СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Блоги
1С-Битрикс
28 января
#Статьи #ИБ

Что ждет специалиста по защите информации на карьерном пути?

Что ждет специалиста по защите информации на карьерном пути?

Изображение: recraft

Всем привет! Мы, Леонид Плетнев, бизнес-партнер по ИБ 1С-Битрикс, и Татьяна Мазаева, специалист по подбору персонала 1С-Битрикс, расскажем о том, как определиться с выбором профессии в области ИБ. Эта статья будет интересна школьникам и всем, кто задумывается о смене специальности или ищет новую работу.

Как известно информационная безопасность – это большая отрасль с разными специализациями, помогающими бизнесу снизить риски нарушения доступности, целостности и конфиденциальности данных. За этими тремя свойствами информации кроется многомерная кадровая система, требующая различных знаний и опыта.

Рынок профессии

Начнем с экономических показателей ИБ-отрасли. Здесь только хорошие новости: мировой рынок кибербезопасности показывает устойчивый рост 14,56% в год и по предварительным оценкам Gartner в 2025 году составил 213 млрд. долларов. Российский рынок демонстрирует еще более оптимистичные тенденции с прогнозируемым ростом в 21% и объемом в размере триллиона рублей к 2030 году.

В экономике смежных ИТ-направлений, которые влияют на ИБ, также прогнозируется уверенный рост за счет новых технологий таких как ИИ и агентские системы (на 37% в год), робототехника (на 14% в год), высокопроизводительные вычисления (на 6,7% в год), и т.п. Держим в уме возможности по горизонтальному карьерному росту.

На фоне экономического оптимизма существует сильная нехватка специалистов как на глобальном, так и на отечественном уровнях. Пока технологии будут развиваться текущими темпами, ситуация сохранится – каждый новый ИТ-вектор будет требовать пополнения в рядах защитников информации. Как следствие, зарплаты ИБ-специалистов останутся значительно выше средних на многих рынках труда.

Но на практике ИБ-бюджеты организаций часто невелики и работодатели вынуждены искать компромиссы, а нехватка кадров не означает легкого поиска работы – даже новичок должен соответствовать высоким запросам работодателей. Давайте рассмотрим их.

Софт-скиллы

Мы не зря начинаем именно с софтов. Не отменяя требований к хардовым знаниям, это очень востребованная зона компетенций.

На онтологическом уровне безопасность в организации выполняет следующие функции:

  • семантическая – подразделение ИБ совместно с бенефициарами и топ-руководством определяет и постоянно актуализирует текущий контекст организации, ее риск-аппетит, что для нее в общем смысле хорошо/безопасно, а что плохо/опасно;
  • аналитическая – после определения контекста, ИБ с владельцами бизнес-процессов прогнозирует угрозы, моделирует инциденты, оценивает риски, мониторит события; ИБ постоянно адаптируется к новым угрозам, старается действовать на опережение, не мешая бизнесу применять новые технологии;
  • дисциплинарная – ИБ создает, поддерживает и совершенствует контрольную среду, распространяющуюся на всех сотрудников и процессы организации, обеспечивает корпоративную культуру безопасности;
  • силовая – как «доброта должна быть с кулаками», так и ИБ должна оперативно и, если понадобиться, жестко реагировать на нарушения дисциплины и инциденты;
  • легитимная – ИБ в связке с другими обеспечивающими службами реализует все свои действия исключительно в правовом поле.

3 софт-скилла, которые важны для ИБ-специалиста

Умение работать в команде

Служба ИБ не может существовать в организации сама по себе. Она постоянно взаимодействует с менеджментом, с бизнесом, с производством, с ИТ, с юристами, финансистами, кадрами, различными обеспечивающими службами, провайдерами и поставщиками, клиентами. Конечно, если вы не любите общаться с людьми и отказываетесь развивать этот навык, то в ИБ тоже найдутся укромные специальности. При этом возможности для роста будут значительно ограничены.

Стрессоустойчивость, умение работать в условиях неопределенности

ИБ-специалисты постоянно находятся под давлением различных факторов, таких как: усложнение атак, постоянное ожидание возможного инцидента в любой момент, неизбежные конфликты интересов между «сервис работает, не трогай» и «сервис потенциально опасен и его нужно дорабатывать», недостаток ресурсного обеспечения и многозадачность, обеспечение соответствия большому массиву требований регуляторов, необходимость выполнения силовой функции. Все эти условия требуют от кандидата навыка стрессоустойчивости.

