Работа в области информационной безопасности: как не ошибиться с выбором?
По данным экспертов, дефицит кадров на рынке ИБ испытывают 54% российских организаций и 48% представителей субъектов критической информационной инфраструктуры. Исследователи утверждают, что на одну вакансию приходится менее одного резюме, а для комфортного поиска должно быть хотя бы четыре соискателя. Чтобы выполнить все необходимые задачи, рынку не хватает примерно 30 тыс. специалистов.
Таким образом, сложившуюся ситуацию можно считать благоприятной для соискателей. Предложений много, но как выбрать из них наиболее подходящее? Об этом в данной статье поговорит Андрей Красовский, директор по маркетингу компании Swordfish Security. Здесь будут рассмотрены самые популярные позиции и требования к кандидатам, а также сформулированы главные критерии, которые помогут найти работу мечты.
Самые востребованные специалисты
Проанализировав предложения на крупных площадках по поиску работы (включая HH.ru, SuperJob.ru, а также на Хабр Карьеру и отраслевые Telegram-каналы), мы выделили несколько наиболее востребованных на сегодняшний день специалистов в области ИБ:
Инженер и архитектор по информационной безопасности
Ключевая задача этих специалистов – в том, чтобы обеспечивать стабильную работу инфраструктуры компании. В частности, ИБ-архитектор проектирует и развивает комплексные системы и отдельное программное обеспечение в области информационной безопасности, разрабатывает документацию, следит за тем, чтобы продукты отвечали текущим потребностям бизнеса и были способны к модернизации. А ИБ-инженер создает и внедряет средства защиты, контролирует их эффективность, работает над повышением устойчивости инфраструктуры и продуктов организации к различным угрозам.
Чаще всего работодатели выдвигают к таким специалистам следующие требования:
- широкий кругозор в области ИБ, глубокое понимание сетевых технологий, принципов функционирования основных методов обеспечения безопасности (WAF, SIEM, Sandbox, NGFW, IDS/IPS, DLP, NAC, PIM, MDM и др.);
- знание нормативной правовой документации в области ИБ (федеральных законов, стандартов и ГОСТов, руководящих документов ФСТЭК России и ФСБ России);
- опыт внедрения и использования инструментов защиты от ведущих вендоров в области информационной безопасности;
- знание основных рисков кибербезопасности и принципов распространенных атак;
- владение английским языком на уровне чтения технической документации.
Кроме этого, в вакансиях для ИБ-архитектора компании указывают в ожиданиях знание методологии проектирования программно-технических систем информационной безопасности, опыт разработки внутренней документации для средств ИБ и проведения анализа инфраструктуры и бизнес-потребностей заказчика. На наш взгляд, ИБ-архитектор также должен быть широко информирован о современных технологиях контейнеризации, автоматизации, разработки и доставки приложений. Большим плюсом для кандидата будет наличие опыта реализации комплексных проектов в условиях взаимодействия с несколькими подразделениями и навыки технических переговоров.
Опыт работы: 1–3 года — примерно 18% вакансий, 3–6 лет — около 67% объявлений.
Образование: не требуется или не указано — около 55% вакансий, высшее — примерно 44% объявлений.
Средняя зарплата — 200 000–300 000 ₽.
В объявлениях для ИБ-инженера в списке требований часто встречается знание семейства операционных систем Linux и Windows, опыт разработки моделей угроз, проведения тестирования на проникновение и расследований киберинцидентов. Преимуществом для такого кандидата также будут знание методологии DevSecOps и понимание процессов безопасной разработки.
Среди этих специалистов есть категория узконаправленных экспертов — AppSec-инженеров, которые занимаются безопасность приложений. В числе основных требований для AppSec-инженера можно выделить: знание области Application Security и ее основных методологий (BSIMM, OpenSAMM и т. д.), умение находить и устранять распространенные уязвимости (OWASP Top 10), понимание устройства современных мобильных и веб-приложений и опыт в разработке таких продуктов. При найме AppSec-инженеров мы также уточняем, на каком уровне кандидаты знакомы с принципами работы технологий CI/CD, контейнеризации и оркестрации. Еще для нас как для работодателя является большим плюсом, если соискатели регулярно занимаются самообразованием в области ИБ, изучают актуальные и сложные киберугрозы, участвуют в программах Bug Bounty и исследуют различные способы обхода средств защиты в целях повышения надежности инструментов.
