Какое образование нужно для SDL, и где искать кадры?
Редакция журнала "Информационная безопасность", 07/09/23
Один из ключевых вопросов:: какое образование и квалификация необходимы для специалистов по безопасной разработке, и где можно найти кадры, способные успешно реализовать методологию SDL. От обзора важных компетенций до практических советов по найму и обучению, - эксперты сообщества SDL помогут разобраться в этой важной теме.
Роман Борзов, Андрей Кузнецов, Фобос-НТ:
Поиск специалистов – важнейшая, но непростая задача, так как подразумевает выборку из ограниченного числа высококвалифицированных специалистов. Поэтому не стоит бояться брать молодых специалистов без опыта и обучать их под себя. Один из способов решения данного вопроса – обратить внимание на "студенческую скамью" в поисках горящих глаз.
Борис Позин, ЕС-лизинг:
Найти специалистов сейчас негде, нужно самим их готовить. Вот мы этим и занимаемся.
Валерий Черепенников, Nizhny Novgorod Research Center:
Как мне сказал один человек, программисты SDL – в общем, обычные программисты и найти их не так уж сложно, но гораздо сложнее – тех, кто будет ставить им задачи, они на вес золота. И уровень образования, на мой взгляд, требуется достаточно серьезный, ведь для того, чтобы корректно ставить задачи, необходимо полное понимание программного и части аппаратного стека, понимание уязвимостей и как их избегать. Кроме того, еще понимание нормативки и стандартов. Это требует хорошего образования (как минимум магистратура) и еще некоторого опыта. На рынке наблюдается изрядный дефицит такого рода специалистов. Более того, у меня нет четкого понимания, кто их готовит. Есть ощущение, что они произрастают сами и штучно. С определенной надеждой наблюдаю за попытками ИСП РАН в этом направлении. Тему SDL мы будем культивировать в ИТ-кампусе Нижегородской области.
Валерий Богдашов, R-Vision:
На сегодняшний день рынок кадров в сфере информационной безопасности, к сожалению, достаточно узкий, и сразу найти специалиста под необходимые нужды компании бывает проблематично. Поэтому многих разработчиков мы сами выращиваем в компании, изначально закладывая ресурсы под их обучение. Главное, чтобы кандидат "горел" сферой кибербезопасности, ставил себе цели и достигал их, а также стремился к постоянному развитию.
Владимир Высоцкий, Solar appScreener:
Требуемый уровень образования зависит от должности. В большинстве случаев это высшее, но по некоторым позициям рассматриваем среднее профессиональное/специальное или незаконченное высшее. Мы используем все возможные каналы: сайты для поиска работы, внутреннюю базу, рекомендации сотрудников, отраслевые форумы и конференции.
Ежемесячно наша компания нанимает 60–70 ИБ-специалистов. Приоритетными для нас являются разработчики (С++, Java, Scala), инженеры-проектировщики, пентестеры, аналитики и архитекторы SOC.
Алексей Смирнов, CodeScoring:
Крайне желательно, чтобы уровень образования был высшим, и лучше всего – профильным. Ведущие вузы, например Бауманка, МИРЭА и УРФУ, понимают потребность и активно поддерживают SDL-направление. Мы, в свою очередь, поддерживаем такие учебные заведения образовательными лицензиями для улучшения качества подготовки. Если говорить про людей с опытом, то нельзя недооценивать силу SDLи других ИТ-сообществ, в которых у участников все чаще загораются глаза на докладах по безопасной разработке.
Дмитрий Евдокимов, Luntry:
Мы специализируемся на безопасности контейнеров и Kubernetes. Изза того, что эта область знаний появилась не так давно и в университетах подобного еще не преподают, нам приходится готовить кадры самим. Главное, чтобы у человека была хорошая база, голова на плечах и желание исследовать, разбираться, пробовать и не сдаваться в процессе изучения нового материала.
Иван Панченко, Постгрес Профессиональный:
Есть работа для специалистов разного уровня. Конечно, лидером должен быть только профессионал высокого уровня. Интересные и полезные задачи являются основной мотивацией для таких людей, это помогает находить их на рынке.
Владимир Пономарев, Гарда Технологии:
В процессе участвуют и разработчики, и ребята из команды AppSec, так что требования очень разные. В основном специалисты растут внутри компании, но есть и те, кто пришел к нам с уже имеющимся профильным опытом.
Лука Сафонов, Синклит:
С кадрами, как и везде, большая проблема: их катастрофически не хватает. У нас есть сильная, сформированная годами команда, которая занимается обучением молодых перспективных сотрудников. Мы также активно набираем студентов технических вузов на стажировку, давая им возможность попробовать себя в разных направлениях и выбрать наиболее им близкое.
Марк Коренберг, Айдеко:
В нашем отделе ИБ отдаем предпочтение людям, у которых есть высшее образование или законченные профессиональные курсы в этой сфере. Ищем на hh или в тематических группах. А так все зависит от результатов технического собеседования: порой среди самоучек находятся "золотые" разработчики.
