Quis custodiet ipsos custodes?

Disclaimer

Disclaimer
Все мысли, изложенные на данном блоге, являются исключительно плодом воображения автора и отражают его личную точку зрения. Точка зрения автора никак не взаимосвязана с точкой зрения других физических и юридических лиц, за исключением тех случаев, когда это особо указано в тексте.

среда, 5 января 2011 г.

О подборе специалистов по ИБ

Ни что так не близко специалистам по информационной безопасности, как деньги, которые они получают.  Ярким тому примером служит тема "ЗП специалистов по ИБ" на форуме UISG. Тема сначала зародилась в недрах совсем другой, затем начала набирать популярность и выделилась в отдельную и скоро, похоже, станет отдельным форумом. Из долгих трений "кто кому сколько платит?", отдельно перемыли "кто?" и "сколько?" и дошли до интересного вопроса "кому?".
Одному из членов форума показались забавными требования к консультанту по безопасности, выдвигаемые одной из консалтинговых фирм:
  • Возраст 25 до 35 лет
  • Высшее техническое образование в сфере информационных технологий (желательно в области ИБ)
  • Опыт работы в ИТ безопасности - от 3-х лет
  • Аналитические способности
  • Грамотная речь
  • Любознательность
  • Коммуникабельность
  • Быстрая обучаемость
  • Английский уровня не ниже intermediate (устный и письменный)
Как человек, работающий в одной из таких фирм и занимающийся в том числе подбором персонала к себе в подразделение, скажу, что достаточно типовые требования. Вроде бы даже смешно такое требовать. На практике же (за последние пару лет интервьюировал более 60 человек + еще сотни полторы отсеялось предварительными тестами) найти специалиста удовлетворяющего таким "банальным" требованиям задача не тривиальная. Рассмотрим по порядку влияние факторов на вероятность нахождения нужного нам кандидата (в моем примере поиск на позиции младшего и среднего уровня) :
  • Возраст - тут все более-менее понятно. В зависимости от позиции, которую компания предлагает, определяем ожидания и от кандидата. Если позиция начального уровня - то даже 30 лет у кандидата вызывают вопрос: "А чем ты занимался раньше, если идешь на начальную позицию?".  С другой стороны в 35 лет быть консультантом... Это тоже специфика отдельных компаний. Обычно это уже возраст менеджера / старшего менеджера / партнера. Это их теории. На практике с возрастом у кандидатов проблем нет. Был конечно случай, в 50 человек пришел на начальную позицию "готовый учится". Что поделаешь - кризис и не такое с людьми делает.
  • Высшее техническое образование в сфере информационных технологий (желательно в области ИБ) - Первое препятствие. Мало кто из выпускников, даже престижных ВУЗов, может похвастаться приличными техническими знаниями. Из них малая толика - широкими техническими знаниями. Краснодипломник технической специальности плохо владеющий компьютером на уровне рядового пользователя.  Выпускник Политеха специальности "защита информации"  не знающий чем отличается симметричное шифрование от асимметричного. К сожалению, такие "специалисты" встречаются гораздо чаще, чем хотелось бы. А куда делись все специалисты по xNIX системам? Средний уровень знаний по данному направлению - "умею устанавливать Ubuntu". Соискателей же, которые обладают знаниями, можно разделить на  категории: 
  1. Те, у кого есть технические знания на уровне администрирования систем (включая вопросы безопасности), но не знакомы со стандартами, регламентирующими вопросы ИБ. Более предпочтительный тип, если мы ищем младшего специалиста,  ибо основа есть, а остальному легко научить. Таких мало.
  2. Те, кто хорошо понимают знают высокоуровневые стандарты (27к и т.д.) и могут их цитировать с любой страницы. Но понятия не имеют, как это реализовать на практике. Таких больше.
  3. Те, кто знает и то и то. Встречаются редко. Как правило, на младшие/средние позиции  работу не ищут.
  • Опыт работы в ИТ безопасности - от 3-х лет. - В целом, делятся на два вида - те, у кого есть и те, у кого нет (спасибо, Кэп). Те, у кого опыт есть, также условно делятся на 3 типа схожих с предыдущими:
    1. "Технари". Опыт как правило связан с файерволами/IDS/IPS/IRM/DLP и другими мигающими коробочками, как говорит один мой коллега.  Подходят для младших и средних позиций. Нужно дообучать нормативке.
    2. "Законодатели". Мастера бумажного беспредела бумажной безопасности. Основной опыт состоит из: а) написания мертвой нормативной базы б) никому ничего не разрешать.
    3. "И швец и жнец"  Встречаются редко. Как правило, на младшие/средние позиции  работу не ищут.
    • Аналитические способности. Любознательность.  - Не проблема. Для большинства соискателей наличие этих двух факторов обуславливают выбор профессии. За всю историю вспомню может только пару людей с атрофированной логикой, которые хотели работать в безопасности.  
    • Коммуникабельность. Грамотная речь. -  Еще одно серьезное препятствие. В большинстве случаев ИТ и ИБ специалисты - интроверты. Коммуникабельность им не присуща по природе. Не буду уподобляться заводной кукле и третий раз писать про три типа, но мысль та же. Те, кто и специалист и коммуникабелен  почти не встречаются. Либо - либо. О грамотной речи отдельный разговор. Даже  не о грамотности речь. Речь с точки зрения грамматики правильная. Только говорят на птичьем техническом языке. А консультанту нужно общаться с бизнесом. Если бизнес не понимает консультанта - зачем консультанту платить деньги? Gartner в своих прогнозах на следующие пять лет не зря в пятерку самых востребованных ИТ-профессий включил людей, которые "умеют говорить на языке ИТ и бизнеса".
    • Быстрая обучаемость. - Не проблема. Не встречал людей, чтобы нормальное образование, аналитические способности, любознательность, коммуникабельность и т.д. и при этом медленно обучаются. 
    • Английский уровня не ниже intermediate (устный и письменный).  - Последнее серьезное препятствие. Почему-то среди ИБ специалистов, как и среди саперов (специалистов по SAP), знание английского языка считается дурным тоном. Приходит кандидат - и знания есть, и опыт, и коммуникабельность (таких нужно заносить в красную книгу), а английский на уровне индикатора из "Тайны третьей планеты" - все понимает, но не говорит, только меняет цвет.
    Вот и приводит комбинация факторов к ситуации, когда специалисты по ИБ ищут работу, а компании ИБ специалистов, и не могут друг друга найти.