Адаптивность и умение расставлять приоритеты

Быстро меняющееся технологическое окружение в рамках семантической и аналитической функций требует от ИБ-специалиста постоянно находиться в контексте, уметь прогнозировать угрозы, моделировать инциденты, оценивать риски. Они обязаны постоянно адаптироваться к новым угрозам, действовать на опережение, не мешая бизнесу применять новые технологии. Все это требует от ИБ-специалиста любого уровня оперативно осваивать новые знания, менять собственные взгляды на устоявшиеся подходы к защите информации, действовать в условиях неопределенности и выбирать приоритетные направления для решения задач.

Селф-скиллы

Селф-скиллы иногда рассматриваются как часть мягких навыков, хотя в последнее время их выделяют в отдельное направление, рассматривая как базу для развития софт-скиллов. Дело не только в том, каким вы родились (например, интровертом или экстравертом, устойчивым к стрессу или нет), но и в том насколько вы готовы мотивировать себя к новым достижениям и к развитию недостающих компетенций. Такие навыки начинаются с «само-»: самопознание как умение знать свои плюсы и минусы, саморегуляция как смещение акцента с реактивного поведения на проактивное, саморефлексия как способность к анализу своих действий и др.

Хард-скиллы

5 основных хард-скиллов, которые необходимо развивать ИБ-специалисту:

  • Математика, логика, методы системного анализа (для начала на уровне программы высшего образования, далее в рамках изучения новых технологий, например, в криптографии);
  • Общие инженерные знания об архитектурах программного обеспечения и инфраструктурных решений, методах программирования, механизмах вычислений, способах обработки, хранения и передачи информации, механизмах организации доступа, средствах коммуникации и сетях, о шифровании;
  • Знания процессов и процедур управления информационными активами и системными компонентами, рисками, доступом, уязвимостями, инцидентами, мониторингом, разработкой ПО, обучением и знаниями, соответствием нормам и законам;
  • Владение инструментами автоматизации своей работы в части рутинных операций;
  • Умение применять AI-технологии.

В зависимости от выбранной специализации и технологического стека, на которых делается карьерный фокус, эксперту в течении профессионального развития необходимо уделять внимание знаниям и навыкам, указанным в таблице.

