Итак, вы решили нанять специалиста по безопасности...

Итак, вы решили нанять специалиста по безопасности...
Давно хотелось изложить где-нибудь в упорядоченной форме мое видение процесса подбора персонала в области информационной безопасности. Потому что, с одной стороны, как вы сами понимаете, наболело. С другой же стороны, очень хочется дать совет тем, кто сам к безопасности отношение имеет косвенное, но по долгу службы стоит перед задачей "закрыть" вакансию. Так что, я тут аккуратненько все сложу, авось кому-нибудь пригодиться.

Прежде всего, разрешите вас искренне поздравить. Не зависимо от того, есть у вас в компании безопасники, или же искомый кандидат станет первым, событие это знаковое и перспективное. Шутка ли, у вашей компании появился небольшой шанс стать чуточку безопаснее. Шанс этот невелик в основном потому, что найти хорошего кандидата вам удастся с очень небольшой вероятностью. По крайней мере, в первый раз. В особенности, если вы не будете следовать моим советам. Ладно, я шучу, давайте по порядку.

Совет №1. Знание того, что вы ищете, существенно поможет вам найти это.
Вам следует четко определиться, какой именно специалист вам нужен. Безопасники бывают разными, я имею в виду комбинацию навыков и предыдущего опыта. Но условно всех нас можно поделить на две части: ИТ-безопасники и ИБшники. По-английски это называется красивее: ITsec- and policy- types of security guys. Первая категория занимается построением и/или поломкой всяческих систем, в то время как вторая больше вовлечена в организационные процессы. Кто круче не важно, просто вам следует сразу определиться, какой из типов больше подходит для удовлетворения потребностей вашей организации. Потому что, если не угадаете, будет мучительно жалко: для каждой из категорий задач нужны достаточно специфические скиллы, которые редко объединяются в пределах одного индивидуума. То есть, как вы наверняка уже поняли, требовать этого совмещения не стоит.

Совет №2. Сертификаты подтверждают опыт, а не демонстрируют его.
Многие рекрутеры, наученные опытом поиска ИТ-специалистов, считают, что достаточно просто вписать в требования к кандидатам несколько известных аббревиатур, и откликнувшиеся претенденты, предъявив соответствующие бумаги, отлично подойдут на вакансию. Иногда именно так и будет, но далеко не в каждом случае. Если не хотите испортить себе репутацию, подойдите к задаче внимательнее. В первую очередь, убедитесь в том, что сертификаты и правда выданы претенденту: мошенников хватает везде, ИБ не исключение. Далее, проверьте соответствие сертификата объявленной вакансии. И главное: количество не означает качество, все программы сертификации разные, и сравнивать их и их комбинации -- пустая трата времени.

Совет №3. За среднюю зарплату по отрасли вы получите среднее качество по отрасли.
Очень хорошо, если вы сделали "домашнюю работу", прочитали несколько отчетов об уровне компенсации в индустрии безопасности, или даже пообщались с несколькими знакомыми инсайдерами тет-а-тет. Эти знания помогут вам выявить явный блеф и правильно сформулировать "вилку", но не больше. Нет какой-то явной зависимости между годами опыта, последней занимаемой должностью, количеством сертификатов и ожидаемой зарплатой. Тут все очень индивидуально, з/п в безопасности формируют не грейды-шмейды, а сложность поставленных задач и уровень ответственности за их исполнение. Так что, не удивляйтесь, если вдруг старший инженер огласит вам сумму, которую в вашей компании зарабатывает начальник ИТ-отдела, лучше попытайтесь выяснить, что вы за эти деньги можете получить.

Совет №4. Зарплатой персонала бюджет на безопасность не ограничивается.
Нередко встречается мнение, что достаточно нанять опытного или талантливого специалиста, а все остальное он построит сам -- за бесплатно. Так часто бывает когда речь идет об организационной безопасности или построении СУИБ. Мол, главное разработать политики, создать процедуры, и все сразу дружно начнут им следовать, а антивирус и файервол у нас уже и так есть. К сожалению, это заблуждение часто приходит в головы самых высоких начальников, поэтому, если их вовремя не переубедить, затея с построением системы управления безопасностью скорее всего закончится провалом. Если вкратце, то организация безопасности состоит из, с одной стороны, требований и руководств к их исполнению, то есть, политик и процедур, а с другой стороны -- из методов их применения, то есть, технической реализации и методов проверки. Это все не я придумал, а ясные головы в ведущих университетах мира, поэтому надеяться на то, что в вашем уникальном случае из законов природы можно будет сделать исключение, не нужно. А лучше сразу  подготовить руководство к тому, что деньги понадобятся. Но при этом их объем должен быть обоснован специалистами по безопасности в терминах риска для бизнеса -- вот тут им и карты в руки.

Совет №5. Ищите опыт, находите талант.
Не бойтесь оказаться в ситуации, когда кандидат по-старше ожидает большую зарплату, чем вы рассчитывали. Вполне вероятно, что в таком случае вам подойдет специалист по-моложе, но с хорошим потенциалом. Талант распознать сложнее, чем опыт, да и ставки могут быть велики. Шутка ли, в случае, если кандидат "не потянет" возложенные на него обязанности, работодатель рискует быть отброшенным на несколько шагов назад на пути повышения безопасности бизнеса. Но возможно, это как раз тот случай, когда от вашей блестяще проделанной работы и правильного решения выиграют обе стороны.

Совет №6. Отложите в сторону вашу HR-магию.
Тут зона действия ИБ-магии :) Лояльность, тип мотивации, соответствие корпоративной культуре, миссии, бренду (нужное подчеркнуть) это, несомненно, очень важно, но если вы последовали совету №1, то знаете, кого вы ищите. А ищите вы очень специфических людей, причем, чем они талантливее и профессиональнее, тем страннее они будут выглядеть на фоне остального личного состава. Такова жизнь, не сопротивляйтесь, а лучше помогите им интегрироваться в коллектив.


Совет №7. Доверяй но проверяй.
Я много раз выступал в роли соискателя, больше десятка раз искал кандидатов на разные позиции в безопасности. Все, что я тут изложил, отражает мой опыт. Это может быть полезно, но не заменит авторитетного мнения профессионала, которому вы доверяете. Если вы сомневаетесь в том, что кандидат вам подходит, и тем более, если вы в этом ни капли не сомневаетесь, попросите кого-то из знакомых безопасников провести с претендентом собеседование, предварительно подробно описав требования к позиции. Я не перестраховываюсь, просто вам от этого будет спокойнее :)
Alt text

Ваш провайдер знает о вас больше, чем ваша девушка?

Присоединяйтесь и узнайте, как это остановить!

Vlad Styran

информационно. безопасно.*