Ищем специалистов! Менеджмент кадров в ИБ

Ищем специалистов! Менеджмент кадров в ИБ

Информационная безопасность — это крайне быстро развивающаяся сфера. И, как и все высокотехнологичные отрасли, сталкивается с проблемой дефицита кадров. По оценкам специалистов, сегодня в сфере ИБ заняты более 110 тыс. специалистов, при этом нехватка сотрудников составляет около 50 тыс., а к 2027 г. потребность в них может увеличиться в несколько раз.

Кадровая проблема затрагивает все направления информационной безопасности, включая SOC, поскольку именно в этой области наиболее остро ощущается нехватка высококвалифицированных специалистов. В условиях постоянного роста угроз и сложности атак крайне важно, чтобы CISO и руководители центров мониторинга ясно понимали причины текущего кадрового дефицита и обладали эффективными стратегиями управления командой, способными обеспечить оперативную и результативную работу.

Кого не хватает SOC?

Создание центров мониторинга и противодействия киберугрозам или использование SOC как полноценного сервиса сегодня — это одни из самых востребованных услуг на рынке ИБ. Как и в других сферах информационной безопасности, здесь существует нехватка специалистов. Анализ вакансий показывает, что наибольший спрос среди специалистов в области SOC приходится на специалистов второй линии SOC (аналитики SOC L2, либо high grade L1) и администраторов средств защиты информации (СЗИ).То есть больше всего работодатели заинтересованы в специалистах среднего уровня квалификации (middle-специалистах),которые составляют около 50% всех открытых вакансий.

Количество открытых позиций для узкопрофильных специалистов меньше, но это не означает, что спрос на них ниже: их редкие и уникальные навыки требуются для решения специфических задач. Здесь речь идёт о сотрудниках третьей линии SOC (аналитики SOC L3), экспертах-форензиках, специалистах по киберразведке и др.

Трудности в поиске также разнятся. Если при поиске аналитиков SOC L1 вопрос стоит в общем количестве специалистов, подготовленных образовательной системой, а при поиске L2 возникает необходимость в наличии комплекса необходимых компетенций и практического опыта, то узкопрофильные эксперты — это сочетание многолетнего опыта и уникальных навыков, что делает их особенно ценными и востребованными. Проблема заключается не только в их ограниченном количестве на рынке, но и в высокой стоимости для работодателей, а также в необходимости разработать стратегии для их удержания в компании.

Почему возникает дефицит кадров?

Существует несколько основных причин, почему возникает недостаток специалистов:

Недостаток подготовленных кадров. Российская образовательная система сегодня не готовит достаточное количество специалистов. По разным оценкам, количественно выпускники ИБ-программ российских вузов могут закрыть в лучшем случае 30% потребностей в кадрах. Более того, выпускники чаще всего имеют хороший теоретический уровень подготовки, но не обладают совсем рабочим опытом или имеют минимальный. Однако, как говорилось выше, работодатели наиболее активно ищут middle-специалистов, то есть тех, у кого есть опыт работы хотя бы от 1 до 3 лет. Следовательно, образовательная система сегодня не может подготовить достаточное количество необходимых кадров, особенно со спецификой работы на разных должностях в SOC.

Слабый менеджмент. В современном SOC люди играют столь же важную роль, как технологии и процессы. Руководителю SOC как лидеру команды критически важно обладать высоким уровнем управленческих компетенций, чтобы эффективно формировать и развивать свою команду, учитывая, что многие из них являются уникальными профессионалами с высочайшим уровнем экспертного опыта. Для этого необходимо уметь грамотно обрисовывать карьерные перспективы сотрудников, предотвращать профессиональное выгорание и находить способы повторной мотивации тех, кто уже столкнулся с этим состоянием. Это требует отличных софт-скиллов, высоко развитых навыков эмпатии и способности управлять эмоциональным состоянием коллектива. Кроме выстраивания эффективного взаимодействия внутри команды, руководителю необходимо формировать чёткую рабочую структуру и стратегию, которая обеспечит достижение целей SOC. Это включает в себя внедрение передовых технологий и методов, которые позволят сотрудникам решать стоящие перед ними задачи наиболее эффективно. То есть руководитель SOC должен быть и высококлассным специалистом, полностью понимающим технологическую сторону работы, и первоклассным менеджером, знающим, как управлять людьми, слушать их и находить решения для проблем. Однако лишь немногие обладают по-настоящему качественным сочетанием этих навыков.

Переоценка своих навыков. Здесь речь идёт о ситуации, когда middle-специалист начинает чувствовать стагнацию: ему кажется, что полученных навыков и опыта достаточно для шага вперёд, который не происходит в текущей организации. Хорошо иллюстрирует эту проблему график Даннинга — Крюгера (рис. 1). Часто это происходит с аналитиками SOC L1, которые уже приобрели определённые знания и опыт, либо с аналитиками SOC L2, которые достаточно быстро перешли из первой линии во вторую, но следующий виток карьеры занимает больше времени. Из-за этого создаётся иллюзия, что в другой компании удастся сделать этот самый скачок, и они пытаются уйти, к примеру, в in-house SOC заказчика, где сталкиваются либо с недостатком собственной компетенции, либо с ограниченным количеством задач, ведущим к ещё большему выгоранию. В итоге специалист на определённое время останавливается в собственном развитии, что негативно влияет и на его карьеру, и на кадровую ситуацию на рынке.

