стрессовые задачи. Также они демонстрируют системный подход к работе, который выражается в умении чётко планировать, организовывать и анализировать свою деятельность. За нормативными документами, в первую очередь — внутренними положениями, такие сотрудники следят, как правило, очень внимательно — указать на нарушенный пункт инструкции по применению СКЗИ могут безошибочно. Однако трактуют документы они обычно дословно: сказывается недостаток теоретической подготовки.
Профессиональные «ибэшники» со стажем имеют более глубокую теоретическую подготовку и ценятся в первую очередь как архитекторы и организаторы процесса. Как правило, такие сотрудники занимают должности руководителей подразделений. Их главное достоинство — разносторонний подход к обеспечению безопасности: с использованием не только технических мер (АВЗ, SIEM, DLP и т. д.), но и организационных (обучение сотрудников, разработка и внедрение регламентов работы).
Важно отметить, что сотрудник, который совмещает ИТ и ИБ, не может считаться «ибэшником» в полной мере. Ведь львиная доля задач безопасника связана с тем, чтобы контролировать ИТ-отдел. Небольшие компании часто экономят, возлагая на системного администратора обязанности по ИБ. Это приводит к тому, что сотрудник, обновляющий антивирус и выдающий учётные записи, сам следит за тем, чтобы антивирусная защита была обновлена, а уволенные сотрудники — вовремя удалены, что в корне неверно. В итоге при внешнем аудите мы сталкиваемся как с халатностью («сам себе хозяин»), так и с неполнотой выполнения функций по причине перегрузки сотрудника. Страдает от этого вся организация, и серия успешных атак с применением вирусов-шифровальщиков это подтверждает.
Где лучше всего «ловятся» ибэшники
Самая большая проблема — с готовыми «проскиллованными» специалистами. При этом не так важно, нужно ли поймать «крупную рыбу» на пост CISO с функциями управленца в большую структуру или одного сотрудника ИБ (человек-отдел) с универсальными знаниями по разным направлениям за небольшую зарплату в скромную организацию — не считая того, что в первом случае речь идёт о «штучном экземпляре», найти который могут помочь знакомые по бизнесу в высших кругах, кадровики премьер-лиги, а во втором — о специалистах, отыскать которых может любое специализирующееся на них кадровое агентство, невзирая на небольшой гонорар. Необходимо отследить, чтобы у такого специалиста был профессиональный диплом или хотя бы пройденная профпереподготовка. Ведь ему предстоит не изучать, а писать нормативные документы и следить за их исполнением, в том числе со стороны высшего руководства. В поиске таких кандидатов полезно рассматривать соискателей из регионов — но тогда работодателю стоит хотя бы немного напрячься и помочь с переездом, компенсировать стоимость жилья на первое время, например, чтобы воодушевить специалиста хотя бы поначалу.
Если вам требуются «готовые расти, развиваться и обучаться» (в том числе за ваш счёт) сотрудники по ИБ с базовыми знаниями (особенно если нужно сразу несколько человек), то вам прямая дорога в вузы по специальности. Предпочтение следует отдавать техническим институтам — в отличие от университетов, подготовка в них характеризуется более практически ориентированным подходом. Основной «сезон охоты» — преддипломная практика. Но, поскольку приличных студентов разбирают на третьем-четвёртом курсе, приступать к отбору надо уже на производственной практике. Здесь хорошо работают системы стажировок. Обычно компании договариваются о том, что будут предлагать их, непосредственно с руководством вузов, а дальше доносят информацию до студентов напрямую (через деканат, внутренние чаты и сайты). Стажировки лучше делать оплачиваемыми, в объёме порядка средней зарплаты по региону. Однако надо понимать, что вложенные в студента средства могут и не вернуться: его просто перекупят или он захочет переехать. Тем не менее работа с институтами — один из основных способов рекрутинга молодых специалистов, растить из которых «матёрых солдат» придётся долго и упорно. Нередко этот путь найма выбирают крупные организации с развитыми отделами ИБ, с различными направлениями работы в ИТ, с налаженными системами обучения и повышения квалификации внутри — такие, например, как «Яндекс», Mail.Ru, «ВКонтакте». Также перспективные студенты интересны компаниям, которые предоставляют услуги ИБ-аутсорсинга и желают растить как отдельных специалистов, так и целые команды под проекты.
Если вам в команду нужны специалисты по ИБ с хорошими техническими знаниями в области практической безопасности, их можно искать на хакерских соревнованиях типа хакатонов или CTF (Capture The Flag, захват флага) — там много перспективных ребят, но за их внимание борются десятки компаний. В основном здесь ищут и находят сотрудников те компании, которые предоставляют услуги анализа защищённости. Чем можно привлечь таких специалистов? Их чаще всего интересуют на первом этапе не столько деньги и имя компании, сколько возможность работать вместе с близкими по духу людьми, быть в своей «тусовке». Почти наверняка их привлечёт команда пентестеров, исследователей, которые работают над интересными проектами, а в свободное время могут обсудить что-то за сеансом настольного футбола в офисе, например. И нужно очень сильно постараться, чтобы победитель CTF или один из заметных участников таких соревнований захотел сидеть в стандартной конторе и описывать модель угроз для значимых объектов КИИ (критической информационной инфраструктуры). Об этом более подробно будет сказано дальше.
Универсальный способ подбора персонала — «по знакомству». Для его применения надо иметь приличный имидж как работодателя и расширять число каналов взаимодействия — например, участвовать в профильных группах и форумах, общаться на актуальные темы в соцсетях, вести блог и т. д. В общем, нужно обладать широкими знакомствами в сфере, которые помогли бы как рекомендовать, так и быть рекомендованным.
