Безопасность: кто нам нужен?

Для выяснения уровня и особенностей спроса на специалистов в области информационной безопасности мы решили воспользоваться помощью группы компаний HeadHunter (hh.ua, ранее – headhunter.com.ua). Этот сайт для поиска работы и найма персонала ежедневно посещают свыше 120 тыс. чел., а клиентами фирмы являются кадровые агентства и более 50 тыс. прямых нанимателей.

Как и при обращении к большинству аналогичных служб, здесь при размещении объявлений о свободной вакансии компании могут выбирать раздел, в который будет поставлен их текст. Невзирая на то, что позиционирование довольно точное (доступен выбор из 33 вариантов в разделе «IТ/Интернет/Телеком»), тем не менее работодатели, в последние годы столкнувшиеся с острой нехваткой кадров, для привлечения максимума кандидатов прибегают к некоторым хитростям.

Так, по направлению «компьютерная безопасность» встречаются вакансии для специалистов, в принципе, не предполагающие какой-либо деятельности в указанной области. Даже тщательный разбор текстов не может гарантировать, что все объявления, размещаемые здесь, имеют к данной сфере прямое отношение.

Именно поэтому исследование вакансий для специалистов, работа которых частично или полностью связана с вопросами информационной безопасности, проводилось по более узкому запросу. Для этого были рассмотрены только объявления в рамках специализации «компьютерная безопасность», но с наличием слов «безопасность» или «security» в названии свободной должности или ее описании. С такими параметрами в 2006 г. на сайте было размещено 110 вакансий, в 2007 г. – 113 и 60 – за первые два месяца текущего года. При сохранении данных темпов в 2008 г. количество объявлений достигнет отметки 330, что в три раза больше, чем в прошлом году.

Показательно, что только 14% вакансий из указанной выборки в 2008 г. были предложены специалистам исключительно по информационной безопасности (как правило, это видно из названия должности), например: information security professional, information risk management assistant, главный специалист по информационной и технической защите. Изучение остальных объявлений за данный период показало, что 51% описываемых в них позиций связаны с администрированием, 29% – с разработкой ПО, а 20% нацелены на ИT-менеджеров, консультантов и аналитиков. Задачи, имеющие отношение к информационной безопасности, включены в перечень функциональных обязанностей для этих кандидатур, что подразумевает наличие у специалистов соответствующих умений, знаний и навыков (к примеру, предохранение сети – для администраторов, владение SSL или стандартами по организации защиты веб-сайтов – для разработчиков, общее понимание ИТ-безопасности – для ИТ-менеджеров). Как правило, в объявлениях не поясняется, что конкретно в этом плане должен уметь соискатель.

Интереснее немногочисленные вакансии, нацеленные на «чистых» специалистов по безопасности информационных систем. Стоит отметить, что в 2008 г. такие объявления публикуются исключительно крупными международными компаниями (по большей части – финансово-консалтинговыми и страховыми), часть из которых обладает собственными отделами ИТ-безопасности. Как правило, эти позиции предполагают не только знание аспектов защиты информации, перечисленных в тексте, но и опыт аудита систем, подготовки отчетов и презентаций, владение техническим английским языком. Более того, требованием для абсолютно всех незамещенных должностей является наличие высшего образования в области ИT и как минимум двухлетний опыт работы в сфере безопасности, предпочтительно в близкой отрасли.

Обычно деятельность ИT-специалистов по обеспечению безопасности непосредственно связана с ОС семейства Microsoft Windows и UNIX-подобными, СУБД Microsoft SQL Server и Oracle, разного рода сетевыми технологиями, ERP-системами. Некоторые вакансии содержат требования к знанию стандартов COBIT (Control Objectives for Information and related Technology), ISO 17799 и ISO 27001, методологии ITIL (Information Technology Infrastructure Library). В ряде объявлений фигурируют условия о наличии сертификатов по информационной защите и аудиту, например CISA (Certified Information Systems Auditor), CISSP (Certified Information Systems Security Professional), соответствующих документов от компаний Microsoft и Cisco.

Американский подход

В США все чаще говорят, что современная организация может эффективно управлять своими рисками только в том случае, если она умело и осторожно сочетает меры в отношении сотрудников, политики и процессов безопасности. ИТ-профессионалы, очевидно, являются при этом неотъемлемой частью механизма управления, но самостоятельно они все же не способны вогнать «человеческую переменную» в установленные рамки из-за должностных ограничений. Именно поэтому начинает преобладать мнение, что в вопросах безопасности необходимо взаимодействие нескольких служб, которые так или иначе имеют дело с персоналом.

