Колонки

«Перспективная молодежь – основа основ»: ищем хорошего специалиста по IT-безопасности

Колонки
Антон Куранда
Антон Куранда

Технический директор финтех-компании RBK.money

Алина Алещенко

Снизить издержки, повысить эффективность — вот наиболее распространенные мантры современного бизнеса. Но есть и обязательные практики, например, IT-безопасность, экономить на которых для любой компании равносильно самоликвидации. Поэтому хорошие специалисты по безопасности стоят дорого, а их поиск – отдельная история.

Что должен уметь человек, чья задача – обеспечить защиту и сохранность данных бизнеса и минимизировать риски утечки или потери этих данных? Где взять такого специалиста и сколько ему платить? Своим опытом делится технический директор финтех-компании RBK.money Антон Куранда.

«Перспективная молодежь – основа основ»: ищем хорошего специалиста по IT-безопасности
Присоединиться

«Too big to fail» не работает

Давайте вспомним несколько свежих историй, связанных с хакерскими атаками. Яркий пример – взлом американского производителя софта SolarWinds в конце прошлого года: злоумышленники проникли в системы через механизм доставки обновлений и получили доступ к огромному количеству закрытой информации.

SolarWinds поставляет программное обеспечение большинству госорганов США, так что речь шла даже не об ущербе компании, а об угрозе безопасности государства. Международный скандал, поиски виновных, обещания «расследовать и наказать». 

Чуть раньше, летом 2020 года, в похожую историю попал Garmin, один из крупнейших производителей электроники, фитнес-браслетов и спортивных часов. В результате атаки встали все сервисы компании, не работали клиентские устройства. Восстановить работу через некоторое время все же удалось, но убыток из-за инцидента компания получила огромный.

А в феврале этого года хакеры взломали серверы известного производителя игр CD Projekt Red и получили доступ к исходным кодам «Ведьмака» и «Киберпанка 2077». Полученные данные выставили на аукцион и продали их за $7 млн. Есть версия, что деньги заплатила сама компания, но официальных подтверждений этому нет.

Кажется, эти примеры вполне убедительно доказывают: всегда найдутся желающие добраться до данных и заработать на них, даже если вы продвинутая компания с десятком рубежей обороны. Поэтому информационная безопасность – вопрос постоянной работы.

Мы к этому вопросу относимся очень серьезно, ведь мы работаем с деньгами, так что фрод и атаки на инфраструктуру – это риск не только для нас, но и для наших клиентов. А специалистов по безопасности в сфере платежей и конкретно в сфере безопасности приложений, которые нам нужны в первую очередь, в России не так много. Поэтому поиск сотрудника здесь – дело непростое, но мы справляемся. Дальше расскажу, как.

RB.RU рекомендует лучших поставщиков цифровых решений для вашего бизнеса — по ссылке

 

Знать места

Когда мы столкнулись с поиском сотрудников службы информационной безопасности, первый вопрос, который мы себе задали: где, в каких каналах они сидят? В доковидную эпоху очень здорово помогали офлайн-мероприятия: там можно было найти отличных специалистов буквально за чашкой кофе.

В пандемию мероприятия по информационной и кибербезопасности перекочевали в онлайн, как и вся остальная деловая жизнь, и на них мы тоже присматриваемся к участникам. Сейчас, кстати, все больше компаний рассматривают ребят из других городов и стран на full time, потому что полностью удаленная работала окончательно стала нормой жизни.

С прицелом на такой подбор онлайн-конференции, на которых собираются специалисты из разных городов и даже стран, – это хорошая история.

Отдельно отмечу мероприятия уровня киберполигона The Standoff – это соревнование хакеров, где команды защиты и нападения борются друг с другом за кибергород. Здесь самая что ни на есть профильная тусовка для специалистов по инфобезопасности.

Конечно, мы не хантим всех подряд по списку – это было бы слишком просто, но нетворкинг в профессиональной среде очень полезен.

Еще один канал – профессиональные сообщества вроде Иннополиса, там мы уже нашли нескольких коллег, причем не только из сферы информационной безопасности. В сфере IT релокация специалиста – дело обычное, поэтому сложностей здесь не возникает.

Не забываем также социальные сети: LinkedIn, Facebook, «Хабр» и другие. У рекрутеров есть методы прицельного поиска по сообществам, и там нам удалось разыскать много хороших специалистов. Как раз через LinkedIn мы нашли сотрудника службы информационной безопасности из Австралии.

Интересно, что когда мы его уже заметили, оказалось, что в нашей компании работают его знакомые и даже однокурсники – он был выходцем из России. Что еще раз подтверждает: мир таких специалистов очень узок.

