Кадровый голод в ИБ

Дмитрий Гадарь: Кадровый голод есть всегда и во всех сферах рынка, просто в ИБ он более заметен, поскольку это достаточно новое направление. На рынке есть молодые ребята, которые занимаются анализом защищенности, подтягивают технические навыки. В то же время не хватает вовлеченных в профессию людей, своего рода идеологов, способных сделать так, чтобы уязвимости в принципе не появлялись.

Ольга Елисеева: Для интегратора кадровый голод — вечная тема. Мы воспринимаем его не как проблему, а как реальность, в которой нужно уметь жить. Я работаю в компании «Инфосистемы Джет» уже 9 лет, и все это время есть ощущение дефицита кадров.

Максим Филиппов: Кадровый голод в ИБ был всегда, и с годами он только усиливается. Рынок растет, регуляторы стимулируют его развитие, и бизнес осознает важность вопроса. ФСБ, ФСТЭК, ЦБ РФ выпускают свои стандарты. Например, Банк России рекомендует финансовым организациям в обязательном порядке выполнять анализ кода своих приложений. Но для этого нужны соответствующие профильные специалисты. То есть банально: берем количес­тво приложений, множим на число аналитиков — вот тебе и кадровый голод.

У нас есть несколько профилей сотрудников: BizDev и sales, R&D, исследователи информационной безопасности, бэк-офис, маркетинг, инженеры. По каж­дому из них наши кадровые потребности различаются. Возьмем, например, пентестеров и экспертов, которые расследуют инциденты или выявляют атаки. Порой, чтобы попасть в этот блок, люди проходят собеседования по три года (как в Гнесинку). Здесь у нас всегда есть вакансии, и если появится сильный эксперт, то мы его обязательно возьмем. Проблема в том, что их на российском рынке мало, прямо несколько десятков. Напротив, найти специалиста в BizDev и sales очень легко, поскольку наши решения просто продавать. Еще одно направление, по которому мы находимся в условиях жесткой кадровой конкуренции, — R&D. И конкурировать нам приходится с ИТ-гигантами с международными амбициями. Однако наши проекты все равно вызывают интерес у специалистов, скажем, из «Яндекса» или Сбербанка, которые приходят к нам в разработку.

Можно сказать, что кадровый голод неоднороден. Не хватает программистов, которые быстро находят привлекательную работу вне ИБ. В дефиците пентестеры, реверсы, рисерчеры, потому что на рынке их мало и этому не учат в вузах. Инженеров тоже не хватает, но в несколько меньшей степени.

Дмитрий Гадарь: Мы комбинируем три способа. Регулярно работаем со студентами, иногда перекупаем отдельных специалистов. Много сил вкладываем в развитие персонала: проводим обучение для коллег из других подразделений и берем к себе лучших. Так, мы вырастили очень крутого безопасника из HR-специалиста. Я приветствую рост внутри команды, а не поиск лидеров на рынке.

ИБ не может быть замкнута сама на себе, она связана с поведением каждого сотрудника. Важно продвигать культуру информационной безопаснос­ти, обучать людей, которые занимаются проектной деятельностью, аналитиков и кодеров. Для этого у нас есть программы подготовки Security Champions — людей, которые транслируют культуру ИБ в свои команды.

Ольга Елисеева: Конечно же, используем все три способа. Вариант с переучиванием специалистов из других департаментов — реже. Нельзя, решая свои проблемы, создавать кадровый дефицит у коллег. Зато мы активно вкладываемся во внутреннее развитие — повышение компетенций, кросс-обучение с соседними департаментами.

Перекупать сотрудников не очень любим. Если человека в первую очередь интересуют деньги, скорее всего, он уйдет в другую компанию на чуть большую зарплату. Но мы идем и на такие меры, если уверены, что специалист принесет что-то ценное: выстроит процесс, наберет команду, даст редкую для рынка экспертизу.

Отмечу, что все актуальнее становится развитие софт-скиллов — одних технических знаний недостаточно. Заказчикам хочется, чтобы им человечес­ким языком объясняли, как их будут защищать. Представители бизнеса активнее погружаются в процесс, чтобы понять, куда тратятся деньги. Хорошему ИБ-специалисту нужны развитые навыки переговорщика, презентации материала.