Почему должны сотрудничать кадровая служба и Information Security? Самый общий ответ – потому что их роли на любом предприятии, по сути, весьма сходны. Они вынужденно общаются с каждым работником, и тем и другим требуются навыки коммуникации в дополнение к отраслевым знаниям, оба преследуют в конечном итоге единую цель – безопасность организации, ее клиентов и штата. Понимание необходимости безопасности должно проникнуть в сознание и культуру организации на каждом ее уровне. А если так, то главная роль в такой работе, безусловно, принадлежит не столько ИТ-департаменту, сколько кадровой службе.

В свою очередь, Information Security Professionals (ISP) должны полагаться на здравый смысл и инструменты HR-специалистов, чтобы помочь тем нанимать и сохранять ключевых служащих, которые должны не только быть компетентными, но и подходить организации с точки зрения проводимой ею политики безопасности.

В США признают, что двадцать лет назад область информационной безопасности находилась еще в зачаточном состоянии. Большинство компаний не относились серьезно к потенциальным (реальные встречались достаточно редко) угрозам их инфраструктуре. Даже те, кто что-то делал, назначали на вновь вводимые посты людей без соответствующего формального образования, не говоря уже об опыте работы. Эти ISP были подотчетны кому-то в ИТ-департаменте, и их голос никогда не достигал совета директоров.

Актуальность вопросов безопасности сегодня вызывается в основном желанием крупнейших компаний вести глобальный бизнес в условиях все более ужесточающегося регулятивного законодательства. Такой несколько неожиданный вывод был сделан в отчете «The 2006 Global Information Security Workforce Study (GISWS)». По приведенным в нем данным, число ISP в мире в 2006 г. составило примерно 1,5 млн. Согласно прогнозу, к 2010 г. их будет свыше 2 млн, что соответствует в среднем 7,8% роста в период 2005–2010 гг. (по сравнению с 4,6% – численности всего ИТ-персонала).

По результатам интервью с четырьмя тысячами ISP оказалось, что почти 37% из них работают в организациях с ежегодным доходом в один и более млрд долл., а 62% – в коллективах со штатом свыше тысячи служащих. Больше всего их там, где охрана информации является критичной – в правительственных структурах, телекоммуникации и финансовых учреждениях. А вот во многих мелких и средних фирмах отдела безопасности часто вообще нет и его создание не предвидится.

По данным GISWS, средняя годовая зарплата ISP в 2006 г. составила 93,872 долл., а приблизительно у трети специалистов – более 100 тыс. долл. (рост их заработка на 12% превысил средний по стране). Типичные должностные оклады:

Manager, Information Security = 101 200
Security Analyst = 80 400
Security Administrator = 74 200
Сертифицированные по CISSP-ISSAP специалисты = 114 210.

Сертификат – ключевой компонент любого резюме ISP, ищущего работу. Хотя они очень быстро устаревают, все же являются самым объективным показателем соответствия их обладателя определенной должности. Так считают сейчас 85% HR-менеджеров. И все же, несмотря на востребованность, есть множество образовательных, технических и общих навыков, в которых нуждаются современные ISP. У большинства из них есть по крайней мере степень бакалавра по информационной технологии или смежной дисциплине, такой как информатика. Но многих из них сегодня просят прежде всего эффективно связать понятия безопасности с повседневной работой как технического, так и нетехнического штата организации. В результате типичный путь ISP должен выглядеть приблизительно так:

2-plus years experience – Information security administrator
5-plus years experience – Information security analyst/engineer
7-plus years experience – Information security manager
9-plus years experience – Director of ИТ or information security, chief security officer (CSO) or chief information security officer (CISO).

На каждой ступеньке этой служебной лестницы по мере возрастания остаются специалисты в области скорее общей политики компании, чем технических особенностей средств защиты. Это лишнее подтверждение того, что самое распространенное заблуждение заключается в восприятии информационной безопасности как функции ИТ. Если изначально она действительно зарождалась в недрах ИТ-департаментов и рассматривалась как узкоспециализированное направление, то в последние годы ее значимость росла по экспоненте, поскольку, кроме затратных мероприятий по обеспечению безопасности, сегодня наступило время получения возврата инвестиций от них. Логика проста и диктуется здравым смыслом: если мы тратим на что-то деньги и это не позволяет нам зарабатывать больше, значит, нас обманули те, кто убеждал в преимуществах предлагаемых ими методик и продал нам свое аппаратное и программное обеспечение.

