Поиск специалистов

Существует два пути создания такого отдела. Первый — создание отдела информационной безопасности за счёт подготовки, реорганизации и перераспределения ИТ-специалистов компании. Например, для отражения вирусной атаки можно привлечь собственных системных администраторов, но в этом случае их основная работа окажется невыполненной. А главной целью компании всё-таки является получение прибыли, а не обеспечение собственной ИТ-безопасности.

Большинство профессионалов, как правило, уже имеют престижную работу и их вряд ли удастся переманить, хотя нет ничего невозможного. Переподготовка имеющихся ИТ-кадров — новичков в области безопасности — весьма дорогой и долгий процесс.
Другой путь — привлечение внешней компании (третьей стороны), но в этом случае придётся кому-то доверить все свои секреты.
Менеджеры, ведущие поиск талантливых, опытных специалистов в области информационной безопасности, знают, что таковых не много. Разрыв между спросом на таких специалистов и предложением весьма велик.

При поиске специалистов можно воспользоваться такими советами:

1. Нужно понять, для чего компании нужен такой эксперт и хватит ли денег для его содержания (хороший специалист стоит дорого, а плохого незачем нанимать). Ни один уважающий себя профессионал не станет работать в компании, руководство которой не понимает, для чего его нанимает.

2. Индустрия безопасности — весьма закрытая область, поэтому, возможно, стоит обратить внимание на специалистов из секретных служб, армии. Однако не стоит брать сотрудника только потому, что он работал в соответствующих органах.

3. Университеты, предлагающе хорошие учебные программы с курсами по информационной безопасности, также могут предоставить начинающих специалистов. Однако будьте готовы к тому, что наиболее талантливые студенты получают работу задолго до окончания университета, а кроме того, выпускники вузов зачастую великолепно знают теорию и не обладают практическими навыками (см. PCWeek/UE №7).

4. Специалистов можно искать в компаниях, предоставляющих услуги по безопасности. Однако следует понимать, что это далеко не самый дешёвый путь.

5. И последний, наиболее интересный, по мнению экспертов, вариант: обучение собственных специалистов по ИТ-безопасности. Этот вариант наиболее предпочтителен потому, что руководителям уже знакомы достоинства и недостатки сотрудников. Дело за малым — переучить или доучить этих специалистов. Конечно, это тоже требует вложения денег, но и безопасность стоит недёшево. Заметим только, что это самый долгий и тернистый путь.

Что дальше

Когда отдел ИТ-безопасности создан, его надо сохранить. Инструментарий, высокий уровень оплаты и признание — основные факторы успеха.

Инструментарий. Специалисты по безопасности любят использовать самые передовые инструменты, самые новые технологии. В числе наиболее популярных и желанных “игрушек” можно назвать Nessus, XSpider, Retina Network Security Scanner (сетевые сканеры), SNORT (инструментарий обнаружения атак), RAT (router analysis tool (системный тестер маршрутизаторов)).

Основной способ признания — высокая оплата труда. Не стоит забывать, что сотрудник, которому компания доверяет все свои секреты и который призван заботиться об их сохранности, должен получать высокую зарплату.

Эффективная мотивация. В качестве дополнительного стимула для привлечения кандидата предложите оплату обучения, сертификации и участия в конференциях. Специалисты по безопасности “расцветают” от признания и, наоборот, могут полностью потерять интерес к работе, если не чувствуют поддержки руководства. В случае споров между сотрудниками ИТ и сотрудниками ИТ-безопасности желательно искать “золотую середину”.

Когда возможные кандидаты для работы в области информационной безопасности определены, обучите их. Сначала они должны получить образование по общим вопросам безопасности, затем — по более узким. Существует несколько способов подготовки.
Первый — авторские курсы по основам информационной безопасности. Обычно их созданием и преподаванием занимаются профессионалы.

Второй способ — сертификационные курсы. Хотя большинство специалистов не считают сертификацию столь уж важной, возможность получения сертификата по окончании курсов поднимает их престиж и заставляет серьёзнее подходить к обучению.

Третий способ. Курсы поставщиков (производителей) инструментария по безопасности. Такие поставщики технологий, как Symantec, Trend Micro, “Лаборатория Касперского”, Cisco Systems, Check Point Software Technologies, Aladdin, предлагают собственные, правда весьма дорогостоящие, курсы.