Максим Филиппов: У нас была потрясающая история, когда F5 Networks решила уйти из России и закрыла офис в Томске. Едва заслышав об этом, мы вышли на их сотрудников и практически полностью забрали к себе команду экспертов — так появился офис в Томске.

Мы не видим большого смысла в переманивании специалистов оффером с высокой зарплатой. Наш рецепт борьбы с нехваткой кадров — стать привлекательными для соискателей. И только деньгами этот вопрос не решить — нужно, чтобы люди хотели работать в Positive Technologies. Например, мы вкладываем большие средства в обу­чение и рост сотрудников — десятки миллионов рублей ежегодно.

Максим Филиппов: Мы периодичес­ки запускаем стажерские программы. По большей части в тех случаях, когда чувствуем комплексную потребность в молодых специалистах по какому-то конкретному направлению. Так, например, в прошлом году мы открыли большую программу для начинающих разработчиков Python в Томске. В итоге взяли на работу 10 человек и сформировали кадровый резерв. Время от времени запускаем похожие программы для пентестеров. Конечно, у нас в планах есть и запуск программ, нацеленных, например, на реверсов или, скажем, специализированных — для студентов и начинающих ИБ-специалистов. Мы считаем это важным, поскольку индустрия развивается быстро и уже сейчас понятно, что чем дальше, тем сильнее будет нехватка нужных нам экспертов. В таких условиях вполне логично уже сейчас работать на перспективу.

Дмитрий Гадарь: Не так давно мы проводили финтехшколу для выпускников технических вузов, в частности МФТИ. Выбрали пятерых наиболее перспективных студентов и взяли на позиции джуниоров. Очень способные ребята, в некоторых вопросах дадут фору состоявшимся ИБ‑специалистам.

Ольга Елисеева: Раньше в «Инфосистемы Джет» стажерские программы были поставлены на поток, многие наши студенты выросли до экспертов и тимлидов. Затем мы перешли на формат наставничества: каждому стажеру назначается куратор, который обучает его, дает практические задачи и вкладывается в его развитие. В настоящее время решили возобновить стажерские программы. Опыт показывает, что в студента нужно инвестировать примерно год, чтобы компания начала получать профит от его работы.

Дмитрий Гадарь: За редкими исключениями (Security Operation Center, управление изменениями, Application Security) нам хватает людей, а раз потребности нет, мы не думаем в этом направлении. К тому же перенасыщение компании младшими специалистами может вызвать негативные последствия: когда больше половины команды составляют джуниоры, она малоэффективна. Молодые ребята не смогут качественно выстроить ИБ-процессы.

Ольга Елисеева: На поддержку такого центра необходимо много ресурсов. Придется создать дополнительные рабочие места или сильно увеличить нагрузку на имеющихся специалистов, поэтому строить его я не вижу смысла. Логичнее регулярно запускать стажерские программы — так мы будем находить нужных людей, прикладывая гораздо меньше усилий.

Максим Филиппов: Обучающий центр пока вне зоны наших интересов. Мы сотрудничаем с учебным центром «Информзащиты»: передаем разработанные нами курсы, а они их проводят. Возможно, со временем мы тоже до этого дорастем.

Дмитрий Гадарь: Сильно не хватает людей, способных выстраивать процессы по управлению уязвимостями в приложениях. Еще ощущается нехватка людей в области выявления инцидентов ИБ и реагирования на них.

Кроме того, в ИБ набирает популярность машинное обучение, поэтому возникнет спрос на ML‑специалистов.

Максим Филиппов: Соглашусь с тем, что есть нехватка специалистов, способных обрабатывать инциденты, а это очень перспективное направление: количество SOC увеличивается, регуляторы выпускают новые требования и рекомендации. Также не хватает сотрудников в R&D. Сейчас на российских разработчиков установился высокий спрос из-за соотношения цена-качество. Это спровоцировало рост конкуренции с международными компаниями. Ну и конечно же, высококлассные пентестеры всегда в дефиците.

