23 Сентября, 2014

А в попугаях я длиннее... Как найти специалиста по информационной безопасности?

Ксения Шудрова
Добрый день, дорогие читатели! Осень - отличная пора для рефлексии, поэтому давайте порассуждаем, как оценить нашу с вами эффективность. Вы наверняка замечали, что на сайтах по поиску работы, запросы специалистов, обладающих даже примерно одинаковым опытом, сильно отличаются. Кто-то еще только диплом пишет, а уже видит себя ведущим специалистом с солидным окладом, а другой отработал пару лет по специальности, но все еще согласен на минимальную зарплату. Так как отрасль у нас довольно специфичная, то действует негласное правило - уходишь сам, приведи друга :) Учитывая, что сейчас я тружусь на четвертом месте работы - подбирать себе замену пару раз приходилось. Самое интересное, что руководство с недоверием относится к людям со скромными запросами, они настораживают больше, чем амбициозные студенты. Про то, как вести себя на собеседовании все и так знают, повторяться не буду, хотя мне всегда немножко смешно, когда люди говорят, при нашей-то редкой специальности работу не найти. Почему-то я сталкивалась с обратной ситуацией - невозможностью найти подходящего человека. 
Знаете, начинали мы с руководителем всегда с наполеоновскими планами - ищем с профильным образованием, опытом работы, человека горящими глазами. Казалось бы все располагает к успеху - каждый год два университета в Красноярске выпускают три группы специалистов, в каждой группе по 20 с лишним человек. Но на деле оказывалось, что еще студентами многие устраиваются на работу системными администраторами и программистами. Небольшое количество выпускников идет работать на крупные предприятия сразу после выпуска. Некоторые работают в небольших конторах, потом все же уходят из отрасли или получают повышение. Таким образом человек с опытом более трех лет либо получает неплохую зарплату, либо имеет очень свободный график, и им доволен. Можно, конечно, взять специалиста с непрофильным образованием и диким интересом к информационной безопасности, но в некоторых случаях закон требует наличие именно специалистов с профильным образованием (либо продолжительными курсами переобучения). Основная проблема на мой взгляд заключается в довольно небольшой оплате труда по отношению к другим ИТ-специалистам. 
Но мы отклонились от темы. Давайте попробуем выделить черты идеального специалиста по защите информации, чтобы установить формальные критерии эффективности.
1. Профильное образование. В случаях, установленных государством, такое образование обязательно, например, для работы на УЦ. Моя специальность к слову - Информационная безопасность телекоммуникационных систем.
2. Опыт работы. Здесь уже решать работодателю, но естественно на зарплату в 25 тысяч человек с трехлетним стажем работы претендовать будет вряд ли.
3. Наличие сертификатов. В нашем регионе на это не обращают особого внимания. Да и часто ли на курсах обучают чему-то действительно полезному в работе?
4. Практические навыки. Организационщик Вы или технарь? Легко можете найти дыру в настройках безопасности или лазейку в законе о персональных данных? К сожалению, не всегда руководитель службы безопасности представляет кто именно ему нужен, да и фронт работы часто бывает довольно размытым. Особенно приветствуются навыки в смежных областях, таких как экономическая и физическая безопасность. 
5. Возраст, пол, коммуникабельность, общее впечатление, даже наличие хобби. Требования к кандидату могут быть уменьшены, если человек производит впечатление человека, влюбленного в свою работу.
Если с пунктами 1, 2, 3 и 5 все понятно, то пункт 4 нужно как-то оценивать. В идеале, кандидаты должны проходить испытания, типа CTF, но этого не происходит (опять же оговорюсь, все, что написано  - мой личный опыт, касающийся Красноярского края). Обычно одного перечисления направлений работы достаточно. Лишь один раз мне пришлось отвечать на вопросы теста по защите информации, но вопросы были довольно общими - назовите несколько нормативных актов по ЗИ, как бы Вы составили модель угроз и т.д. 
А как оценивали Вас?
comments powered by Disqus