← Ко всем статьям
Как ищут и нанимают сотрудников ИБ в СКБ Контур
Автор статьи: Александр Дельва
← Ко всем статьям
Как ищут и нанимают сотрудников ИБ в СКБ Контур
Автор статьи: Александр Дельва
ПРИВЕТ!
Привет! Меня зовут Александр Дельва, работаю в СКБ Контур. Пришёл туда в 2010 году на должность специалиста, стал проявлять инициативу и постепенно дорос до руководителя функции ИБ.
Наше подразделение занимается разными процессами, можно выделить четыре основных направления:
На своей должности я собеседовал специалистов в разных направлениях — в статье расскажу, на что смотрю при найме.
Привет! Меня зовут Александр Дельва, работаю в СКБ Контур. Пришёл туда в 2010 году на должность специалиста, стал проявлять инициативу и постепенно дорос до руководителя функции ИБ.
Наше подразделение занимается разными процессами, можно выделить четыре основных направления:
- ИБ-комплаенс и юридическое сопровождение ИБ-процессов.
- Операционная И Б, мониторинг и реагирование на инциденты — внутренний SOC.
- Техническая защита информации: работы по нормативным требованиям отраслевых регуляторов.
- Консультирование персонала, экспертиза и повышение осведомлённости в вопросах безопасности.
На своей должности я собеседовал специалистов в разных направлениях — в статье расскажу, на что смотрю при найме.
СОДЕРЖАНИЕ
- Как ищем сотрудников
- Чем руководствуюсь при поиске и найме
- Что важнее на старте: знания или мышление
- Пригодятся ли сертификаты и курсы
- Какие ошибки делают новички в резюме и на собеседованиях
- Что спрашиваю на собеседовании
- Как пройти испытательный срок
- Как устроен онбординг в нашей команде
- Что советую новичкам в ИБ
КАК ИЩЕМ СОТРУДНИКОВ
Мне повезло: у нас в компании есть целая функция, которая занимается подбором персонала. Сотрудников ищем любыми доступными способами, в основном так:
Какой путь заведомо проще для кандидата, сказать нельзя. Лично я попал на работу через обычный отклик на вакансию и собеседование. Способ точно рабочий — всем желающим рекомендую.
Мне повезло: у нас в компании есть целая функция, которая занимается подбором персонала. Сотрудников ищем любыми доступными способами, в основном так:
- Поиск с рынка. Здесь примерно как у всех: вакансии на корпоративном сайте и ресурсах типа HH.ru.
- Рекомендации коллег. Бывает, у кого-то на примете есть подходящие спецы, и далеко ходить не надо.
- Внутренние переходы. В крупных компаниях это распространено: персонал перемещается между функциями.
- Образовательные программы. Например, у Контура такие есть на базе УрФУ, и лучшие студенты попадают к нам на стажировки. Ещё мы развиваем бакалаврскую программу ИнЭУ, организуем проектную работу для будущих менеджеров в ИТМО, а в 2026-м запускаем собственный «Контур.Университет».
Какой путь заведомо проще для кандидата, сказать нельзя. Лично я попал на работу через обычный отклик на вакансию и собеседование. Способ точно рабочий — всем желающим рекомендую.
ЧЕМ РУКОВОДСТВУЮСЬ ПРИ ПОИСКЕ И НАЙМЕ
Качества кандидата. Внешние и внутренние факторы в софтверной ИТ-компании быстро меняются, поэтому для организации защитных мер и процессов ИБ нужен творческий подход, аналитика и гибкость мышления.
От сотрудников ждём, что они будут не просто выполнять повседневные действия по инструкции, а проявлять инициативу и адаптироваться к новому. Хочется, чтобы им самим было интересно то, чем они занимаются.
Образование. Бывают должности и роли, для которых есть нормативные требования к образованию и квалификации сотрудника. В этом случае никуда не деться — нужен подходящий диплом. Образовательные программы по ИБ чаще всего организуют технические вузы, так что в какой-то степени направленность учебного заведения играет роль. Но в более общих случаях это необязательно.