Ну и, конечно, важно растить своих специалистов, а не просто находить готовых. Перспективная молодежь – основа основ. Поэтому мы вкладываемся в развитие и обучение людей, которые будут заниматься информационной безопасностью.

Компания развивает стажерскую школу – мы привлекаем на практику молодых специалистов через МГТУ им. Н. Э. Баумана, МФТИ и другие вузы, у нас пробуют свои силы разработчики и программисты из технических учебных заведений. Нам интересно посмотреть на то, что они умеют, но главное – увидеть в них заинтересованность в профессии, желание развиваться, потенциал.

Если студент уже успел где-то поработать, всегда посмотрим на то, в каких проектах он участвовал, что сделал сам, своими руками.

 

Широкий кругозор и узкая специализация 

Пожалуй, один из самых важных шагов – нарисовать портрет будущего специалиста по безопасности. Это направление предполагает широкий кругозор: человек должен разбираться и в железе, и в софте, в построении сетей, разработке программ, следить за последними новостями, изменениями в законах, быть в курсе того, что происходит на рынке.

Есть и более специфические требования, например человек должен знать криптографию, ее основы и алгоритмы, должен знать нормативную базу – документы ЦБ, ФСБ, с которыми может сталкиваться в работе.

Когда мы ищем специалиста в команду нашей службы инфобезопасности, мы предлагаем кандидату выполнить тестовое задание.

Например, для роли Application security – это поиск уязвимостей в специально подготовленном веб-приложении. Смотрим, какие методики поиска человек использует, насколько системно к этому подходит и самое главное – как предлагает эти уязвимости закрывать, какие задачи в этом плане ставит перед разработчиками.

При этом у нас есть важное ограничение: специалистов по безопасности мы рассматриваем только на полную ставку и не берем в расчет тех, у кого есть вторая работа, подработка, проект, который они ведут параллельно основной работе. Служба информационной безопасности работает с конфиденциальной информацией, поэтому мы стараемся избежать возможного конфликта интересов.

 

Зарплатный хаос

Если не касаться затрат на инфраструктуру и говорить только о зарплатах спецов, то сейчас на этом рынке царит хаос. Из-за пандемии ценность онлайна для всех сфер бизнеса выросла, а вместе с ней – и спрос на IT-специалистов, поэтому размер зарплаты сегодня диктуют сами соискатели.

Мы изучали этот рынок, и разброс может быть просто колоссальный. Границы между регионами и Москвой стерлись, как и границы между странами, зарплаты начинают выравниваться, особенно для тех, кто хорошо владеет английским. Специалисты смотрят на вакансии в крупных иностранных компаниях на удаленке, чтобы получать оплату в валюте.

Поэтому говорить о средней зарплате специалиста по информационной безопасности сложно – слишком много факторов, которые на нее влияют.

Конкурировать за хороших специалистов непросто, и работодатели все чаще сейчас используют системы опционов или другие интересные бонусы.

Ключевое слово здесь «интересные»: достойный уровень оплаты плюс новые возможности работают намного лучше, чем просто достойный уровень оплаты.

Если касаться не только зарплат, а в целом отвечать на вопрос, сколько стоит сделать так, чтобы было безопасно, то однозначно это стоит дорого. На мой взгляд, вложения в защиту информации должны быть не меньше половины от той суммы, которую компания тратит на свои IT-структуры в целом.

Для компании федерального уровня в России речь идет о суммах в десятки миллионов долларов. Но при современном уровне развития технологий выбор прост: или бизнес потратит эти деньги на защиту, или потом заплатит еще больше хакерам за свои же данные. 

 

Самое важное в подборе специалиста по инфобезопасности:

  • Специалист по информационной безопасности в штате – не лишние косты, а жизненная необходимость для компании.
  • Хороших специалистов по информационной безопасности на рынке – единицы, и стоят они дорого. 
  • Найти подходящего сотрудника можно: 
– на мероприятиях по информационной и кибербезопасности;
– в профессиональных сообществах и соцсетях;
– в профильных вузах – приглашать на стажерские программы, практику и самим растить до профессионалов.
  • Кандидат на должность специалиста по инфобезопасности должен иметь широкий кругозор, разбираться в железе и софте, построении сетей, разработке программ, быть в курсе новостей рынка, знать криптографию, и нормативные базы ЦБ и ФСБ и других контролирующих органов.

Фото на обложке: pixabay.com

Нашли опечатку? Выделите текст и нажмите Ctrl + Enter

Материалы по теме

  1. 1 Найти клиентов и сделать кастдев: зачем предпринимателю преподавать
  2. 2 Как найти хорошего программиста: 10 советов для HR
ArtTech — карта разработчиков арт-технологий
Все игроки российского рынка технологий для искусства
Перейти