Рынок ИБ-специалистов: профессиональный щит и в работе, и в ее поисках

В СМИ всё чаще говорят о нехватке специалистов информационной безопасности, и мы, GeekSource, с ними абсолютно согласны. В статье рассмотрели ключевые сложности поиска ИБ-шников: почему они прячутся от рекрутеров и любят «заметать следы».

По данным опроса HeadHunter, с января по ноябрь 2023 года количество открытых позиций для специалистов в области кибербезопасности в России увеличилось на 27% по сравнению с предыдущим годом, достигнув отметки в 4,7 тысячи вакансий.

А вот количество активных резюме сократилось на 6%, их стало почти на 2 тысячи меньше, чем в начале года. По структуре статусов резюме кандидатов в области информационной безопасности, к середине года в поиске работы находилось 15,6 тысяч человек (сокращение на 10% по сравнению с первым кварталом), и теперь в каждом втором резюме указан статус "не ищет работу" (в начале года таких было каждое третье). Сегодня конкуренция остается на том же уровне - два активных резюме на одну вакансию, но отрицательная динамика говорит о возможном усилении дефицита кадров в будущем. Самый значительный спрос зафиксирован в 4 сферах информационных технологий, финансов, топливно-энергетическом комплексе и государственном управлении. Не стоит недооценивать достаточно высокий процесс джунов и рескиллеров, вакансии которых появляются в больших количествах на рабочих порталах. А вот высококвалифицированных специалистов, находящихся в поисках работы, становится все меньше, и потребность в них увеличивается.

В связи с этой ситуацией увеличивается спрос на специалистов по кибербезопасности из-за рубежа. Так утверждает директор сервиса поиска вакансий HeadHunter по кибербезопасности и работе с государственными органами Виталий Терентьев. По его словам, первым источником могут стать россияне, которые в 1990-е годы уехали из страны, но готовы вернуться обратно. Вторым – дружественные страны, например Индия (особенно студенты, обучавшиеся в РФ).

По мнению многофункционального пространства «Кибердом», нехватку специалистов на рынке информационной безопасности создает сама индустрия. Многие компании хотят видеть в одном ИБ-специалисте всё, найти суперзвезду: и пентестера, и администратора, и инженера. Чем больше такой кандидат знает различных технологий, тем он стоит дороже.

По статистике GeekSource, требования “всё или ничего”, как правило, выдвигают компании из реального сектора - работодатели, в которых направление ИБ создавалось с нуля в 2022 и 2023 годах. Зачастую далеко не все специалисты являются широкопрофильными, из-за этого и возникали сложности при согласовании условий между клиентом и кандидатом. Однако сегодня ситуация стабилизируется, и компании постепенно привыкают к тому, что специалисты по кибербезопасности делятся на профили и являются экспертными именно по ним (а зачастую даже попросту не могут иметь определенные навыки одновременно).

Молодые специалисты, если правильно подготовлены, могут продемонстрировать значительный профессиональный рост. За период в 6 месяцев (который некоторым работодателям требуется для поиска идеального кандидата) они могут перейти от уровня Junior к начинающим Middle, а через год стать полноценными Middle-специалистами, готовыми к усвоению новой информации, выполнению сложных задач и принятию конструктивной критики.

А вот как найти таких звездных кандидатов и удержать их - делимся лайфхаками:

· Ключевые хард скиллы

1. Специалисты по кибербезопасности – занимаются выстраиванием архитектуры и поддержкой систем защиты информации. Должны обладать навыками работы:

- со средствами защиты информации Snort, Suricata, KES, Infowatch DLP, PAM системы (Microsoft CA, Indeed AM, PAM СКДПУ (АйТи Бастион), Security Awareness платформа Phishman, DLP Search Inform

- с инструментами облачных технологий и настройки безопасности в облаке (AWS Security Hub, Microsoft Azure Security Center).

- с инструментами безопасности мобильных приложений (Fuf/Gobuster/ Feroxbuser, Gau/Katana/Waybackurls, Subfinder/Sublist3r/Altdns/Amass, BurpSuite),

- с системами автоматизации безопасности. Знание инструментов автоматизации процессов безопасности, например, Ansible, Chef, Puppet, повысит эффективность работы и сократит время реакции на инциденты.

2. Специалисты по тестированию на проникновение, обладающие навыками (Сканеры уязвимостей (Nessus, Nuclei, Acunetix), SAST/DAST/IAST/MAST инструменты, оркестраторы (Jenkins, Ansible), системы мониторинга и логирования (ELK, Splunk); навыками социальной инженерии и обучения сотрудников в области «технической» ИБ.

