2022-й год стал периодом пересмотра локации для значительного числа профессионалов ИТ-рынка, и этот тренд не обошел стороной сферу кибербезопасности. Уже сейчас первые руководители и некоторые CISO изучают свои кадровые планы, чтобы решить проблемы набора, найма и удержания ИБ-сотрудников.
Наивно полагать, что эта проблема касается только казахстанского рынка. ИБ-ассоциация ISACA в своем докладе «Состояние кибербезопасности в 2022 году» отмечает, что достаточное количество специалистов является одной из основных проблем рынка. Согласно опросу более чем 2000 CISO во всем мире, 63% имеют незакрытые руководящие вакансии в сфере кибербезопасности, а 62% – недоукомплектованные команды линейных спецов по кибербезопасности. Также 20% полагают, что им потребуется более шести месяцев, чтобы найти кандидатов на открытые должности, а 60% сообщают о проблемах с удержанием специалистов.
Какие стратегии используют лучшие мировые корпорации для поиска и удержания ИБ-специалистов? Оптимальный путь – менять свою кадровую стратегию, давать шансы людям из ИТ и операционного персонала, сотрудничать с вузами, больше инвестировать в обучение и переосмыслить содержание рабочих задач и вакансий.
1. Поработайте как следует над описанием должностных обязанностей.
Большая часть вакансий, которые я вижу на казахстанском рынке, описывают, что должно быть у идеального кандидата и какие задачи он будет выполнять. Обычно это длинный и нереалистичный список, особенно если учитывать лаг между уровнем зарплат в этой области в стране и ожиданиями рынка. Должностные инструкции, на базе которых составляется описание вакансии, как правило, рисуют человека, который совсем недавно занимал эту должность.
Задайте себе следующие вопросы. Что реально хороший сотрудник делает ежедневно? Что нужно выполнить на старте, чтобы двигаться дальше? Такой подход привлечет людей, которые не подавали резюме на эту должность, потому что видели в списке обязанности, которые никогда раньше не выполняли.
2. Расширьте кадровый резерв ИБ-службы, создайте скамейку запасных внутри.
Стоит быть более гибкими и поощрять опыт, не связанный с ИБ, расширить список кандидатов из внутреннего запаса в ИТ-отделе. ИТ-специалисты, обученные ИБ, которые разбираются в бизнес-стратегии, финансах и операциях, смогут лучше других выявлять слабые места и привносить новые знания о защищаемых областях.
ИТ-персонал – отличный канал для команды безопасности, и многие люди из ИТ заинтересованы в переходе, но важно иметь подход к ИТ-лидерам, чтобы такая вербовка не рассматривалась как браконьерство.
3. Улучшите обстановку на рабочем месте.
Удержать специалиста не менее сложная задача. Исследовательская группа InfoTech в своем отчете за 2022 год попросила руководителей служб безопасности и ИТ назвать основные препятствия на пути к успеху в ИБ. Более 30% респондентов назвали удержание талантов главным приоритетом, даже более важным, чем защита от программ-вымогателей и реагирование на их атаки.
О чем стоит подумать?
- Привлекать своих коллег по бизнесу чаще, чтобы предвидеть, какие навыки безопасности потребуются больше всего.
- Позволить MSSP (поставщику услуг) укрепить существующую команду таким образом, чтобы взять на себя рутинные задачи, дать больше времени для изучения более продвинутых навыков обеспечения безопасности.
- Иметь время для предоставления обратной связи, консультирования и обучения.
Все это – непростые задачи, но они необходимы для предотвращения эмоционального выгорания, которое деморализует ИБ-персонал и приводит к успешным кибератакам.