Карьера в ИБ: бэкграунд имеет значение

Кирилл Медведев
HR-директор «СерчИнформ»

Сфера информационной безопасности испытывает тотальную нехватку специалистов. По данным нашего опроса, 54% российских компаний испытывают недостаток в квалифицированных ИБ-специалистах. 37,8% компаний заявили, что ИБ-кадры в дефиците, как и в прошлые два года, 17,9% - утверждают, что дефицит даже усилился. Мы постоянно получаем от своих заказчиков запросы на специалистов по безопасности – вакансии из компаний разных отраслей и регионов, по возможности – помогаем. В «СерчИнформ» набираем аналитиков для работы с нашими решениями – DLP, FileAuditor и ProfileCenter, так как активно развиваем подразделение ИБ-аутсорсинга. По сути, они работают с заказчиком как внутренние безопасники, но находятся на «территории» вендора.

Сильная потребность в ИБ-кадрах, достойная оплата и перспективность профессии привлекает соискателей. Какими путями специалисты приходят в сферу информационной безопасности? Как их бэкграунд сказывается на возможностях трудоустройства? Что учесть новичку в сфере ИБ? Поделюсь своим опытом и наблюдениям.

Потребности и возможности

Чаще всего описание вакансии на позицию ИБ-специалиста формируется из понимания самой компании, что такое инфобез. Обычно здесь два варианта: профессионал с навыками «следователя» и соответствующим опытом или «классический» специалист с техническими навыками и высшим образованием. Большинство компаний ищут ИБ-специалиста, на которого могут переключить массу задач, связанных с сетями, компьютерами, антивирусами и многим другим. Однако сотрудник службы ИБ, который понимает в системном администрировании, умеет работать в локальной сети, разбирается в методиках расследования инцидентов – редкость на рынке труда, на нашем опыте таких почти не встречалось.

Сами ИБ-специалисты строят свой профессиональный путь в трех условных векторах:

- Специалист «от практики». Например, когда-то сотрудника назначили на должность специалиста по ИБ, он некоторое время в этом «варился» и имеет некий набор компетенций. Но теоретической подготовки у него нет. Получается, что некоторыми навыками ИБ, в силу своего опыта, он владеет филигранно, но с точки зрения комплексного понимания – есть пробелы.

Рекомендация. Практический опыт – это прекрасно, однако такому специалисту стоит получить и теоретические знания, пройти профессиональное обучение. Тогда расширятся его возможности, навыки не будут ограничены прошлыми задачами и особенностями компании-работодателя. Это важно и для самого специалиста: если он аналитик, то необходимо разобраться в «железе», тогда меньше риска, что его самого обманут в этой теме. Сейчас много обучающих программ в формате блиц-курса – такие не подойдут. Нужна обстоятельная и системная подготовка, в идеале – высшее образование по специальности. Или длительные углубленные курсы.

- Специалист «от регламента». Чаще всего у него был начальник, который спускал нормативные документы, планы, целевые показатели, на них и ориентировался ИБ-специалист в своей работе. Он понимает иерархию, уровни и степень взаимодействия с коллегами по вопросам безопасности. Но при этом строил всю систему ИБ не самостоятельно. Такой специалист «отработанную» схему будет нести с собой от работодателя работодателю, не адаптируя уже почти «родных» регламентов.

Рекомендация. Специалисты по ИБ «от регламента» имеют свои психологические особенности – они отлично выполняют обязанности в рамках прописанных бизнес-процессов, буквально «от и до». Для ряда компаний именно эти сотрудники – лучшие. Если организация жестко регламентирована, то умение работать в заданных рамках – преимущество кандидата. ИБ-специалисту, который психологически и профессионально заточен под такой формат, нужно подбирать работодателя и строить карьеру дальше в том же русле. Тогда он всегда будет на своем месте и ценен для компании.

- «От образования». У такого специалиста есть четкое понимание сферы ИБ: он прошел либо вузовскую подготовку, либо курсы. Он целенаправленно шел на позицию ИБ-специалиста и хочет строить карьеру в этой области. Резюме таких кандидатов чаще всего составлены качественно и репрезентативно с точки зрения HR, акценты расставлены верно, видно, что соискатель понимает, что он пишет и для чего.