Качества кандидата. Внешние и внутренние факторы в софтверной ИТ-компании быстро меняются, поэтому для организации защитных мер и процессов ИБ нужен творческий подход, аналитика и гибкость мышления.
От сотрудников ждём, что они будут не просто выполнять повседневные действия по инструкции, а проявлять инициативу и адаптироваться к новому. Хочется, чтобы им самим было интересно то, чем они занимаются.
Образование. Бывают должности и роли, для которых есть нормативные требования к образованию и квалификации сотрудника. В этом случае никуда не деться — нужен подходящий диплом. Образовательные программы по ИБ чаще всего организуют технические вузы, так что в какой-то степени направленность учебного заведения играет роль. Но в более общих случаях это необязательно.
“
ИБ — сфера на стыке технологий, юриспруденции, психологии и других наук.
Поэтому если вакансия не требует конкретного диплома, у нас нет ограничений, что нужен именно технический вуз.
Поэтому если вакансия не требует конкретного диплома, у нас нет ограничений, что нужен именно технический вуз.
Не все люди после выпуска работают по специальности, и многим успешным профессионалам это не мешает. Любой универ может привить навыки работы с новой информацией, а дальше всё в руках человека: готов ли он учиться применять знания на практике.
ЧТО ВАЖНЕЕ НА СТАРТЕ: ЗНАНИЯ ИЛИ МЫШЛЕНИЕ
Для новичка важнее мышление. В ИБ все должны быть в какой-то степени «хакерами» — глубоко понимать в своей области и смотреть на вещи под другим углом. Аналитический склад ума, внимание к мелочам — это важно.
Должна быть внутренняя мотивация развиваться и поддерживать компетенции, нужные в данный момент. Из хард-скиллов полезен бэкграунд в ИТ, знания или опыт в разработке. Без них может получиться, что спец по ИБ не будет понимать, о чём говорят окружающие и что надо защищать. Тогда и защитить это вряд ли получится.
Отсутствие коммерческого опыта — точно не проблема. Помимо него есть разные способы получить практические навыки: программы баг-баунти и CTF, стажировки, учебные практики, олимпиады и хакатоны, самостоятельное копание в теме. В каких-то случаях даже наоборот: полезно, когда сотрудник растёт с нуля в нашей компании, потому что переучиться бывает сложнее.
Кроме того, если известно, что кому-то из ИТ-компаний кандидат технически не подошёл, это ничего не говорит о его непригодности для нас. Мы думаем прежде всего своей головой, а не надеемся на помощь зала и сторонних комментаторов. У всех разные требования, даже если компании из одной сферы.
Для новичка важнее мышление. В ИБ все должны быть в какой-то степени «хакерами» — глубоко понимать в своей области и смотреть на вещи под другим углом. Аналитический склад ума, внимание к мелочам — это важно.
Должна быть внутренняя мотивация развиваться и поддерживать компетенции, нужные в данный момент. Из хард-скиллов полезен бэкграунд в ИТ, знания или опыт в разработке. Без них может получиться, что спец по ИБ не будет понимать, о чём говорят окружающие и что надо защищать. Тогда и защитить это вряд ли получится.
Отсутствие коммерческого опыта — точно не проблема. Помимо него есть разные способы получить практические навыки: программы баг-баунти и CTF, стажировки, учебные практики, олимпиады и хакатоны, самостоятельное копание в теме. В каких-то случаях даже наоборот: полезно, когда сотрудник растёт с нуля в нашей компании, потому что переучиться бывает сложнее.
Кроме того, если известно, что кому-то из ИТ-компаний кандидат технически не подошёл, это ничего не говорит о его непригодности для нас. Мы думаем прежде всего своей головой, а не надеемся на помощь зала и сторонних комментаторов. У всех разные требования, даже если компании из одной сферы.
