Сайт находится в состоянии доработки. Извиняемся за неудобства.

x
© 1995-2020 Компания «Инфосистемы Джет»

Как регуляторы влияют на рынок ИБ

 

Почему tinkoff.ru не торгуется с соискателями

 

Что общего между Positive Technologies и Гнесинкой

 

 

— Кадровый голод — это тема, о которой говорят постоянно. Когда вы впервые с ним столк­нулись?

Дмитрий Гадарь: Кадровый голод есть всегда и во всех сферах рынка, просто в ИБ он более заметен, поскольку это достаточно новое направление. На рынке есть молодые ребята, которые занимаются анализом защищенности, подтягивают технические навыки. В то же время не хватает вовлеченных в профессию людей, своего рода идеологов, способных сделать так, чтобы уязвимости в принципе не появлялись.

 

Ольга Елисеева: Для интегратора кадровый голод — вечная тема. Мы воспринимаем его не как проблему, а как реальность, в которой нужно уметь жить. Я работаю в компании «Инфосистемы Джет» уже 9 лет, и все это время есть ощущение дефицита кадров.

 

Максим Филиппов: Кадровый голод в ИБ был всегда, и с годами он только усиливается. Рынок растет, регуляторы стимулируют его развитие, и бизнес осознает важность вопроса. ФСБ, ФСТЭК, ЦБ РФ выпускают свои стандарты. Например, Банк России рекомендует финансовым организациям в обязательном порядке выполнять анализ кода своих приложений. Но для этого нужны соответствующие профильные специалисты. То есть банально: берем количес­тво приложений, множим на число аналитиков — вот тебе и кадровый голод.

 

У нас есть несколько профилей сотрудников: BizDev и sales, R&D, исследователи информационной безопасности, бэк-офис, маркетинг, инженеры. По каж­дому из них наши кадровые потребности различаются. Возьмем, например, пентестеров и экспертов, которые расследуют инциденты или выявляют атаки. Порой, чтобы попасть в этот блок, люди проходят собеседования по три года (как в Гнесинку). Здесь у нас всегда есть вакансии, и если появится сильный эксперт, то мы его обязательно возьмем. Проблема в том, что их на российском рынке мало, прямо несколько десятков. Напротив, найти специалиста в BizDev и sales очень легко, поскольку наши решения просто продавать. Еще одно направление, по которому мы находимся в условиях жесткой кадровой конкуренции, — R&D. И конкурировать нам приходится с ИТ-гигантами с международными амбициями. Однако наши проекты все равно вызывают интерес у специалистов, скажем, из «Яндекса» или Сбербанка, которые приходят к нам в разработку.

 

Можно сказать, что кадровый голод неоднороден. Не хватает программистов, которые быстро находят привлекательную работу вне ИБ. В дефиците пентестеры, реверсы, рисерчеры, потому что на рынке их мало и этому не учат в вузах. Инженеров тоже не хватает, но в несколько меньшей степени.

ИБ — это своего рода паранойя. Хорошим ИБ-специалистом cтановится тот, кто способен мыслить критически, перепроверять утверждения коллег и контролировать процессы.

Дмитрий Гадарь, Tinkoff.ru

— Есть три способа закрыть кад­ровую проблему: привлекать специалистов с рынка, растить молодежь и переучивать собственных сотрудников из смежных областей. Как поступает ваша компания?

Дмитрий Гадарь: Мы комбинируем три способа. Регулярно работаем со студентами, иногда перекупаем отдельных специалистов. Много сил вкладываем в развитие персонала: проводим обучение для коллег из других подразделений и берем к себе лучших. Так, мы вырастили очень крутого безопасника из HR-специалиста. Я приветствую рост внутри команды, а не поиск лидеров на рынке.

 

ИБ не может быть замкнута сама на себе, она связана с поведением каждого сотрудника. Важно продвигать культуру информационной безопаснос­ти, обучать людей, которые занимаются проектной деятельностью, аналитиков и кодеров. Для этого у нас есть программы подготовки Security Champions — людей, которые транслируют культуру ИБ в свои команды.

 

Ольга Елисеева: Конечно же, используем все три способа. Вариант с переучиванием специалистов из других департаментов — реже. Нельзя, решая свои проблемы, создавать кадровый дефицит у коллег. Зато мы активно вкладываемся во внутреннее развитие — повышение компетенций, кросс-обучение с соседними департаментами.

 

Перекупать сотрудников не очень любим. Если человека в первую очередь интересуют деньги, скорее всего, он уйдет в другую компанию на чуть большую зарплату. Но мы идем и на такие меры, если уверены, что специалист принесет что-то ценное: выстроит процесс, наберет команду, даст редкую для рынка экспертизу.

