Старт карьеры в ИБ: как повысить свои шансы трудоустройства на должность специалиста по кибербезопасности

Количество вакансий в сфере кибербезопасности планомерно растет год от года. Если в 2021 рост составил примерно 50%, то в 2022 количество ИБ-вакансий увеличилось уже в два раза.

В работу над кибербезопасностью активно вливаются как начинающие специалисты, выпускники ВУЗов, так и представители смежных направлений, которые имели похожие задачи на прошлом месте работы или прошли дополнительное обучение, программу переквалификации. Но, несмотря на рост рынка, кибербезопасность остается высококонкурентной средой с точки зрения трудоустройства.

Устройство на работу начинается с отклика: резюме, собеседования, и тестового задания. О том, какие нюансы ИБ-сфере нужно учесть при трудоустройстве, какие типовые ошибки совершают соискатели и том, как повысить свои шансы устроиться на «работу мечты» – в этой статье.

Что отличает кибербезопасность от других IT-сфер

Прежде чем садиться за резюме специалиста по информационной безопасности, важно понимать, чем кибербезопасность в принципе отличается от других направлений IT-сектора.

Можно выделить несколько фундаментальных отличий:

1. Критическая важность доверия. Высокоуровневым специалист с развитыми «soft skills» может быть желанным гостем огромного количества компаний, но не успеет в ИБ, если не будет вызывать доверия.
2. Высокий уровень государственного регулирования. Принято считать, что «крутого айтишника» возьмут и без диплома, даже если он, условно, школу не закончил. В ИБ это возможно далеко не всегда. Наличие «корочки» – это почти всегда плюс.
3. Более высокий уровень ответственности. Многое зависит от конкретной компании или структуры, но специалист по кибербезопасности с большей вероятностью подпишет строгий NDA или вовсе получит допуск к гостайне, чем обычный разработчик.
4. Обилие направлений. В некоторый направлениях кибербезопасности вполне можно реализовывать себя с минимальными навыками программирования. В других наоборот, работа мало чем отличается от будней разработчика какого-нибудь ПО или сервиса.
5. Комплаенс превалирует над реальностью. Этот тезис с каждым годом становится все более спорным, но до сих пор множество компаний нанимают «безопасника» для обеспечения соответствия нормативам, а не для обеспечения безопасности.

Стоит также «держать в уме», что термин «информационная безопасность» в бизнесе может пониматься очень по разному. Под двумя разными объявлениями с одинаковой «шапкой» может скрываться как вакансия для аналитика SOC, так и вакансия для « мастера на все руки», который занимается вообще всем, от контроля обновлений и администрирования сетей, до разработки «нормативки».

Кирилл Медведев

HR-директор «СерчИнформ»

Если в целом сделать срез по вакансиям на должность ИБ-специалиста, то прослеживается четкая зависимость от того, что сама компания понимает под инфобезом. Чаще всего требуется специалист, который не погружен в технические вопросы, но имеет навыки «следователя», либо нужен «классический» безопасник, окончивший вуз. И тогда он уже умеет работать в локальной сети, владеет системным администрированием, понимает методику расследования и прочие моменты.

Но по нашему опыту второй вариант встречается крайне редко, как в вакансиях, так и в резюме. Основная масса компаний находится в состоянии, что нужен ИБ-специалист и на него хотят перекинуть все задачи, связанные с сетями, компьютерами, антивирусами и многие другие.

Специфику компаний и работы ИБ-специалиста в них особенно важно учитывать в тех случаях, когда соискатель претендует на должность в компании, которая не занимается кибербезопасностью или IT.

Первый шаг к карьере в информационной безопасности – резюме

Первый, кто увидит резюме специалиста информационной безопасности – это HR. Важно понимать, что это не обязательно «профильный» человек, который понимает, что такое кибербезопасность и слабо осведомлен об IT в целом. Помимо этого, он не сидит и не ждет конкретно ваш отклик, возможно – просматривает их раз в неделю, сразу «пачкой».

Если речь о какой-то высокой должности, то вполне вероятно, что резюме он просматривает «шапочно», а поиском специалиста по информационной безопасности занимается самостоятельно, через знакомых коллег или профили в том же Linkedin.

Поэтому важно скомпоновать свой отклик так, чтобы HR за него «зацепился». Самый простой способ сделать это – расположить в начале информацию, «отзеркаленную» из вакансии. То есть, выделить те навыки из резюме, которыми вы обладаете, и поместить их вверху, а всю остальную информацию, включая диплом за первое место в CTF и участие в вебинарах вендоров.

Антон Ведерников

Руководитель отдела разработки и сопровождения сервисов информационной безопасности, Selectel

Со стороны технической команды принципиальных отличий нет. Специалист по информационной безопасности — это такой же ИТ-специалист в широком смысле этого слова. Невозможно обеспечивать безопасность, если не понимаешь, для чего используется и как работает конкретная технология.

В резюме просто смещается фокус с администрирования на обеспечение безопасности. Например, вместо масштаба проекта могут быть указаны регуляторные требования, а вместо инструментов автоматизации — специализированные решения по информационной безопасности. В дополнение к техническим навыкам часто указывают опыт работы с международными стандартами и знание требований законодательства.

Оптимальная структура резюме ИБ-специалиста может быть такой:

• перечисление тех навыков и компетенций, которые есть в запросе;
• прочие «hard skills», опыт работы с разным ПО, организации процессов или другие навыки;
• «soft skills» или личные качества, которые могут помочь в работе.

