VC.ru: Рынок ИБ-специалистов: профессиональный щит и в работе, и в ее поисках
Сколько нужно для счастья?
По данным опроса HeadHunter, с января по ноябрь 2023 года количество открытых позиций для специалистов в области кибербезопасности в России увеличилось на 27% по сравнению с предыдущим годом, достигнув отметки в 4,7 тысячи вакансий.
А вот количество активных резюме сократилось на 6%, их стало почти на 2 тысячи меньше, чем в начале года. По структуре статусов резюме кандидатов в области информационной безопасности, к середине года в поиске работы находилось 15,6 тысяч человек (сокращение на 10% по сравнению с первым кварталом), и теперь в каждом втором резюме указан статус "не ищет работу" (в начале года таких было каждое третье). Сегодня конкуренция остается на том же уровне - два активных резюме на одну вакансию, но отрицательная динамика говорит о возможном усилении дефицита кадров в будущем. Самый значительный спрос зафиксирован в 4 сферах информационных технологий, финансов, топливно-энергетическом комплексе и государственном управлении. Не стоит недооценивать достаточно высокий процент джунов и рескиллеров, вакансии которых появляются в больших количествах на работных порталах. А вот высококвалифицированных специалистов, находящихся в поисках работы, становится все меньше, и потребность в них увеличивается.
В связи с этой ситуацией увеличивается спрос на специалистов по кибербезопасности из-за рубежа. Так утверждает директор сервиса поиска вакансий HeadHunter по кибербезопасности и работе с государственными органами Виталий Терентьев. По его словам, первым источником могут стать россияне, которые в 1990-е годы уехали из страны, но готовы вернуться обратно. Вторым – дружественные страны, например Индия (особенно студенты, обучавшиеся в РФ).
Почему так происходит?
По мнению многофункционального пространства «Кибердом», нехватку специалистов на рынке информационной безопасности создает сама индустрия. Многие компании хотят видеть в одном ИБ-специалисте всё, найти суперзвезду: и пентестера, и администратора, и инженера. Чем больше такой кандидат знает различных технологий, тем дороже он стоит .
По нашей статистике, требования “всё или ничего”, как правило, выдвигают компании из реального сектора - работодатели, у которых направление ИБ создавалось с нуля в 2022 и 2023 годах. Зачастую далеко не все специалисты являются широкопрофильными, из-за этого и возникали сложности при согласовании условий между клиентом и кандидатом. Однако сегодня ситуация стабилизируется, и компании постепенно привыкают к тому, что специалисты по кибербезопасности делятся на профили и являются экспертными именно по ним (а зачастую даже попросту не могут иметь определенные навыки одновременно).
Молодые специалисты, если правильно подготовлены, могут продемонстрировать значительный профессиональный рост. За 6 месяцев (примерно столько некоторым работодателям требуется для поиска идеального кандидата) они могут перейти от уровня Junior к начинающим Middle, а через год стать полноценными Middle-специалистами, готовыми к усвоению новой информации, выполнению сложных задач и принятию конструктивной критики.
Делимся лайфхаками, как найти таких звездных кандидатов и удержать их:
- Ключевые хард скиллы
· со средствами защиты информации Snort, Suricata, KES, Infowatch DLP, PAM системы (Microsoft CA, Indeed AM, PAM СКДПУ (АйТи Бастион), Security Awareness платформа Phishman, DLP Search Inform;
· с инструментами облачных технологий и настройки безопасности в облаке (AWS Security Hub, Microsoft Azure Security Center);
· с инструментами безопасности мобильных приложений (Fuf/Gobuster/ Feroxbuser, Gau/Katana/Waybackurls, Subfinder/Sublist3r/Altdns/Amass, BurpSuite);
· с системами автоматизации безопасности. Знание инструментов автоматизации процессов безопасности, например, Ansible, Chef, Puppet, повысит эффективность работы и сократит время реакции на инциденты.