Специализация Хард-скиллы Дополнительные софт-скиллы
Безопасная разработка ПО Знание одного и более стеков программирования: веб, бэкенд, мобильная/десктопная разработка, игры, данные и машинное обучение, инженерное ПО для IoT, АСУ ТП Знание угроз, уязвимостей, хакерских тактик для выбранного стека программирования Умение работать со сканерами статического анализа кода, средствами динамического тестирования и фаззинга Понимание цикла разработки безопасного ПО Внимание к деталям. Умение концентрироваться на задаче
Безопасное проектирование, интеграция и эксплуатация информационных систем Знание одного или нескольких инфраструктурных стеков, объединяющих реализации классических клиент-серверных архитектур, монолитных и/или микросервисных архитектур, распределенных высоконагруженных систем, он-прем и облачных решений Понимание принципов работы протоколов на различных уровнях модели OSI Умение настраивать встроенные механизмы безопасности системных компонентов различных производителей: сетевое оборудование, виртуализация, контейнеризация, оркестрация, ОС, СУБД, хранилища данных, AI-компоненты Знание наложенных средств защиты: сетевой безопасности, шифрования, доступа, защиты серверов и конечных устройств, логирования и мониторинга Знание угроз, уязвимостей, хакерских тактик для выбранного архитектурного стека Умение работать с средствами анализа защищенности инфраструктуры Лидерство. Умение видеть картину на стратегическом, тактическом или операционном уровнях безопасности.
Мониторинг и реагирование Знание инфраструктурных стеков, объединяющих реализации различных архитектур Знание угроз, уязвимостей, хакерских тактик для выбранного архитектурного стека Умение работать с сигнатурами средств защиты Умение анализировать журналы безопасности от различных системных компонентов, задавать правила корреляции событий Многозадачность. Готовность брать ответственность на себя, действовать быстро. Аналитическое мышление. Умение видеть картину на тактическом и/или (в зависимости от должности) операционном уровнях безопасности
Расследование инцидентов Знание правовой базы по выявлению и сбору свидетельств инцидента Знание угроз, уязвимостей, хакерских тактик и механизмов работы зловредного ПО Умение анализировать журналы безопасности от различных системных компонентов и коррелировать их в сценарий инцидента Умение концентрироваться на задаче. Внимание к деталям. Аналитическое мышление
Анализ защищенности, пен-тесты Знание инфраструктурных стеков, объединяющих реализации различных архитектур Знание одного и более стеков программирования: веб, бэкенд, мобильная, десктопная, игры, данные и машинное обучение, инженерное ПО для IoT, АСУ ТП Умение работать с средствами анализа защищенности инфраструктуры и ПО Знание угроз, уязвимостей, хакерских тактик и зловредного ПО для выбранного архитектурного стека Знание тактик социальной инженерии Внимание к деталям. Аналитическое мышление
Исследования вредоносного ПО Знание одного и более стеков программирования Знание угроз, уязвимостей, хакерских тактик Знание методов и инструментов реверс-инжиниринга, умение работать с дистрибутивами Знание механизмов и функций шифрования, обфускации Умение работать с средствами динамического тестирования и анализа приложений Умение концентрироваться на задаче. Внимание к деталям. Аналитическое мышление
Аудит и обеспечение соответствия Базовое знание инфраструктурных стеков, объединяющих реализации различных архитектур Знание требований законодательства в области ИБ, практик регуляторов, рекомендаций вендоров и международных стандартизирующих организаций Знание встроенных механизмов безопасности системных компонентов различных производителей Знание наложенных средств защиты Умение проектировать дизайн контрольных процедур и внедрять контроли на системном уровне в организации Знание фреймворков оценки рисков Многозадачность. Внимательность к деталям
Разведка Знание инфраструктурных стеков, объединяющих реализации различных архитектур Знание угроз, уязвимостей, хакерских тактик, методов и векторов Умение работать с фреймворками (например, Mitre Att&ck) Умение анализировать журналы безопасности от различных системных компонентов Умение вести поиск информации в различных источниках Системный подход. Аналитическое мышление
Менеджмент Наличие хард-скиллов в одной из специализаций выше Методы управления персоналом Оптимизация бизнес-процессов Управление проектами Финансовая отчетность Лидерство. Эмоциональный интеллект. Умение видеть картину на стратегическом и тактическом уровнях безопасности

В какие компании можно устроиться специалистом по ИБ

Специалисты по информационной безопасности нужны везде: в компаниях финансового сектора, в ритейле, телекоме, промышленности, в ИТ-компаниях. Конечно же, специалисты требуются и в компании которые создают или внедряют решения кибербезопасности.

В зависимости от типа компании и ее размеров различаются требования к сотрудникам и возможности их развития.

Приведем несколько примеров — это не строгая классификация, а наблюдения, на базе которых можно определить контекст конкретного работодателя.

Работа ин-хаус в компании, чья прямая деятельность не связана с ИБ

В маленьких компаниях, до 100 человек, функции ИБ как правило совмещены с ИТ, а сами процессы обеспечения кибербезопасности отстроены слабо. Но тем не менее — это хорошая возможность для смены профессии, особенно для тех, кто планирует перейти в ИБ из ИТ.

В компаниях среднего размера, со штатом от 100 до 1000 человек, обычно уже есть выделенная служба ИБ — выделенное подразделение или несколько специалистов в составе ИТ-отдела. Те, кто планирует работать в такой компании, могут рассчитывать на быстрый карьерный рост, а также на возможность одновременно заниматься различными направлениями ИБ и быстро наращивать свои навыки.

В крупных компаниях соискателя ждет работа в службе ИБ, которая может быть представлена несколькими отделами и часто входит в состав Службы безопасности.

Сотрудник получает последовательный, стабильный и относительно прозрачный карьерный путь в рамках компании или возможность горизонтального роста за счет перехода в смежные подразделения.

В компаниях-интеграторах и вендорах ИБ-решений

У интеграторов есть своя специфика:

  • Проектно-ориентированная работа или аутсорсинговый сервис (например, SOC)
  • Важная часть работы каждого сотрудника, выполняющего проект или оказывающего услуги — коммуникация с клиентом
  • В бизнесе есть сезонные нагрузки, связанные с сезонностью задач у клиентов, пик обычно выпадает на конец года.