Рисунок 1. График Даннинга — Крюгера хорошо иллюстрирует проблему, когда middle-специалист начинает чувствовать стагнацию: ему кажется, что полученных навыков и опыта достаточно для шага вперёд, а он не происходит…

Как преодолевать дефицит?

Нехватка кадров заставляет рынок адаптироваться и искать способы преодоления дефицита. Компании на рынке прибегают к разным инструментам.

Стажировки в компаниях. Многие игроки рынка запускают программы стажировок, чтобы компенсировать нехватку опыта и помочь в адаптации молодым специалистам. Такая программа есть и в компании «Информзащита». Здесь стажировка состоит из нескольких этапов: сначала кандидатов отбирают на основе тестовых заданий, далее в течение двух-трёх месяцев начинающие специалисты слушают лекции и выполняют практические задания, а после лучшие из них принимаются в отдел развития компетенций, где окончательно адаптируются в компании и профилируются. Такой подход позволяет получить специалистов с бо́льшим набором навыков и опытом, чем у простого выпускника вуза, более того, стажёры лояльнее компании, поскольку видят и ценят её вклад в их профессиональное развитие.

Подготовка руководителей. Человек, стоящий во главе SOC, должен сочетать в себе навыки высококвалифицированного технического специалиста и полноценного менеджера, умеющего работать с людьми. Поэтому важно, чтобы они проходили подготовку в качестве руководителя: изучали психологические аспекты своей работы, развивали софт-скиллы, понимали, когда необходимо действовать как коллега, поддерживая равные отношения в команде, а когда проявлять лидерские качества, эффективно управляя процессами внутри SOC для достижения стратегических целей.

Аутсорсинг. Вероятно, это главный инструмент преодоления дефицита специалистов. Такой формат работы позволяет закрывать недостаток собственных сотрудников за счёт экспертов сторонней компании, которые могут обслуживать нескольких клиентов одновременно. Например, Центр мониторинга и противодействия кибератакам «Информзащиты» IZ:SOC предлагает заказчикам услуги сервисного и гибридного SOC. В первом случае специалисты компании полностью выполняют функции центра в инфраструктуре клиента, осуществляют мониторинг, реагируют на киберугрозы и так далее. Во втором случае специалисты IZ:SOC закрывают недостающие позиции в собственном центре клиента, то есть выступают сторонними экспертами, помогающими полноценно функционировать инфраструктуре информационной безопасности заказчика.

Также компании прибегают к использованию разовых услуг и отдают их на аутстафф. Например, расследованием киберинцидентов, или, иными словами, форензикой чаще всего привлекают заниматься сторонних специалистов, так как содержать такого эксперта дорого внутрисобственной компании и зачастую нецелесообразно, ведь инциденты происходят не каждый день. К таким разовым, но экспертным услугам также относятся разработка правил корреляции и плейбуков, внедрение систем SIEM, IRP/SOAR, TIP, NTA, EDR, комплексный анализ защищённости, включающий Red Team, Purple Team и так далее.

Внедрение искусственного интеллекта. Этот способ сегодня не находится на передовой, и ему предстоит пройти долгий путь развития. Однако эксперты считают, что уже сегодня ему стоит уделять внимание. Существует относительно распространённое мнение, что ИИ в будущем заменит аналитиков SOC L1 и L2, выполняющих рутинные и повторяющиеся задачи. Однако на практике это не совсем так. Вместо полной замены ИИ скорее станет мощным инструментом, который автоматизирует стандартные процессы, позволяя специалистам сосредоточиться на более сложных и аналитических задачах, требующих человеческого интеллекта и опыта. В результате изменится не потребность в этих специалистах, а характер их работы, что откроет новые перспективы для профессионального роста в управлении и оптимизации ИИ-систем. 

Что в итоге?

Дефицит специалистов по информационной безопасности в целом и сотрудников SOC в частности — это реальность, с которой рынок должен мириться. Однако важно понимать, что существующие проблемы имеют различные пути решения, и те механизмы, которые возникли у рынка для преодоления дефицита, показывают свою эффективность. Одним из ключевых решений является использование сервисных моделей и аутстаффинга, которые позволяют привлекать внешних специалистов для выполнения конкретных задач или функций. Это помогает компаниям поддерживать необходимый уровень безопасности и гибкости в условиях ограниченного кадрового ресурса. Таким образом, борьба с недостатком специалистов должна включать не только увеличение числа работников, но и оптимизацию процессов через использование внешних ресурсов и услуг, что становится важным элементом стратегии обеспечения безопасности в постоянно растущем рынке. 

Реклама. АО НИП «ИНФОРМЗАЩИТА», ИНН: 7702148410, Erid: 2Vfnxy7xMNx

Готовы обсудить противодействие кибератакам и создание центров мониторинга ИБ, технологии и инструменты для обнаружения и анализа инцидентов? Поделиться кейсами реагирования на инциденты и расследования? 

Второй SOC Tech ждёт вас 15 октября! Оригинальные форматы откроют возможности сверхэффективного взаимодействия между участниками, спикерами и партнёрами.