У джунов нет шансов — как рынок кибербезопасности сам себе перекрывает доступ к кадрам
NewsMakerХочешь в ИБ — сначала получи опыт. А чтобы получить опыт… сначала попади в ИБ.
Начинающим специалистам по кибербезопасности всё труднее попасть в профессию — и не потому, что их мало. Напротив, потенциальные кадры есть, но работодатели выставляют требования, которые не соответствуют уровню начальных позиций. К такому выводу пришли аналитики ISC2 , международной организации, которая занимается обучением и сертификацией ИБ-специалистов.
В опубликованном отчёте сказано прямо: описания вакансий для стажёров и младших сотрудников зачастую содержат условия, которые новичок просто не может выполнить. Это касается как перечня необходимых знаний, так и ожидаемого опыта. В результате формируется классическая «ловушка 22»: чтобы получить работу, нужен опыт — а чтобы получить опыт, нужно устроиться на работу.
Почти каждая третья вакансия, согласно исследованию, требует от кандидатов наличия таких сертификаций, как CISSP, CISA или CISM . Но все они предполагают глубокую практику, часто — многолетнюю. Ожидать, что подобный уровень подготовки будет у вчерашнего выпускника, по меньшей мере странно. Тем не менее, многие компании продолжают указывать это как обязательное условие.
Экс-глава совета ISC2 Дэн Хаузер, ныне работающий в Oracle, признал: проблема не нова, но она явно не теряет актуальности. Компании хотят «готовых бойцов», забывая, что даже самый перспективный сотрудник должен где-то пройти свой первый бой.
Исследование также подчёркивает: большинство наиболее острых нехваток в отрасли можно закрыть силами тех же «джуниоров», если просто дать им шанс. Элементарное обучение на месте, грамотная поддержка на старте, доступ к наставничеству — всё это помогает молодым специалистам быстро войти в курс дела и начать приносить пользу.
Однако резюме — это не только набор сертификатов. Работодатели в первую очередь ценят гибкость мышления, способность к совместной работе и умение решать нетривиальные задачи. Именно эти качества чаще всего упоминаются как наиболее важные — причём не только для технических, но и для управленческих или вспомогательных ролей в ИБ-командах.
Интересно, что приоритеты отличаются от страны к стране. Например, в Индии работодатель по-прежнему делает основной упор на техническую базу: там чаще всего ждут знаний в области облачной архитектуры и защиты данных. А вот в большинстве других регионов личные и аналитические навыки занимают первое место в списке требований.
Важный вывод исследования — ИБ-отрасль давно перестала быть закрытым клубом для выпускников технических вузов. Почти четверть нанимающих менеджеров отмечают, что успешно находили подходящих сотрудников среди людей с гуманитарным или бизнес-образованием. Такие кандидаты часто приносят в команды нестандартное мышление, опыт коммуникаций и понимание процессов «снаружи».
Тем не менее, статистика остаётся жёсткой: 90% нанимающих специалистов дают предпочтение тем, у кого уже есть опыт работы в IT, и 89% — тем, кто хотя бы получил базовый сертификат. Это создаёт дополнительный барьер для тех, кто только начинает.
Чтобы преодолеть его, эксперты рекомендуют обратить внимание на сертификат Security+. Это, как правило, первая официальная квалификация, которую можно получить без опыта в ИБ. Она даёт кандидату шанс быть замеченным и открыть доступ к большому количеству начальных вакансий. Более продвинутый CASP+ тоже упоминается среди популярных, но он требует уже серьёзной подготовки и не подходит для старта.
Любопытно, что успешные переходы в кибербез происходят не только «снаружи», но и внутри компаний. Исследование зафиксировало множество случаев, когда сотрудники из HR, клиентской поддержки, финансовых отделов или даже маркетинга переходили в ИБ-подразделения — и успешно адаптировались. Такие внутренние кадровые ротации приносят в команды свежий взгляд, более широкое понимание бизнес-процессов и нетривиальные решения.
Особое внимание ISC2 уделяет нетипичным траекториям попадания в профессию. Это и стажировки, и переподготовка, и выпускники нетрадиционных программ обучения. Организации, готовые брать людей с разными стартовыми условиями, получают куда более устойчивый кадровый резерв — и меньше страдают от нехватки кадров на рынке.
Эта гибкость особенно важна сейчас, когда сама индустрия переживает непростые времена. За период пандемии рынок стремительно разросся, но за последние полтора года многие компании пересмотрели стратегии найма. Кого-то сократили, кого-то заморозили, а в целом отрасль ощутила эффект «переизбытка»: специалистов оказалось больше, чем открытых позиций.
При этом, как отмечает карьерный консультант UC Berkeley Мэри МакХейл, рынок начал смещаться в сторону узкой специализации. Универсальные специалисты уходят в тень — на их место приходят эксперты по нормативам, управлению рисками, разработке политик. А с учётом того, что простые задачи вроде мониторинга всё чаще перекладывают на ИИ, ценность уникальных компетенций растёт.
Частные компании по-прежнему готовы бороться за сильных кандидатов. Но в госсекторе, особенно в Великобритании, ситуация куда менее радужная. Высокая пенсия уже не кажется достаточной компенсацией за невысокую зарплату, и государственным структурам всё труднее конкурировать за людей.
По мнению ISC2, будущее отрасли зависит от того, насколько гибко она научится относиться к подбору персонала. Кибербезопасность требует не только опыта, но и постоянного развития — а его невозможно обеспечить, если с самого начала закрывать дверь тем, кто только постучался.