Соискателю важно понимать, что его рост в компании определяется четкими бизнес-критериями успеха. Чем больше успешных проектов — тем больше бонусов и быстрее рост. При этом сотрудник получает возможность быстро нарастить опыт за счет большого количества проектов в компании.

Работа в компании, которая разрабатывает ИБ-решения — это участие в процессе разработки ПО или программно-аппаратных комплексов. Для соискателя —возможность поучаствовать в реализации подходов ИБ как конвейер, ИБ как код. Многих кандидатов мотивирует сам факт работы в компании, которая обеспечивает своими продуктами безопасность одной или нескольких отраслей.

Как выглядит найм изнутри

На рынке труда не только работодатель выбирает кандидата, но и кандидат может выбирать компанию, особенно на фоне дефицита кадров. Соискатели ориентируются не только на уровень заработной платы, интерес к конкретному сегменту и уровень проектов в компании. Все больше внимания при выборе места работы кандидаты уделяют условиям труда, возможностям роста и развития. Ниже несколько наиболее популярных сейчас условий, которые соискатели тщательно оценивают, а работодатели стараются соблюдать.

Условия, снижающие профессиональное выгорание:

  • Гибкий график и дистанционная работа: базовое требование для многих.
  • ДМС и программы ментального здоровья: компании-лидеры включают в пакет медицинской страховки дополнительные опции психологической поддержки, консультации со специалистами по управлению стрессом и выгоранием.
  • Культура доверия и отсутствие микроменеджмента: специалист по ИБ ищет в компании среду, где ценится экспертиза и дается свобода в принятии решений в своей зоне ответственности.

Свобода развития и отсутствие рутины: специалистам в ИБ важен постоянный доступ к новым технологиям, разнообразие задач, возможность реализовывать все более сложные проекты.

Подходящая корпоративная культура: соискателю важна открытость работодателя на этапе найма и четкое понимание отношения к ИБ в компании — рассматривают ли ИБ как бизнес партнера, или как «отдел, который всегда говорит „нет“».

Возможность смены локации: ИБ как международная профессия позволяет хорошему специалисту выбирать не только город, но и страну работы. Этот фактор может стать решающим для удержания ценного сотрудника.

Карьерные треки в ИБ

В большинстве компаний, где требуются специалисты по ИБ, уже реализованы ключевые элементы кадровой системы: грейды (junior/middle/senior) с формализованными требованиями и критериями перехода между ними, регулярные performance-ревью (оценки эффективности), на основе которых принимаются решения об изменении грейда.

На собеседовании кандидат может всегда уточнить перспективы и варианты своего карьерного роста, задать простой вопрос «Кем я могу здесь стать?»

Вертикальный рост:

  • Карьерный трек: например, Специалист по информационной безопасности (Junior) → Ведущий/Главный специалист по информационной безопасности (Middle/Senior) → Технический лидер, архитектор (Tech Lead / Security Architect) → Директор по кибербезопасности (CISO).
  • Управленческий трек: например, Исполнители (Specialist) → Руководитель направления или небольшого подразделения (Team Lead / Middle Manager) → Руководитель нескольких направлений (Head of Department) → Директор по кибербезопасности (CISO).

Горизонтальный рост:

  • Специалист может менять фокус внутри ИБ, не уходя из компании.

Например: специалист 2 линии SOC может перейти на должность аналитика уязвимостей ПО, а аналитик уязвимостей ПО – в команду анализа защищенности (Red Team), а еще можно стать ИБ-чемпионом в отделе разработки. Это предотвращает профессиональное выгорание и создает уникальных экспертов широкого профиля.

  • Переход из смежных IT-областей в ИБ. Этот вариант тоже может быть профессиональным ростом для самого специалиста. Для компании это кадровый резерв: опытный системный администратор или разработчик часто становится блестящим специалистом по информационной безопасности, потому что досконально понимает защищаемую систему изнутри.

Найм выпускников и начинающих специалистов

Компании часто нанимают выпускников и молодых специалистов без опыта, а затем дообучают их на практике. Это помогает создавать надежный кадровый резерв. На что смотрит рекрутер, оценивая новичка без опыта?

