`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Безопасность: кто нам нужен?

Статья опубликована в №12 (629) от 25 марта

+22
голоса

Для выяснения уровня и особенностей спроса на специалистов в области информационной безопасности мы решили воспользоваться помощью группы компаний HeadHunter (hh.ua, ранее – headhunter.com.ua). Этот сайт для поиска работы и найма персонала ежедневно посещают свыше 120 тыс. чел., а клиентами фирмы являются кадровые агентства и более 50 тыс. прямых нанимателей.

Как и при обращении к большинству аналогичных служб, здесь при размещении объявлений о свободной вакансии компании могут выбирать раздел, в который будет поставлен их текст. Невзирая на то, что позиционирование довольно точное (доступен выбор из 33 вариантов в разделе «IТ/Интернет/Телеком»), тем не менее работодатели, в последние годы столкнувшиеся с острой нехваткой кадров, для привлечения максимума кандидатов прибегают к некоторым хитростям.

Так, по направлению «компьютерная безопасность» встречаются вакансии для специалистов, в принципе, не предполагающие какой-либо деятельности в указанной области. Даже тщательный разбор текстов не может гарантировать, что все объявления, размещаемые здесь, имеют к данной сфере прямое отношение.

Именно поэтому исследование вакансий для специалистов, работа которых частично или полностью связана с вопросами информационной безопасности, проводилось по более узкому запросу. Для этого были рассмотрены только объявления в рамках специализации «компьютерная безопасность», но с наличием слов «безопасность» или «security» в названии свободной должности или ее описании. С такими параметрами в 2006 г. на сайте было размещено 110 вакансий, в 2007 г. – 113 и 60 – за первые два месяца текущего года. При сохранении данных темпов в 2008 г. количество объявлений достигнет отметки 330, что в три раза больше, чем в прошлом году.

Показательно, что только 14% вакансий из указанной выборки в 2008 г. были предложены специалистам исключительно по информационной безопасности (как правило, это видно из названия должности), например: information security professional, information risk management assistant, главный специалист по информационной и технической защите. Изучение остальных объявлений за данный период показало, что 51% описываемых в них позиций связаны с администрированием, 29% – с разработкой ПО, а 20% нацелены на ИT-менеджеров, консультантов и аналитиков. Задачи, имеющие отношение к информационной безопасности, включены в перечень функциональных обязанностей для этих кандидатур, что подразумевает наличие у специалистов соответствующих умений, знаний и навыков (к примеру, предохранение сети – для администраторов, владение SSL или стандартами по организации защиты веб-сайтов – для разработчиков, общее понимание ИТ-безопасности – для ИТ-менеджеров). Как правило, в объявлениях не поясняется, что конкретно в этом плане должен уметь соискатель.

Интереснее немногочисленные вакансии, нацеленные на «чистых» специалистов по безопасности информационных систем. Стоит отметить, что в 2008 г. такие объявления публикуются исключительно крупными международными компаниями (по большей части – финансово-консалтинговыми и страховыми), часть из которых обладает собственными отделами ИТ-безопасности. Как правило, эти позиции предполагают не только знание аспектов защиты информации, перечисленных в тексте, но и опыт аудита систем, подготовки отчетов и презентаций, владение техническим английским языком. Более того, требованием для абсолютно всех незамещенных должностей является наличие высшего образования в области ИT и как минимум двухлетний опыт работы в сфере безопасности, предпочтительно в близкой отрасли.

Обычно деятельность ИT-специалистов по обеспечению безопасности непосредственно связана с ОС семейства Microsoft Windows и UNIX-подобными, СУБД Microsoft SQL Server и Oracle, разного рода сетевыми технологиями, ERP-системами. Некоторые вакансии содержат требования к знанию стандартов COBIT (Control Objectives for Information and related Technology), ISO 17799 и ISO 27001, методологии ITIL (Information Technology Infrastructure Library). В ряде объявлений фигурируют условия о наличии сертификатов по информационной защите и аудиту, например CISA (Certified Information Systems Auditor), CISSP (Certified Information Systems Security Professional), соответствующих документов от компаний Microsoft и Cisco.

Американский подход

В США все чаще говорят, что современная организация может эффективно управлять своими рисками только в том случае, если она умело и осторожно сочетает меры в отношении сотрудников, политики и процессов безопасности. ИТ-профессионалы, очевидно, являются при этом неотъемлемой частью механизма управления, но самостоятельно они все же не способны вогнать «человеческую переменную» в установленные рамки из-за должностных ограничений. Именно поэтому начинает преобладать мнение, что в вопросах безопасности необходимо взаимодействие нескольких служб, которые так или иначе имеют дело с персоналом.