История повторяется с завидным упорством. На заре компьютерных методов допечатной подготовки первыми «киберхудожниками» и верстальщиками также были «компьютерщики», которые умели вызывать определенную реакцию ПК на нажатие тех или иных клавиш. Но их очень быстро вытеснили профессиональные художники и дизайнеры, а студенты политехов вернулись туда, откуда пришли – образно говоря, крутить гайки. Поэтому нетрудно предсказать, что и в области безопасности основную часть выделяемых денег получат разносторонние личности, знающие свое дело и при этом умеющие говорить с персоналом и проводить единую политику в масштабе всей организации. Это – должность С-уровня. Такого же плана будут несколько их помощников. Всем остальным «временщикам» придется довольствоваться более скромными и значительно хуже оплачиваемыми должностями. Уже через пару лет ситуация стабилизируется, и обеспечение безопасности перейдет из срочных авральных кампаний, в определенной степени поддерживаемых производителями различных средств защиты, в планомерную повседневную работу.

Примеры типичных объявлений

Security Consultant

Good English.
At least 4 years of professional experience in the requested areas as described below:
- Good working knowledge of CobiT, ISO-17799/27001;
- At least 3 years of experience performing CobiT-based audit, and developing recommendations;
- Experience ISO-27001 implementation;
- In-depth knowledge of Unix;
- Networking certification, in-depth knowledge of WAN/LAN design principles;
- Experience in the banking or telecom industry;
- Highly preferable certification: BS7799 lead auditor, CISSP, CISA, CISM, CCIE.

IT Security Specialist

University degree.
Theoretical and practical skills in network security (2-3 years).
2–3 years in securing UNIX systems (BSD, Linux).
Experience in network security audits;
Knowledge of technical English.
Required skills:
- Platforms: FreeBSD, UNIX, Linux (Red Hat family, Debian family), Mac OS X, Cisco IOS;
- Database applications: MySQL, PostgresQL, Oracle;
- Servers: Apache, Squid, Syslog;
- Class of programs: MTA (exim, sendmail), IMAP (pop3s, imap);
- Superstructure for a file system constraint: JAIL, Chroot;
- Diagnostic / monitoring systems: Nagios, Samhain, SNORT;
- Protocol: SNMP;
- Filters: pf, iptables.

IT security professional (entry level)

IT related education.
Willingness to achieve challenging and stretched goals.
Interest to achieve self-realization in multi-project, multi-industry, multi-client environment.
A team player.
Good English.
At least one proud-to-mention achievement in the IT related area.
PREFERRABLE:
- 1+ year experience of working on IT related position in a big organization (telecom billing experience is preferable);
- Hands-on experience with business applications (billing, ERP, accounting and budgeting);
- Hands-on experience in the systems integration and development projects (such as development of the web-based transactional systems, ERP systems, B2B solutions, etc.);
- Hands-on experience administrating of operating systems or networks,
- Familiarity with the System Development Lifecycle and Project Management documentation, such as Requirements and Design documents.

Главный специалист по информационной и технической защите

Разработка, внедрение, обслуживание системы криптографической защиты информации (установка, настройка, консультации), сетевых сканеров безопасности (Norton Internet Security, Nessus, LANguard Network Security Scanner), интернет-безопасность (защита от вторжения, защита web-сервера).
Администрирование локальной сети.
Установка и настройка Интернета (шлюз на базе FreeBSD, брандмауэр ipfw, почтовый сервер FreeBSD + Windows), обеспечение антивирусной защиты (Kaspersky Antivirus/ Kaspersky Internet Security), организация телефонной связи (ISDN-PRI поток от Укртелеком на базе офисной АТС Samsung OfficeServ100).
Защита информации на локальных станциях (виртуальные защищенные диски на базе Decart, брандмауэр Agnitum Outpost Pro).
Контроль уязвимости системы (сканер безопасности xSpider, LANguard NSS).
Разработка и создание программы регистрации ПО (разработка алгоритма и программная реализация С++, Visual Basic).
Защита информации на локальных станциях (Kaspersky Antivirus, файрволл Agnitum Outpost).
Требования:
- образование высшее (факультет информационных систем и технологий);
- знание языков: англ.;
- опыт работы: от 3 лет.