    6 комментариев:

    1. Владимир, а каков тогда идеальный кандидат на начальную позицию - специалист по ИБ? Какие его характеристики? На что вы,как работодатель, готовы опустить глаза, чему обучите, а что должно быть?

      ОтветитьУдалить
    2. Требования изложенные выше отражают типичные требования к кандидату. Для начальной позиции убираем наличие опыта работы и опускаем планку по возрасту.

      Если интересуют требования для работы конкретно у нас - можно связаться с нашим рекрутером - она подробно ответит по всем вопросам по требованиям к кандидатам.

      ОтветитьУдалить
    3. Понимаете, с требованиями как раз то все и понятно. Как разрушить Ваш последний абзац статьи?

      Из статьи вытекает лишь одно: "Нам нужен и швец и жнец" точка. Аналогия с выбором невесты - хочется и красивую и умненькую и хозяюшку...
      Но Вы ведь,(Вы- работодатель)за такую "невестушку" не готовы предложить достойной компенсации...Цифры в 15килогривен - это не аргумент для такого специалиста.
      Та же Россия (Москва,Питер,Ек-рг) - дает больше за него.

      Поэтому как по мне должен быть компромис. Почему системному администратору в 30 лет не попробывать себя в роли специалиста по ИБ, пусть даже начального уровня? Имея стаж работы практического построения ИТ инфраструктуры компании, понимания и умения объяснить пользователям как правильно работать с корпоративными системами,оказывать эффективную техподдержку, объяснить менеджменту, на их языке, необходимость модернизации, целесообразность улучшения ИТ инфраструктуры.
      Говорить им о финансовой выгоде данных улучшений....
      Но с другой стороны он не цитирует стандарты ИСО 27001, и не знает досконально, кроме того, что используется разное кол-во ключей для шифрования в симметричном (1) и ассиметричном (2) методе .. (Вообще этот вопрос, это как раньше в гугле был вопрос " о круглых люках" (наконец-то забании его уже)).

