Представляем статью Дмитрия Викторова, директора Департамента ИТ/ SAP/Telecom кадрового агентства Penny Lane Personnel, Москва, опубликованную в журнале Information Security #2-2017.

В последние полгода мы видим значительное оживление рынка труда по сравнению с аналогичным периодом в 2015–2016 гг. Это касается и рынка ИТ-специалистов (в 2017 г. ИТ – на втором месте после "продаж" по количеству размещенных вакансий на job-сайтах). В то же время конкуренция по сравнению с другими специалистами гораздо ниже: в примерно 3--5 человек на вакансию специалиста среднего звена (в среднем мы имеем сегодня восемь человек на одну вакансию, хотя здесь все зависит от конкретной ситуации). Специалисты, чья работа связана с Big Data, чрезвычайно востребованы. Для сравнения: соотношение вакансий и кандидатов на позицию разработчика, количество вакансий остается на прежнем уровне. Очевидно, что рынок online-коммерции продолжает расти, вакансий будет больше. По темпам и уровню роста заработных плат в 2016 г. ИТ-специалисты лидировали в России, в среднем заработные платы этого сектора увеличились на 15–20%; и в 2017 г. мы ожидаем дальнейшего роста заработных плат специалистов среднего и высшего звена на 20%. Работодатель по-прежнему заинтересован в приеме высококвалифицированных сотрудников либо специалистов с уникальными компетенциями.

Востребованные специалисты по кибербезопасности

Практически все специальности, идет ли речь об Information Security Expert (эксперте по информационной безопасности), проектировщиках и архитекторах систем ИБ, пентестерах (специалистах по анализу защищенности), инженерах по информационной безопасности и других. Востребованы разработчики, способные писать код с минимальным количеством "дырок" для хакеров.

Многие крупные компании предпочитают искать "антихакеров" самостоятельно, так как это является своего рода "неразглашением" безопасности компании, поэтому процент обращений в кадровые агентства за этими специалистами относительно невелик. Кстати, и ресурсы для поиска данных специалистов отличаются от других: с коллегами мы давно обратили внимание, что подобных специалистов на job-сайтах немного. Рекрутеру необходимо "быть в теме": следить за трендами рынка труда ИТ в целом и кибербезопасности в частности, требованиями к отдельным специалистам, новыми технологиями подбора, нарабатывать собственную базу кандидатов, активно использовать соцсети и профсообщества и т.п. Я бы посоветовал руководителям соответствующих отделов и департаментов, которые занимаются подбором сотрудников в свои компании, смотреть кандидатов и "дешевле", и "дороже" того уровня заработной платы, который планируется для данной позиции. Это необходимо для того, чтобы оценить стоимость необходимого специалиста реально.

Что касается длительности поиска кандидата, то она может составить как две недели, так и шесть месяцев или более, здесь все зависит как от профиля необходимого сотрудника, так и масштабов компании и особенностей согласования внутри нее.

Уровень заработных плат специалистов по кибербезопасности

Средний уровень заработной платы  специалистов по информационной безопасности в России по данным I квартала 2017 г. составляет 85 000 руб. в Москве, в Санкт-Петербурге 70 000 руб., в регионах России (областные центры) – 40 000–60 000 руб. В Москве при условии полной занятости уровень заработных плат специалистов по кибербезопасности с аналогичным опытом более двух лет находится в рамках 80 000–200 000 руб., руководителей структурных подразделений – от 250 000–300 000 руб. Зарплата начинающего специалиста без опыта в Москве – 35 000–40 000 руб. Если речь идет о проектной работе/фрилансе, то в зависимости от задач оплата услуг специалистов по кибербезопасности в Москве "стартует" от 50 000 руб.

Потенциальные работодатели

То, что буквально на слуху, – ИТ-компании (Касперский, Яндекс, Mail.ru, Google), банковские структуры (Сбербанк и др.), компании ВПК, для которых сохранение информационной безопасности является как продуктом, так и условием развития бизнеса. В апреле 2017 г. на job-сайтах опубликовано более 2000 вакансий в России для специалистов по информационной безопасности разного уровня, что составляет около 0,4% от общего числа вакансий. Причем около половины вакансий ИБ – работа в Москве, около 15% – в Санкт-Петербурге.

