Контакты
Подписка 2024

Какое образование нужно для SDL, и где искать кадры?

Редакция журнала "Информационная безопасность", 07/09/23

Один из ключевых вопросов:: какое образование и квалификация необходимы для специалистов по безопасной разработке, и где можно найти кадры, способные успешно реализовать методологию SDL. От обзора важных компетенций до практических советов по найму и обучению, - эксперты сообщества SDL помогут разобраться в этой важной теме.

ris22

Роман Борзов, Андрей Кузнецов, Фобос-НТ:

Поиск специалистов – важнейшая, но непростая задача, так как подразумевает выборку из ограниченного числа высококвалифицированных специалистов. Поэтому не стоит бояться брать молодых специалистов без опыта и обучать их под себя. Один из способов решения данного вопроса – обратить внимание на "студенческую скамью" в поисках горящих глаз.

Борис Позин, ЕС-лизинг:

Найти специалистов сейчас негде, нужно самим их готовить. Вот мы этим и занимаемся.

Валерий Черепенников, Nizhny Novgorod Research Center:

Как мне сказал один человек, программисты SDL – в общем, обычные программисты и найти их не так уж сложно, но гораздо сложнее – тех, кто будет ставить им задачи, они на вес золота. И уровень образования, на мой взгляд, требуется достаточно серьезный, ведь для того, чтобы корректно ставить задачи, необходимо полное понимание программного и части аппаратного стека, понимание уязвимостей и как их избегать. Кроме того, еще понимание нормативки и стандартов. Это требует хорошего образования (как минимум магистратура) и еще некоторого опыта. На рынке наблюдается изрядный дефицит такого рода специалистов. Более того, у меня нет четкого понимания, кто их готовит. Есть ощущение, что они произрастают сами и штучно. С определенной надеждой наблюдаю за попытками ИСП РАН в этом направлении. Тему SDL мы будем культивировать в ИТ-кампусе Нижегородской области.

Валерий Богдашов, R-Vision:

На сегодняшний день рынок кадров в сфере информационной безопасности, к сожалению, достаточно узкий, и сразу найти специалиста под необходимые нужды компании бывает проблематично. Поэтому многих разработчиков мы сами выращиваем в компании, изначально закладывая ресурсы под их обучение. Главное, чтобы кандидат "горел" сферой кибербезопасности, ставил себе цели и достигал их, а также стремился к постоянному развитию.

Владимир Высоцкий, Solar appScreener:

Требуемый уровень образования зависит от должности. В большинстве случаев это высшее, но по некоторым позициям рассматриваем среднее профессиональное/специальное или незаконченное высшее. Мы используем все возможные каналы: сайты для поиска работы, внутреннюю базу, рекомендации сотрудников, отраслевые форумы и конференции.

Ежемесячно наша компания нанимает 60–70 ИБ-специалистов. Приоритетными для нас являются разработчики (С++, Java, Scala), инженеры-проектировщики, пентестеры, аналитики и архитекторы SOC.

Алексей Смирнов, CodeScoring:

Крайне желательно, чтобы уровень образования был высшим, и лучше всего – профильным. Ведущие вузы, например Бауманка, МИРЭА и УРФУ, понимают потребность и активно поддерживают SDL-направление. Мы, в свою очередь, поддерживаем такие учебные заведения образовательными лицензиями для улучшения качества подготовки. Если говорить про людей с опытом, то нельзя недооценивать силу SDLи других ИТ-сообществ, в которых у участников все чаще загораются глаза на докладах по безопасной разработке.

Дмитрий Евдокимов, Luntry:

Мы специализируемся на безопасности контейнеров и Kubernetes. Изза того, что эта область знаний появилась не так давно и в университетах подобного еще не преподают, нам приходится готовить кадры самим. Главное, чтобы у человека была хорошая база, голова на плечах и желание исследовать, разбираться, пробовать и не сдаваться в процессе изучения нового материала.

Иван Панченко, Постгрес Профессиональный:

Есть работа для специалистов разного уровня. Конечно, лидером должен быть только профессионал высокого уровня. Интересные и полезные задачи являются основной мотивацией для таких людей, это помогает находить их на рынке.

