Как начать карьеру специалиста по информационной безопасности

Весной 2022 года, когда резко возросла интенсивность кибератак, на рынке информационной безопасности (ИБ) возник дефицит профильных специалистов. Тогда их нехватка оценивалась в 30-50 тыс. человек. Осенью речь шла уже о недостаче 100 тыс. «безопасников» по подсчетам зампреда правления Сбербанка Станислава Кузнецова.

Кадровый голод на рынке информационной безопасности действительно существует. Впрочем, несмотря на сокращение числа резюме кандидатов, нацеленных на поиск работы в сегменте ИБ, предложений на рынке труда достаточно. Но совсем мало среди свободных кандидатов квалифицированных специалистов, способных сразу же приступить к практической работе в ИБ-службах организаций.

Это последствия того, что профессии из сферы информационной безопасности не пользовались популярностью среди IT-специалистов широкого профиля в силу того, что во многом деятельность «безопасников» была связана с работой с разнообразными документами, нежели с практическим противостоянием кибератакам. Но сначала пандемия, а потом обострение внешнеполитической ситуации привели к радикальному изменению подходов и к использованию IT, и к ситуации в области информационной безопасности. Цели кибератак и инструментарий киберпреступников стали радикально разнообразнее, и это потребовало от ИБ-специалистов навыков в области технологий, а не только работы с регламентами.

Мифы об информационной безопасности

К сожалению, среди обывателей, и даже среди IT-специалистов, распространены многочисленные мифы, что не способствует изменениям на рынке труда и улучшению имиджа сферы информационной безопасности.

ИБ-сообщество часто представляется как некое комьюнити «белых хакеров», которые противостоят бандам кибермафиози. Эти «хакеры наоборот» целые дни проводят у экранов мониторов, выявляя в бесконечном потоке цифр признаки кибератак. Это не соответствует действительности. В повседневной работе ИБ-специалиста по-прежнему много «бумаг». Информационная безопасность – это триада: люди, процессы и технологии. Все эти три компонента не могут работать эффективно без качественно описанных регламентов. Сфера безопасности серьезно регламентирована, и постоянная проверка соответствия систем безопасности потребностям бизнеса, корпоративным стандартам и требованиям регуляторов – остается одним из направлений работы.

Второй миф – высокая зарплата ИБ-специалистов. Во многом эта легенда формируется преподавателями вузов, которые стремятся побудить студентов лучше учиться. На самом деле зарплата начинающего ИБ-специалиста не отличается от той, что предлагают выпускникам технологических факультетов. Поэтому окрыленные выпускники запрашивают заработную плату, несопоставимую со своим опытом и знаниями (70, 80, 90, 100 тыс. руб.). Более того, госучреждения и некоторые коммерческие структуры предлагают молодым кандидатам весьма скромные условия. Например, начальные зарплаты в госучреждениях на данный момент составляют скромные 20-25 тыс. руб. на руки и редко превышают 60 тыс. руб., отсюда идет достаточно высокая текучесть кадров. Хотя, если верить статистике Росстата, в 2022 году средняя зарплата по стране по профилю IT /ИБ составила около 95 тыс. руб. (до вычета НДФЛ) и растет примерно на 10 тыс. в год. Много это или мало – все очень индивидуально, но данный уровень зарплат задают лидеры отрасли.

При этом события последних трех лет (пандемия, СВО) заставили работодателей обратить внимание на финансовые условия для сотрудников и кандидатов, и многие лидеры рынка уже пересмотрели зарплаты. Постепенно сокращается разница между Москвой и регионами. Удаленная работа не оставила выбор работодателям. К примеру, Казань по уровню зарплат заметно сократила отставание от Москвы, Урал и Сибирь пока набирают обороты. Скорее всего, сказывается удаленность регионов и разница в часовых поясах. Специалисты из удаленных уголков нашей необъятной родины не могут подстроиться под московское время.

Остальные мифы связаны с ореолом тайны, которым окутана работа ИБ-специалистов. Считается, что существует некая «универсальная пилюля», которая способна гарантировать полную безопасность информационных систем. Увы, ее просто не существует. Специалисты информационной безопасности всегда находятся в роли догоняющих, реагирующих на новые угрозы, создаваемые хакерами. При этом во многих утечках данных и прочих инцидентах часто виноваты даже не киберпреступники, а сами пользователи и даже системные администраторы, которые по ошибке выдают хакерам все секреты. В наши дни не требуется тратить огромные деньги на прослушку секретных переговоров и покупку дорогого специального оборудования. Гораздо проще подкупить уборщицу или вахтера.

Эти мифы, с одной стороны, формируют представление о «безопасниках» как о некой касте избранных специалистов, а с другой до предела упрощают понимание их повседневной работы и навыки, которыми они должны обладать. Все это оказывает отнюдь не благоприятное влияние на состояние кадрового рынка в сфере информационной безопасности.

Откуда берутся ИБ-специалисты

Признаться, я не слишком верю в возможный успех кандидата, который решил радикально сменить сферу деятельности и выбрал для себя индустрию информационной безопасности. В ИБ-сфере имеет значение базовое образование – финансовому менеджеру, бухгалтеру, повару, фермеру, доктору будет трудно состояться в этой профессии. Впрочем, каждый случай и каждого кандидата необходимо рассматривать индивидуально, исключения из правил возможны. Но в целом я склонен придерживаться консервативной точки зрения.

Кадровый резерв сферы информационной безопасности – IT-индустрия. Без глубокого понимания технологий и практических навыков работать в нашей сфере невозможно. Однако принадлежность к отрасли не означает для кандидата возможности превратиться в «безопасника». Причина – в разных задачах, которые решают IT и ИБ.