Почему должны сотрудничать кадровая служба и Information Security? Самый общий ответ – потому что их роли на любом предприятии, по сути, весьма сходны. Они вынужденно общаются с каждым работником, и тем и другим требуются навыки коммуникации в дополнение к отраслевым знаниям, оба преследуют в конечном итоге единую цель – безопасность организации, ее клиентов и штата. Понимание необходимости безопасности должно проникнуть в сознание и культуру организации на каждом ее уровне. А если так, то главная роль в такой работе, безусловно, принадлежит не столько ИТ-департаменту, сколько кадровой службе.

В свою очередь, Information Security Professionals (ISP) должны полагаться на здравый смысл и инструменты HR-специалистов, чтобы помочь тем нанимать и сохранять ключевых служащих, которые должны не только быть компетентными, но и подходить организации с точки зрения проводимой ею политики безопасности.

В США признают, что двадцать лет назад область информационной безопасности находилась еще в зачаточном состоянии. Большинство компаний не относились серьезно к потенциальным (реальные встречались достаточно редко) угрозам их инфраструктуре. Даже те, кто что-то делал, назначали на вновь вводимые посты людей без соответствующего формального образования, не говоря уже об опыте работы. Эти ISP были подотчетны кому-то в ИТ-департаменте, и их голос никогда не достигал совета директоров.

Актуальность вопросов безопасности сегодня вызывается в основном желанием крупнейших компаний вести глобальный бизнес в условиях все более ужесточающегося регулятивного законодательства. Такой несколько неожиданный вывод был сделан в отчете «The 2006 Global Information Security Workforce Study (GISWS)». По приведенным в нем данным, число ISP в мире в 2006 г. составило примерно 1,5 млн. Согласно прогнозу, к 2010 г. их будет свыше 2 млн, что соответствует в среднем 7,8% роста в период 2005–2010 гг. (по сравнению с 4,6% – численности всего ИТ-персонала).

По результатам интервью с четырьмя тысячами ISP оказалось, что почти 37% из них работают в организациях с ежегодным доходом в один и более млрд долл., а 62% – в коллективах со штатом свыше тысячи служащих. Больше всего их там, где охрана информации является критичной – в правительственных структурах, телекоммуникации и финансовых учреждениях. А вот во многих мелких и средних фирмах отдела безопасности часто вообще нет и его создание не предвидится.

По данным GISWS, средняя годовая зарплата ISP в 2006 г. составила 93,872 долл., а приблизительно у трети специалистов – более 100 тыс. долл. (рост их заработка на 12% превысил средний по стране). Типичные должностные оклады:

  • Manager, Information Security = 101 200
  • Security Analyst = 80 400
  • Security Administrator = 74 200
  • Сертифицированные по CISSP-ISSAP специалисты = 114 210.

Сертификат – ключевой компонент любого резюме ISP, ищущего работу. Хотя они очень быстро устаревают, все же являются самым объективным показателем соответствия их обладателя определенной должности. Так считают сейчас 85% HR-менеджеров. И все же, несмотря на востребованность, есть множество образовательных, технических и общих навыков, в которых нуждаются современные ISP. У большинства из них есть по крайней мере степень бакалавра по информационной технологии или смежной дисциплине, такой как информатика. Но многих из них сегодня просят прежде всего эффективно связать понятия безопасности с повседневной работой как технического, так и нетехнического штата организации. В результате типичный путь ISP должен выглядеть приблизительно так:

  • 2-plus years experience – Information security administrator
  • 5-plus years experience – Information security analyst/engineer
  • 7-plus years experience – Information security manager
  • 9-plus years experience – Director of ИТ or information security, chief security officer (CSO) or chief information security officer (CISO).

На каждой ступеньке этой служебной лестницы по мере возрастания остаются специалисты в области скорее общей политики компании, чем технических особенностей средств защиты. Это лишнее подтверждение того, что самое распространенное заблуждение заключается в восприятии информационной безопасности как функции ИТ. Если изначально она действительно зарождалась в недрах ИТ-департаментов и рассматривалась как узкоспециализированное направление, то в последние годы ее значимость росла по экспоненте, поскольку, кроме затратных мероприятий по обеспечению безопасности, сегодня наступило время получения возврата инвестиций от них. Логика проста и диктуется здравым смыслом: если мы тратим на что-то деньги и это не позволяет нам зарабатывать больше, значит, нас обманули те, кто убеждал в преимуществах предлагаемых ими методик и продал нам свое аппаратное и программное обеспечение.