 

Отмечу, что все актуальнее становится развитие софт-скиллов — одних технических знаний недостаточно. Заказчикам хочется, чтобы им человечес­ким языком объясняли, как их будут защищать. Представители бизнеса активнее погружаются в процесс, чтобы понять, куда тратятся деньги. Хорошему ИБ-специалисту нужны развитые навыки переговорщика, презентации материала.

 

Максим Филиппов: У нас была потрясающая история, когда F5 Networks решила уйти из России и закрыла офис в Томске. Едва заслышав об этом, мы вышли на их сотрудников и практически полностью забрали к себе команду экспертов — так появился офис в Томске.

 

Мы не видим большого смысла в переманивании специалистов оффером с высокой зарплатой. Наш рецепт борьбы с нехваткой кадров — стать привлекательными для соискателей. И только деньгами этот вопрос не решить — нужно, чтобы люди хотели работать в Positive Technologies. Например, мы вкладываем большие средства в обу­чение и рост сотрудников — десятки миллионов рублей ежегодно.

Tinkoff.Ru — привлекательный бренд, к нам хотят попасть. Поэтому для нас иб-рынок — это рынок работодателя: мы сами выбираем тех, кто будет у нас работать.

Дмитрий Гадарь, Tinkoff.ru

— Вы готовы брать студентов на стажировку и давать им необходимые знания?

Максим Филиппов: Мы периодичес­ки запускаем стажерские программы. По большей части в тех случаях, когда чувствуем комплексную потребность в молодых специалистах по какому-то конкретному направлению. Так, например, в прошлом году мы открыли большую программу для начинающих разработчиков Python в Томске. В итоге взяли на работу 10 человек и сформировали кадровый резерв. Время от времени запускаем похожие программы для пентестеров. Конечно, у нас в планах есть и запуск программ, нацеленных, например, на реверсов или, скажем, специализированных — для студентов и начинающих ИБ-специалистов. Мы считаем это важным, поскольку индустрия развивается быстро и уже сейчас понятно, что чем дальше, тем сильнее будет нехватка нужных нам экспертов. В таких условиях вполне логично уже сейчас работать на перспективу.

 

Дмитрий Гадарь: Не так давно мы проводили финтехшколу для выпускников технических вузов, в частности МФТИ. Выбрали пятерых наиболее перспективных студентов и взяли на позиции джуниоров. Очень способные ребята, в некоторых вопросах дадут фору состоявшимся ИБ‑специалистам.

 

Ольга Елисеева: Раньше в «Инфосистемы Джет» стажерские программы были поставлены на поток, многие наши студенты выросли до экспертов и тимлидов. Затем мы перешли на формат наставничества: каждому стажеру назначается куратор, который обучает его, дает практические задачи и вкладывается в его развитие. В настоящее время решили возобновить стажерские программы. Опыт показывает, что в студента нужно инвестировать примерно год, чтобы компания начала получать профит от его работы.

У нас нет практики поглощения стартапов. В самой компании высокая концентрация новых идей, так что нам интереснее тратить ресурсы на своих,скажем так, внутренних стартаперов. Если возьмем еще и внешних, рискуем получить головную боль, а не решение проблемы.

Максим Филиппов, Positive Technologies

Рассматриваете ли вы вариант с созданием собственного учебного центра?

Дмитрий Гадарь: За редкими исключениями (Security Operation Center, управление изменениями, Application Security) нам хватает людей, а раз потребности нет, мы не думаем в этом направлении. К тому же перенасыщение компании младшими специалистами может вызвать негативные последствия: когда больше половины команды составляют джуниоры, она малоэффективна. Молодые ребята не смогут качественно выстроить ИБ-процессы.

 

Ольга Елисеева: На поддержку такого центра необходимо много ресурсов. Придется создать дополнительные рабочие места или сильно увеличить нагрузку на имеющихся специалистов, поэтому строить его я не вижу смысла. Логичнее регулярно запускать стажерские программы — так мы будем находить нужных людей, прикладывая гораздо меньше усилий.

 

Максим Филиппов: Обучающий центр пока вне зоны наших интересов. Мы сотрудничаем с учебным центром «Информзащиты»: передаем разработанные нами курсы, а они их проводят. Возможно, со временем мы тоже до этого дорастем.

Каких специалистов вам не хватает прямо сейчас и кто будет в дефиците в ближайшие 5–7 лет?

Дмитрий Гадарь: Сильно не хватает людей, способных выстраивать процессы по управлению уязвимостями в приложениях. Еще ощущается нехватка людей в области выявления инцидентов ИБ и реагирования на них.