Мотивация разных ибэшников разного типа
Чтобы «заманить» в компанию подходящего сотрудника, важно использовать различные нематериальные способы мотивации. Необходимо предложить что-то действительно располагающее, но и затем также следить за выполнением обещаний. В частности, частично материальными могут быть следующие моменты: возможность частых командировок за рубеж, в различные регионы России, в интересные регионы; спортивные программы досуга (спортзал, футбол по субботам, йога по воскресеньям); выездные мероприятия; обучение, в том числе иностранным языкам.
Также интересно предлагать дополнительные возможности в соответствии со специализацией. Иными словами, пообещать и дать интересную работу. Так, хакерам — возможность решать нестандартные задачи и погружаться в свою среду за счёт участия в профильных конференциях и соревнованиях; руководителям по ИБ — проходить обучение и получать контролирующие функции, иметь возможность проводить расследование инцидентов; сотрудникам специализирующимся на комплаенсе — анализ нормативной документации и её доработку. К примеру, большинство молодых людей хочет быть «хакерами», а информационная безопасность предполагает большой объём бюрократии. Нагрузить технаря бумагами — прямой путь потерять его. Это нужно учитывать. А ведь специалисты по комплаенсу нередко неспособны провести даже сетевое сканирование. Потому принцип «от каждого — по возможностям» здесь актуален как никогда.
Ещё один важный момент — уважение, профессиональное признание. На практике мы часто сталкиваемся с тем, что сотрудников ИБ считают запретителями, ограничителями и вообще вредителями, особенно в офисе. Работа безопасника важна, и прилюдное занижение её значимости выйдет боком. Часто встречаются ситуации, когда антивирус заставляют отключить из-за того, что компьютер «тормозит». Подобная ситуация заставит опустить руки даже вовлечённого специалиста. Признание важности работы и профессионализма может проявляться по-разному для разных специалистов. Технарей можно, как сказано выше, отправлять на соревнования и поощрять их дополнительное образование. Менеджменту отдела ИБ, очевидно, в радость будет похвала перед коллективом и предоставление дополнительных функций по управлению. Также хороши для всех ежегодные премии, призы за отличную работу и так далее. Будьте внимательны к своим специалистам.
И, наконец, здоровая атмосфера в коллективе. Сюда входят и грамотная рассадка в кабинетах, и «уголки релаксации» с пуфами и фруктами в офисах, и корпоративы, и нормальное техническое обеспечение. Кроме того, важны такие психологически значимые вещи, как возможность регулярного здорового общения с руководством, вовлекающие формы активности среди менеджеров и так далее. В этой части весьма много написано профессиональными кадровиками.
Материальное вознаграждение играет важную роль, но далеко не первую. Разумеется, сотрудник уйдёт, если ему предложат втрое больше в соседнем офисе. Но это маловероятно, если у вас есть всё, о чём мы говорили выше.
Набрали специалистов и получили проблемы. Что делать?
Допустим, вы набрали штат, и даже сотрудники довольны. Но что-то идёт не так. Утечки витают в воздухе, пентест затягивается вдвое против ожидаемого. В чём же причина? Их может быть несколько.
Основная причина неэффективной работы ИБ (и, как следствие, текучки кадров: хороший сам ушёл, а плохого уволили) — это некорректное распределение обязанностей. Несколько примеров:
- технический специалист занимается оформлением отчётов и иных документов;
- профессионал выдаёт ЭЦП с утра до вечера;
- необученный инженер брошен на внедрение сложной системы.
Продолжать можно и дальше, но лучше покажем, как решить эти три проблемы:
- На группу из трёх пентестеров один технический писатель прекрасно решит задачу.
- Один из пентестеров, получив свободное время, легко справляется с задачей выдачи ЭЦП.
- Решение в формулировке — обучить инженера. Изменив его квалификацию, решаем множество проблем.
Приведённые выше решения требуют денег. Но если посчитать, сколько стоят неэффективно используемое время специалистов и их отток, а затем поиск новых, выходит не так уж и дорого.
Вторая проблема ИБ — отсутствие нормального планирования и KPI. Здесь рекомендуем составлять годовой план работ и ежеквартально отмечать его выполнение. Ежедневные и иные периодические обязанности надо включать в KPI наряду с выполнением плана. Пример показателей KPI:
- Доля обученных безопасной работе сотрудников.
- Степень эффективности социальной инженерии.
- Отсутствие инцидентов.
- Выполнение требований законодательства.
На периодической же основе следует выполнять (или быть готовым выполнять):
- анализ логов;
- контроль средств защиты — АВЗ, DLP и проч.;
- восстановление учётных данных;
- расследование инцидентов.
При прозрачном планировании сотрудник понимает, чего от него ждёт организация, и может самостоятельно корректировать действия, предупреждая инциденты, а не расследуя их. Применяя нехитрые правила, описанные выше, можно создать эффективную команду по обеспечению кибербезопасности.
Выводы
Конечно, проблему с нехваткой кадров в ИБ необходимо решать системно, тем более что ситуация за последние месяцы отнюдь не улучшилась. Справиться с масштабным кризисом возможно только с помощью государства. Здесь нужны образовательные программы, реформирование обучения, льготы, системы поддержки. Отдельные шаги в этом направлении уже сделаны, но серьёзно пока ничего не изменилось. Впрочем, в любом случае на подобные реформы уйдут годы, а решать проблемы необходимо сейчас.
Поэтому если каждый из тех, кто нуждается в специалистах по ИБ, будет подходить к процессу их поиска вдумчиво, начиная не с вопроса «кого я хочу найти», а с вопросов «какой специалист необходим для решения задач моей организации», «чем мы как компания можем заинтересовать его», «как удержать ценного кадра», то результаты будут гораздо более успешными. Необходимо понимать, что сейчас все мы, работодатели, соревнуемся за внимание соискателей, и результат зависит только от нас.