«Перспективная молодежь – основа основ»: ищем хорошего специалиста по IT-безопасности
Снизить издержки, повысить эффективность — вот наиболее распространенные мантры современного бизнеса. Но есть и обязательные практики, например, IT-безопасность, экономить на которых для любой компании равносильно самоликвидации. Поэтому хорошие специалисты по безопасности стоят дорого, а их поиск – отдельная история.
Что должен уметь человек, чья задача – обеспечить защиту и сохранность данных бизнеса и минимизировать риски утечки или потери этих данных? Где взять такого специалиста и сколько ему платить?
«Too big to fail» не работает
Давайте вспомним несколько свежих историй, связанных с хакерскими атаками. Яркий пример – взлом американского производителя софта SolarWinds в конце прошлого года: злоумышленники проникли в системы через механизм доставки обновлений и получили доступ к огромному количеству закрытой информации.
SolarWinds поставляет программное обеспечение большинству госорганов США, так что речь шла даже не об ущербе компании, а об угрозе безопасности государства. Международный скандал, поиски виновных, обещания «расследовать и наказать».
Чуть раньше, летом 2020 года, в похожую историю попал Garmin, один из крупнейших производителей электроники, фитнес-браслетов и спортивных часов. В результате атаки встали все сервисы компании, не работали клиентские устройства. Восстановить работу через некоторое время все же удалось, но убыток из-за инцидента компания получила огромный.
А в феврале этого года хакеры взломали серверы известного производителя игр CD Projekt Red и получили доступ к исходным кодам «Ведьмака» и «Киберпанка 2077». Полученные данные выставили на аукцион и продали их за $7 млн. Есть версия, что деньги заплатила сама компания, но официальных подтверждений этому нет.
Кажется, эти примеры вполне убедительно доказывают: всегда найдутся желающие добраться до данных и заработать на них, даже если вы продвинутая компания с десятком рубежей обороны. Поэтому информационная безопасность – вопрос постоянной работы.
Мы к этому вопросу относимся очень серьезно, ведь мы работаем с деньгами, так что фрод и атаки на инфраструктуру – это риск не только для нас, но и для наших клиентов. А специалистов по безопасности в сфере платежей и конкретно в сфере безопасности приложений, которые нам нужны в первую очередь, в России не так много. Поэтому поиск сотрудника здесь – дело непростое, но мы справляемся. Дальше расскажу, как.
Знать места
Когда мы столкнулись с поиском сотрудников службы информационной безопасности, первый вопрос, который мы себе задали: где, в каких каналах они сидят? В доковидную эпоху очень здорово помогали офлайн-мероприятия: там можно было найти отличных специалистов буквально за чашкой кофе.
В пандемию мероприятия по информационной и кибербезопасности перекочевали в онлайн, как и вся остальная деловая жизнь, и на них мы тоже присматриваемся к участникам. Сейчас, кстати, все больше компаний рассматривают ребят из других городов и стран на full time, потому что полностью удаленная работала окончательно стала нормой жизни.
С прицелом на такой подбор онлайн-конференции, на которых собираются специалисты из разных городов и даже стран, – это хорошая история.
Отдельно отмечу мероприятия уровня киберполигона The Standoff – это соревнование хакеров, где команды защиты и нападения борются друг с другом за кибергород. Здесь самая что ни на есть профильная тусовка для специалистов по инфобезопасности.
Конечно, мы не хантим всех подряд по списку – это было бы слишком просто, но нетворкинг в профессиональной среде очень полезен.
Еще один канал – профессиональные сообщества вроде Иннополиса, там мы уже нашли нескольких коллег, причем не только из сферы информационной безопасности. В сфере IT релокация специалиста – дело обычное, поэтому сложностей здесь не возникает.
Не забываем также социальные сети: LinkedIn, Facebook, «Хабр» и другие. У рекрутеров есть методы прицельного поиска по сообществам, и там нам удалось разыскать много хороших специалистов. Как раз через LinkedIn мы нашли сотрудника службы информационной безопасности из Австралии.
Интересно, что когда мы его уже заметили, оказалось, что в нашей компании работают его знакомые и даже однокурсники – он был выходцем из России. Что еще раз подтверждает: мир таких специалистов очень узок.Ну и, конечно, важно растить своих специалистов, а не просто находить готовых. Перспективная молодежь – основа основ. Поэтому мы вкладываемся в развитие и обучение людей, которые будут заниматься информационной безопасностью.