 

Кроме того, в ИБ набирает популярность машинное обучение, поэтому возникнет спрос на ML‑специалистов.

 

Максим Филиппов: Соглашусь с тем, что есть нехватка специалистов, способных обрабатывать инциденты, а это очень перспективное направление: количество SOC увеличивается, регуляторы выпускают новые требования и рекомендации. Также не хватает сотрудников в R&D. Сейчас на российских разработчиков установился высокий спрос из-за соотношения цена-качество. Это спровоцировало рост конкуренции с международными компаниями. Ну и конечно же, высококлассные пентестеры всегда в дефиците.

 

Ольга Елисеева: В дефиците всё, что связано с новыми технологиями — DevSecOps, защитой Big Data, IoT, машинным обучением. В перспективе будет не хватать экспертов по роботизации и блокчейну, если технология все же станет массовой. Последние годы стабильно не хватает людей, умеющих работать с SOC или имеющих практический опыт в Application Security. Еще, как бы банально это ни звучало, нам всегда нужны сетевики, поскольку сетевые проекты появляются постоянно.

Как вы оцениваете рынок ИБ в России: это рынок соискателя, где компании готовы перекупать сотрудников друг у друга, или работодателя?

Дмитрий Гадарь: Tinkoff.ru — привлекательный бренд, к нам хотят попасть. Поэтому для нас это рынок работодателя — мы сами выбираем тех, кто будет у нас работать.

 

Ольга Елисеева: Мне кажется, это рынок соискателя. У Дмитрия высокая конкуренция на одно место, поэтому они сами выбирают людей. В нашем случае конкуренция ниже, поэтому мы инвестируем в HR-бренд, в маркетинг, стараемся быть привлекательнее как работодатель.

 

Максим Филиппов: Это очень неоднородный рынок. Как я уже говорил, BizDev и sales для нас — рынок работодателя: мы сами выбираем, кто будет у нас работать. В случае с R&D, скорее, рынок соискателя, хотя тоже не всегда.  По большому счету нет однозначного понятия, чей это рынок, как нет и одинаковых правил по поводу того, как собрать талантливых людей в одном месте. Мы считаем важным предложить крутую, увлекательную задачу, и если она совпадает с интересами конкретного человека, то ни о каких искусственных методах мотивации речь даже не заходит.

Кадровый голод в ИБ был всегда, и с годами он только усиливается. Рынок растет, регуляторы стимулируют его развитие. Например, Банк России рекомендует финансовым организациям выполнять анализ кода своих приложений. Но для этого нужны соответствующие специалисты. То есть банально: берем количество приложений, множим на число аналитиков — вот тебе и кадровый голод.

Максим Филиппов, Positive Technologies

Замечаете ли вы разницу между поколениями Х, Y и Z или эта теория для вас не актуальна?

Дмитрий Гадарь: У нас молодая команда, практически всем до 30, поэтому я не вижу разницы. Но небольшие различия есть: чем старше человек, тем важнее ему стабильность и какая-то «база», молодых легче завлечь развитием и интересной работой.

 

Ольга Елисеева: Почти все наши сотрудники — представители поколения Y. Поколение Z еще слишком юное, чтобы идти к нам, поэтому пока не могу сказать, как оно проявит себя в деле.

 

Максим Филиппов: У нас есть представители разных поколений, но благодаря работе HR это люди с одинаковыми ценностями. Разницы мы не ощущаем.

Можно ли решить проблему отсутствия кадров в ИБ с помощью стартапов? Например, полностью выкупить команду и интегрировать ее в компанию?

Дмитрий Гадарь: Нет. Вопрос даже не в том, что в компанию придется разом интегрировать много новых людей, а в нужности их компетенций. К тому же стоимость команды стартапа в разы больше, чем приобретение их продукта. Логичнее просто купить решение.

 

Ольга Елисеева: Возможно, для вендоров это рабочий вариант, но нам он точно не подходит. Стартап — это всегда продукт, а мы не концентрируемся на их приобретении.

 

Максим Филиппов: У нас нет практики поглощения стартапов. В самой компании высокая концентрация новых идей, так что нам интереснее тратить ресурсы на своих, скажем так, внутренних стартаперов. Если возьмем еще и внешних, рискуем получить головную боль, а не решение проблемы.

Да и переманивать отдельных специалистов тоже бессмысленно. Стартап создают увлеченные люди, которые работают за идею. Если их интересуют деньги, со временем они сами придут и ты рассмотришь их кандидатуры в общем порядке.

Все актуальнее становится развитие софт-скиллов — одних технических знаний недостаточно. Заказчики хотят, чтобы им человеческим языком объясняли, как их будут защищать.

Ольга Елисеева, «Инфосистемы Джет»

А что насчет аутсорсинга? Он может сгладить нехватку людей?

Максим Филиппов: По большому счету, нам отдавать на аутсорсинг нечего, мы сами можем оказывать такие услуги. Кстати, в масштабах всего рынка ИБ это тоже не решит проблему кадрового голода, потому что количество кадров по сути не изменится. Хотя конкретному бизнесу это может помочь быстро закрыть брешь.

 

Дмитрий Гадарь: У меня был опыт работы с аутсорсерами, но все сводилось к оперативному управлению этими командами. По сути, не было никаких отличий от работы со штатными сотрудниками.

 

Насчет чистого аутсорсинга я не уверен — сейчас на рынке сложно найти хороший сервис. Если речь идет о крупной и быстро развивающейся компании, все равно нужно находиться внутри, чтобы держать руку на пульсе и быстро приспосабливаться к новым условиям. Но схема аутсорсинга может сработать с небольшими компаниями или для формализованных базовых процессов.

 

Ольга Елисеева: К нам поступают запросы заказчиков, которые не могут справиться с нехваткой специалистов. Причины могут быть разными: ограниченность штата или бюджета, невозможность найти людей своими силами.  Для них аутсорсинг — выход, возможность справиться с рисками ИБ.

Как долго ищут ИБ-специалистов
  Заказчик Интегратор Вендор
Младший специалист до 1 месяца 1 – 1,5 месяца до 1 месяца
Руководящая позиция до 6 месяцев до 6 месяцев до 3 месяцев*

 

* В случае Positive Technologies речь идет о senior-разработчиках. Сотрудников на руководящие позиции в компании ищут от 2 месяцев до года (в некоторых случаях более года).

 

Следите за нашими обновлениями

хотите больше интересных интервью в нашем журнале?

Разделение на департаменты больше не имеет смысла, ИТ и бизнес должны работать вместе

Как с помощью машинного обучения предсказать продажи с точностью 90% в интервью JETINFO рассказывает Александр Соколовский, СТО российской сети Leroy Merlin.

Аутсорсинг помогает адаптироваться к российским особенностям ведения бизнеса

ИТ-системы, обслуживающие бизнес BMW в России, представляют собой сплав зарубежных практик, специализированных российских разработок и ИТ-аутсорсинга. Всем этим управляет команда из 10 человек, подчиняющаяся глобальным ИТ- и ИБ-службам автопроизводителя. О том, как зарубежная компания работает в российском правовом поле и что она готова отдать на аутсорсинг местным поставщикам ИТ-услуг, рассказывает менеджер разработки и поддержки ИТ-приложений «БМВ Русланд Трейдинг» Денис Храмов.

Играли в детстве в сыщиков? SecDevOps во многом то же самое

Отношения между безопасностью и бизнесом директор по безопасности «Яндекс.Такси» Артем Гутник описывает как погоню черепахи за зайцем. Причем с помощью цифровизации и технологий черепаха может не только догнать, но и обогнать зайца. Особенно ярко эта философия проявляется в SecDevOps — операционной модели, в которой безопасность обеспечивается на каждом этапе разработки приложений. Мы поговорили с Артемом о том, почему целесообразно использовать именно термин SecDevOps, каким компаниям стоит применять этот подход и как обеспечить себя компетентными специалистами.

Безопасная разработка: адаптивная эволюция

Какие проблемы возникают при интеграции процессов разработки, ИТ и ИБ? Как правильно сформировать ИБ-команду для DevSecOps?

Аутсорсинг эксплуатации WAF и IPS: подводные камни и как их обойти

Как показывает наш опыт эксплуатации WAF и IPS в рамках аутсорсинга, организация рабочего процесса в этих случаях имеет особенности.

Погружение в Incident Response. Как это устроено

Последние два года выдались для сферы ИБ особенно напряженными.

Спасибо!
Ваш материал отправлен.
Мы с вами свяжемся
Предложить
авторский материал
Спасибо!
Вы подписались на обновления наших статей
Подписаться
на рубрику






Спасибо!
Вы подписались на обновления наших статей
Оформить
подписку на журнал







Спасибо!
Вы подписались на обновления наших статей
Оформить
подписку на новости







Спасибо!
Вы подписались на наши новости.
Оформить
подписку на Новости
Спасибо!
Ваша заявка отправлена.
Мы с вами скоро свяжемся.
Задать вопрос
редактору

Оставить заявку

Мы всегда рады ответить на любые Ваши вопросы

* Обязательные поля для заполнения

Спасибо!

Благодарим за обращение. Ваша заявка принята

Наш специалист свяжется с Вами в течение рабочего дня