  • База и потенциал: Наличие профильного образования (информационная безопасность, прикладная математика) важный критерий, при этом не всегда обязательный. В первую очередь оценивается технический бэкграунд, наличие стажировок, начальной практики.
  • Жажда знаний и проактивность: Проекты на GitHub, пройденные курсы (Stepik, Coursera, HTB, TryHackMe), сертификаты начального уровня, участие в CTF-соревнованиях. Это показывает мотивацию и инициативу.
  • Мышление и «мягкие навыки»: Аналитический склад ума, умение логически мыслить, внимательность к деталям. Грамотная речь и способность задавать правильные вопросы.
  • Энтузиазм и культурное соответствие: Искренний интерес к сфере ИБ, а не просто желание «войти в айти». Готовность учиться новому.

Практические советы для молодых специалистов

  • Начинайте общаться с потенциальными или будущими работодателями как можно раньше, изучите вакансии на рекрутинговых сайтах. Посмотрите требования к молодым специалистам на специализациях, которые вам нравятся, составьте личный план собственного развития
  • Не стремитесь сразу получать хорошую зарплату, главное начать нарабатывать практический опыт в компании. Это могут быть и бесплатные стажировки, которые дадут вам навыки, знакомства, понимание того, в каких областях нужно развиваться.
  • Изучите платформы поиска уязвимостей Bug Bounty от компаний — чтобы найти типовую уязвимость часто достаточно базовых знаний. Для вас участие в проекте — это возможность показать работодателю свою вовлеченность и интерес к работе.
  • Изучите международные фреймворки и учебные пособия от ISACSA, ICS, EC-Council, OffSec, ISO, OWASP, NIST – не обязательно сдавать экзамен, тем более для сертификата обычно требуется выполнить квалификационные требования, но это один из источников получения практических знаний. Добавьте к этому частные статьи на Хабре, отчеты от ведущих ИБ компаний России и мира.
  • Не пропускайте основные ИБ-конференции и форумы (обычно можно бесплатно участвовать онлайн или смотреть записи на видеохостингах) – это позволить быть в актуальной повестке.

Заключение

В заключение приведем субъективный взгляд на плюсы и минусы профессии со стороны специалиста. Пишите в комментариях ваши оценки, что вам нравится в профессии, а что нет, как вы справляетесь с минусами и в целом, нужно ли идти в профессию?

Плюсы

  • Сквозная профессия, необходимая в большинстве отраслей. Относительно узкоспециализированных направлений, на рынке труда всегда будет большее количество предложений
  • Возможность переходить в различные смежные направления в рамках ИБ — от научных изысканий (например, в криптографии) до сугубо практических аспектов (например, тестов на проникновение)
  • Возможность переходить в смежные отрасли, как минимум в ИТ
  • Долгосрочная положительная динамика роста рынков ИТ и ИБ
  • Технологичность, быстрые изменения, возможность постоянно развиваться
  • Относительно высокие зарплаты, не только из-за дефицита специалистов, но из-за высокой технологичности
  • Хороший соцпакет от многих работодателей
  • Возможность построить международную карьеру без потери соцпакета и других плюсов

Минусы

  • Высокая ответственность, стресс в ожидании возможного инцидента или в момент инцидента
  • Часто ИБ обеспечивающая служба, а не приносящая напрямую доход компании — сложнее мотивировать себя и сложнее добиваться ресурсов у топ-менеджмента
  • Дефицит кадров помогает быстрее найти работу, но и работать приходиться в условиях этого дефицита, что может привести к высокой загрузке и выгоранию
  • Любой рост рано или поздно заканчивается и нужно быть готовым конкурировать в период кризиса, что с учетом высокой технологичности – сложная задача
  • Высокий спрос и динамика изменений может приводить к низкому качеству подготовки молодых специалистов, с которыми вы можете оказаться в одной команде.
  • Необходимость совмещать работу и учебу также может повысить уровень стресса на фоне высокой загрузки.
1С-Битрикс
Автор: 1С-Битрикс
«1С-Битрикс» (до 2007 года — «Битрикс») — российская технологическая компания, разработчик CMS «1С-Битрикс: Управление сайтом» и сервиса «Битрикс24».
Комментарии: