/ Киберучения позволяют комплексно подойти к развитию карьеры, точечно проработать hard&soft skills
/ Специалист «не на своем месте» вредит бизнесу. На киберучениях такие сотрудники видны лучше всего
Как использовать киберучения для формирования карьерного трека
Рассмотрим типовые ситуации, связанные с карьерным ростом сотрудников ИТ-компаний. Валера работает у вас уже 4 года. Он вырос от младшего аналитика до специалиста 2 -й линии. Валера просто хорошо работает. Конференции он воспринимает как мероприятия типа «что угодно, только не работать». Отправить его на обучение не просит,но может разово повысить квалификацию, если его мотивировать, например, процентом к зарплате. Валере не интересно, как улучшить текущие рабочие процессы и что будет завтра. Он считает, что с работодателем у него все хорошо: работа за деньги. Ваш HR считает, что Валера близок к выгоранию. Слава тоже начинал младшим аналитиком два года назад. А сейчас он аналитик 2-й линии. Слава тоже хорошо работает, а еще он ходит на митапы и рассказывает о своем опыте. Слава выбивает себе обучение каждый год и примерно раз в квартал приходит с идеей по улучшению процессов или с предложением интегрировать крутой open source, чтобы стало лучше. Да, он работает за деньги. Но и за что-то еще. За что?
В чем между ними разница?
Как руководитель может использовать киберучения, чтобы помочь сотрудникам выполнять работу эффективно? Несмотря на то, что в сфере информационной безопасности горизонтальный переход совершить легко, многие специалисты не приходят к такому решению. Более логичным шагом им кажется смена работодателя. А попытку протестировать на текущем рабочем месте новую роль для себя они воспринимают как невыполнимую, поскольку такое решение сопряжено с рядом сложностей во внутренних процессах. Что может сделать специалист, если захочет попробовать себя в роли пентестера? Пройти внутреннее собеседование, уйти от текущего руководителя, перейти в отдел Red Team, начать осваивать новые техники, потратить полгода и получить непредсказуемый результат.Чтобы проанализировать технические навыки специалиста и обеспечить для него грамотный и спланированный переход на другую роль, требуются инфраструктура и контекст, приближенные к реальным. И речь идет не об абстрактных задачах, где уязвимости практически никак не похожи на реальные недостатки систем, а о платформах киберучений — например, Jet CyberCamp.
Jet CyberCamp — платформа, имитирующая ИТ-ландшафт предприятия с набором уязвимостей и средств защиты. Платформы киберучений позволяют полностью продублировать инфраструктуру и использовать знакомые специалистам СЗИ. Все обучение и отработка навыков будут соответствовать реальным и ежедневным задачам. Более того, киберучения могут имитировать не только техническую часть, но и процессы, реализованные в компании. Как итог: обучение новым навыкам направлено на развитие hard&soft skills, которые необходимы для работы в данной конкретной компании.
При прохождении киберучений на платформе Jet CyberCamp и в ходе освоения навыков новой роли сотрудник не обязан прерывать текущую работу. Здесь подход — гибкий и управляемый. Курсы и этапы прохождения практики подстраиваются под график специалистов. Также обучение можно проходить смешанными командами, что только улучшает понимание того, чем заняты коллеги в других отделах. Такой подход гарантирует, что погружение в новую область будет более глубоким, нежели использование C TF или знакомство с историями из сообщества.
В результате, проходя практику киберучений при желании сменить роль, сотрудник лучше понимает задачи другой группы, осознает процессы и может с большей уверенностью совершить горизонтальный переход. Стоимость смены должности снижается, а результат становится более предсказуемым.
Инструкция по применению
Результаты прохождения киберучений с уклоном в анализ специалистов дадут работодателю возможность использовать эти знания для своевременной смены ролей работников и понимания их мотивации. Вредно держать инженера на роли аналитика 2-й линии только потому, что он пришел 4 года назад в качестве стажера именно в этот отдел. Равно как и вредно, в первую очередь для бизнеса, оставлять экспертов не на своем месте, хотя на рынке существуют продукты для оценки навыков, позволяющие специалисту своевременно сменить роль.
Но как быть с коллегами, у которых мотивация минимальная?
«Специалист не на своем месте» работает не на полную мощность. Да, такие сотрудники прекрасно подходят для отработки отлаженных процессов, где все кристально прозрачно и понятно. И скорее всего, они компетентны для выполнения линейной работы на хорошем уровне. Но при наличии неопределенности или возникновении проблем они не предлагают решения и не включаются в работу полностью. Эти же специалисты чаще всего просматривают открытые вакансии. Они могут совсем не задумываться о том, что при смене работодателя задачи не изменятся и усталость останется.