2. Специалисты по тестированию на проникновение, обладающие навыками (Сканеры уязвимостей (Nessus, Nuclei, Acunetix), SAST/DAST/IAST/MAST инструменты, оркестраторы (Jenkins, Ansible), системы мониторинга и логирования (ELK, Splunk); навыками социальной инженерии и обучения сотрудников в области «технической» ИБ.
3. Аналитики ИБ – для анализа угроз и инцидентов такие специалисты должны иметь навык эффективной настройки и работы с системами мониторинга и обнаружения инцидентов безопасности (SIEM), а также проводить расследования, уметь анализировать данные из различных источников для выявления потенциальных угроз.
4. Эксперты по управлению рисками ИБ. Должны обладать знанием методологии оценки и управления рисками ИБ, знать и уметь использовать в своей работе отраслевые стандарты, например, такие как NIST SP 800-39 «Managing Information Security Risk», Стандарт ISO/IEC 27005:2018 «Information technology — Security techniques — Information security risk management» и другие.
5. Специалисты по организационно-правовой защите информации. Должны обладать знанием применимого законодательства и отраслевых стандартов в части защиты информации, навыками разработки корпоративных регламентов и политик.
- Образование
Однако есть и другая категория – методологи, аудиторы и т.д. – словом, не технические специалисты, которые могут быть очень эффективны, получив, например, юридическое или финансовое образование.
Но бывают и совсем необычные случаи, когда образование не играет решающей роли. Статистика показывает, что больший процент наших клиентов опирается скорее на опыт, нежели на образование, а в ряде случаев вообще готов пожертвовать последним.
В чем сложность поиска?
ИБ-специалисты знают толк в профессиональном щите не только при работе, но и при ее поисках.
Светлана Пронина, старший бизнес-партнер Positive Technologies, утверждает:
“Поиск экспертов по кибербезопасности — по безопасной разработке, исследованию защищенности, анализу вредоносного ПО, проверке на киберустойчивость от внешнего нарушителя (пентестам), расследованиям киберпреступлений, threat intelligence и по другим направлениям — это всегда нетривиальный поиск, где нет заранее заданного алгоритма и где не работает принцип «делай раз-два — и будет успех». Этих людей очень мало, и большинство из них мы знаем. Находить новые имена — сложная задача. С некоторыми кандидатами приходится вести диалог годами. И здесь выстраивание неформальных отношений приобретает особое значение: кандидаты хотят видеть с нашей стороны личную заинтересованность, не только экспертную.На звонки рекрутеров специалисты по кибербезопасности отвечают довольно неохотно, сразу же задаваясь вопросом, откуда узнали их номер и имя. Поэтому на рынке ИБ широко распространены реферальные программы. Cloud Networks, например, запустили такую еще в 2021 году. По их результатам, четко прослеживается одно: «технари советуют технарей».
Многие эксперты по ИБ живут своей профессией, это настоящие фанаты своего дела. Именно поэтому для них так важна среда, в которой они будут работать. Это должна быть среда с амбициозными задачами, где доверяют делать не только то, в чем сотрудники являются экспертами, но и то, что они еще никогда не делали, — чтобы расширять и прокачивать знания и навыки”.
Нелли Запивалова, руководитель группы сорсеров GeekSource, говорит:
“Одной из причин, по которой специалисты ИБ, аудита и методологии скрывают свои резюме, может быть желание сохранить конфиденциальность своей работы и информации о компаниях, с которыми они сотрудничают. Ведь часто эти специалисты имеют доступ к чувствительным данным и стратегиям безопасности, и разглашение этой информации может привести к серьезным последствиям как для компании, так и для самого специалиста.
И всё же такие специалисты, как AppSec, DevOps, DevOpSecOps, Инженер ИБ или Архитектор ИБ обычно имеют более технический профиль и работают с конкретными технологиями и инструментами, поэтому им полезно публиковать свои знания и опыт для установления контактов с коллегами и развития профессиональной сети”.
Коммуникации
Если говорить про стиль общения, то с ИБ специалистами он сильно отличается от неформального и легкого сленга ИТ-специалистов. Внутри направления тоже не все однородно: коммуникация с техническими специалистами в области информационной безопасности требует особого подхода и отличается от общения с аудиторами/методологами/аналитиками.
