В поисках защитников: как решать проблему кадрового голода в кибербезе

Задачник по кибербезу

В сложившейся ситуации спрос на специалистов по ИБ формируют и вендоры, и интеграторы, и компании-заказчики. Последние пользуются услугами ИБ-аутсорсинга или развивают in-house кибербезопасность в условиях агрессивного киберландшафта и не прекращающегося уже более трех лет шквала кибератак, крупных проектов по импортозамещению и необходимости выполнения законодательных требований, например по защите персональных данных.

Компании, чей основной профиль деятельности не связан с IT или ИБ, могут столкнуться со следующими сложностями при найме и удержании специалистов по кибербезопасности:

• отсутствие понимания того, какие именно специалисты и какие компетенции нужны для минимизации релевантных для компании киберрисков;

• дефицит специалистов по кибербезопасности с необходимыми навыками;

• сложности с проверкой практического опыта кандидатов — особенно если происходит наем единственного ИБ-специалиста;

• необходимость инвестиций в развитие ИБ-компетенций и выращивание специалистов внутри компании;

• предоставление возможностей для профессионального и карьерного роста, адекватная и своевременная мотивация эффективных кибербезопасников;

• предупреждение профессионального выгорания, снижение уровня рутинной нагрузки, создание благоприятной психологической атмосферы.

Без сомнения, развитие внутренних ИБ-компетенций — это игра вдолгую для крупных бизнес-игроков с широким горизонтом планирования, которые тем не менее могут столкнуться с уходом выращенных специалистов, в том числе и к конкурентам. Подобному сценарию могут помешать неформальные договоренности между компаниями — однако они будут работать только на небольшом региональном рынке, а в экономически развитых агломерациях разместившему резюме ИБ-профессионалу быстро начнут поступать предложения. Конкурировать региональным работодателям приходится и с компаниями, которые предлагают полностью удаленную занятость, — специалисты больше не привязаны к месту жительства и вполне могут работать «на Москву» из небольшого райцентра. К уже привычным кадровым вызовам — текучке, выгоранию, релокации — в скором времени может прибавиться еще и выход зрелых профессионалов на досрочную пенсию или кардинальная смена рода деятельности: заработав определенный капитал на пике востребованности, специалист может вообще покинуть рынок труда или заняться любимым хобби. Зумеры сейчас постепенно вытесняют предыдущие поколения на рабочих местах, зачастую не успев перенять их опыт и наработки.

Таким образом, бизнес, не решившийся на полный или частичный аутсорсинг ИБ-функции, оказывается перед выбором: наем дефицитных состоявшихся ИБ-профессионалов или выращивание джуниоров «под себя». И каждый из этих путей имеет свои особенности.

Если опыт превыше всего

Поиск и удержание состоявшихся кибербезопасников — серьезный вызов даже для крупных компаний, не говоря о среднем и небольшом бизнесе, который все чаще также становится жертвой разрушительных кибератак и нуждается в профессиональной киберзащите. На этом пути компании могут столкнуться со следующими кейсами.

Во-первых, необходимо сформулировать, какие именно задачи будет решать новый работник: в описании вакансии потребуется указать релевантные требования к знаниям и опыту работы с технологиями, использующимися в корпоративной инфраструктуре. Если в компании уже есть подразделение по ИБ, то описание вакансии составляет его руководитель. Но если стоит задача найти единственного специалиста по защите информации, то привлечение непрофильных сотрудников к разработке требований может осложнить поиск — помощь в этом случае могут оказать ИБ-консультанты и специализированные кадровые агентства. Излишне упоминать, что требования к кандидату, должность и предлагаемая компенсация должны коррелировать между собой, — сейчас уже сложно найти опытного кибербезопасника широкого профиля на неруководящую позицию, поэтому в описании вакансии целесообразно сосредоточиться только на ключевых компетенциях.

Во-вторых, оценку опыта кандидата, анализ рекомендаций с предыдущих мест работы, проведение технического собеседования также должны проводить профильные специалисты или независимые эксперты. За многолетним стажем работы может скрываться выполнение однообразных функций без стремления к росту, а полученный пять-десять лет назад диплом вуза не гарантирует наличие актуальных знаний и компетенций у кандидата. Применение принципов навыкоцентричного подхода при отборе кандидатов поможет опираться не на формальные признаки (стаж или образование), а на подтвержденное владение конкретными скилами, которые действительно нужны компании, и на умение решать практические задачи. Для специалистов по ИБ долгое время объективным мерилом квалификации и практического опыта работы были международные сертификации — вендорские (например, Cisco CCNP Security или Check Point CCSA) и независимые (например, ISC2 CISSP или ISACA CISM). Сейчас, к сожалению, возможности получения подобных сертификатов для российских ИБ-специалистов ограничены по понятным причинам, однако крупные отечественные разработчики защитных решений создают собственные учебные центры и проводят вендорские сертификации. Задача независимой проверки квалификации российских специалистов по кибербезопасности может быть в перспективе решена и на государственном уровне — например, для IT-специалистов сейчас действует Национальная система подтверждения технических компетенций, в которой можно подтвердить свои навыки и получить сертификат Минцифры.