Какие компании являются привлекательными для самих специалистов, кроме названных? В марте этого года мы провели подобный опрос среди 300 кандидатов различных специальностей, и ими также были названы компания "Информзащита", ГК "Ланит", SecurIT и др.

Требования к специалистам по кибербезопасности

Конечно, это фактический опыт! Работодатель предпочитает "готовых" специалистов, которым не требуется серьезного обучения. В целом специалисты по кибербезопасности выполняют (и, соответственно, должны иметь такой опыт) анализ угроз, аудит защищенности систем и решений, а также их тестирование на уязвимости, разрабатывают рекомендации и технологии для повышения информационной безопасности (Web-приложения, инфраструктура, различные системы и продукты). В зависимости от компании такие специалисты могут быть также вовлечены в разного рода НИР, разработку регламентов, оптимизацию корпоративных информационных систем и т.п.

Хороший антихакер – в прошлом успешный хакер, и многие работодатели указывают это в вакансии как желательное наряду с широким кругозором, профамбициями и фанатичной преданностью своему делу. Еще два важных тренда – свободное владение английским языком и актуальными международными технологиями. Отрасль развивается стремительно, необходима активная профессиональная коммуникация.

Опыт кандидата

Портфолио, подтвержденный опыт – обязательно. Сегодня при подборе ИT-специалистов также применяется тестирование в 60% случаев (для сравнения – лет пять назад тесты были скорее исключением), и это касается в первую очередь разработчиков (С++/С#, JAVA, BI, ERP и др.). Обычные требования к выполнению теста – профессиональное решение задачи и самостоятельность (задание может выполняться и внутри компании или по скайпу); типичная длительность выполнения – от получаса до полутора часов. Необычным тестовым заданием могут считаться объемные тесты, выполнение которых занимает около 10 часов: так, например, один из наших крупных клиентов подготовил для кандидатов-программистов тестовое задание на 8–10 часов. Кандидаты справились, выполнившего все лучшим образом и прошедшего собеседование пригласили на работу. Зачастую также предусмотрена проверка на полиграфе.

Нужен ли сегодня специалистам по кибербезопасности диплом о высшем образовании?

Такое требование, если говорить о российских дипломах, при условии наличия опыта соискателя в первую очередь выдвигают крупные компании и корпорации, международные и российские. Работодатель хочет видеть дипломы МГТУ им. Н.Э. Баумана, МИФИ, МГУ им. М.В. Ломоносова, СПбГУ, политехнических университетов Москвы и Санкт-Петербурга и некоторых других (специальности "Информационные технологии", "Программирование", математические и пр.). Но, повторюсь, подтвержденный опыт здесь не менее важен; иногда он становится для работодателя решающим – при отсутствии диплома. Наиболее популярными международными сертификатами остаются Certified Information Systems Security Professional (CISSP), Cisco Certified Network Professional Security (CCNIP), Certified Ethical Hacker (CEH) и другие.

Профстандарт

Введение профстандарта специалиста по кибербезопасности в деятельность компаний – пока скорее рекомендация и "информация к сведению работодателя". Думаю, что буквальное следование ему может как удлинить срок подбора таких специалистов, так и отпугнуть кандидатов, и без того проходящих серьезный поэтапный отбор. Кроме этого, некоторые  наиболее сильные специалисты в сфере кибербезопасности предпочитают работу "на проекте", а не в штате. Они решают конкретные задачи, оставаясь часто "в тени".

Советы кандидатам

Советы здесь довольно стандартны, но с поправкой на отрасль: постоянный мониторинг ситуации на рынке труда, качественное резюме, отражающее конкретный опыт в фактах и цифрах, использование параллельных ресурсов для поиска (job-сайты, обращения в компании-работодатели, кадровые агентства, тематические группы соцсетей и профсообщества и т.п.), рекомендатели и профессиональные связи, деловой стиль коммуникации на всех этапах отбора, подготовка к собеседованию. Важно искать работу системно.