Где найти идеального безопасника

Где найти идеального безопасника

Кадры в ИБ — где их искать и как растить специалистов. Так называлась одна из сессий CISO FORUM, который прошёл в середине апреля в Москве. Ведущие эксперты кибербезопасности обсудили все тонкости найма в условиях дефицита кадров, а также поделились лайфхаками — как построить сильную ИБ-команду в сегодняшних реалиях.

Дискуссия о кадрах в ИБ началась с вопроса ведущего — есть ли дефицит кадров на рынке? И все эксперты дружно отметили, что проблема актуальна, но только видят они дефицит по-разному, как и пути борьбы с ним. По словам директора по продуктам Servicepipe Михаила Хлебунова, в ИТ и ИБ сейчас не просто не хватает кадров — не хватает людей, которые умеют думать и исследовать, а не просто выполнять шаблонные задания. Эксперт рассказал, что для решения проблемы найма таких людей компания идёт в вузы и там ищет талантливых думающих студентов.

И. о. директора по ИБ ДЗО АО «СОГАЗ» Артём Куличкин отметил, что его компания также активно ищет таланты среди студентов, привлекая их на практики и стажировки: «Студентам ставятся специальные задачки и среди тех, кто успешно справился с заданием, отбираются думающие ребята, многие потом остаются в компании на хардовых позициях».

CISO Райффайзен Банка Георгий Руденко заявил, что он, наоборот, не нанимает студентов и junior- специалистов. Его интересуют кадры уровня не ниже middle с прицелом, чтобы они вырастали в банке до middle+ или даже до senior.

Интересными цифрами с коллегами поделилась директор по информационным технологиям и кибербезопасности HeadHunter Татьяна Фомина. Она заметила, что на рынке складывается ощущение постоянно растущего дефицита кадров в сфере кибербезопасности, но это не совсем так. Если посмотреть на hh-индекс (это соотношение числа резюме к числу вакансий), то с середины 2022 года он очень стабилен. Например, в вакансиях разработчиков он составляет порядка 11, но при этом большая часть резюме — junior-специалисты, а за специалистов уровня middle или senior конкуренция уже другая — очень высокая.

Когда же перешли непосредственно к вопросам найма сотрудников, эксперты назвали лайфхаки, которые они используют. Артём Куличкин рассказал, как он прорабатывает с отделом кадров резюме соискателей: «Люди, занимающиеся подбором персонала, не сильно понимают в ИБ, для них SIEM, SOC и прочие аббревиатуры — незнакомые слова». И потому предложил, получая от HR пачку резюме, садиться вместе и внимательно разбирать их, помечая, что нравиться, что нет. «И в итоге HR не просто начинают разбираться, а разбираются в теме порой лучше даже junior-специалистов, которых нанимают», — подытожил он.

Татьяна Фомина считает, что также отлично работают в найме реферальные программы. Плюс, она констатировала, что принцип «нанимай медленно, увольняй быстро» крутой, но не всегда верный. Спикер привела пример, когда из-за HR с нездоровым перфекционизмом за полгода было нанято ноль кандидатов, а замена HR позволила за четыре месяца нанять шесть человек. «Если есть испытательный срок, и кандидат вроде бы подходит, то лучше рискнуть, чем оставлять вакансию незакрытой», — указала она.

Михаил Хлебунов со своей стороны отметил, что данный подход идеален при сборе новой команды (например, на новое направление), если же нужен человек в уже имеющуюся команду — необходим подход «нанимай медленно…». В то же время все эксперты сошлись во мнении, что многоэтапные утомительные и сложные собеседования — зло (они могут отпугнуть нужных кандидатов).

Интересные дискуссии вызвал вопрос о матрице компетенций. Руководитель специальных проектов ГК «Солар» Нина Шипкова заявила, что, по её мнению, «матрица компетенций» — это самый мощный инструмент для оценки навыков, глубины этих навыков, а также для понимания того, соответствует ли тот или иной человек текущей роли, какие треки для развития у человека есть — как горизонтального, так и вертикального. То есть матрица позволяет сформировать портрет роли и показать, какое необходимое обучение требуется, что нужно знать и уметь, чтобы подняться выше или перейти в другую специализацию внутри компании.

Однако не все эксперты посчитали, что матрица компетенций так необходима. Михаил Хлебунов сообщил, что в Servicepipe матрицы как таковой нет, но есть очень серьёзное инженерное ядро, и технические специалисты обучаются преимущественно внутри компании. И если у компании появляется потребность, к примеру, в новом тимлиде, то руководство в первую очередь внутри ищет специалиста, у которого есть интерес и стремление развиваться и расти. «В компании много менеджеров среднего уровня, кто вырос из техподдержки, — отметил Хлебунов. — Если технические специалисты чувствуют, что им не хватает знаний или есть желание выучить что-то новое, мы идём навстречу, потому что это почти всегда взаимовыгодное сотрудничество».

Продолжая тему повышения квалификации сотрудников, Дмитрий Беляев рассказал, что в его компании очень развито обучение по модулям, и модулей этих очень много. Кроме того, есть обязательные курсы для сотрудников подразделения кибербезопасности, большое количество киберучений по различным сценариям. «Помимо прочего, у нас также есть команда Blue Team (защитники) и команда Red Team (атакующие), мы проводим учения между ними, отрабатываем плейбуки, насколько корректно они созданы в рамках реагирования на SOC», — добавил он.

Татьяна Фомина заявила, что, по её мнению, обучение в компании ни в коем случае не должно быть принудительным, а выделенные на обучение бюджеты должны быть предельно целевыми: «Я уверена на 100%, что бюджеты на обучение и решение по их расходованию нужно отдавать вниз в управление людям, которые чуть ближе к тем, кого надо учить. Команды и люди сами знают, чему им учиться».

В финале дискуссии спикеры обсудили, какими качествами и скилами должен обладать руководитель службы ИБ. Одни эксперты говорили о том, что важнее софт-скилы, другие — что хард-скилы. В результате все согласились, что идеальный руководитель службы информационной безопасности должен обладать и тем, и другим. Кроме того, крайне важно, чтобы при собеседовании на должность руководителя ИБ-направления возник «вайб» между соискателем и нанимающим менеджером. И тогда всё получится.