Специалисты, занимающиеся оценкой процессов и соответствия стандартам безопасности, часто склонны к более формальному и осторожному стилю общения. Они стремятся к точности, полноте и структурированности информации, поэтому важно предоставлять им четкие и документированные данные. Они также могут быть более скрытыми в выражении своих мнений и ожиданий, поэтому важно тщательно готовиться к встрече и уточнять детали для полного понимания их пожеланий.
Технические специалисты ИБ, с другой стороны, обычно более прямолинейны и ориентированы на конкретные технические аспекты работы. Они ценят глубину знаний и техническую экспертизу в обсуждениях, поэтому важно быть готовым к техническим дискуссиям и предоставлять развернутую детальную информацию о проекте. Технические специалисты ИБ обычно более открыты в общении и готовы к более прямым и откровенным обсуждениям.
В мире кибербезопасности каждый собеседник уникален, и именно в адаптации своего общения к его особенностям кроется секрет успешного взаимодействия. Понимание потребностей аудиторов/информационных консультантов по безопасности и технических специалистов в ИБ, умение гибко подстраиваться под их стиль общения и ожидания – вот ключ к достижению ваших целей.
Рост зарплат
Заработная плата специалистов, указанных в таблице нашей аналитики, стремительно растет. Некоторые компании с острой потребностью придумали внутри своих структур отделы, которые формируются из внутренних сотрудников других отделов, желавших бы углубиться в ИБ задачи. Их прикрепляют к экспертам, давая им небольшие и не очень сложные задачи, прокачивая их технические знания. Такие переходы, как правило, происходят у разработчиков и автотестировщиков.
Формат работы
Как и все ИТ-специалисты, кандидаты по кибербезопасности очень любят удаленку. Но согласно статистике и общепринятой практике, некоторые должности в области ИБ обычно требуют физического присутствия в офисе для эффективного выполнения своих обязанностей. Это могут быть и аналитики, и администраторы, и инцидент-менеджеры по ИБ. И конечно, такая необходимость находит отклик у кандидатов и вопроса о формате работы уже не возникает.
Поэтому если брать рынок информационных технологий в целом, то довольно распространённое мнение о том, что специалисты по ИБ более сговорчивы в вопросе удаленки, отчасти оправданно.
Как поймать этих неуловимых?
Усредненная воронка по всем вакансиям в области кибербезопасности, 2023
У GeekSource достаточно опыта, чтобы предоставить развернутую картину сегодняшнего поискового запроса. Анализируя верхнеуровневую воронку по всем вакансиям в области кибербезопасности, мы видим, что, для того чтобы закрыть 1 вакансию, консультантам и сорсерам нужно проработать 130 кандидатов - и только 5 из них будут приняты на рассмотрение нашим клиентом.
Работа проводится огромная, и конечно же, есть и приятный бонус. По статистике, наши клиенты из этих 5 представленных кандидатов готовы делать выбор и делают оффер финалисту. Другой вопрос - примет ли он его. Увы, статистика неумолима, и только 60% соглашаются и выходят на новую работу, в 40% случаях ищем «перламутровые пуговицы». Но! Мы как профессионалы всегда предусматриваем такие риски и никогда не останавливаем процесс поиска и скринингов кандидатов при наличии финалиста - у наших клиентов всегда есть бэкап (второй финалист), наличие которого очень сильно сокращает и временные, и моральные затраты всех сторон и позволяет закрывать вакансию в заранее обговоренные сроки.
Источники поиска по трудоустроенным ИБ-специалистам в компании
Конечно, без HeadHunter никуда - в 20% случаях наши кандидаты «живут» именно там. Но используется он чаще всего в качестве фона поиска, ведь в эти 20% входят и те, кого мы смогли найти в других источниках, а ссылка в резюме вела именно на HH.ru. Среди наших источников лидируют реферальные программы - они занимают 37% среди всех источников трудоустроенных кандидатов в компании. За ним идут Telegram, Experium и LinkedIn.