Роман Карпов, Axiom JDK:
Мы растим кадры сами. У нас очень высокие требования, так как продукт очень сложный. Специалисты приходят преимущественно по рекомендации и повышают свою квалификацию благодаря работе в нашей инженерной команде. Junior по SDL/DevSecOps должен обладать следующим набором знаний на базовом уровне: С/C++, работа с Linux, информационная безопасность, а также опционально – базовые знания языка/стека технологий для конкретного изделия/проекта, на котором нужно внедрять SDL. Специалист уровня Security Champion должен иметь хорошее понимание C/C++, работы сетевых протоколов, механизмов работы Linux и C runtime, понимание принципов ИБ и их прикладного значения, обладать опытом работы с инструментами тестирования (статические анализаторы, фаззеры, отладчики) и инструментами анализа (статические анализаторы, средства реверс-инжиниринга – дизассемблеры, декомпиляторы, сетевые сканеры, средства пентеста).
Сергей Деев, МТС RED:
Спрос на специалистов, способных внедрять и применять практики безопасной разработки, в последнее время многократно вырос. Крупные компании готовы платить серьезные зарплаты, при этом все равно не всегда достигают целей по найму.
В этой ситуации важно растить экспертизу у себя, доверяя возможность развития экспертам из числа специалистов по DevOps, разработчиков и экспертов ИБ, специализирующихся на сетевой безопасности, менеджменте процессов ИБ, мониторинге инцидентов. Для роста важно обучаться на практике и опираться на опыт профессионального сообщества, благо у нас много доступной литературы и обучающих материалов. Появляются новые программы повышения квалификации, связанные с вопросами безопасной разработки.
Сергей Сергеев, КСБ-СОФТ:
Для поиска новых специалистов мы развиваем взаимодействие с научными институтами. Значимым результатом для нас стало заключение соглашения о сотрудничестве между командой НПЦ КСБ, ЧГУ им. И.Н. Ульянова и ИСП РАН.
Благодаря совместной работе уже в начале текущего года в ЧГУ была открыта лаборатория системного программирования и безопасной разработки программного обеспечения. Теперь на ее базе с применением передовых технологий будут обучаться молодые перспективные кадры.
Сергей Трандин, Базальт СПО:
Во-первых, мы ищем среди разработчиков свободного программного обеспечения. Образование – не определяющий критерий, в нашей команде есть самородки без высшего образования. Во-вторых, мы работаем со студентами вузов, отбираем амбициозных, с "горящими глазами". В-третьих, мы развиваем экспертизу внутри компании, обеспечиваем профессиональный рост наших сотрудников, в том числе за счет активного участия в международных проектах Open Source. Тестирование – зона особой ответственности, ошибки недопустимы, поскольку очень высоки риски для участников рынка. Поэтому критерии отбора – квалификация, обучаемость, природный талант и мотивированность.
Сергей Груздев, Аладдин Р.Д.:
Наличие высшего образования подтверждает высокие способности к обучению и увеличивает вероятность успешного вхождения в профессию. Скажу банальную фразу: здесь, как и везде, нужно постоянно учиться. Мы ищем среди студентов на рынке, организуем стажировки. Мы очень ценим инициативность и проактивность, стремление к самообучению. При подборе обращаем внимание на уровень знания языков и владение инструментами, на то, как актуальный набор знаний и навыков можно использовать при решении актуальных задач команды.
Александр Дубинин, YADRO:
Уровень образования очень разный, от студентов до специалистов и экспертов. Мы работаем со многими вузами, у нас есть свои базовые кафедры. Стратегически лучший способ найти подходящие кадры – вырастить их, используя образовательную базу вуза, стажировки и внутренние обучающие программы.
Карина Нападовская, Лаборатория Касперского:
Есть разные пути.
- И имеющиеся кадры зачастую хотят что-то поменять в жизни, переквалифицироваться и учиться чемуто новому, модному, молодежному. Можно смело их запускать в новый процесс. В нашей отрасли сейчас есть большое количество курсов, вебинаров, конференций, и программы обучения появляются, так что все шансы.
- Конечно, студенты. Свежая кровь, неиспорченные мозги: очень много достойной молодежи, с которой достаточно поработать какое-то время и можно добиться отличного результата.
- Ну и никто не отменял хантинг готовых специалистов. Многие факторы, включая бюджет, цели и сроки поставленных задач, влияют на подход к подбору персонала.
Оксана Новослугина, СПб ИАЦ:
В настоящее время мы больше смотрим не на профиль образования, а на инициативность, желание учиться новому и трудоспособность. В большом потоке информации важно, чтобы сотрудник мог быть многозадачным, стрессоустойчивым, и главное, чтобы ему было интересно. На нашем предприятии развита система наставничества и профессиональной переподготовки, это очень важное направление в наше время.
Екатерина Вайц, МГТУ им. Н.Э. Баумана:
С учетом того факта, что мы являемся кузницей кадров, готовим будущих SDL-щиков, то проблема поиска перспективных и горящих энтузиазмом джунов для нас не стоит.
Однако в связи с постоянным ростом числа студентов все более актуальной задачей становится необходимость постоянного расширения сильного костяка преподавателей по широкому спектру направлений и стеку технологий, которые могли бы выполнять роль научных руководителей и наставников для студентов.
Полная версия круглого стола в журнале "Информационная безопасность": https://cs.groteck.com/IB_3_2023/40/