Владимир Пономарев, Гарда Технологии:

В процессе участвуют и разработчики, и ребята из команды AppSec, так что требования очень разные. В основном специалисты растут внутри компании, но есть и те, кто пришел к нам с уже имеющимся профильным опытом.

Лука Сафонов, Синклит:

С кадрами, как и везде, большая проблема: их катастрофически не хватает. У нас есть сильная, сформированная годами команда, которая занимается обучением молодых перспективных сотрудников. Мы также активно набираем студентов технических вузов на стажировку, давая им возможность попробовать себя в разных направлениях и выбрать наиболее им близкое.

Марк Коренберг, Айдеко:

В нашем отделе ИБ отдаем предпочтение людям, у которых есть высшее образование или законченные профессиональные курсы в этой сфере. Ищем на hh или в тематических группах. А так все зависит от результатов технического собеседования: порой среди самоучек находятся "золотые" разработчики.

Роман Карпов, Axiom JDK:

Мы растим кадры сами. У нас очень высокие требования, так как продукт очень сложный. Специалисты приходят преимущественно по рекомендации и повышают свою квалификацию благодаря работе в нашей инженерной команде. Junior по SDL/DevSecOps должен обладать следующим набором знаний на базовом уровне: С/C++, работа с Linux, информационная безопасность, а также опционально – базовые знания языка/стека технологий для конкретного изделия/проекта, на котором нужно внедрять SDL. Специалист уровня Security Champion должен иметь хорошее понимание C/C++, работы сетевых протоколов, механизмов работы Linux и C runtime, понимание принципов ИБ и их прикладного значения, обладать опытом работы с инструментами тестирования (статические анализаторы, фаззеры, отладчики) и инструментами анализа (статические анализаторы, средства реверс-инжиниринга – дизассемблеры, декомпиляторы, сетевые сканеры, средства пентеста).

Сергей Деев, МТС RED:

Спрос на специалистов, способных внедрять и применять практики безопасной разработки, в последнее время многократно вырос. Крупные компании готовы платить серьезные зарплаты, при этом все равно не всегда достигают целей по найму.

В этой ситуации важно растить экспертизу у себя, доверяя возможность развития экспертам из числа специалистов по DevOps, разработчиков и экспертов ИБ, специализирующихся на сетевой безопасности, менеджменте процессов ИБ, мониторинге инцидентов. Для роста важно обучаться на практике и опираться на опыт профессионального сообщества, благо у нас много доступной литературы и обучающих материалов. Появляются новые программы повышения квалификации, связанные с вопросами безопасной разработки.

Сергей Сергеев, КСБ-СОФТ:

Для поиска новых специалистов мы развиваем взаимодействие с научными институтами. Значимым результатом для нас стало заключение соглашения о сотрудничестве между командой НПЦ КСБ, ЧГУ им. И.Н. Ульянова и ИСП РАН.

Благодаря совместной работе уже в начале текущего года в ЧГУ была открыта лаборатория системного программирования и безопасной разработки программного обеспечения. Теперь на ее базе с применением передовых технологий будут обучаться молодые перспективные кадры.

Сергей Трандин, Базальт СПО:

Во-первых, мы ищем среди разработчиков свободного программного обеспечения. Образование – не определяющий критерий, в нашей команде есть самородки без высшего образования. Во-вторых, мы работаем со студентами вузов, отбираем амбициозных, с "горящими глазами". В-третьих, мы развиваем экспертизу внутри компании, обеспечиваем профессиональный рост наших сотрудников, в том числе за счет активного участия в международных проектах Open Source. Тестирование – зона особой ответственности, ошибки недопустимы, поскольку очень высоки риски для участников рынка. Поэтому критерии отбора – квалификация, обучаемость, природный талант и мотивированность.

Сергей Груздев, Аладдин Р.Д.:

Наличие высшего образования подтверждает высокие способности к обучению и увеличивает вероятность успешного вхождения в профессию. Скажу банальную фразу: здесь, как и везде, нужно постоянно учиться. Мы ищем среди студентов на рынке, организуем стажировки. Мы очень ценим инициативность и проактивность, стремление к самообучению. При подборе обращаем внимание на уровень знания языков и владение инструментами, на то, как актуальный набор знаний и навыков можно использовать при решении актуальных задач команды.