Опыт работы: 1–3 года — примерно 50% вакансий, 3–6 лет — около 40% объявлений.
Образование: не требуется или не указано — около 50% вакансий, высшее — примерно 49% объявлений.
Средняя зарплата — 150 000–350 000 ₽.
Пентестер и аналитик по информационной безопасности
Цель этих специалистов заключается в том, чтобы найти угрозы безопасности и повысить надежность систем и отдельных продуктов. Пентестер, или этичный хакер, занимается законным взломом инфраструктур и сервисов компаний с целью поиска слабых мест. ИБ-аналитик в свою очередь анализирует данные об угрозах, полученные из различных источников, и формирует способы их устранения. Для этих специалистов сохраняются те же самые общие требования, действующие для инженеров и архитекторов по информационной безопасности.
В вакансиях для пентестера в качестве основных ожиданий можно выделить: знание методов тестирования white, grey и black box, опыт программирования хотя бы на одном из скриптовых языков, умение эксплуатировать уязвимости и готовить отчетную документацию. Также преимуществом для кандидата будет опыт реверс-инжиниринга и найденные уязвимости нулевого дня.
Опыт работы: 1–3 года — примерно 63% вакансий, 3–6 лет — около 30% объявлений.
Образование: не требуется или не указано — около 75% вакансий, высшее — примерно 25% объявлений.
Средняя зарплата — 130 000–250 000 ₽.
В объявлениях для ИБ-аналитика в требованиях чаще всего указывают умение исследовать журналы регистрации событий в различных системах, опыт проведения проверок по соблюдению требований ИБ и разработки документации в области защиты информации. Плюсом для кандидата будет знание скриптовых языков и опыт участия в CTF.
Опыт работы: 1–3 года — примерно 50% вакансий, 3–6 лет — около 40% объявлений.
Образование: не требуется или не указано — около 60% вакансий, высшее — примерно 39% объявлений.
Средняя зарплата — 100 000–200 000 ₽.
Сегодня ИБ-специалисты востребованы в компаниях из различных отраслей, но наибольшее число объявлений опубликовано работодателями от области ИТ, финансов, нефтегазовой промышленности, услуг для бизнеса, медицины и телекоммуникаций. Также стоит отметить, что сейчас на рынке довольно много вакансий для руководящих должностей в сфере ИБ.
Критерии для оценки вакансий
Разберемся, какие параметры, помимо вопросов, касающихся зарплаты, графика работы и других организационных моментов, нужно учитывать при анализе вакансий, чтобы найти наиболее комфортную для себя работу.
Будущие обязанности
Во-первых, анализ будущих обязанностей позволит понять, насколько предлагаемая позиция соответствует содержанию нужной специализации. На рынке всё ещё присутствует тенденция, в рамках которой компании, в частности те, что не относятся к ИТ-сфере, не совсем понимают, какими именно компетенциями должен обладать конкретный специалист. Это приводит к смешиванию обязанностей, например, пентестера и ИБ-аналитика, DevOps-инженера и системного администратора и так далее.
Во-вторых, такой подход поможет кандидату разобраться, подходит ли ему конкретная вакансия как специалисту, отвечает ли она его целям. Например, соискатель решил для себя, что хочет углубиться в безопасную разработку и заниматься построением процесса DevSecOps, внедрением практик ИБ, их тиражированием и так далее, поэтому ему нужна работа, максимально привязанная к этим обязанностям. Таким образом, позиция, которая включает в себя большое количество сторонних или смежных задач, не совсем подойдет кандидату, на ней он будет часто отвлекаться и медленно развиваться в нужном направлении.
Тематика и культура компании
Нужно изучить, в какой области специализируется компания, какие продукты создает и какие инструменты применяет. Это поможет понять, насколько соискатель готов к сотрудничеству с конкретной организацией. Например, компания из сферы ИТ ищет человека на позицию AppSec-инженера, она работает с мобильными приложениями и наряду с другими средствами для анализа их защищенности использует платформу Стингрей. Кандидат ранее занимался безопасностью веб-приложений и лишь немного соприкасался с мобильными продуктами, он знаком с такими инструментами, как BurpSuite, OWASP ZAP и парой других. Очевидно, что специалист обладает не всем необходимым набором знаний и опыта, поэтому ему нужно оценить свои силы. Если кандидат готов развиваться в новом направлении, у него есть шанс.