История повторяется с завидным упорством. На заре компьютерных методов допечатной подготовки первыми «киберхудожниками» и верстальщиками также были «компьютерщики», которые умели вызывать определенную реакцию ПК на нажатие тех или иных клавиш. Но их очень быстро вытеснили профессиональные художники и дизайнеры, а студенты политехов вернулись туда, откуда пришли – образно говоря, крутить гайки. Поэтому нетрудно предсказать, что и в области безопасности основную часть выделяемых денег получат разносторонние личности, знающие свое дело и при этом умеющие говорить с персоналом и проводить единую политику в масштабе всей организации. Это – должность С-уровня. Такого же плана будут несколько их помощников. Всем остальным «временщикам» придется довольствоваться более скромными и значительно хуже оплачиваемыми должностями. Уже через пару лет ситуация стабилизируется, и обеспечение безопасности перейдет из срочных авральных кампаний, в определенной степени поддерживаемых производителями различных средств защиты, в планомерную повседневную работу.

Примеры типичных объявлений

Security Consultant

  • Good English.
  • At least 4 years of professional experience in the requested areas as described below:
    • Good working knowledge of CobiT, ISO-17799/27001;
    • At least 3 years of experience performing CobiT-based audit, and developing recommendations;
    • Experience ISO-27001 implementation;
    • In-depth knowledge of Unix;
    • Networking certification, in-depth knowledge of WAN/LAN design principles;
    • Experience in the banking or telecom industry;
    • Highly preferable certification: BS7799 lead auditor, CISSP, CISA, CISM, CCIE.

IT Security Specialist

  • University degree.
  • Theoretical and practical skills in network security (2-3 years).
  • 2–3 years in securing UNIX systems (BSD, Linux).
  • Experience in network security audits;
  • Knowledge of technical English.
  • Required skills:
    • Platforms: FreeBSD, UNIX, Linux (Red Hat family, Debian family), Mac OS X, Cisco IOS;
    • Database applications: MySQL, PostgresQL, Oracle;
    • Servers: Apache, Squid, Syslog;
    • Class of programs: MTA (exim, sendmail), IMAP (pop3s, imap);
    • Superstructure for a file system constraint: JAIL, Chroot;
    • Diagnostic / monitoring systems: Nagios, Samhain, SNORT;
    • Protocol: SNMP;
    • Filters: pf, iptables.

IT security professional (entry level)

  • IT related education.
  • Willingness to achieve challenging and stretched goals.
  • Interest to achieve self-realization in multi-project, multi-industry, multi-client environment.
  • A team player.
  • Good English.
  • At least one proud-to-mention achievement in the IT related area.
  • PREFERRABLE:
    • 1+ year experience of working on IT related position in a big organization (telecom billing experience is preferable);
    • Hands-on experience with business applications (billing, ERP, accounting and budgeting);
    • Hands-on experience in the systems integration and development projects (such as development of the web-based transactional systems, ERP systems, B2B solutions, etc.);
    • Hands-on experience administrating of operating systems or networks,
    • Familiarity with the System Development Lifecycle and Project Management documentation, such as Requirements and Design documents.

Главный специалист по информационной и технической защите

  • Разработка, внедрение, обслуживание системы криптографической защиты информации (установка, настройка, консультации), сетевых сканеров безопасности (Norton Internet Security, Nessus, LANguard Network Security Scanner), интернет-безопасность (защита от вторжения, защита web-сервера).
  • Администрирование локальной сети.
  • Установка и настройка Интернета (шлюз на базе FreeBSD, брандмауэр ipfw, почтовый сервер FreeBSD + Windows), обеспечение антивирусной защиты (Kaspersky Antivirus/ Kaspersky Internet Security), организация телефонной связи (ISDN-PRI поток от Укртелеком на базе офисной АТС Samsung OfficeServ100).
  • Защита информации на локальных станциях (виртуальные защищенные диски на базе Decart, брандмауэр Agnitum Outpost Pro).
  • Контроль уязвимости системы (сканер безопасности xSpider, LANguard NSS).
  • Разработка и создание программы регистрации ПО (разработка алгоритма и программная реализация С++, Visual Basic).
  • Защита информации на локальных станциях (Kaspersky Antivirus, файрволл Agnitum Outpost).
  • Требования:
    • образование высшее (факультет информационных систем и технологий);
    • знание языков: англ.;
    • опыт работы: от 3 лет.
+22
голоса

Напечатать Отправить другу

Читайте также

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT