Обзор "Средства защиты информации и бизнеса 2007" подготовлен	При поддержке

Кузница кадров: куда пойти учиться и где взять специалистов по ИБ?

Одна из наиболее частых жалоб руководителей подразделений информационной безопасности (ИБ), из тех, что можно услышать в кулуарах разного рода мероприятий, — «не хватает специалистов». При этом участники беседы сочувствующе вздыхают и сообщают, что и они пребывают в процессе поиска кадров нужной квалификации. Действительно, где взять знающих, умеющих, опытных и, к тому же, лояльных к работодателю специалистов по информационной безопасности?

Несмотря на то, что в России специалистов по защите информации готовят более 100 вузов, сегодня их остро не хватает. Безусловно, вырос спрос. Если 8-10 лет назад специалисты по информационной безопасности были востребованы в основном в госструктурах и крупнейших коммерческих компаниях, то теперь кадры по ИТ-безопасности есть в медицинских и учебных учреждениях, рекламных агентствах, домостроительных комбинатах, юридических и косметических компаниях, на заводах по производству детского питания и фабриках по пошиву одежды (предвидя улыбки читателей, могу уверенно сообщить, что именно из подобных и других, не менее важных организаций, направляют на обучение специалистов, ответственных за ИТ-безопасность).

Сколько же в России специалистов, в обязанности которых входит защита информации? Увы, неизвестно, а подсчитать непросто. Вести учет по формальным признакам, например, по названию должности ответственного за ИБ специалиста, не получится — эти обязанности могут возлагаться не только на системного администратора, но и на инженера, технолога, специалиста 1-2-й категории и даже инженера-электроника. Серьезные масштабные исследования в этом направлении в нашей стране не проводились.

По данным отчета компании IDC «Общемировое исследование рабочей силы в ИБ 2006» (2006 Global Information Security Workforce Study), в 2006 году количество профессионалов в области ИБ оценивается приблизительно в 1,5 миллиона, что на 8,1 % больше, чем в 2005 году. По прогнозам IDC, в 2010 году их количество увеличится до 2-х миллионов. Опираясь на этот прогноз, данные о населении земного шара и России, и введя поправочный коэффициент на региональную специфику, можно очень ориентировочно прикинуть количество ИБ-специалистов в России. Но от этого их больше не станет. Поэтому вернемся к реалиям нашей жизни.

Что же делать работодателю и где брать специалистов по защите информации? Первый очевидный ответ на этот вопрос — в вузе. Безусловно, приоритет обычно отдается успешным выпускникам наиболее известных технических вузов, имеющих значительных опыт подготовки специалистов по данному направлению. Но и им обычно не достает практических навыков, опыта и знания бизнес-процессов организаций. О причинах недостаточной готовности выпускников вузов к выполнению повседневных задач, стоящих перед специалистами по защите информации, написано и сказано очень много, и нет смысла повторяться. Ситуация с подготовкой специалистов в ведущих вузах постепенно улучшается — не так быстро, как хотелось бы работодателю, но тем не менее динамика положительная.

Куда пойти учиться специалисту по информационной безопасности?

Куда же пойти учиться специалисту по информационной безопасности, чтобы соответствовать возрастающим запросам рынка труда и конкретным требованиям работодателя? Вопрос не простой и на него нет универсального ответа — разные специалисты работают в разных организациях и решают самые разнообразные задачи. Попытаемся обобщить необходимые составляющие образования специалиста по защите информации, ориентированного на профессиональный рост и карьеру именно в этом виде деятельности.

Базовое высшее образование по специальности, полученное в авторитетном вузе, позволяет специалисту мыслить системно, быть технически подкованным и иметь широкий кругозор в области ИТ.

Подготовка в области бизнеса позволит специалисту соотносить потребности бизнес-процессов организации и адекватность требований в области ИБ. Такую подготовку можно получить на многочисленных бизнес-курсах, научиться понимать бизнес-процессы своей компании можно и в результате непосредственного общения с различными подразделениями и менеджментом.

Юридическая подготовка специалистов по защите информации сегодня становится не только желательной, но и необходимой, так как многие проблемы, которые приходится решать профессионалам, — расследование компьютерных инцидентов, реализация режима коммерческой тайны в организации, борьба с инсайдерством и др. — требуют и специальных правовых знаний.