Решение кейсов такого рода разобьем на два этапа: оценка технических и гибких навыков.
Специалистов, строящих долгосрочные отношения с работодателем, очень мало. И это ответственность не только соискателей, но и работодателей.
Решение кейсов такого рода разобьем на два этапа: оценка технических и гибких навыков.
На платформе Jet CyberCamp оба класса этих навыков можно протестировать. Причем, как описано выше, в условиях, максимально приближенных к привычным для специалиста. Для оценки технических навыков доступны курсы по основным направлениям информационной безопасности. На текущий момент разработаны следующие модули:
- форензика (Forensics skill);
- базовые аналитические навыки (SOC analyst skills);
- базовое администрирование ИТ (Administrative skills / IT operations knowledge);
- сетевая безопасность (Network defense skills);
- этичный хакинг (Ethical hacking skills);
- работа со средствами защиты (Manage security tools skills);
- операционная и управленческая отчетность (Reporting skills);
- реверс-инжиниринг (Reverse engineering skills);
- активный поиск угроз и разведка (Expert threat skills);
- методология и законодательство (Legal requirement and methodologies knowledge);
- безопасная разработка (DevSecOps).
Представленные модули покрывают все актуальные роли для специалистов по информационной безопасности в структурах со зрелыми ИБ-процессами. И одной из задач Jet CyberСamp является оценка работника по выбранным навыкам. Для оценки технических компетенций он выполняет практические задания, а для проверки теоретических знаний — тесты.
В сценарных заданиях, связанных с kill chain и состоящих из нескольких шагов, специалисты разбирают произошедшие или происходящие кейсы и отслеживают:
- как произошел инцидент;
- кто является злоумышленником — внутренний инсайдер, подрядчик, внешний хакер;
- какие действия совершает нарушитель и к каким последствиям это может привести;
- что нужно предпринять: чтобы устранить уязвимость и изгнать хакера из сети;
- как предотвратить такие инциденты в будущем.
Практические задания могут быть связаны с исследованием логов Windows или Linux-машин, работой с SIEM, ERP, IRP/TIP и другими СЗИ. Такой подход позволяет сформировать полную матрицу оценки сильных и слабых технических навыков эксперта. Что же до навыков коммуникаций, постановки задач и решения проблем, то в формате киберучения и эти аспекты можно отследить и оценить. В процессе проведения командных мероприятий на платформе Jet CyberCam все soft skills специалистов становятся наглядными.
Проактивные коллеги будут предлагать генерировать и тестировать гипотезы. В командах станут появляться негласные лидеры. И у частников, которым ничего не интересно, хорошо видно.
Для оценки некоторых soft skills на платформе Jet CyberCamp предусмотрены отдельные задания — например, подготовка презентации по результатам инцидента, которую необходимо продемонстрировать руководству, или формирование пресс-релиза для PR-службы во время работы с критическим инцидентом. Команда киберучений готовит такие задания в соответствии с процессами, принятыми в компании, а далее проводит экспертную оценку результатов.
Все паттерны отслеживаются кураторами киберучений и могут быть интерпретированы для руководителя группы. Вместе с матрицей технических навыков эта интерпретация позволяет составить полное представление о работнике, его сильных и слабых сторонах и зонах развития.
На текущий момент на кадровом рынке информационной безопасности количество вакансий значительно превышает спрос. Есть сформировавшиеся команды, которые практически невозможно получить. Есть эксперты, знающие себе цену, которые не начнут переписку с HR-менеджером без оффера с зарплатой, начинающейся с цифры 5. Выгоревшие специалисты тоже есть. Они не ответят HR, потому что устали от работы. Некоторым коллегам просто комфортно у текущего работодателя, и переход их не интересует. А есть множество начинающих специалистов с одним-двумя годами опыта, которые не до конца понимают, какая область им ближе.
Среди моих одногруппников было много ребят, уверенных в том, что пентест — это много денег, стиль и крутая работа. Спустя 5 лет ровно 0 из них заняты взломом. Они потратили несколько лет, деньги работодателей на сертификаты и обучение, время работодателей на онбординг, чтобы открыть для себя другие роли. Сейчас, с трендом на киберучения, этот путь может потребовать гораздо меньше времени и денег, а в итоге появится классный эксперт, которому интересна его работа.