Начинающим специалистам по кибербезопасности всё труднее попасть в профессию — и не потому, что их мало. Напротив, потенциальные кадры есть, но работодатели выставляют требования, которые не соответствуют уровню начальных позиций. К такому выводу пришли аналитики ISC2 , международной организации, которая занимается обучением и сертификацией ИБ-специалистов.
В опубликованном отчёте сказано прямо: описания вакансий для стажёров и младших сотрудников зачастую содержат условия, которые новичок просто не может выполнить. Это касается как перечня необходимых знаний, так и ожидаемого опыта. В результате формируется классическая «ловушка 22»: чтобы получить работу, нужен опыт — а чтобы получить опыт, нужно устроиться на работу.
Почти каждая третья вакансия, согласно исследованию, требует от кандидатов наличия таких сертификаций, как CISSP, CISA или CISM . Но все они предполагают глубокую практику, часто — многолетнюю. Ожидать, что подобный уровень подготовки будет у вчерашнего выпускника, по меньшей мере странно. Тем не менее, многие компании продолжают указывать это как обязательное условие.
Экс-глава совета ISC2 Дэн Хаузер, ныне работающий в Oracle, признал: проблема не нова, но она явно не теряет актуальности. Компании хотят «готовых бойцов», забывая, что даже самый перспективный сотрудник должен где-то пройти свой первый бой.
Исследование также подчёркивает: большинство наиболее острых нехваток в отрасли можно закрыть силами тех же «джуниоров», если просто дать им шанс. Элементарное обучение на месте, грамотная поддержка на старте, доступ к наставничеству — всё это помогает молодым специалистам быстро войти в курс дела и начать приносить пользу.
Однако резюме — это не только набор сертификатов. Работодатели в первую очередь ценят гибкость мышления, способность к совместной работе и умение решать нетривиальные задачи. Именно эти качества чаще всего упоминаются как наиболее важные — причём не только для технических, но и для управленческих или вспомогательных ролей в ИБ-командах.
Интересно, что приоритеты отличаются от страны к стране. Например, в Индии работодатель по-прежнему делает основной упор на техническую базу: там чаще всего ждут знаний в области облачной архитектуры и защиты данных. А вот в большинстве других регионов личные и аналитические навыки занимают первое место в списке требований.
Важный вывод исследования — ИБ-отрасль давно перестала быть закрытым клубом для выпускников технических вузов. Почти четверть нанимающих менеджеров отмечают, что успешно находили подходящих сотрудников среди людей с гуманитарным или бизнес-образованием. Такие кандидаты часто приносят в команды нестандартное мышление, опыт коммуникаций и понимание процессов «снаружи».
Тем не менее, статистика остаётся жёсткой: 90% нанимающих специалистов дают предпочтение тем, у кого уже есть опыт работы в IT, и 89% — тем, кто хотя бы получил базовый сертификат. Это создаёт дополнительный барьер для тех, кто только начинает.
Чтобы преодолеть его, эксперты рекомендуют обратить внимание на сертификат Security+. Это, как правило, первая официальная квалификация, которую можно получить без опыта в ИБ. Она даёт кандидату шанс быть замеченным и открыть доступ к большому количеству начальных вакансий. Более продвинутый CASP+ тоже упоминается среди популярных, но он требует уже серьёзной подготовки и не подходит для старта.
Любопытно, что успешные переходы в кибербез происходят не только «снаружи», но и внутри компаний. Исследование зафиксировало множество случаев, когда сотрудники из HR, клиентской поддержки, финансовых отделов или даже маркетинга переходили в ИБ-подразделения — и успешно адаптировались. Такие внутренние кадровые ротации приносят в команды свежий взгляд, более широкое понимание бизнес-процессов и нетривиальные решения.
Особое внимание ISC2 уделяет нетипичным траекториям попадания в профессию. Это и стажировки, и переподготовка, и выпускники нетрадиционных программ обучения. Организации, готовые брать людей с разными стартовыми условиями, получают куда более устойчивый кадровый резерв — и меньше страдают от нехватки кадров на рынке.
Эта гибкость особенно важна сейчас, когда сама индустрия переживает непростые времена. За период пандемии рынок стремительно разросся, но за последние полтора года многие компании пересмотрели стратегии найма. Кого-то сократили, кого-то заморозили, а в целом отрасль ощутила эффект «переизбытка»: специалистов оказалось больше, чем открытых позиций.
При этом, как отмечает карьерный консультант UC Berkeley Мэри МакХейл, рынок начал смещаться в сторону узкой специализации. Универсальные специалисты уходят в тень — на их место приходят эксперты по нормативам, управлению рисками, разработке политик. А с учётом того, что простые задачи вроде мониторинга всё чаще перекладывают на ИИ, ценность уникальных компетенций растёт.
Частные компании по-прежнему готовы бороться за сильных кандидатов. Но в госсекторе, особенно в Великобритании, ситуация куда менее радужная. Высокая пенсия уже не кажется достаточной компенсацией за невысокую зарплату, и государственным структурам всё труднее конкурировать за людей.
По мнению ISC2, будущее отрасли зависит от того, насколько гибко она научится относиться к подбору персонала. Кибербезопасность требует не только опыта, но и постоянного развития — а его невозможно обеспечить, если с самого начала закрывать дверь тем, кто только постучался.