Специальная интенсивная подготовка к решению отдельных задач, таких, например, как защита периметра сети, обеспечение безопасности электронной почты, web-технологий, работа со средствами защиты информации, которую можно пройти в специализированных учебных центрах, в том числе и обучившись на авторизованных курсах компаний-производителей продуктов и решений для обеспечения ИБ.

Участие специалистов в отраслевых мероприятиях позволяет им не только быть в курсе новейших технологий обеспечения ИБ, но и завязывать отношения и обмениваться опытом с коллегами, решающими сходные задачи на родственных предприятиях и в компаниях своей отрасли.

Тематические семинары и краткосрочные «проблемные» курсы, нацеленные на «поддержание в форме» профессионалов в области защиты информации и позволяющие им быть осведомленными в тенденциях развития ИБ, ориентироваться в новейших технологиях и решениях.

Информационная безопасность — стремительно развивающаяся отрасль знаний, предъявляющая очень высокие требования к актуальности подготовки ИБ-специалистов. Их профессиональное отставание, незнание новых угроз существенно повышает риски и снижает (или сводит на нет) эффективность системы информационной безопасностью компании. Достаточно подсчитать, к чему приведет перерыв в работе компании, вызванный проблемами безопасности и грозящий ей финансовыми убытками и потерей репутации.

Степень интереса профессионалов к различным проблемам ИБ из года в год меняется и подвержена региональной специфике. Несмотря на различие решаемых специалистами задач, наблюдаются и общие тенденции в определении приоритетных профессиональных интересов. В этом отношении заслуживают особого внимания данные, которые приводятся в уже упомянутом выше исследовании 2006 года компании IDC. В опросе приняли участие 4016 специалистов по информационной безопасности более чем 100 стран (результаты в этом исследовании приводятся по регионам, Россия отдельно не выделена).

Приоритетные профессиональные интересы персонала ИБ по регионам

Источник: IDC, Учебный центр «Информзащита», 2006

Примечание: * — По данным Учебного центра «Информзащита», 2006

Для специалистов, планирующих обучение на краткосрочных курсах, важна не только их тематика, но и продолжительность. Так, опрос 890 посетителей одного из самых популярных сайтов по защите информации, проведенный Учебным центром «Информзащита», показал что, несмотря на традиционно высокую загруженность специалистов решением профессиональных задач, предпочтение они отдают более продолжительным курсам. Для 67 % опрошенных больший интерес представляет обучение в течение 5 и более дней.

Предпочтения слушателей курсов ИБ по продолжительности обучения.

Источник: Учебный центр «Информзащита», 2007

Причины такого выбора обусловлены пониманием специалистами в области ИБ сложности решаемых проблем, необходимости проведения в ходе обучения практических занятий и тренингов. Для тех, кто работает в этой области, очевидно, что за один-два дня невозможно детально разобраться в новой технологии и продукте, освоить их применение. А ради этого чаще всего и идут на курсы. Максимум, что можно сделать на коротких курсах — понять, стоит ли реально рассматриваемая проблема перед своей организацией, и если да — какими средствами ее можно решить.

Бюджет на обучение

Для многих компаний бюджет на обучение — наиболее болезненный вопрос, и его положительное решение в большинстве случаев зависит от понимания руководством важности и необходимости обучения персонала. На российском рынке обучения отмечается устойчивая тенденция увеличения количества и объема образовательных услуг в области информационной безопасности.

В бюджеты компаний закладываются не только статьи расходов на повышение квалификации по информационной безопасности и подготовку специалистов к работе со средствами защиты информации, но и на повышение осведомленности по вопросам ИБ конечных пользователей информационных систем. В общей сложности, бюджет на обучение составляет несколько процентов от бюджета, выделяемого на обеспечение информационной безопасности.

Несколько иная ситуация наблюдается за рубежом. Согласно выше упомянутому отчету IDC, в 2006 году на обучение и персонал компании потратили более 41 % бюджета, выделенного на обеспечение информационной безопасности, больше, чем в 2005 году приблизительно на 5 %. Следует отметить, что и статей расходов больше: привлечение, наем, удержание квалифицированных ИБ-профессионалов, необходимых для реализации задач, определенных стратегией безопасности компании и достижения поставленных бизнес-целей, внутреннее и внешнее обучение информационной безопасности.

Где взять специалистов по ИБ?

