Продолжаем разбираться в особенностях подбора специалистов по информационной безопасности (ИБ). В первой части мы поговорили об особенностях рынка труда в сфере инфобеза, зарплатных вилках и эффективных каналах поиска. А в этом материале разберемся, какими навыками должны обладать кандидаты, что и как проверять во время интервью или с помощью тестового задания.
О компетенциях специалистов по ИБ
Какими навыками должен обладать специалист по инфобезу в системном интеграторе
Ольга Теленова:
Хороший консультант по информационной безопасности в системном интеграторе — это 3 в 1:
- юрист — нужно знать законодательную базу российского, а иногда и международного права по защите информации;
- IT-специалист — надо разбираться в системах защиты информации, ПО, оборудовании;
- психолог — важны развитые коммуникативные навыки и понимание основ психологии, ведь приходится общаться с разными заказчиками и искать подход к каждому.
Какие еще навыки нужны специалистам по ИБ:
- Умение проводить аудит и исследования. Специалисты по информационной безопасности проверяют системы ИБ, меры защиты персональных данных, КИИ — критическую информационную инфраструктуру. Уточняют наличие нужных документов, анализируют роли и процессы по защите информации в компании.
- Умение писать аналитические отчеты и документацию. По результатам исследований специалист должен составить подробный отчет. Такой документ содержит рекомендации, как усовершенствовать и повысить эффективность защиты информации и объектов информатизации заказчика.
- Знание английского языка для чтения документации.
Ступенью выше консультанта в системном интеграторе находится ведущий консультант. Обычно это руководитель проекта, в функциональном подчинении которого 2–3 человека. Он следит за соблюдением сроков, качеством документации, разрешает конфликтные ситуации с заказчиками. Такой специалист должен обладать всеми перечисленными выше навыками, а также развитыми управленческими и коммуникативными компетенциями.
Обычно путь от консультанта к ведущему консультанту специалисты проходят внутри одного системного интегратора.
Какие навыки требуются специалистам в сфере кибербезопасности для работы в вендоре ИБ-продуктов
Ульяна Тарасевич:
Мягкие навыки универсальны для любой должности в кибербезопасности, а вот набор жестких компетенций сильно зависит от роли специалиста. Попробую описать усредненный набор хард- и софт-скиллов.
Софт-скиллы | 1. Коммуникативные навыки и навыки работы в команде. 2. Умение давать и получать обратную связь. 3. Аналитические способности. 4. Дотошность и стремление все доводить до конца — это важно при работе с реальными угрозами и утечками. 5. Навыки принятия решений. 6. Умение мыслить вне рамок и стандартов — например, в нетривиальных ситуациях отходить от готовых дорожных карт и предлагать собственные решения. 7. Проактивность. 8. Техническая эрудированность и любознательность. 9. Умение мыслить тактически и стратегически. 10. Навыки тайм-менеджмента — умение распределять время между задачами и не работать в режиме многозадачности. 11. Навыки приоритизации и целеполагания. 12. Хорошо развитое критическое мышление. |
Хард-скиллы | 1. Владение английским языком. 2. Представление о матрице MITRE ATT&CK. 3. Базовые знания работы операционных систем. 4. Представление об уязвимостях ОС, программ и веб-приложений 5. Знание сетей и хотя бы минимальное понимание моделей OSI или TCP/IP. 6. Навыки, которые требует определенная предметная область. 7. Например, специалист по threat intelligence должен разбираться в тактиках, способах и целях деятельности злоумышленников. 8. Знание одного или нескольких языков программирования и библиотек. |
Как оценить специалиста по ИБ
Ольга Теленова:
Расскажу, как ведется подбор специалистов по информационной безопасности в нашем агентстве.
Сначала мы оцениваем резюме и изучаем опыт работы кандидата, а также его локацию. Нашим заказчикам чаще всего требуются специалисты из Москвы, поэтому за них особо высокая конкуренция. С иногородними соискателями часто приходится обсуждать релокацию или гибридный график работы.
Например, мы предлагаем иногородним кандидатам первый месяц провести в командировке в Москве с оплатой билетов и/или жилья, а потом уйти на полную удаленку в своем городе. За этот месяц новый сотрудник может познакомиться с коллективом, процессами в компании и стандартами разработки документации.
Следующий шаг — часовое видеоинтервью. В ходе этой встречи оцениваем соискателя и сопоставляем его с портретом идеального сотрудника, который озвучил нанимающий менеджер. Например, на интервью с будущими руководителями проектов в системных интеграторах обращаем особое внимание на их коммуникативные навыки: умение вести диалог, располагать к себе, аргументировать свои решения, демонстрировать экспертность.
Оценить уровень профессионализма специалиста наши рекрутеры не могут — мы оставляем это заказчику. Однако рекрутер собирает данные, чтобы упростить работу нанимающему менеджеру:
- какую нормативную базу знает кандидат (ГОСТы, ФЗ);
- с какими заказчиками он взаимодействовал;
- на каких проектах и как долго работал, сколько длился проект и каким был состав команды;
- какие документы он составлял: политики в области информационной безопасности, модели угроз, модели нарушителя или отчеты по результатам аудита;
- какая мотивация у кандидата: когда и при каких условиях он перейдет в другую компанию, готов ли к переезду.
Воронка подбора специалистов по ИБ в системные интеграторы в целом похожа на процесс найма других специалистов в IT-сфере. Но есть отличие: мы не даем кандидатам тестовое задание — все, что хочет оценить заказчик, проверяют во время интервью.