“
Свой pet-проект, личный веб-сайт, домашняя серверная ферма — тоже опыт.
Если там доводилось разруливать вопросы безопасности, такие активности мы можем рассмотреть как практический опыт. Только важно, чтобы это была не противоправная деятельность.
Если там доводилось разруливать вопросы безопасности, такие активности мы можем рассмотреть как практический опыт. Только важно, чтобы это была не противоправная деятельность.
В ИБ опыт не всегда показателен. Можно 10 лет быть оператором средства защиты, а ничему по сути не научиться. Также могут быть непоказательны в плане опыта так называемые «уверенные пользователи ИИ». Например, при выполнении тестовых заданий многие даже не пытаются проверить результат нейросетей и его работоспособность. А если опыт реально есть, человека не поставить в затруднение первым же вопросом вглубь темы.
ПРИГОДЯТСЯ ЛИ СЕРТИФИКАТЫ И КУРСЫ
В России исторически сертификаты не особо распространены и чаще нужны для подтверждения статусов организации: например, для партнёрства с вендором или консалтинга. В западных странах сертификаты могут входить в базовый минимум «для всех специалистов ИБ» и не создавать кандидатам преимуществ при трудоустройстве.
Молодые спецы могут начитаться вайт пэйперов с рекламой сертификатов и поставить их получение, как самоцель. У одних это проходит с опытом и зрелостью, а для других превращается в бесконечную погоню: «Вот ещё получу такой-то сертификат и тогда смогу работать, как надо».
Если у кандидата есть сертификаты, я учитываю это, как важный контекст, но не считаю подтверждением профессиональных качеств. Обычно спрашиваю, зачем и как именно его получили, какие усилия пришлось приложить и как был устроен процесс. Ответы могут прояснить мотивацию, целеполагание человека и то, как он понимает процессы в отрасли.
Я не выделяю выпускников ИБ-курсов в отдельную категорию кандидатов. Любое обучение само по себе не криминал. Организованная учёба даёт некоторую систематизированную методологом отправную точку, откуда можно стартовать, закреплять знания на практике и углубляться в детали.
Мне важно, как сами выпускники позиционируют пройденные курсы: считают ли волшебной пилюлей, пропуском на работу или нет. Спойлер: курсы, конечно, так не работают.
В России исторически сертификаты не особо распространены и чаще нужны для подтверждения статусов организации: например, для партнёрства с вендором или консалтинга. В западных странах сертификаты могут входить в базовый минимум «для всех специалистов ИБ» и не создавать кандидатам преимуществ при трудоустройстве.
Молодые спецы могут начитаться вайт пэйперов с рекламой сертификатов и поставить их получение, как самоцель. У одних это проходит с опытом и зрелостью, а для других превращается в бесконечную погоню: «Вот ещё получу такой-то сертификат и тогда смогу работать, как надо».
Если у кандидата есть сертификаты, я учитываю это, как важный контекст, но не считаю подтверждением профессиональных качеств. Обычно спрашиваю, зачем и как именно его получили, какие усилия пришлось приложить и как был устроен процесс. Ответы могут прояснить мотивацию, целеполагание человека и то, как он понимает процессы в отрасли.
Я не выделяю выпускников ИБ-курсов в отдельную категорию кандидатов. Любое обучение само по себе не криминал. Организованная учёба даёт некоторую систематизированную методологом отправную точку, откуда можно стартовать, закреплять знания на практике и углубляться в детали.
Мне важно, как сами выпускники позиционируют пройденные курсы: считают ли волшебной пилюлей, пропуском на работу или нет. Спойлер: курсы, конечно, так не работают.
КАКИЕ ОШИБКИ ДЕЛАЮТ НОВИЧКИ В РЕЗЮМЕ И НА СОБЕСЕДОВАНИЯХ
В резюме встречаю такие частые ошибки:
❌ Указывать навыки и знания в темах, где реально нечем похвастаться. Пользовательский опыт в отдельно взятых приложениях выдаётся за владение целой технологией. Хочется, чтобы кандидаты осознавали, что, например, нажатие кнопки «Подключиться» в приложении ещё не делает тебя спецом по VPN.
Я сам на старте карьеры указывал лишнее по неопытности, и с тех пор усвоил урок.
❌ Перечислять навыки работы со средствами защиты, которые просто есть в пройденной учебной программе. Практические занятия при этом могут быть прогулены, курсовые после написания — успешно забыты, а указанный опыт можно с нуля наработать за день методом тыка в интерфейсе.
В резюме встречаю такие частые ошибки:
❌ Указывать навыки и знания в темах, где реально нечем похвастаться. Пользовательский опыт в отдельно взятых приложениях выдаётся за владение целой технологией. Хочется, чтобы кандидаты осознавали, что, например, нажатие кнопки «Подключиться» в приложении ещё не делает тебя спецом по VPN.
Я сам на старте карьеры указывал лишнее по неопытности, и с тех пор усвоил урок.
❌ Перечислять навыки работы со средствами защиты, которые просто есть в пройденной учебной программе. Практические занятия при этом могут быть прогулены, курсовые после написания — успешно забыты, а указанный опыт можно с нуля наработать за день методом тыка в интерфейсе.
“
Лучше критически перечитать резюме и исключить лишнее.
Возможно, вас реже будут звать, потому что в резюме не будет каких-то ключевых слов, зато сами собеседования могут проходить успешнее. Лично я видел резюме из пары предложений, но с перспективным кандидатом, которому и досталась работа.
Возможно, вас реже будут звать, потому что в резюме не будет каких-то ключевых слов, зато сами собеседования могут проходить успешнее. Лично я видел резюме из пары предложений, но с перспективным кандидатом, которому и досталась работа.
На собеседованиях флаги такие:
🔴 Болтать много лишнего. Если кандидат начинает в мельчайших подробностях рассказывать о внутрянке и проблемах текущего работодателя, это значит, что с пониманием сути ИБ у него не всё в порядке.
🔴 Совсем ничего не знать про компанию, куда устраиваешься. И при этом ждать, что вас будут сначала постоянно всему учить и подталкивать, а работу сможете выполнять когда-нибудь потом по шаблону.
🟢 Внятно отвечать на технические вопросы и не лить воду.
🔴 Болтать много лишнего. Если кандидат начинает в мельчайших подробностях рассказывать о внутрянке и проблемах текущего работодателя, это значит, что с пониманием сути ИБ у него не всё в порядке.
🔴 Совсем ничего не знать про компанию, куда устраиваешься. И при этом ждать, что вас будут сначала постоянно всему учить и подталкивать, а работу сможете выполнять когда-нибудь потом по шаблону.
🟢 Внятно отвечать на технические вопросы и не лить воду.
ЧТО СПРАШИВАЮ НА СОБЕСЕДОВАНИИ
Обязательно узнаю про навыки и опыт, которые сам кандидат у себя отмечает, как сильные, а потом задаю вопросы на понимание вглубь темы.
Ещё задаю мотивационные вопросы:
Каждый второй кандидат говорит, что ему интересны пентесты. Но когда спрашиваешь, что он сделал, чтобы попентестить — оказывается, что палец о палец не ударил. Хотя сейчас куча возможностей и материалов для развития в этой сфере.
Обязательно узнаю про навыки и опыт, которые сам кандидат у себя отмечает, как сильные, а потом задаю вопросы на понимание вглубь темы.
Ещё задаю мотивационные вопросы:
- Чем занимается наша компания.
- Почему хотите делать такие-то вещи в ИБ.
- В чём на практике выражается желание этим заниматься.
Каждый второй кандидат говорит, что ему интересны пентесты. Но когда спрашиваешь, что он сделал, чтобы попентестить — оказывается, что палец о палец не ударил. Хотя сейчас куча возможностей и материалов для развития в этой сфере.
