Таланты в кибербезопасности
Бурный рост сектора кибербезопасности привел к проблемам с нехваткой людей, достаточно компетентных для выполнения всей необходимой работы. Это отчасти связано с тем, что кибербезопасность — относительно новая область деятельности с высоким порогом вхождения, к тому же сегодняшние методы оценки кандидатов не вполне хороши.
В слишком многих частных компаниях при подборе кандидатов смотрят лишь на галочки в правильных полях в резюме или выполнение тестовых задач, при этом иногда такие кандидаты свои повседневные обязанности выполняют плохо. Кандидаты, рекрутеры и программы обучения подстроились под то, что нужно для получения работы, и все вместе позиционируют себя соответствующим образом, снижая эффективность традиционных методов найма и оценки кандидатов. Университеты выпускают с факультетов компьютерных наук студентов, которые не могут решить задачу FizzBuzz, предназначенную для проверки базовых навыков программирования. Кандидаты представляют потенциальным работодателям необъективные или вымышленные рекомендации. Сотрудники ищут бессмысленные должности, которые хорошо смотрятся в резюме, но плохо коррелируют с их опытом работы или способностями. Карьеристы получают кучу сертификатов в области информационных технологий или безопасности, готовясь к тестам (и часто почти сразу же забывают полученную информацию), публикуют мелкие бессмысленные статьи, чтобы пустить пыль в глаза, подают заявки на патенты, добавляя свои имена к проектам, к которым они почти не имеют отношения.
Способы борьбы с хитростями вроде выдаваемых на дом тестов легко обойти с помощью Google или прямого плагиата. Головоломки, которые предлагается решить прямо на собеседовании, когда-то были новинкой, а теперь стали обычным делом. Кандидаты много практикуются в их решении, а иногда и вовсе точно знают, какие задания дает именно эта компания. Но даже если задача сохраняется в секрете, ни один из перечисленных критериев не позволяет точно оценить способность кандидата выполнять работу по обеспечению кибербезопасности.
Ради справедливости отметим, что у кандидатов тоже есть немало оснований с подозрением относиться к работодателю в сфере кибербезопасности. Даже если организация нанимает невероятного профессионала, достойного звания «киберниндзя», нет никаких гарантий, что работодатель будет использовать его эффективно. Этот риск существует в любой отрасли, но у компаний, занимающихся кибербезопасностью, он становится еще выше по ряду причин, включая малоизвестность высокотехнологичной профессии, эволюцию технологий, непонимание возможностей сотрудника руководством, а также важность креативного мышления. Чтобы хорошо делать свою работу и обеспечивать безопасность организации, сотрудникам нужна поддержка руководства и карт-бланш на то, чтобы полностью реализовать свои навыки, не боясь наказания или откровенного саботажа.
В число крупнейших нанимателей, работодателей и инструкторов для киберспециалистов входят американские военные, которые могут взять почти незнакомых с компьютерами балбесов, бросивших школу, и за 18 месяцев обучить их до уровня специалиста по кибервойне. Конечно, не каждый новобранец проходит обучение, так как существуют определенные требования, по которым отфильтровывают плохих кандидатов (кстати, так же поступали и с новобранцами согласно «Бансэнсюкай») [5].
При найме в армию одной из особенностей является тест на профессиональную пригодность военнослужащих (Armed Services Vocational Aptitude Battery, ASVAB) [46]. В отличие от собеседования в компании, где ценятся прошлые достижения и профессиональные качества, ASVAB оценивает потенциал к обучению, способности и общие технические навыки новобранцев. По специальной системе баллов для кандидатов определяются специальности, в которых они могут продолжить работу в случае успешного обучения. Тест ASVAB оказался очень эффективным для военных, но стоит отметить, что на некоторых должностях встречается неожиданно высокий результат обучения, но низкая производительность в полевых условиях, что, вероятно, связано с определенными качествами, которые ASVAB не всегда проверяет. В организованном и структурированном мире вооруженных сил бывает сложно выявить или обучить людей, которые решают проблемы с применением творческого, бесстрашного и независимого мышления, как, собственно, работают хакеры.