Ольга Елисеева: В дефиците всё, что связано с новыми технологиями — DevSecOps, защитой Big Data, IoT, машинным обучением. В перспективе будет не хватать экспертов по роботизации и блокчейну, если технология все же станет массовой. Последние годы стабильно не хватает людей, умеющих работать с SOC или имеющих практический опыт в Application Security. Еще, как бы банально это ни звучало, нам всегда нужны сетевики, поскольку сетевые проекты появляются постоянно.

Дмитрий Гадарь: Tinkoff.ru — привлекательный бренд, к нам хотят попасть. Поэтому для нас это рынок работодателя — мы сами выбираем тех, кто будет у нас работать.

Ольга Елисеева: Мне кажется, это рынок соискателя. У Дмитрия высокая конкуренция на одно место, поэтому они сами выбирают людей. В нашем случае конкуренция ниже, поэтому мы инвестируем в HR-бренд, в маркетинг, стараемся быть привлекательнее как работодатель.

Максим Филиппов: Это очень неоднородный рынок. Как я уже говорил, BizDev и sales для нас — рынок работодателя: мы сами выбираем, кто будет у нас работать. В случае с R&D, скорее, рынок соискателя, хотя тоже не всегда.  По большому счету нет однозначного понятия, чей это рынок, как нет и одинаковых правил по поводу того, как собрать талантливых людей в одном месте. Мы считаем важным предложить крутую, увлекательную задачу, и если она совпадает с интересами конкретного человека, то ни о каких искусственных методах мотивации речь даже не заходит.

Дмитрий Гадарь: У нас молодая команда, практически всем до 30, поэтому я не вижу разницы. Но небольшие различия есть: чем старше человек, тем важнее ему стабильность и какая-то «база», молодых легче завлечь развитием и интересной работой.

Ольга Елисеева: Почти все наши сотрудники — представители поколения Y. Поколение Z еще слишком юное, чтобы идти к нам, поэтому пока не могу сказать, как оно проявит себя в деле.

Максим Филиппов: У нас есть представители разных поколений, но благодаря работе HR это люди с одинаковыми ценностями. Разницы мы не ощущаем.

Дмитрий Гадарь: Нет. Вопрос даже не в том, что в компанию придется разом интегрировать много новых людей, а в нужности их компетенций. К тому же стоимость команды стартапа в разы больше, чем приобретение их продукта. Логичнее просто купить решение.

Ольга Елисеева: Возможно, для вендоров это рабочий вариант, но нам он точно не подходит. Стартап — это всегда продукт, а мы не концентрируемся на их приобретении.

Максим Филиппов: У нас нет практики поглощения стартапов. В самой компании высокая концентрация новых идей, так что нам интереснее тратить ресурсы на своих, скажем так, внутренних стартаперов. Если возьмем еще и внешних, рискуем получить головную боль, а не решение проблемы.

Да и переманивать отдельных специалистов тоже бессмысленно. Стартап создают увлеченные люди, которые работают за идею. Если их интересуют деньги, со временем они сами придут и ты рассмотришь их кандидатуры в общем порядке.

Максим Филиппов: По большому счету, нам отдавать на аутсорсинг нечего, мы сами можем оказывать такие услуги. Кстати, в масштабах всего рынка ИБ это тоже не решит проблему кадрового голода, потому что количество кадров по сути не изменится. Хотя конкретному бизнесу это может помочь быстро закрыть брешь.

Дмитрий Гадарь: У меня был опыт работы с аутсорсерами, но все сводилось к оперативному управлению этими командами. По сути, не было никаких отличий от работы со штатными сотрудниками.

Насчет чистого аутсорсинга я не уверен — сейчас на рынке сложно найти хороший сервис. Если речь идет о крупной и быстро развивающейся компании, все равно нужно находиться внутри, чтобы держать руку на пульсе и быстро приспосабливаться к новым условиям. Но схема аутсорсинга может сработать с небольшими компаниями или для формализованных базовых процессов.

Ольга Елисеева: К нам поступают запросы заказчиков, которые не могут справиться с нехваткой специалистов. Причины могут быть разными: ограниченность штата или бюджета, невозможность найти людей своими силами.  Для них аутсорсинг — выход, возможность справиться с рисками ИБ.

* В случае Positive Technologies речь идет о senior-разработчиках. Сотрудников на руководящие позиции в компании ищут от 2 месяцев до года (в некоторых случаях более года).