КАК ПРОЙТИ ИСПЫТАТЕЛЬНЫЙ СРОК
Стандартный испытательный срок, как правило, не больше трёх месяцев. На практике обычно уже за первый месяц понятно, насколько человек вписывается в процессы и команду, приносит ли пользу или наоборот избыточно отнимает ресурсы.
Мне не жалко засчитывать испытательный раньше времени, если новичок понимает, чем мы занимаемся и для чего, проявляет аналитические навыки, инициативу, заглядывает за рамки задач, при этом нормально общается и слышит обратную связь от коллег.
На этапе адаптации важно не бояться сообщать, если что-то не понятно, чтобы бесконечно не повторять однотипные ошибки и каждый раз не приносить в качестве результата что-то не то.
Стандартный испытательный срок, как правило, не больше трёх месяцев. На практике обычно уже за первый месяц понятно, насколько человек вписывается в процессы и команду, приносит ли пользу или наоборот избыточно отнимает ресурсы.
Мне не жалко засчитывать испытательный раньше времени, если новичок понимает, чем мы занимаемся и для чего, проявляет аналитические навыки, инициативу, заглядывает за рамки задач, при этом нормально общается и слышит обратную связь от коллег.
На этапе адаптации важно не бояться сообщать, если что-то не понятно, чтобы бесконечно не повторять однотипные ошибки и каждый раз не приносить в качестве результата что-то не то.
КАК УСТРОЕН ОНБОРДИНГ В НАШЕЙ КОМАНДЕ
С первого дня новичку доступны внутрикомандные ресурсы — из них понятно, где что взять, к кому обращаться, какие есть полезные ссылки и инструкции. Также сразу добавляем новичков в рабочие чаты-песочницы, где можно общаться с командой.
На первое время сотрудник участвует в автономных задачах и процессах, в которых сложно с ходу что-то сломать по неопытности.
Для адаптации выделяем наставника из опытных участников команды, который будет подкидывать задачи в этот период и отвечать на вопросы. Они должны возникать, иначе не получится погрузиться в специфику в нужной степени.
По мере вкатывания в процессы постепенно расширяем круг задач и ресурсов, к которым человек получает доступ. А после испытательного срока он считается полноценным участником команды.
С первого дня новичку доступны внутрикомандные ресурсы — из них понятно, где что взять, к кому обращаться, какие есть полезные ссылки и инструкции. Также сразу добавляем новичков в рабочие чаты-песочницы, где можно общаться с командой.
На первое время сотрудник участвует в автономных задачах и процессах, в которых сложно с ходу что-то сломать по неопытности.
Для адаптации выделяем наставника из опытных участников команды, который будет подкидывать задачи в этот период и отвечать на вопросы. Они должны возникать, иначе не получится погрузиться в специфику в нужной степени.
По мере вкатывания в процессы постепенно расширяем круг задач и ресурсов, к которым человек получает доступ. А после испытательного срока он считается полноценным участником команды.
ЧТО СОВЕТУЮ НОВИЧКАМ В ИБ
- Осваивайте актуальные информационные технологии — но не вайбкодинг. Настоящие инженерные навыки из области эксплуатации или разработки обычно найдут применение и в решениях при защите процессов, и в автоматизации ИБ-рутины.
- Будьте любознательными. При этом проявляйте аналитику и системный подход. Не забывайте про критическое мышление.
- Не «вахтёрьте» по пустякам. Ищите и предлагайте решения, а не только запреты.
- Если есть цель в ИБ, не откладывайте на потом, а приближайте её действиями шаг за шагом.
и зарабатывай на знаниях прямо во время обучения
Получи востребованную профессию в ИБ
Оплачиваемые стажировки
для лучших студентов
Поможем выбрать подходящую специальность
Поддержка наставников во время и после обучения
Теория и практика от топовых экспертов из Kaspersky Lab, Positive Technologies, Bi. Zone и других лидеров отрасли