Где искать специалиста по информационной безопасности

Хороший специалист по информационной безопасности сегодня на вес золота — направление очень востребованное, а кадров не хватает. Отчасти это связано со сложностью профессии, ведь специалист такого профиля должен знать многое, а уметь и практиковать — еще больше.

Кто такой специалист по ИБ?

Специалист по инфобезопасности заботится о сохранении конфиденциальности данных, обеспечивает предотвращение кибератак и утечки информации, укрепляет безопасность информационных систем. По сути, спецы по ИБ защищают данные, деньги, репутацию компаний и пользователей, а также прикрывают тыл, чтобы другие сотрудники могли спокойно работать и пользоваться IT-инфраструктурой предприятия.

Специалист по информационной безопасности — человек с основательной теоретической базой и солидным практическим опытом в работе с технологиями. Он должен хорошо разбираться в комплаенсе, ведь работа с ИБ неразрывно связана со знанием требований и законодательных норм в области защиты информации. Чтобы быть востребованным экспертом, важно постоянно практиковать и следить за развитием сферы.

Хороший специалист по ИБ должен знать большую часть методик и инструментов киберпреступников и уметь противостоять им. Конечно, методы злоумышленников тоже совершенствуются — около 20 % атак приходится на новые способы взлома, так называемые угрозы нулевого дня. В должностные обязанности специалистов по информационной безопасности входит задача вовремя среагировать и на такие атаки — минимизировать ущерб и сделать все возможное, чтобы компания была готова к ним в будущем.

Основные специальности в области кибербезопасности

Вот три основных специализации в этой сфере:

Пентестер

Пользователей окружают всевозможные приложения — в компьютере, ноутбуке, смартфоне. Ежедневно разрабатывают и презентуют тысячи новых приложений, и далеко не все из них совершенны и далеко не все разработчики ПО могут похвастаться практическими навыками в инфобезе. Разумеется, при таких условиях в приложении могут быть уязвимости, ошибки в самом коде.

Пентестер — эксперт, который исследует мобильные приложения, веб-сайты и автоматизированные системы на наличие уязвимостей. Пентестеров еще называют белыми хакерами — они тоже ищут «слабые места» сервисов и приложений, но делают это чтобы улучшить готовый продукт, сделать его безопасным для будущих пользователей. Пентестеры необязательно работают в команде компании-разработчика, они могут быть фрилансерами и получать вознаграждения за найденную уязвимость.

Специалист по безопасной разработке приложений

Эксперт по безопасной разработке ПО — это одновременно разработчик и безопасник. Он должен хорошо понимать проект, с которым он работает, знать тонкости разработки и при этом уметь находить ошибки и слабые места в самом коде, а также понимать, как их можно устранить.

Такой специалист обычно входит в команду разработчиков, умеет находить потенциально уязвимые места и указывать на них создателям, в работе использует разные инструменты — готовые или собственной разработки. Он умеет проводить аудит безопасности кода и находить типовые ошибки.

Специалист по ИБ широкого профиля

К этой категории относят профессионалов, которые могут быть специалистами в 2-3 направлениях ИБ и при этом неплохо разбираться еще в нескольких смежных дисциплинах, типа программирования. Это настоящие эксперты, которые часто выступают как консультанты или архитекторы сложных проектов.

Опыт и образование

Получить образование по направлению «Информационная безопасность» можно в ВУЗах и колледжах. Но получить диплом — не значит быть хорошим специалистом. Если человек учился «для галочки, ради диплома» — экспертом он вряд ли станет. То же самое с отсутствием практики — специалистами становятся, только когда подкрепляют свои знания практическим опытом.

В кибербезопасность приходят не только после ВУЗа, но и из других профессий. Количество времени, которое придется потратить на погружение в ИБ, сильно зависит от бэкграунда. Если в инфобез приходит человек с «базой» — например, системный администратор с 5-летней практикой, то такой специалист вполне сможет выйти на уровень джуниора за полгода (при условии качественного обучения по 5-7 часов в неделю). Системный администратор понимает, что и как работает — ему не надо тратить время на изучение основной информации, а только получить новые узкоспециальные знания.

Если базы нет — например, специалистом по безопасности информационных систем решил стать человек, который имеет не самую близкую к IT профессию — то до достижения того же уровня ему понадобится минимум 1,5 года (при том же условии — учиться 5-7 часов в неделю).

Как найти хорошего специалиста по ИБ?

Объективно оценить профессионализм специалиста по ИБ можно только на практике — работодателей всегда интересуют реальный опыт, они хотят знать, что человек умеет, с какими задачами сталкивался и как их решал.

Кто изучал рынок, тот понимает — дефицит специалистов по информационной безопасности определенно есть. Часто происходит так: в компании возникает необходимость в таком специалисте, составляют требования к кандидату, передают кадровикам. Чем жестче требования, тем больше шансов, что кандидатов из свободного поиска придет не больше нуля. Почему? Потому что эксперты по ИБ резюме в открытый доступ обычно не вывешивают. Если им захочется поменять работу, они легко ее сменят через свои контакты. Но что делать компании-работодателю?

Если для компании это приемлемо, можно попытаться переманить профессионала из других фирм. Можно рискнуть и взять новичка и попробовать вырастить спеца самостоятельно — взять подходящего кандидата из своих и вложить в него недостающий пакет знаний и навыков. Этот вариант хорош тем, что такому специалисту не придется «акклиматизироваться» — он уже знаком со сложившимися подходами к организации рабочих процессов, продуктом, корпоративной культурой. В качестве потенциальных кандидатов на переквалификацию можно рассматривать безопасников-технарей и разработчиков — они ближе всех к инфобезу.