Как перейти из IT в информационную безопасность

Упрощенно, главная цель «айтишников» – обеспечить работоспособность системы. Цель «безопасников» на порядок сложнее – обеспечить не только работоспособность, но и безопасность систем. Соблюсти этот баланс непросто, потому что ИБ-меры и ИБ-инструменты как раз ограничивают работоспособность систем, сокращают объем их возможностей, ограничивают права пользователей. Неслучайно одна из ключевых IT-профессий, DevOps (специалист, координирующий разработку и использование систем) трансформируется в DevSecOps, где «sec» означает «безопасность», когда ИБ-процессы рассматриваются и встраиваются на всех стадиях жизненного цикла продукта, а не накладываются опосля.

Есть у работы ИБ-специалистов и еще одна особенность, которую часто могут не принимать во внимание «айтишники» – большая роль норм и правил. «Безопасник» сталкивается с администрированием, соблюдением регламентов и законодательства, поэтому постоянно должен работать с документацией. При этом, так же уверенно, как и разработчик, оперировать особенностями кода и архитектур. Все это нужно принимать во внимание тем IT-специалистам, кто намерен развиваться в сфере информационной безопасности.

Ситуация в киберсфере постоянно меняется, и в таких условиях базовое профильное образование становится только основой для развития специалиста. Залогом успешности становится постоянное развитие, приобретение практических навыков (hard skills). Без желания и готовности развиваться, изучать новые направления работы (отражение кибератак, предотвращение угроз, устранение уязвимостей ПО, защита веб-приложений, работа в киберполигонах, киберучения) работать в инфобезе будет сложно.

Что нужно сделать для того, чтобы стать ИБ-специалистом

Каждый из этих шагов потребует значительных усилий:

  1. Предстоит изучить достаточно обширный рынок информационной безопасности. Чтобы здесь развиваться, нужно выбрать «свое» направление. Например, сейчас большой спрос на следующих специалистов: архитекторы систем информационной безопасности, аналитики ИБ, аналитики SOC (Security Operations Center), веб-аналитики, которые изучают атаки на веб-приложения, пентестеры и специалисты по анализу защищенности систем, а также специалисты TI/TH.
  2. Необходимо приобрести знания, которые потребуются в выбранной сфере.
  3. И самое сложное и важное условие – постоянно развивать практические навыки.

Вторая и третья задачи могут оказаться сложными для неискушенных в ИБ-сфере, тем не менее, все вполне решаемо.

Доступны различные специализированные курсы и онлайн-школы. Важную роль, особенно для развития навыков командной работы, играют специализированные игры. Прокачать навыки можно и при помощи онлайн-платформ, которые нацелены на развитие разнообразных компетенций: навыков тестирования на проникновение, защиты виртуальных машин, навыков хакинга. Можно получить дополнительные теоретические знания, попрактиковаться в решении различных проблем, связанных с обеспечением безопасности. Доступны ресурсы, которые предлагают пользователям участие в варгеймах, этических хакерских средах, где моделируются уязвимости и способы их устранения.

Отрасль информационной безопасности остро нуждается в специалистах. Но это не означает, что ИБ-сообщество готово бороться с кадровым дефицитом «количеством». Востребованными окажутся только те кандидаты, которые обладают необходимыми навыками и готовы непрерывно развивать. Иначе не стоит и пробовать.

Также читайте:

Расскажите коллегам:
Комментарии
Участники дискуссии: Михаил Трофименко
Аналитик, Нижний Новгород

Цитата: "Упрощенно, главная цель «айтишников» – обеспечить работоспособность системы. Цель «безопасников» на порядок сложнее – обеспечить не только работоспособность, но и безопасность систем. "

На промышленных предприятиях, создаётся впечатление, что Вы (имеется ввиду средняя температура по палате) очень однобоко подходите к проблемам информационной безопасности. При  непосредственном участии служб безопасности предприятий, включая информацилнную, существенно ограничиваются возможности коммуникационного взаимодействия со сторонними исполнителями. Сложности входа в информационную систему, использования её возможностей приводит к идиотским ситуациям, когда требуется предоставление неких документов от стороннего исполнителя, а распечатать документы - невыполнимая миссия, хотя принтер стоит в помещении отданном специалистам Исполнителя. И как в каменном веке, громоздкие файлы курьером отправляются в другой город и тем же способом возвращаются на предприятие.

Каждое серьёзное предприятие имеет различные системы информационного обеспечения производственных процессов и инфраструктурных проектов. Но их использование сторонними исполнителями невозможно. Например, на одном предприятии менеджеры махают шашками - почему де не используете систему RFI. Чичас мы порядок наведём. А через некоторое время глядишь, пар спустили через дырки от информационной безопасности. И приходится предлагать на коленках свой порядок взаимодействия минуя умные системы информационного обеспечения.

Вы это называете информационной безопасностью? Ну тогда расширяйте понятие, так как эффективность ИБ должна включать и анализ практики применения.

Оставлять комментарии могут только зарегистрированные пользователи
Статью прочитали
Обсуждение статей
Все комментарии
Дискуссии
Все дискуссии
HR-новости
Россияне стали меньше тревожиться из-за работы

Год назад уровень тревожности россиян по поводу различных возможных проблем на работе был выше.

Уровень счастья напрямую влияет на продуктивность большинства россиян

При этом почти каждый четвертый респондент считает, что их руководитель ничего не делает для счастья сотрудников.

70% россиян отмечают сильное влияние работы на уровень стресса

Наибольший стресс создают строгие дедлайны, внезапные и большие объемы задач, а также собственные ошибки при выполнении задач.