3. Аналитики ИБ – для анализа угроз и инцидентов такие специалисты должны иметь навык эффективной настройки и работы с системами мониторинга и обнаружения инцидентов безопасности (SIEM), а также проводить расследования, уметь анализировать данные из различных источников для выявления потенциальных угроз.

4. Эксперты по управлению рисками ИБ. Должны обладать знанием методологии оценки и управления рисками ИБ, знать и уметь использовать в своей работе отраслевые стандарты, например, такие как NIST SP 800-39 «Managing Information Security Risk», Стандарт ISO/IEC 27005:2018 «Information technology — Security techniques — Information security risk management» и другие.

5. Специалисты по организационно-правовой защите информации. Должны обладать знанием применимого законодательства и отраслевых стандартов в части защиты информации, навыками разработки корпоративных регламентов и политик.

· Образование

Ответ на этот, на первый взгляд, простой вопрос не так очевиден. Здесь много сюрпризов, и мы ищем как технаря, так и гуманитария. Например, как говорит Нелли Запивалова, руководитель группы сорсеров GeekSource, в таких профессиях, как AppSec, DevOps, DevOpSecOps, инженер ИБ или архитектор ИБ, невозможно обойтись без профильного технического образования: необходимо понимание основных принципов информационных технологий, сетей, программирования и архитектуры систем. “В то же время альтернативой профильному образованию может быть опыт работы не менее трех лет в качестве системного администратора или разработчика,” – считает Галина Остапова, руководитель Службы ИБ группы компаний ANCOR.

Однако есть и другая категория – методологи, аудиторы и т.д. – словом, не технические специалисты, которые могут быть очень эффективны, получив, например, юридическое или финансовое образование.

Но бывают и совсем необычные случаи, когда образование не играет решающей роли. Статистика показывает, что больший процент наших клиентов опирается скорее на опыт, нежели на образование, а в ряде случаев вообще готов пожертвовать последним.

ИБ-специалисты знают толк в профессиональном щите не только при работе, но и при ее поисках.

Светлана Пронина, старший бизнес-партнер Positive Technologies, утверждает:

“Поиск экспертов по кибербезопасности — по безопасной разработке, исследованию защищенности, анализу вредоносного ПО, проверке на киберустойчивость от внешнего нарушителя (пентестам), расследованиям киберпреступлений, threat intelligence и по другим направлениям — это всегда нетривиальный поиск, где нет заранее заданного алгоритма и где не работает принцип «делай раз-два — и будет успех». Этих людей очень мало, и большинство из них мы знаем. Находить новые имена — сложная задача. С некоторыми кандидатами приходится вести диалог годами. И здесь выстраивание неформальных отношений приобретает особое значение: кандидаты хотят видеть с нашей стороны личную заинтересованность, не только экспертную.

Многие эксперты по ИБ живут своей профессией, это настоящие фанаты своего дела. Именно поэтому для них так важна среда, в которой они будут работать. Это должна быть среда с амбициозными задачами, где доверяют делать не только то, в чем сотрудники являются экспертами, но и то, что они еще никогда не делали, — чтобы расширять и прокачивать знания и навыки”.

На звонки рекрутеров специалисты по кибербезопасности отвечают довольно неохотно, сразу же задаваясь вопросом, откуда узнали их номер и имя. Поэтому на рынке ИБ широко распространены реферальные программы. Cloud Networks, например, запустили такую еще в 2021 году. По их результатам, четко прослеживается одно: «технари советуют технарей».

Нелли Запивалова, руководитель группы сорсеров GeekSource, говорит: “Одной из причин, по которой специалисты ИБ, аудита и методологии скрывают свои резюме, может быть желание сохранить конфиденциальность своей работы и информации о компаниях, с которыми они сотрудничают. Ведь часто эти специалисты имеют доступ к чувствительным данным и стратегиям безопасности, и разглашение этой информации может привести к серьезным последствиям как для компании, так и для самого специалиста.

И всё же такие специалисты, как AppSec, DevOps, DevOpSecOps, Инженер ИБ или Архитектор ИБ обычно имеют более технический профиль и работают с конкретными технологиями и инструментами, поэтому им полезно публиковать свои знания и опыт для установления контактов с коллегами и развития профессиональной сети”.

Если говорить про стиль общения, то с ИБ специалистами он сильно отличается от неформального и легкого сленга ИТшников. Внутри направления тоже не все однородно: коммуникация с техническими специалистами в области информационной безопасности требует особого подхода и отличается от общения с аудиторами/методологами/аналитиками.