Несмотря на то, что многие компании испытывают кадровый голод, грамотные, опытные и умеющие специалисты, находящиеся в процессе поиска работы или желающие ее сменить, на рынке труда есть. Распространенные причины неудачного поиска — чрезмерные или необоснованные требования, предъявляемые к кандидатам с одной стороны, и завышенные запросы соискателей — с другой.

Характерный пример: в вакансии указан возраст кандидата — до 35 лет. А если кандидату 37, 40 или 42 года, он уже забыл, то, что знал или растерял те навыки, которые приобрел до 35 лет? Если обратиться к серьезным научным исследованиям особенностей умственных процессов людей этого возраста, регресса, снижения их эффективности нет. Тем не менее, работодатель получает значительно меньше резюме, чем мог бы получить и, таким образом отсекает от себя ценных кандидатов.

Еще один пример, возможно, знакомый читателям. От кандидата на позицию начальника отдела, помимо колоссального опыта и организаторских навыков, требуется свободное владение английским языком. Чтобы свободно владеть иностранным языком, необходимо либо прожить за рубежом несколько лет, либо получить филологическое образование, в противном случае, владение языком, несмотря на затраченные на его изучение усилия, свободным не будет. Так не проще ли, на случай бесед с боссом-иностранцем или для проведения переговоров с зарубежными партнерами, приглашать переводчика?

Просматривая резюме кандидатов, ищущих новое место работы, часто приходится видеть, как специалист 22-25 лет, только что закончивший вуз, претендует на зарплату не менее 5 тыс. долларов, что говорит не только о полном непонимании рынка труда в данном сегменте экономики, но и об отсутствии реальной самооценки специалистов, не имеющих ни знаний, ни, главное, практического опыта, позволяющих получать подобное вознаграждение.

Как же находят специалистов по защите информации? В мае этого года Учебным центром «Информзащита» был проведен опрос, в котором приняли участие 310 человек. На вопрос «Как Вы нашли работу?» 28 % респондентов сообщили, что по рекомендации знакомых, и только чуть более 1 % нашли работу через кадровые агентства.

Каналы поиска специалистов по ИБ

Рассмотрим основные каналы поиска специалистов на вакантные позиции.

Во-первых, приглашение специалистов по рекомендации знающих их людей, в том числе — самих работников организации. Так называемая система заполнения вакансий «приведи друга», предполагающая денежное вознаграждение работника за содействие в заполнении вакансии, внедрена во многих западных и российских компаниях и уже доказала свою эффективность.

Во-вторых, привлечение кадровых агентств к заполнению вакансий. Для отрасли информационной безопасности этот путь может быть эффективным в случае длительного и интенсивного сотрудничества. В то же время существует риск получения «сфальсифицированных» кандидатов, когда резюме «подгоняется» под требования вакансии, а сам кандидат «натаскивается» на интервью с работодателем. К сожалению, на данный момент, нам неизвестны отечественные кадровые агентства, специализирующиеся на подборе кадров для отрасли ИБ, аналогичные имеющимся за рубежом.

В-третьих, кадровые агентства, специализирующиеся на хедхантинге — «переманивании» специалистов наиболее высокой квалификации и топ-менеджеров из других компаний. В отечественной практике подобный путь поиска топ-менеджеров, ответственных за обеспечение информационной безопасности, практически не распространен: работодатель предпочитает иметь пусть менее квалифицированного, но «своего».

В-четвертых, поиск кадров силами собственной кадровой службы. Весьма эффективный способ, особенно, если кандидаты проходят расширенное профессиональное интервью и выполняют специальные проверочные тесты. Недостаток этого пути — большие временные затраты кадровиков.

В-пятых, подбор способных и успешных студентов старших курсов и выпускников технических вузов со специализацией в области ИБ, приглашение их в организацию на стажировку, предоставление возможности для написания диплома, привлечение к отдельным работам, как на платной, так и на бесплатной основе, а далее — «доращивание» молодого специалиста и закрепление за ним опытного наставника.

Компетентные и опытные специалисты, способные профессионально решать поставленные перед ними задачи обеспечения информационной безопасности — существенная составляющая потенциала и капитализации компании, и их поиск, привлечение, стимулирование, повышение квалификации, удержание требуют не только пристального внимания руководства, но и определенной подготовки, специальных знаний и навыков кадровых работников. Сложность и актуальность этих задач имеют тенденцию постоянно увеличиваться вместе с ростом рынка ИБ, усложнением систем защиты информации и значимостью информационных технологий и управления рисками в них для современного бизнеса.

Зоя Попова