Безопасность корпоративной сети является важной составляющей успеха современной компании. На Западе задачи по её обеспечению обычно поручают специально созданным отделам. Тут и возникает проблема подбора кадров для отдела ИТ-безопасности.

Поиск специалистов

Существует два пути создания такого отдела. Первый — создание отдела информационной безопасности за счёт подготовки, реорганизации и перераспределения ИТ-специалистов компании. Например, для отражения вирусной атаки можно привлечь собственных системных администраторов, но в этом случае их основная работа окажется невыполненной. А главной целью компании всё-таки является получение прибыли, а не обеспечение собственной ИТ-безопасности.

Большинство профессионалов, как правило, уже имеют престижную работу и их вряд ли удастся переманить, хотя нет ничего невозможного. Переподготовка имеющихся ИТ-кадров — новичков в области безопасности — весьма дорогой и долгий процесс.
Другой путь — привлечение внешней компании (третьей стороны), но в этом случае придётся кому-то доверить все свои секреты.
Менеджеры, ведущие поиск талантливых, опытных специалистов в области информационной безопасности, знают, что таковых не много. Разрыв между спросом на таких специалистов и предложением весьма велик.

При поиске специалистов можно воспользоваться такими советами:

1. Нужно понять, для чего компании нужен такой эксперт и хватит ли денег для его содержания (хороший специалист стоит дорого, а плохого незачем нанимать). Ни один уважающий себя профессионал не станет работать в компании, руководство которой не понимает, для чего его нанимает.

2. Индустрия безопасности — весьма закрытая область, поэтому, возможно, стоит обратить внимание на специалистов из секретных служб, армии. Однако не стоит брать сотрудника только потому, что он работал в соответствующих органах.

3. Университеты, предлагающе хорошие учебные программы с курсами по информационной безопасности, также могут предоставить начинающих специалистов. Однако будьте готовы к тому, что наиболее талантливые студенты получают работу задолго до окончания университета, а кроме того, выпускники вузов зачастую великолепно знают теорию и не обладают практическими навыками (см. PCWeek/UE №7).

4. Специалистов можно искать в компаниях, предоставляющих услуги по безопасности. Однако следует понимать, что это далеко не самый дешёвый путь.

5. И последний, наиболее интересный, по мнению экспертов, вариант: обучение собственных специалистов по ИТ-безопасности. Этот вариант наиболее предпочтителен потому, что руководителям уже знакомы достоинства и недостатки сотрудников. Дело за малым — переучить или доучить этих специалистов. Конечно, это тоже требует вложения денег, но и безопасность стоит недёшево. Заметим только, что это самый долгий и тернистый путь.

Что дальше

Когда отдел ИТ-безопасности создан, его надо сохранить. Инструментарий, высокий уровень оплаты и признание — основные факторы успеха.

Инструментарий. Специалисты по безопасности любят использовать самые передовые инструменты, самые новые технологии. В числе наиболее популярных и желанных “игрушек” можно назвать Nessus, XSpider, Retina Network Security Scanner (сетевые сканеры), SNORT (инструментарий обнаружения атак), RAT (router analysis tool (системный тестер маршрутизаторов)).

Основной способ признания — высокая оплата труда. Не стоит забывать, что сотрудник, которому компания доверяет все свои секреты и который призван заботиться об их сохранности, должен получать высокую зарплату.

Эффективная мотивация. В качестве дополнительного стимула для привлечения кандидата предложите оплату обучения, сертификации и участия в конференциях. Специалисты по безопасности “расцветают” от признания и, наоборот, могут полностью потерять интерес к работе, если не чувствуют поддержки руководства. В случае споров между сотрудниками ИТ и сотрудниками ИТ-безопасности желательно искать “золотую середину”.

Когда возможные кандидаты для работы в области информационной безопасности определены, обучите их. Сначала они должны получить образование по общим вопросам безопасности, затем — по более узким. Существует несколько способов подготовки.
Первый — авторские курсы по основам информационной безопасности. Обычно их созданием и преподаванием занимаются профессионалы.

Второй способ — сертификационные курсы. Хотя большинство специалистов не считают сертификацию столь уж важной, возможность получения сертификата по окончании курсов поднимает их престиж и заставляет серьёзнее подходить к обучению.

Третий способ. Курсы поставщиков (производителей) инструментария по безопасности. Такие поставщики технологий, как Symantec, Trend Micro, “Лаборатория Касперского”, Cisco Systems, Check Point Software Technologies, Aladdin, предлагают собственные, правда весьма дорогостоящие, курсы.

Владимир Безмалый является консультантом по вопросам информационной безопасности компании “БМС Консалтинг”.
Связаться с ним можно по адресу: Vladimir_Bezmaly@bms-consulting.com
Елена Безмалая — ассистент менеджера проектов компании “БМС Консалтинг”