О резюме специалистов по ИБ

О резюме специалистов по ИБ

В Фейсбуке моя краткая заметке привела к некоторой дискуссии, поэтому я решил написать чуть более развернуто. Но начну я с копипаста своей заметки, чтобы было понятно, о чем идет речь.

"Вот почему люди так пофигистически относятся к подготовке своих резюме? Они ищут работу и, вроде как, должны быть заинтересованы в том, чтобы поразить будущего работодателя своими умениями, навыками и знаниями. Но нет! Почему мало кто из ИБшников или ИБшных сейлов пишет о своих измеримых достижениях в резюме? Меня лично мало интересует, какой ВУЗ человек закончил 10-20-30 лет назад (а это ставят на первое место в резюме почти все - как будто все один плохой шаблон используют). А достижения интересуют. По ним оценивается специалист, а не по тому какому КОИБАСу его учили старперы по учебникам времен Петра Первого. С достижениями, кстати, тоже засада. Если они и есть, то никак не учитывают, кому резюме отправляется. Вот зачем в американской компании человек, который на первое место в своих достижениях выносит проекты по импортозамещению? 😉 Интересно, когда пишется ТЗ на систему по ИБ, оно же не универсальное (я надеюсь). Почему тогда резюме универсальное? Почему нельзя под каждого потенциального работодателя сделать свой вариант, "бьющий точно в цель"?"

Собственно, что я имел ввиду, когда говорил о достижениях? Ну вот, например, вместо указания продуктов, с которыми человек работал (а может не вместо, а вместе), можно было бы написать "внедрил IdM в масштабах предприятия на 1000 сотрудников". Вместо указания названия IRP-платформы, работе с которой можно научиться за пару дней на курсах вендора, а то и вовсе по роликам в YouTube, было бы классно увидеть что-то типа "выстроил процесс incident response, снизив время приема заявки с 17 минут до 3-х". А вместо "работал с заявками пользователей на доступ" горазо выгоднее бы смотрелось "написал средство автоматизации работы с заявками пользователей на доступ, сократив время предоставление доступа до 1 часа".

В ФБ Юлия Омельяненко справедливо пишет, что "умение делать работу и умение продать себя - две, не всегда связанных между собой навыка". С одной стороны я с не соглашусь. Это совсем разные навыки. С другой - если ты хочешь найти себе новую работу (а не просто "а почему бы и не попробовать закинуть резюме, вдруг прокатит"), то чуть напрячься и потратить время на осмысливание того, что ты делал/делаешь на работе и какую пользу ты принес, полезно. Представьте, что вы ищете сейла (специалиста по продажам) и он в резюме пишет, что он каждый день искал клиентов и продавал им какие-то продукты или услуги. Вас разве не заинтересует вопрос, а успешно ли он продавал? На какую сумму он продал на прошлом месте работы и насколько он перевыполнил план? Так и с ИБшником. Он тоже не просто "крутит гайки на файрволах" или выдает ключи электронной подписи - он улучшает состояние ИБ на предприятии.

Насколько улучшает? Как улучшает? К чему приводит его деятельность? "А меня не интересует, насколько безопаснее стало предприятие от моей работы. Я делаю свое дело. Я делаю то, что мне говорит начальство". Ну ОК. Ты классный чувак, наверное. Но на кой ты такой нужен, если тебе абсолютно пофигу, есть результат от твоей работы или нет? Я бы такого человека не только не взял на работу, но и гнал бы в шею поганой метлой, потому что такой пофигист не только не приносит пользы, но и заражает свои безразличием окружающих. Как правильно отметила в заметке Екатерина Калугина, большинство соискателей в резюме пишут, что делали (а это у многих схожих по роли специалистов очень похоже), а не что сделали.

Рустем Хайретдинов в ФБ написал "Специалист такой же продукт, как и софт, чтобы его продать, надо знать своего покупателя, его "боли", свои сильные и слабые стороны. Мне очевидно, что для разных компаний надо писать разные резюме, выбирать те свои "фичи", которые максимально выпячивают конкурентные преимущества на конкретной должности, выбрасывать второстепенные, не врать, но умалчивать недостатки. Писать резюме - несложная штука, научиться сильно проще, чем обращаться с PowerPoint" и я с ним согласен. Если ты веерно рассылаешь одинаковые резюме, то шансов найти что-то стоящее немного. С другой стороны, появляется шанс у тех, кто чуть напрягся и потратил время на изучение потенциального работодателя и подкрутку своего резюме под конкретную организацию. А если еще и сопроводительное письмо было написано, то вообще космос и шансов становится гораздо больше. Причем даже если такое резюме не прошло фильтр в виде HR, который смотрит только на знакомые слова или аббревиатуры, которые ему дали в ИБ (CISSP, OSCP, TIP, NGFW, ФСТЭК, SOC, SIEM и т.п.), то даже в этом случае есть смысл.

"А я вот аналитик первой линии SOC и просто работаю по плейбукам. Какие у меня могут быть достижения?" Логичный вопрос. Тоже самое может сказать человек, который настраивает МСЭ или генерит криптографические ключи или обрабатывает заявки на доступ или... Этих "или" может быть очень много. ИБ - не столь творческая профессия, как у художника, у которого каждая его картина уже достижение. И это не продажи, которые легко измерить по объему продаж, перевыполнению плана и другим показателям. И это не начальник, который может писать в резюме, что он управлял 10 сотрудниками или увеличил бюджет подразделения на 20% за пять лет (при ежегодной инфляции в 8%). Но!.. Как мне кажется, на любой должности в области ИБ надо не тупо выполнять то, что написано в плейбуке или инструкции, а думать прежде всего. Если вы тупо выполняете какие-то рутинные операции, то будьте уверены - вы первый кандидат на увольнение. Любая рутинно выполняемая операция рано или поздно будет автоматизирована - либо с помощью специализированных решений класса SOAR, либо с помощью технологий no code/low code, которые начинают проникать в ИБ, либо с помощью машинного обучения (как бы мы к нему не относились), либо с помощью технологий RPA (robot process automation). А если вернуться к работе аналитика, то у вас идеально выстроены процессы мониторинга и идеальные плейбуки, которые не надо улучшать? Мониторя инциденты, вы не замечали, что описанные процедуры неидеальны и могут быть улучшены? А новые правила корреляции вам не нужны? Вы предлагали улучшения? Да? Вы молодец! Это и пишите в "достижения". Не предлагали? Ну тогда повод задуматься.

О том, как писать резюме можно писать еще много, но я не ставил перед собой такую задачу. Главное, что я бы вынес из этой заметки - любая работа должна приносить результат, оцифрованную форму которого и нужно вносить в резюму. Разумеется, все это имеет смысл, если действительно человек не просто ходил на работу "с 9-ти до 6-ти" просиживать штаны, а реально что-то делал полезное для своей компании или хотя бы для своего подразделения. И, конечно, идея "пишите про свои достижения" должна быть принята во внимание, если вы действительно ищете работу (а то многих работа находит сама) и не рассылаете веером свое стандартное резюме "лишь бы куда-нибудь оно попало".

Ну а если вам интересно еще глубже погрузиться в тему строительства своей карьеры по ИБ, то есть несколько книжек на тему: 



ЗЫ. Все это сугубо мое личное мнение :-) Но если я когда-нибудь я буду писать резюме и искать работу с нуля, то я обязательно буду фокусироваться на достижениях и что работодатель получит от моего найма, то есть буду писать не о том, какой я классный (а это даже не обсуждается :-), а о том, что получит работодатель от того, какой я классный.  

Alt text

В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!