Ульяна Тарасевич:
Я не провожу интервью по компетенциям. Все, что требуется, можно узнать из обычной беседы с кандидатом. На собеседовании я обсуждаю со специалистом:
- чем он занимался;
- что больше всего понравилось;
- какой кейс, на его взгляд, самый достойный и почему;
- какие задачи интереснее всего было решать;
- как эти задачи специалист решил бы сейчас;
- как развились его навыки за последние несколько лет;
- какие новые технологии он освоил и как применяет их на практике.
Я не делаю окончательных выводов на первом этапе и советую просто отмечать нюансы, которые можно будет обсудить позже:
За чем наблюдать | Что можно оценить |
Что рассказывает кандидат и как он это делает. | Коммуникативные навыки. Эрудиция. Готовность к работе над конкретным проектом. |
Получил ли кандидат высшее образование. Как объяснил, почему не получил. | Умение доводить дело до конца. |
Вовремя ли кандидат подключился к звонку или пришел на собеседование. | Навыки тайм-менеджмента. |
Если собеседник начинает путаться, я задаю наводящие вопросы — например, прошу назвать 5 любимых сетевых протоколов или перечислить классы средств защиты информации. Обычно такие вопросы требуются, что разговорить джуна. Бывает, кандидат начинает углубляться в интересную ему тему. В таких случаях я делаю пометку для нанимающего менеджера, о чем стоит дополнительно поговорить во время технического интервью.
Чем более подкован рекрутер, тем больше нюансов он может обсудить с кандидатом. Поэтому всем рекрутерам я советую учить матчасть. Однако оценивать хард-скиллы все равно должен нанимающий менеджер.
Тестовое задание
Ульяна Тарасевич:
Кандидатам на позицию специалиста по кибербезопасности мы предлагаем решать кейсы — задачи, с которыми они будут сталкиваться в ежедневной практике.
Обычно в тестовом задании две части — техническая и аналитическая. Сначала кандидатам нужно использовать различные технологии для сбора информации, например Python с набором библиотек. Потом следует провести исследование и анализ, после чего написать отчет.
Например, джунам, которые хотят работать в направлении threat intelligence, предлагаем подготовить отчет на русском и/или английском языке о конкретной хакерской группе по методу TTPs. Специалисты по кибербезопасности применяют этот метод для описания поведения, процессов, действий и стратегий, которые использует злоумышленник для разработки угроз и участия в кибератаках.
Антифишинг-аналитикам предлагаем найти в интернете фишинговую страницу, провести ее анализ и подготовить описание с помощью специальных инструментов и ПО.
О чем важно не забывать при найме специалистов по ИБ
Ольга Теленова:
Расскажу, как избежать типичных ошибок в подборе специалистов по ИБ, чтобы ваш наем был эффективнее.
Не пренебрегайте CRM-системой
Специалисты по ИБ обычно скрывают свое резюме, как только принимают оффер. Они отлично знают, как защищать персональные данные везде: в Хедхантере, телеграме и социальных сетях. Поэтому важно сохранять в CRM-систему все резюме, что вы нашли во время работы над вакансией. Так вы сможете связаться со специалистом позже, даже если он спрятал свой профиль. За несколько лет обычно накапливается база из тысяч человек — только не забывайте периодически актуализировать контакты.
Ускоряйте процесс принятия решения
На рынке высокая конкуренция за специалистов по ИБ. Часто счет идет даже не на дни, а на часы. Однажды мы нашли прекрасного кандидата, но он уже получил оффер от другой компании. Ответ на предложение конкурентов специалист должен был дать в течение нескольких часов. Мы успели его уговорить — и в итоге он принял наш оффер.
Предоставляйте гибкие условия в оффере
Рынок высококонкурентный, поэтому нужно подбирать индивидуальный подход к кандидатам. Например, сильный соискатель нашелся в другом городе и не может переехать. Тогда предложите ему поработать в офисе только в первый месяц, а потом переведите на удаленку.
Используйте аналитику и данные о рынке
Если у вас не получается закрыть вакансию, соберите данные о рынке и конкурентах: какие условия предлагают кандидатам, средний размер зарплатной вилки. Используйте собранную информацию, чтобы скорректировать вакансию на встрече с заказчиком.
Часто нам приходится долго и методично «продавать» идею удаленки нанимающим менеджерам: мы объясняем и показываем, что удаленный или гибридный график может стать весомым преимуществом, если в остальном условия работы в компаниях схожи.
Резюмируем
- Хороший консультант в системном интеграторе — одновременно IT-специалист, психолог и юрист. Такой сотрудник умеет проводить аудит и исследования, оформлять отчеты и документацию, а также понимает текст на английском языке.
- Специалистам по кибербезопасности важны:
- развитые аналитические навыки;
- коммуникативные способности;
- критическое мышление;
- умение планировать;
- владение английским языком;
- знание операционных систем, уязвимостей ОС и веб-приложений;
- понимание, как устроены процессы и сети передачи данных;
- специальные хард-скиллы, которые требует конкретная предметная область.
- Софт-скиллы специалистов по инфобезу может проверить рекрутер, а вот для оценки хард-скиллов нужен нанимающий менеджер.
- Проверить хард-скиллы кандидатов для работы инхаус можно с помощью тестового задания. Обычно это решение кейса — реальной задачи, с которой придется столкнуться специалисту.
- Процесс найма специалистов по ИБ должен быть быстрым и гибким, ведь рынок высококонкурентный.
- Ведите базу кандидатов, добавляйте в кадровый резерв тех, кто сейчас вам не подошел, возвращайтесь к ним с другими вакансиями.