Рекомендация. Если кандидат только вышел на рынок труда, то он пройдет этап становления «молодого специалиста». Обычно на это уходит год-два-три. В это время он сам не всегда знает – останется в отрасли или оставит ее. Однако это проблема 80% выпускников вузов, в редких исключениях – выбор профессии был осознанным и четко просчитанным. Здесь важно, как можно быстрее включиться в реальную работу и влиться в коллектив. Так нарабатывается практика и быстрее приходит понимание – «мое – не мое» - удовлетворяет ли работа морально и материально. Практика решает все – это база, если она есть, то и шансы хорошо «стартануть» в профессии повышаются.

Универсальные рекомендации для карьеры в инфобезе

Сейчас сформировался тренд – переходить из какой-либо профессии в сферу информационной безопасности. Кандидатов «цепляет» высокий спрос на ИБ-кадры и привлекательная зарплата. Здесь я вижу первую ошибку восприятия.

В каждой профессии есть свои уровни – от новичка до профи. И насколько вы сами стоите близко к планке лидера – столько вы и стоите на рынке труда. Чем вы ближе к лучшим в отрасли, тем выше «ценник» за вашу работу. «Средний» специалист будет получать «среднюю» зарплату, а «новичок» – нарабатывать опыт. Это важно понимать, когда переходишь в новую сферу, в тот же инфобез, в погоне за большими деньгами. И реалистично оценить ситуацию, предварительно просчитать перспективы.

Но, допустим, решение принято и даже есть некоторая профессиональная подготовка в ИБ. Следующий шаг – трудоустроиться. Здесь большинство кандидатов допускают вторую ошибку – готовят одно резюме и веерно рассылают его по всем вакансиям. Это малоэффективно.

Резюме нужно готовить «точечно», под конкретную компанию. Посмотрите несколько вакансий, сопоставьте, попытайтесь понять логику работодателя. Иногда достаточно скомпилировать блоки резюме немного иначе, а иногда - указать какие-то определенные навыки или акцентировать внимание на прошлом месте работы. Это существенно увеличит отклик. А значит, и ваше трудоустройство будет не случайным, а выверенным, что в итоге принесет больше пользы для сотрудника и для организации.

Иногда кандидаты очень увлекаются подготовкой резюме и желанием показать себя в максимально выгодном свете. Тогда совершается третья ошибка: чем больше дипломов, сертификатов, «корочек» об обучении и переобучении, тем лучше – считает соискатель.

Чтобы опровергнуть эту идею, достаточно представить логику работодателя: если кандидат столько учится, то когда он работает? Профессиональные курсы хороши в меру, чтобы они не занимали много времени и не мешали основной деятельности. Соблюдайте баланс. И включите внутренний фильтр: сертификаты десятилетней давности – неактуальны, школьные дипломы за олимпиады – нерелевантны, непрофильные курсы – не важны и пр. Допообразование нужно указывать выборочно, тогда оно будет играть в плюс.

Кандидата пригласили на собеседование несколько организаций, и здесь тоже есть нюансы. Типовые вопросы к соискателю формирует сама компания, так как она исходит из своих задач и понимания функций ИБ-специалиста. То есть, если им важна в первую очередь защита внешнего периметра, то акцент на собеседовании будет делаться на защиту от кибератак, системное администрирование, противодействие несанкционированному доступу в ИТ-системы компании и пр. Если для организации важнее защита ПДн, то от специалиста потребуется знание регуляторики в этой сфере и понимание ее практической реализации. Соответственно, кандидату нужно тщательно подготовиться к собеседованию: изучить профиль компании, ее ожидания от ИБ-специалиста (из вакансии). Исключите ошибку – не готовиться к переговорам с потенциальным работодателем.

И в завершении немного про личные качества ИБ-специалистов.

Выделить однозначно «плохие» и «хорошие» черты характера и поведения для индустрии инфобеза сложно. Они также будут привязаны к особенностям компании-работодателя. Где-то будут ценны высокие коммуникативные способности, чтобы прояснять обстоятельства инцидентов. А где-то такие «таланты» работодатель истолкует как излишнюю болтливость – негативную черту для позиции ИБ-специалиста в этой конкретной компании. Кандидату стоит в этом ориентироваться. Однако, по собственному опыту заметил, что со временем происходит профдеформация и ИБ-специалисты приобретают свойственные именно им паттерны поведения. Например, сдержанность в беседе, умение «выудить» информацию или отвечать так, чтобы не выдать ничего лишнего.