В-третьих, сложно не только найти опытного кибербезопасника, но и удержать его. Фрустрация от невозможности изменить сложившийся в компании порядок вещей, нездоровая атмосфера в коллективе, рутина и низкий уровень профессиональной самореализации, постоянное нервное напряжение и выгорание как следствие, заманчивые оферы от конкурентов, наконец, — и вот едва прошедший адаптацию ИБ-специалист уже покидает компанию. Помимо материальной мотивации и комфортных бытовых и психофизиологических условий труда, важно предоставить профессионалу возможности для автоматизации его работы, снижения числа монотонных операций, высвобождения его ценного времени на творческие ИБ-задачи. Например, проверка настроек средств защиты, формирование отчетности или анализ объемной нормативки — не самые интересные задачи, которые можно роботизировать: на помощь приходят продвинутые средства автоматизации процессов кибербезопасности, а также ИИ-ассистенты и чат-боты, встроенные в защитные решения. Помимо снижения утомительной рутинной нагрузки, автоматизация помогает избавиться от ошибок, вызванных человеческим фактором и предвзятостью суждений «живого» специалиста — различные когнитивные искажения, профессиональная деформация и сформировавшиеся личностные установки порой мешают опытным спецам объективно оценить опасность киберинцидента или вероятность реализации киберугрозы.

Вырастим сами

Популярность направления ИБ привела к наплыву в профессию новичков, которые либо недавно окончили вуз, либо прошли программу профессиональной переподготовки по ИБ (типовой продолжительностью 512 часов) или краткосрочные интернет-курсы. В результате молодых специалистов, даже амбициозных и полных энтузиазма, приходится дообучать уже на практике. Для компании это затраты с непрогнозируемым сроком окупаемости, поскольку получивший опыт сотрудник может легко перейти к другому работодателю с повышением зарплаты. Тем не менее многие компании пытаются закрыть кадровый дефицит за счет поиска джуниор-специалистов с перспективой их дальнейшего выращивания под потребности компании, реализуя следующие стратегии.

• Сотрудничество с учебными заведениями

Практика целевого обучения в вузах была распространена в СССР и продолжается по сей день: в соответствии с договором о целевом обучении студент обязуется после выпуска отработать в организации — заказчике такого обучения несколько лет: как правило, от трех до пяти. Кроме того, крупные российские технологические компании сотрудничают с ведущими вузами: предлагают студентам пройти факультативные образовательные курсы и организуют кафедры, на которых преподают опытные специалисты-практики, а также приглашают студентов на оплачиваемые стажировки, где предоставляют наставников. Во многих российских вузах был запущен проект «Цифровых кафедр», но из поля зрения зачастую выпадают средние специальные учебные заведения — техникумы и колледжи, в которые также можно приходить за толковыми ребятами и, возможно, оплачивать им дальнейшую учебу в профильном университете при условии трудоустройства. Более того, сейчас активно реализуется идея образовательной работы высокотехнологичных компаний со школьниками старших классов и создаются специализированные IT-лицеи — подобные инициативы помогут бизнесу находить светлые головы и хантить их еще со школьной скамьи.

• Внутренний рекрутинг

Не так редки ситуации, когда в ИБ-направление переходят не только технические специалисты (системные и сетевые администраторы, разработчики, тестировщики), но и представители совершенно иных профессий — юристы, риск-менеджеры, финансисты. В условиях ограниченного рынка внешних кандидатов компании все чаще задумываются о переводе в подразделения ИБ заинтересованных работников — это направление может заинтересовать их после внутренних курсов по основам защиты информации (Security Awareness) от действующих кибербезопасников. Применение ИИ в HR может помочь не только на этапах рекрутинга и адаптации персонала, но и при прохождении внутреннего обучения и в карьерном планировании — увидев способности и интерес к ИБ со стороны опытного сотрудника непрофильного подразделения, можно предложить ему роль Security Champion. Затем в развитии внутренних компетенций ИБ-специалистам могут помочь различные схемы развития карьерной траектории и карты знаний.

• Снижение порога входа в профессию

Важно, чтобы молодой специалист по кибербезопасности как можно раньше адаптировался и начал приносить пользу компании. На это напрямую влияют удобство работы с имеющимися корпоративными средствами защиты и уровень требований к техническим компетенциям администраторов ИБ-решений. Снизить порог входа нового сотрудника в корпоративную кибербезопасность помогают ИБ-продукты с удобным графическим интерфейсом и применение в них подхода low-code/no-code, который позволяет без навыков программирования полностью перенастроить защитное решение под потребности конкретной компании. Кроме того, все чаще в продвинутые средства защиты интегрируются технологии ИИ, которые помогают не только быстро разобраться с продуктом и перенастроить его, но и подстрахуют начинающего ИБ-специалиста, а также позволят сократить объем ручных однотипных операций, что послужит дополнительным мотивационным фактором для него.

Мнение редакции может не совпадать с точкой зрения автора