Наравне с «хаотичностью» и избыточностью резюме специалиста по безопасности информации, стоит избегать и «минимализма», когда все резюме состоит из ФИО, ВУЗа и списка ранее занимаемых должностей в других компаниях.

Важно помнить, что резюме – это только первая стадия, и путь до трудоустройства еще не закончен, поэтому не нужно перегружать отклик информацией о себе. Иначе это будет напоминать первое свидание, на котором парень сразу же принялся рассказывать потенциальной «девушке» о том, как он учился в начальной школе или багхантит долгими пятничными вечерами.

В случае с «минимализмом» ситуация будет не менее комичной, поскольку «парень соискатель» окажется молчуном, который просто поздоровался и решил, что этого достаточно.

Шаг второй: собеседование ИБ-специалиста

Независимо от того, на какую конкретную должность претендует специалист, на собеседовании будут затронуты такие темы, как:

• обучение и «профильные» интересы;
• участие или реализация разных проектов, практических кейсов;
• навыки работы с разным ПО;
• комплексное видение кибербезопасности.

С большой долей вероятности, собеседование может состоять из двух частей: классической, за которую отвечает HR, и технической, которую обычно проводит непосредственный руководитель.

Дать универсальные советы по технической части и навыкам вряд ли возможно, но можно сформулировать несколько общих, поскольку соискателя оценивают не только как специалиста, но и как человека, члена команды.

Главный совет – продемонстрировать свою профессиональную заинтересованность конкретно в этой работе и профессии в целом. В конечном итоге, работа «безопасника» нередко бывает монотонной и высоконагруженной, поэтому без личной мотивации просто не обойтись. «Интересные задачи в режиме нон-стоп» может предложить не каждая компания, и почти наверняка – не с начальных должностей.

Наталья Юрина

Руководитель отдела подбора и адаптации персонала компании-разработчика ПО МойОфис

Если это начинающий специалист, однозначно подкупают хорошее знание матчасти и высокая заинтересованность в работе и получении практического опыта. Даже если на собеседовании соискатель не смог ответить на все вопросы, но спросил, что почитать, что изучить и когда интервью можно пройти повторно – это тоже оставляет приятное впечатление. В нашей практике были примеры, когда первое собеседование прошло не очень удачно, а потом кандидат целенаправленно подготовился, изучил материалы, литературу и пришел вновь - сейчас это сотрудник компании. Главное - не сдаваться!

Всегда задаем вопросы, помогающие нам понять мотивацию кандидата. И обязательно спрашиваем о специфике позиции – это всегда видно в описании функциональных обязанностей и требований. Хорошо, когда в ответах кандидат приводит примеры из своего опыта. Опыт в процессе практики - тоже опыт.

Второй совет, который перекликается с советом по резюме специалиста по безопасности – быть умеренным в описании своих достижений, особенно если они могут быть восприняты двояко. История о том, как специалист смог взломать соседский wi-fi или страницу подруги в соцсетях, работодателя скорее отпугнет.

И третий совет – не пытаться быть « безопасником» в плохом смысле этого слова. Многие специалисты по кибербезопасности приходят в частный сектор после работы в госорганах, иногда – силовых ведомствах. В этом случае, приходить «в плаще сыщика» совершенно точно не стоит, поскольку работодатель – не поднадзорный.

Ксения Коскова

HR-директор цифровой платформы для организации командировок и управления расходами Ракета

Во время собеседования со специалистами по безопасности можно выделить специфику выстраивания тяжелой коммуникации со стороны кандидатов. Периодически попадаются кандидаты, которые пробивают компанию по всем возможным им источникам и на собеседовании занимают позицию «превосходства». Такие кандидаты могут быть некорректны в общении, не стремятся делиться информацией о себе, требовательны к условиям. Но, конечно, не все кандидаты такие.

Типичные вопросы, обсуждаемые со специалистами по ИБ, будут варьироваться в зависимости от направления деятельности. Например, специалисты, которые больше работают с программным обеспечением больше будут обсуждать пентесты. Есть специалисты, которые больше фокусируются на аудитах и сертификации. Тогда целесообразнее обсудить, например, опыт прохождения сертификации ФСТЭК.

И третий совет – подготовиться. В частности, посмотреть последние новости компании, блог, ознакомиться с информацией о системах и инструментах, которые она использует, в целом о специфике (с точки зрения ИБ) отрасли, в которой эта компания работает.

Касательно технической части собеседования или тестовых заданий, главное – не бояться не знать каких-то частных аспектов. Специфика ИБ-отрасли (и IT в целом) такова, что работодатель, с большей вероятностью, возьмет хорошего специалиста и «доучит» у себя, чем возьмет того, кто умеет все, но ничего из этого не умеет хорошо. Если только он не ищет «универсального бойца», который, возможно один, будет закрывать все задачи ИБ в компании.

Итоги

В становлении кибербезопасности был период, когда большая часть рынка приходилась на госсектор, со всеми вытекающими из этого формальными и неформальными требованиями. На данный момент, рынок более сбалансирован, да и востребованность ИБ-специалистов вынуждает даже « окологосударственные» компании отказываться от формализма и идти по пути реальных навыков и решения практических задач.

Поэтому проблемы с предложением на рынке труда нет. Чтобы претендовать на хорошую, интересную, пусть даже и начальную должность в большой компании – нужно, при равных с конкурентами технических навыках, уметь актуализировать свои умения и точечно донести их до работодателя.