Специалисты, занимающиеся оценкой процессов и соответствия стандартам безопасности, часто склонны к более формальному и осторожному стилю общения. Они стремятся к точности, полноте и структурированности информации, поэтому важно предоставлять им четкие и документированные данные. Они также могут быть более скрытыми в выражении своих мнений и ожиданий, поэтому важно тщательно готовиться к встрече и уточнять детали для полного понимания их пожеланий.

Технические специалисты ИБ, с другой стороны, обычно более прямолинейны и ориентированы на конкретные технические аспекты работы. Они ценят глубину знаний и техническую экспертизу в обсуждениях, поэтому важно быть готовым к техническим дискуссиям и предоставлять развернутую детальную информацию о проекте. Технические специалисты ИБ обычно более открыты в общении и готовы к более прямым и откровенным обсуждениям.

В мире кибербезопасности каждый собеседник уникален, и именно в адаптации своего общения к его особенностям кроется секрет успешного взаимодействия. Понимание потребностей аудиторов/информационных консультантов по безопасности и технических специалистов в ИБ, умение гибко подстраиваться под их стиль общения и ожидания – вот ключ к достижению ваших целей.

Заработная плата специалистов, указанных в таблице нашей аналитики, стремительно растет. Некоторые компании с острой потребностью придумали внутри своих структур отделы, которые формируются из внутренних сотрудников других отделов, желавших бы углубиться в ИБ задачи. Их прикрепляют к экспертам, давая им небольшие и не очень сложные задачи, прокачивая их технические знания. Такие переходы, как правило, происходят у разработчиков и автотестировщиков.

Как и все ИТ-специалисты, кандидаты по кибербезопасности очень любят удаленку. Но согласно статистике и общепринятой практике, некоторые должности в области ИБ обычно требуют физического присутствия в офисе для эффективного выполнения своих обязанностей. Это могут быть и аналитики, и администраторы, и инцидент-менеджеры по ИБ. И конечно, такая необходимость находит отклик у кандидатов и вопроса о формате работы уже не возникает.

Поэтому если брать рынок информационных технологий в целом, то довольно распространённое мнение о том, что специалисты по ИБ более сговорчивы в вопросе удаленки, отчасти оправданно.

У GeekSource достаточно опыта, чтобы предоставить развернутую картину сегодняшнего поискового запроса. Анализируя верхнеуровневую воронку по всем вакансиям в области кибербезопасности, мы видим, что, для того чтобы закрыть 1 вакансию, консультантам и сорсерам GeekSource нужно проработать 130 кандидатов - и только 5 из них будут приняты на рассмотрение нашим клиентом.

Работа, как видите, проводится огромная, и конечно же, есть и приятный бонус. По статистике, наши клиенты из этих 5 представленных кандидатов готовы делать выбор и делают оффер финалисту. Другой вопрос - примет ли он его. Увы, статистика неумолима, и только 60% соглашаются и выходят на новую работу, в 40% случаях ищем «перламутровые пуговицы». Но! Мы как профессионалы всегда предусматриваем такие риски и никогда не останавливаем процесс поиска и скринингов кандидатов при наличии финалиста - у наших клиентов всегда есть бэкап (второй финалист), наличие которого очень сильно сокращает и временные, и моральные затраты всех сторон и позволяет закрывать вакансию в заранее обговоренные сроки.

Источники поиска по трудоустроенным ИБ-специалистам в компании

Конечно, без HeadHunter никуда - в 20% случаях наши кандидаты «живут» именно там. Но используется он чаще всего в качестве фона поиска, ведь в эти 20% входят и те, кого мы смогли найти в других источниках, а ссылка в резюме вела именно на HH.ru. Среди наших источников лидируют реферальные программы - они занимают 37% среди всех источников трудоустроенных кандидатов в компании. За ним идут Telegram, Experium и Linked In.

Итак, мы рассмотрели и проанализировали все особенности, которые мы рекомендуем учитывать при подборе персонала в сфере кибербезопасности в 2024 году. А чтобы сразу перейти к практике - делимся с подписчиками нашего телеграм-канала GeekOn приятным бонусом! У вас есть уникальный шанс получить доступ к нашему гайду по созданию Boolean-запросов на специалистов AppSec и Pentester, а также к эксклюзивному контенту, секретам эффективной коммуникации - ближе познакомитесь с внутренней кухней нашей компании.

Станьте частью нашего сообщества и позвольте помочь Вам достичь новых высот!