вторник, 23 сентября 2014 г.

А в попугаях я длиннее... Как найти специалиста по информационной безопасности?

Добрый день, дорогие читатели! Осень - отличная пора для рефлексии, поэтому давайте порассуждаем, как оценить нашу с вами эффективность. Вы наверняка замечали, что на сайтах по поиску работы, запросы специалистов, обладающих даже примерно одинаковым опытом, сильно отличаются. Кто-то еще только диплом пишет, а уже видит себя ведущим специалистом с солидным окладом, а другой отработал пару лет по специальности, но все еще согласен на минимальную зарплату. Так как отрасль у нас довольно специфичная, то действует негласное правило - уходишь сам, приведи друга :) Учитывая, что сейчас я тружусь на четвертом месте работы - подбирать себе замену пару раз приходилось. Самое интересное, что руководство с недоверием относится к людям со скромными запросами, они настораживают больше, чем амбициозные студенты. Про то, как вести себя на собеседовании все и так знают, повторяться не буду, хотя мне всегда немножко смешно, когда люди говорят, при нашей-то редкой специальности работу не найти. Почему-то я сталкивалась с обратной ситуацией - невозможностью найти подходящего человека. 
Знаете, начинали мы с руководителем всегда с наполеоновскими планами - ищем с профильным образованием, опытом работы, человека горящими глазами. Казалось бы все располагает к успеху - каждый год два университета в Красноярске выпускают три группы специалистов, в каждой группе по 20 с лишним человек. Но на деле оказывалось, что еще студентами многие устраиваются на работу системными администраторами и программистами. Небольшое количество выпускников идет работать на крупные предприятия сразу после выпуска. Некоторые работают в небольших конторах, потом все же уходят из отрасли или получают повышение. Таким образом человек с опытом более трех лет либо получает неплохую зарплату, либо имеет очень свободный график, и им доволен. Можно, конечно, взять специалиста с непрофильным образованием и диким интересом к информационной безопасности, но в некоторых случаях закон требует наличие именно специалистов с профильным образованием (либо продолжительными курсами переобучения). Основная проблема на мой взгляд заключается в довольно небольшой оплате труда по отношению к другим ИТ-специалистам. 
Но мы отклонились от темы. Давайте попробуем выделить черты идеального специалиста по защите информации, чтобы установить формальные критерии эффективности.
1. Профильное образование. В случаях, установленных государством, такое образование обязательно, например, для работы на УЦ. Моя специальность к слову - Информационная безопасность телекоммуникационных систем.
2. Опыт работы. Здесь уже решать работодателю, но естественно на зарплату в 25 тысяч человек с трехлетним стажем работы претендовать будет вряд ли.
3. Наличие сертификатов. В нашем регионе на это не обращают особого внимания. Да и часто ли на курсах обучают чему-то действительно полезному в работе?
4. Практические навыки. Организационщик Вы или технарь? Легко можете найти дыру в настройках безопасности или лазейку в законе о персональных данных? К сожалению, не всегда руководитель службы безопасности представляет кто именно ему нужен, да и фронт работы часто бывает довольно размытым. Особенно приветствуются навыки в смежных областях, таких как экономическая и физическая безопасность. 
5. Возраст, пол, коммуникабельность, общее впечатление, даже наличие хобби. Требования к кандидату могут быть уменьшены, если человек производит впечатление человека, влюбленного в свою работу.
Если с пунктами 1, 2, 3 и 5 все понятно, то пункт 4 нужно как-то оценивать. В идеале, кандидаты должны проходить испытания, типа CTF, но этого не происходит (опять же оговорюсь, все, что написано  - мой личный опыт, касающийся Красноярского края). Обычно одного перечисления направлений работы достаточно. Лишь один раз мне пришлось отвечать на вопросы теста по защите информации, но вопросы были довольно общими - назовите несколько нормативных актов по ЗИ, как бы Вы составили модель угроз и т.д. 
А как оценивали Вас?

4 комментария:

  1. Как оценивали? Пробегали по резюме - "Аккорды настраивал? Как настраивал, куда втыкается? Какие там журналы есть?", "С Крипто-Про УЦ работал? Чем отличается от MS CA? Что такое ассимитричная криптография? PKI?" и т.д.

    Недавно искали по DLP-специалиста (вернее, такого не найдешь на стартовые позиции - искали специалиста под DLP). Просили перечислить способы, какими бы он, будучи негодяем, попытался вытащить информацию (описывали место и формат хранения), а затем спрашивали как бы он от этого защищался. В общем, кусочек модели угроз, только без ИБ-шной терминологии... Много нового узнали))

    ОтветитьУдалить
  2. Спасибо за подробный ответ:-) насчет методов защиты без привязки к ИБ терминологии - я даже боюсь представить что это может быть:-) на dlp я бы посадила сткдета последних курсов-ум пытливый, зарплатные ожидания маленькие:-)

    ОтветитьУдалить
  3. Я как человек, которого выбирают, а не который выбирает, немного добавлю свои "пять копеек".
    Принципы построения ИБ все таки не до конца сформировались, а следовательно организации сами не вполне могут сформировать требования к соискателям. Зачастую в вакансии написаны такие требования, что волосы просто дыбом встают, но когда реально начинаешь беседовать, то понимаешь, что это кто-то для галочки все писал, а то может и скопировал с вакансий более именитых компаний.
    Конечно организации хочется видеть специалиста многостаночника. И чтобы организационно-правовые меры тянул и технические тоже. При чем обязательно чтобы был опыт работы с конкретными решениями, используемыми в организации (зачем, если специалист освоил и другие, то и с этими проблем не будет, особенно если смежные решения), а еще неплохо было бы, если специалист был бы с опытом пентестера, а при необходимости и сам мог допилить некую ИС и устранить уязвимости (т.е. опыт программирования и сразу на всем). Ну и конечно соискатель должен быть хорошим, если не отличным, сетевиком, желательно с сертификатами Cisco.
    Также существует проблема, которая также влияет на соискательство в области ИБ, это отнесения подразделения или специалист по ИБ либо к безопасности, либо к ИТ. При чем в зависимости от того или иного выбора появляются свои нюансы. Безопасники обязательно повесят еще физическую защиту, неплохо бы иногда помогать с экономической безопасностью, ну и обязательно нужно иметь опыт в органах. А также вылазит проблема, что безопасники с высокими технологиями не дружат, поэтому иногда нужно будет помочь с базовыми вопросами по работе с ПЭВМ и конечно что-нибудь "взломать" (вообще бред, по-моему). Ну а у ИТ-шников самое главное быть технарем и на все "бумажки" пофиг, как и на безопасность - главное чтобы работало, а там посмотрим. И меры строятся не от угрозы, а от самой меры.
    Плюс существуют, особенно в последнее время, перекос количества предложений по вакансиям от банков и стандартно от интеграторов. А там и там свои особые проблемы и нюансы.
    Как-то так, если бегло и в кратце, а также не заостряясь на дурном тоне неуказывания зарплатных предложений и их низкой итоговой величине.

    ОтветитьУдалить
    Ответы
    1. Согласна, проблемы есть, все-таки отрасль достаточно молодая. Про отнесение ИБ к ИТ и СБ я как-то писала вот здесь - http://daily.sec.ru/2012/07/09/ZI-IT-ili-SB.html. Доводилось поработать у интегратора, на предприятии, в банке, а теперь на заводе - обязанности специалиста по ЗИ везде разные и подходы тоже разные. Как Вы правильно отметили - в последнее время стало лучше и это главное :)

      Удалить