      Хотя это ясно, человек свойственно учится и он сделает это, и выучит стандарты и если нужно найдет литературу и выучит алгоритм шифрования..

      Многие такие претенденты отсеиваются на этапе анкет, в основном по причине именно не знания детальных методик по оценке рисков, стандартов.

      Поэтому для меня, в статье как-то не хватило абзаца - ИТОГО! Так что же в итоге,что же делать, рекомендаций какие-нибуль.
      (Статья освещает одну лишь сторону подбора - сторону работодателя. Мол мы вот такие - а вы далеко не такие).

      Как же все-таки найти им друг друга???

      ОтветитьУдалить
    4. Mio, вы делаете странные выводы, большинство из которых базируются не на изложенном материале.

      Отвечаю по порядку:

      >>Понимаете, с требованиями как раз то все и понятно. Как разрушить Ваш последний абзац статьи?

      "Людской" кризис 2007-го года ушел безвозвратно. Люди не соответсвующие по знаниям и навыкам никому не нужны. Специалистам нужно отслеживать требования рынка и стремится им соответствовать.

      >> Но Вы ведь,(Вы- работодатель)за такую "невестушку" не готовы предложить достойной компенсации...

      Ничем не обоснованный вывод.

      >> Поэтому как по мне должен быть компромис. Почему системному администратору в 30 лет не попробывать себя в роли специалиста по ИБ, пусть даже начального уровня?

      Ничего не мешает. Кроме конкуренции со стороны более молодых и способных.

      >>Многие такие претенденты отсеиваются на этапе анкет, в основном по причине именно не знания детальных методик по оценке рисков, стандартов.

      Не могу сказать за других, но мы не используем тесты для знания методик оценки рисков. Тесты используются для определения знания английского и базовых знаний по работе ИТ технологий. Если у человека этого нет - учить его безопасности экономически не выгодно - проще найти другого. Разумеется, я говорю о специфике работы у нас.

      ОтветитьУдалить
    5. Конечно не понял Ваш тезис про странность моих выводов....Всё по теме. Тема у нас - подбор специалистов по ИБ. Вы же, я так понимаю эту статью написали для будущих кандидатов на данную позицию? Или для разъяснений своей внутренней HR-службе?

      В крайности я не впадал, это по поводу 100% несоответсвующих людей. Достойная компенсация для достойных "швецов и жнецов" - это уровень России 120000 рублей, в Киеве - это уровень ИТ Директора, но я НЕ про этих достойных вел речь, с ними все понятно - они при деле. А про людей, желающих, даже серьезно желающих попасть в ряды специалистов по ИБ и продвигаться по специальности выше - но не имеющих основной профильности по этой теме.

      Как я понимаю, нужны специалисты сейчас по ИБ, именно которые будут доносить в массы компании основную тему политики ИБ компании, объяснять, проводить семинары для пользователей, следить за выполнением требований по ИБ и т.д.

      По 2-м последним тезисам Вашего второго комментария - согласен)

      P.S.По поводу Вашей компании - про нее ничего не знаю. Не сталкивался. Ваш блог мне выдал поисковик.

      ОтветитьУдалить
    6. >>Конечно не понял Ваш тезис про странность моих выводов...

      Вы пишите:

      Но Вы ведь,(Вы- работодатель)за такую "невестушку" не готовы предложить достойной компенсации...
      P.S.По поводу Вашей компании - про нее ничего не знаю. Не сталкивался.

      По остальной части... О ком мы все-таки говорим? О специалисте начального уровня или высококвалифицированном специалисте? Если о начального уровня - откуда такие ожидания по зарплате? Если высококвалифицированном - при чем тут "стандарты можно выучить" и "в 30 лет можно переучиться с админа"?

      ОтветитьУдалить