Зачем тратить время на стажеров? Рассказываем, как растим специалистов по информационной безопасности

Где найти талантливых ребят на стартовые позиции и как не сойти с ума при обучении новичков.

Всего в России 113 вузов, в которых есть направление «Информационная безопасность» — это топовые профильные московские и центральные региональные вузы. Но по опыту общения с кандидатами могу сказать — вузовская программа не может подготовить к реальным проектам, поэтому студенты продолжают учиться уже на работе, а мы — эксперты, растим их в процессе. Меня зовут Анастасия Федорова, я руковожу группой инженеров технической поддержки и аналитиков информационной безопасности в КРОК. В этой статье я расскажу, как и зачем мы работаем со стажерами.

В моей группе 2 направления: первое — техническая поддержка систем защиты информации, и второе — аналитика и консалтинг в области информационной безопасности. Сейчас стажеры есть и там, и там. Причём в техподдержке уже 6 начинающих ребят, и мы сознательно сделали ставку на обучение с нуля.

Команда технической поддержки — это инженеры, которые работают с заявками от заказчиков, оперативно решают проблемы возникающие в поддерживаемых системах защиты информации. Это кузница кадров — молодые специалисты здесь получают первый опыт, учатся работать с сетевыми средствами защиты и прокачивают инженерные навыки. В эту команду мы берём студентов начиная с 3-го курса профильных вузов — тех, у кого есть базовые знания сетевой безопасности и желание эти знания применить в реальных задачах.

Стажеры-аналитики — это тоже студенты последних курсов. Если кандидат уже успел получить диплом и небольшой опыт, то можем сразу предложить позицию младшего специалиста, но как показывает практика, младший проходит те же ступени обучения по аналитике, что и стажер, только с большей самостоятельностью и погруженностью в проектные задачи.

Направление аналитики подойдет тем, кому не так интересно “железо”, но хочется выстраивать процессы, разбираться в концептуальной картине информационной безопасности организации, анализировать риски.

Будет ошибкой думать, что можно набрать много стажеров, которые сразу же уменьшат твою загрузку на проекте и начнут помогать. В первые месяцы всем становится немного сложнее: нужно найти время на обучение стажеров. На вас дополнительно ложатся онбординг, адаптация к коммуникации внутри компании, помощь с рабочими вопросами и контроль за результатами стажера. Как мы справляемся с этими задачами?

Первое — систематизация знаний. Для инженеров и аналитиков мы собрали и систематизировали все материалы — по специфике работы и бизнес-коммуникации для того, чтобы они могли быстро влиться. Раньше я для каждого нового стажера проводила установочные встречи по аналитике и консалтингу, сейчас это переросло в записанный курс в формате вебинаров, который новички смотрят на внутренней платформе с обучением.

Второе — план развития. Идея стажировки не в том, чтобы перекинуть рутинные задачи на новичка: заставить страдать его вместо себя, а потом себя во время исправления ошибок. Мы комплексно развиваем человека и делаем из него профессионала. Например, студент, который приходит к нам на 3-м курсе, уже к окончанию университета имеет боевой опыт и может смело презентовать себя как профессионала.

Сначала новички проходят линейки курсов: инженеры, например, пробуют настраивать средства защиты, разворачивать виртуальные стенды. Дальше они включаются в программу развития, которая рассчитана на 1,5-2 года: проходят обучение, получают сертификаты по ключевым вендорам информационной безопасности. При развитии специалиста важно опираться на интерес человека: не все хотят становится проектными инженерами, часть ребят уходит развиваться как сервисные менеджеры. И мы в этом тоже помогаем.

Третье — контроль получения знаний. Да, начало работы похоже на продолжение обучения, но у нас совсем не университетский подход, где есть преподаватель, который пытается добиться результата от ученика, и студент, которому нужно получить оценку. Я за осознанное обучение: обучение, в котором стажер заинтересован, мотивирован и стремится разобраться в теме. Я как эксперт и наставники всегда открыты к вопросам, к помощи, но мы ожидаем ответственности и самостоятельности. Мы помогаем ребятам оценить свои результаты. Инженеры после первых месяцев работы и погружения сдают экзамен своему наставнику (обычно это кто-то из старших коллег). Стажеры выполняют задания с оборудованием и виртуалками — развернуть, настроить, показать составные части, ответить на каверзные вопросы техлида. На этом этапе мы оцениваем, насколько стажер ответственный и обучаемый. И с этого момента начинаем подключать к реальным заявкам, чтобы понять, как новичок ориентируется на практике.

Для прокачки знаний аналитиков мы создали базу вопросов с самыми важными темами в области консалтинга и так как у стажера много входной информации, нужно понять, насколько он её усвоил и готов ли двигаться дальше. Сейчас я это проверяю в личных встречах и небольших семинарах по темам, но это отнимает много времени. Однако, на таких встречах мы дополнительно прокачиваем у ребят культуру встреч. К синхрону с наставником стажеру нужно хорошо подготовиться: разобрать материал, подобрать правильные вопросы и зафиксировать всё, что может понадобиться для выполнения задачи. У наставников очень плотный календарь, и ребята учатся брать максимум от встречи и использовать своё время и время коллег эффективно.

Студент-новичок — это тёмная лошадка. На этапе отбора сложно оценить профессиональные качества — пока недостаточно знаний и опыта. Но можно оценить soft skills и общий потенциал. На что я обращаю внимание во всех кандидатах (и инженерах, и аналитиках).

Для инженеров важна самостоятельность и склонность к кропотливой работе. Новички в техподдержке должны уметь формулировать свои мысли и доносить их до коллег, так как им предстоит общаться с клиентами. Новичков-аналитиков я ищу с навыками анализа информации и хорошим уровнем коммуникации. Даже если сейчас публичные выступления и скилл переговоров не развиты максимально, у аналитика должен быть к этому интерес. В будущем они будут общаться с заказчиком, проводить интервью, доставать информацию у людей, которые сами не всегда могут и хотят её предоставить.

Я могу точно сказать, где не надо искать выгоды.

Во-первых, стажеры точно не смогут с первого дня включиться в проекты и помочь команде с задачами. На рынке до сих пор это понимают не все работодатели. Стажер в команде — это дополнительная работа, и приятные бонусы вы почувствуете позже.

Во-вторых, не стоит думать, что только на реальных задачах можно вырастить из студента сильного профессионала. Новичкам нужно предоставлять обучение, коучить и контролировать развитие.

Но выгода от работы со стажерами очевидна. Найти готового опытного специалиста в ИБ, особенно аналитика, очень сложно. К тому же, есть наша уникальная специфика работы, а ещё культура коммуникаций КРОК, поэтому это дальновидно — принять талантливого молодого коллегу, который сразу будет работать в нашей парадигме. Мы помогаем ему прокачаться и создаём все условия, чтобы он работал в нашей команде и дальше.

И, конечно, не стоит забывать, что пока ты учишь других, ты обучаешься и сам — по крайней мере пробуешь быть ментором — не тем скучным преподавателем в университете, а старшим коллегой и источником знаний, который поможет пройти путь от первого рабочего дня до первого повышения.

Делюсь ссылкой на программу стажировок в КРОК, и буду рада пообщаться в комментариях :)