Компания развивает стажерскую школу – мы привлекаем на практику молодых специалистов через МГТУ им. Н. Э. Баумана, МФТИ и другие вузы, у нас пробуют свои силы разработчики и программисты из технических учебных заведений. Нам интересно посмотреть на то, что они умеют, но главное – увидеть в них заинтересованность в профессии, желание развиваться, потенциал.
Если студент уже успел где-то поработать, всегда посмотрим на то, в каких проектах он участвовал, что сделал сам, своими руками.
Широкий кругозор и узкая специализация
Пожалуй, один из самых важных шагов – нарисовать портрет будущего специалиста по безопасности. Это направление предполагает широкий кругозор: человек должен разбираться и в железе, и в софте, в построении сетей, разработке программ, следить за последними новостями, изменениями в законах, быть в курсе того, что происходит на рынке.
Есть и более специфические требования, например человек должен знать криптографию, ее основы и алгоритмы, должен знать нормативную базу – документы ЦБ, ФСБ, с которыми может сталкиваться в работе.
Когда мы ищем специалиста в команду нашей службы инфобезопасности, мы предлагаем кандидату выполнить тестовое задание.
Например, для роли Application security – это поиск уязвимостей в специально подготовленном веб-приложении. Смотрим, какие методики поиска человек использует, насколько системно к этому подходит и самое главное – как предлагает эти уязвимости закрывать, какие задачи в этом плане ставит перед разработчиками.
При этом у нас есть важное ограничение: специалистов по безопасности мы рассматриваем только на полную ставку и не берем в расчет тех, у кого есть вторая работа, подработка, проект, который они ведут параллельно основной работе. Служба информационной безопасности работает с конфиденциальной информацией, поэтому мы стараемся избежать возможного конфликта интересов.
Зарплатный хаос
Если не касаться затрат на инфраструктуру и говорить только о зарплатах спецов, то сейчас на этом рынке царит хаос. Из-за пандемии ценность онлайна для всех сфер бизнеса выросла, а вместе с ней – и спрос на IT-специалистов, поэтому размер зарплаты сегодня диктуют сами соискатели.
Мы изучали этот рынок, и разброс может быть просто колоссальный. Границы между регионами и Москвой стерлись, как и границы между странами, зарплаты начинают выравниваться, особенно для тех, кто хорошо владеет английским. Специалисты смотрят на вакансии в крупных иностранных компаниях на удаленке, чтобы получать оплату в валюте.
Поэтому говорить о средней зарплате специалиста по информационной безопасности сложно – слишком много факторов, которые на нее влияют.
Конкурировать за хороших специалистов непросто, и работодатели все чаще сейчас используют системы опционов или другие интересные бонусы.
Ключевое слово здесь «интересные»: достойный уровень оплаты плюс новые возможности работают намного лучше, чем просто достойный уровень оплаты.Если касаться не только зарплат, а в целом отвечать на вопрос, сколько стоит сделать так, чтобы было безопасно, то однозначно это стоит дорого. На мой взгляд, вложения в защиту информации должны быть не меньше половины от той суммы, которую компания тратит на свои IT-структуры в целом.
Для компании федерального уровня в России речь идет о суммах в десятки миллионов долларов. Но при современном уровне развития технологий выбор прост: или бизнес потратит эти деньги на защиту, или потом заплатит еще больше хакерам за свои же данные.
Самое важное в подборе специалиста по инфобезопасности:
- Специалист по информационной безопасности в штате – не лишние косты, а жизненная необходимость для компании.
- Хороших специалистов по информационной безопасности на рынке – единицы, и стоят они дорого.
- Найти подходящего сотрудника можно:
– в профессиональных сообществах и соцсетях;
– в профильных вузах – приглашать на стажерские программы, практику и самим растить до профессионалов.
- Кандидат на должность специалиста по инфобезопасности должен иметь широкий кругозор, разбираться в железе и софте, построении сетей, разработке программ, быть в курсе новостей рынка, знать криптографию, и нормативные базы ЦБ и ФСБ и других контролирующих органов.
Антон Куранда