Кроме этого, стоит изучить сайт компании, ее социальные сети и посмотреть, делится ли она экспертизой в СМИ, представляет ли своих экспертов аудитории, есть ли у специалистов личные каналы и так далее. Сегодня многие заинтересованы в том, чтобы в рамках своей темы давать комментарии, писать статьи, выступать с докладами. Если вы не сможете работать над развитием своего имиджа в паблике в рамках данной организации, стоит задуматься.
Помимо этого, многим техническим специалистам важна вовлеченность в сообщество единомышленников. Чтобы обсуждать новости в своей сфере, появление новинок, различные проблемы. Таким образом специалисты развиваются, растут. К примеру, «белый хакер» с хорошими скиллами никогда не пойдет в компанию, в которой будет единственным ИБ-шником (если только это не баварское отделение Adidas, к примеру). Пентестерам, исследователям необходима команда в 90% случаев. Поэтому, изучая потенциального работодателя, они обращают внимание на эти позиции.
Все это поможет сформировать верхнеуровневую оценку компетенций сотрудников и всей компании как игрока ИБ-рынка. Такой подход крайне актуален, если кандидат столкнулся с неизвестной ему организацией.
Перспективы для дальнейшего профессионального развития
Кандидат должен получить четкое понимание того, какие возможности для роста у него будут на новом месте и какие кейсы он сможет наработать для личного портфолио. Вернемся к соискателю, решившему углубиться в DevSecOps. Для него, например, будет перспективной вакансия от работодателя, который только планирует заняться построением процесса безопасной разработки или реализует эту задачу для различных организаций. На такой работе сотрудник сможет получить опыт внедрения DevSecOps с нуля, что сделает его очень ценным специалистом на ИБ-рынке.
Также стоит уточнить у работодателя, предоставляет ли он своим сотрудникам возможности для получения дополнительных знаний: организует ли вебинары, митапы, тренинги и так далее. Подобные обучающие практики позволят кандидату расширять свои компетенции, налаживать контакт с коллегами и знакомиться с другими экспертами из области ИБ, что также будет большим плюсом.
Культура безопасности
На собеседовании стоит узнать, насколько развита культура безопасности в компании, как плотно взаимодействуют ИТ и ИБ-отделы. Например, если, по словам работодателя, в организации реализована практика Security Champions, а разработчики обучаются основам безопасности, значит, ИБ-культура находится на достаточно зрелом уровне. Специалисту будет комфортно работать в такой компании с точки зрения скорости и легкости реализации различных инициатив безопасности и повышения уровня защищенности продуктов.
Заключение
Сегодня на рынке ИБ довольно много предложений по работе, поэтому атмосфера для соискателей крайне благоприятная. Но стоит отметить, что в первую очередь компаниям нужны опытные специалисты. Работодатели ждут от кандидатов знания законодательных требований, глубокой технической базы, умения работать в плотной связке с ИТ, вовлеченности в потребности бизнеса. Но дефицит кадров вынуждает компании снижать планку, сегодня примерно половина работодателей в рамках различных позиций готовы сотрудничать со специалистами с опытом работы 1–3 года.
Кандидатам, в свою очередь, не стоит торопиться с выбором. Чтобы найти наиболее комфортную работу, специалист сначала должен разобраться в себе и решить, в каком направлении он хочет двигаться дальше, какие задачи ему нравится выполнять и наоборот, что нового он стремится узнать и каких кейсов не хватает в его портфолио. После этого соискателю нужно разобрать понравившиеся вакансии «по кусочкам», соотнести их с полученными ответами и уточнить недостающую информацию на собеседованиях. Комплексный подход, основанный на глубоком самоанализе и исследовании компетенций компаний, поможет отсеять неподходящие варианты и найти именно то место, где соискателю будет комфортно и как специалисту, и как человеку.
Актуальные вакансии по ИБ: https://cisoclub.ru/vacancy/. Отправить резюме во все популярные IT-компании: https://cisoclub.ru/jobmail/
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.