Александр Дубинин, YADRO:

Уровень образования очень разный, от студентов до специалистов и экспертов. Мы работаем со многими вузами, у нас есть свои базовые кафедры. Стратегически лучший способ найти подходящие кадры – вырастить их, используя образовательную базу вуза, стажировки и внутренние обучающие программы.

Карина Нападовская, Лаборатория Касперского:

Есть разные пути.

  1. И имеющиеся кадры зачастую хотят что-то поменять в жизни, переквалифицироваться и учиться чемуто новому, модному, молодежному. Можно смело их запускать в новый процесс. В нашей отрасли сейчас есть большое количество курсов, вебинаров, конференций, и программы обучения появляются, так что все шансы.
  2. Конечно, студенты. Свежая кровь, неиспорченные мозги: очень много достойной молодежи, с которой достаточно поработать какое-то время и можно добиться отличного результата.
  3. Ну и никто не отменял хантинг готовых специалистов. Многие факторы, включая бюджет, цели и сроки поставленных задач, влияют на подход к подбору персонала.

Оксана Новослугина, СПб ИАЦ:

В настоящее время мы больше смотрим не на профиль образования, а на инициативность, желание учиться новому и трудоспособность. В большом потоке информации важно, чтобы сотрудник мог быть многозадачным, стрессоустойчивым, и главное, чтобы ему было интересно. На нашем предприятии развита система наставничества и профессиональной переподготовки, это очень важное направление в наше время.

Екатерина Вайц, МГТУ им. Н.Э. Баумана:

С учетом того факта, что мы являемся кузницей кадров, готовим будущих SDL-щиков, то проблема поиска перспективных и горящих энтузиазмом джунов для нас не стоит.

Однако в связи с постоянным ростом числа студентов все более актуальной задачей становится необходимость постоянного расширения сильного костяка преподавателей по широкому спектру направлений и стеку технологий, которые могли бы выполнять роль научных руководителей и наставников для студентов.

Полная версия круглого стола в журнале "Информационная безопасность": https://cs.groteck.com/IB_3_2023/40/ 

Темы:Безопасная разработкаDevSecOpsЖурнал "Информационная безопасность" №3, 2023

Обеспечение кибербезопасности.
Защита АСУ ТП. Безопасность КИИ
Конференция | 28 июня 2024

Жми для участия
Обзоры. Спец.проекты. Исследования
Участвуйте в обзорах / исследованиях проекта "Информационная безопасность"!
Станьте автором журнала!
Статьи по той же темеСтатьи по той же теме

  • Управление уязвимостями при разработке ОС Astra Linux
    Владимир Тележников, директор департамента научных исследований “Группы Астра”
    Управление уязвимостями играет ключевую роль в процессе разработки и эксплуатации любой операционной системы.
  • Protestware: как защитить код?
    Владимир Исабеков, ведущий инженер по информационной безопасности Swordfish Security
    Первым и важным шагом к снижению риска от вредоносного Protestware является стандартный инструментарий безопасной разработки.
  • Как организовать процесс безопасной разработки в 5 шагов
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    Разберем значение процесса РБПО в организации, его создание, сложности и пути их преодоления.
  • Сертификация СЗИ – курс на РБПО
    Дмитрий Пономарев, технический директор ООО НТЦ “Фобос-НТ”, сотрудник ИСП РАН
    На рубеже 2023–2024 гг. положение разительно отличается от картины пятитилетней давности. Практики РБПО требуются повсеместно, их выполнение зачастую является одним из базовых пунктов контракта.
  • Как уговорить финансового директора на вложения в безопасную разработку?
    Финансовый директор иногда может быть скептически настроен к затратам на безопасность разработки. Как же подобрать аргументы для обоснования необходимости вложений?

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
23 мая. Инструменты миграции на защищенный Linux
Участвуйте!

More...
Обзоры. Исследования. Спец.проекты
Обзоры и исследования проекта "Информационная безопасность"
Жми, чтобы участвовать