Kibernetinio saugumo specialistas nėra viena profesija. Incidentų tyrėjas, saugumo operacijų centro analitikas, architektas, rizikos vadovas ir įsiskverbimo bandymų specialistas sprendžia skirtingas problemas. Atranka prasideda ne nuo ilgo technologijų sąrašo, o nuo klausimo: kokį saugumo rezultatą žmogus turės sukurti ir kokias teises jam patikės organizacija?
Situacija: įmonė prašo „kibernetinio saugumo žmogaus“
Toks prašymas dažnai slepia kelias nepainiotinas užduotis. Vienai organizacijai reikia žmogaus, kuris valdytų riziką, politiką ir tiekėjus. Kitai – analitiko, gebančio stebėti įvykius ir reaguoti į incidentus. Trečiai reikia saugumo architekto, kuris dirbtų su sistemų kūrėjais. Jei viską sudėsite į vieną pareigybę, paieškoje liks tik labai brangus ir galbūt neegzistuojantis „visų sričių ekspertas“.
Prieš atidarant paiešką, surenkite vienos valandos darbo sesiją su informacinių technologijų, rizikos ir verslo vadovais. Užrašykite tris svarbiausius rezultatus per pirmus šešis mėnesius, sprendimų ribas, budėjimų poreikį, komandos sandarą ir jautriausias sistemas. Ši informacija vėliau taps vertinimo pagrindu, o ne tik skelbimo tekstu.
Naudokite ENISA vaidmenis kaip žodyną, ne kaip pareigybės kopiją
Europos Sąjungos kibernetinio saugumo agentūros ECSF sistema aprašo dvylika tipinių profesinių vaidmenų, jų užduotis, žinias ir gebėjimus. Ji padeda klientui ir atrankų specialistui kalbėti ta pačia kalba. Tačiau sistema nėra privalomas pareigybių katalogas: mažoje įmonėje keli vaidmenys gali būti sujungti, o didelėje organizacijoje vienas vaidmuo gali būti padalytas keliems žmonėms.
Pasirinkite vieną pagrindinį vaidmenį ir daugiausia du papildomus. Pavyzdžiui, saugumo operacijų centro analitiko pagrindas yra stebėjimas, įvykių tyrimas ir reagavimo perdavimas, o rizikos vadovo – rizikos procesas, ataskaitos ir ryšys su organizacijos strategija. Vienodo „penkerių metų kibernetinio saugumo stažo“ reikalavimo šiems darbams taikyti neverta.
- pagrindinis vaidmuo ir jo tikslas
- svarbiausios kasdienės užduotys
- sprendimų ir prieigų ribos
- budėjimai bei reagavimo tvarka
- papildomi, bet ne privalomi gebėjimai
Kalibravimas pagal kibernetinio saugumo vaidmenų šeimas
Pirmąją šeimą sudaro valdymo, rizikos ir atitikties vaidmenys. Jų rezultatas – aiškios rizikos, kontrolės, atsakomybės ir vadovybei suprantami sprendimai. Antrąją sudaro saugumo operacijos bei incidentų reagavimas: stebėjimas, tyrimas, perdavimas, suvaldymas ir atkūrimas. Trečioji šeima apima architektūrą, saugumo inžineriją ir saugų sistemų kūrimą. Ketvirtoji – vertinimą, auditą, pažeidžiamumų paiešką ir įsiskverbimo bandymus.
Kalibravimo susitikime klientas kiekvienai užduočiai priskiria šeimą, svarbą ir darbo dažnį. Jei 70 procentų laiko numatyta incidentų stebėsenai, o strategijos rengimas vyksta kartą per ketvirtį, pagrindinis profilis greičiausiai yra operacijų, ne saugumo vadovo. Jei žmogus turės tvirtinti architektūrinius sprendimus, vien saugumo operacijų centro patirties gali nepakakti. Procentai čia nėra rinkos statistika – tai kliento darbo paskirstymo prielaida, kurią reikia patvirtinti.
Po pirmųjų dešimties peržiūrėtų profilių surenkite antrą kalibravimą. Pažymėkite, kurie kandidatai buvo atmesti dėl netinkamos šeimos, kurie dėl patirties gylio ir kurie dėl darbo režimo. Jei atmetimai rodo, kad vienoje pareigybėje sujungtos trys pilnos darbo vietos, keiskite pareigybės apimtį arba komandos modelį. Platesnė paieška nepašalins netikslaus organizacinio sprendimo.
- valdymas, rizika ir atitiktis
- saugumo operacijos ir incidentų reagavimas
- architektūra, inžinerija ir saugus kūrimas
- auditas, vertinimas ir įsiskverbimo bandymai
Susijusiam procesui pravers DI kandidatų paieškos natūralia kalba gidas, kandidatų ryšių sistemos apžvalga ir Yena kandidatų paieškos darbo eiga.
Vaidmenys ir vertinimo įrodymai
| Vaidmens kryptis | Pagrindinis rezultatas | Praktinis įrodymas |
|---|---|---|
| Saugumo operacijos | Įvykių aptikimas ir perdavimas | Anonimizuoto incidento sprendimų seka |
| Incidentų reagavimas | Suvaldymas, atkūrimas ir išmoktos pamokos | Scenarijaus prioritetai ir komunikacija |
| Saugumo architektūra | Saugūs sistemų sprendimai | Architektūrinio pasirinkimo argumentai |
| Rizikos valdymas | Rizikos procesas ir vadovybės sprendimai | Rizikos įrašo arba ataskaitos analizė |
| Saugaus kūrimo praktika | Saugumas programinės įrangos cikle | Pažeidžiamumo taisymo ir prevencijos pavyzdys |
1. Nacionalinis kontekstas keičia paieškos užduotį
Lietuvos kibernetinio saugumo įstatymas nustato kibernetinio saugumo subjektų pareigas, institucijų funkcijas, informacijos mainus ir vykdymo užtikrinimą. Atrankų agentūra neturėtų aiškinti klientui, ar jis patenka į konkrečią teisinę kategoriją. Tačiau prieš paiešką reikia paklausti, ar klientas jau turi teisės ir rizikos vertinimą, kokias atsakomybes žmogus perims ir kas organizacijoje priima galutinį sprendimą.
Jei pareigybė kuriama vien tam, kad „uždengtų NIS2“, užduotis greičiausiai per miglota. Kandidatas turi žinoti, ar jo laukiama kurti valdymo sistemą, rengti incidentų procesą, prižiūrėti tiekėjus, valdyti technines priemones ar konsultuoti vadovybę. Teisės aktas paaiškina organizacijos pareigų lauką, bet neparengia konkretaus darbo aprašo.
2. Įrodymai svarbiau už įrankių sieną
Kibernetinio saugumo CV dažnai pilnas santrumpų, platformų ir sertifikatų. Atrankų specialistas neturėtų skaičiuoti paminėtų įrankių. Geresnis klausimas: kokią problemą kandidatas aptiko, kaip nustatė jos svarbą, su kuo derino veiksmus, kokį sprendimą priėmė ir ko išmoko po įvykio. Ta pati priemonė skirtinguose darbuose gali būti naudota paviršutiniškai arba labai giliai.
Kandidato tinkamumo pagrindime atskirkite patvirtintą veiklą nuo jo paties vertinimo. „Dirbo su incidentais“ yra per mažai. „Budėjimo metu ištyrė įvykius, nustatė perdavimo ribą ir parengė veiksmų ataskaitą“ jau apibūdina darbo seką. Vis dėlto neviešinkite buvusio darbdavio pažeidžiamumų, sistemų architektūros ar incidento detalių.
3. Trys praktinio vertinimo keliai
Pirmasis kelias – struktūruotas situacijos pokalbis. Kandidatui pateikiamas realistiškas, bet ne iš kliento aplinkos nukopijuotas scenarijus ir prašoma paaiškinti prioritetus. Antrasis – saugus darbo pavyzdys, pavyzdžiui, rizikos įrašo, incidento pranešimo ar architektūros pastabų analizė. Trečiasis – techninė diskusija su kliento ekspertu, kuri tikrina gylį ir bendradarbiavimo būdą.
Užduotis turi būti proporcinga pareigoms ir netapti nemokamu darbu klientui. Kandidatui iš anksto nurodykite trukmę, vertinimo kriterijus, kas matys rezultatą ir kada jis bus pašalintas. Nesiųskite tikro žurnalo, konfigūracijos ar kitos jautrios informacijos. Gerai parengta užduotis parodo sprendimų logiką, o ne tai, kas geriausiai atsimena komandų sintaksę.
- scenarijus neturi atskleisti kliento infrastruktūros
- visiems kandidatams taikomi tie patys pagrindiniai kriterijai
- užduoties apimtis atitinka pareigų lygį
- atsakymą vertina kompetentingas žmogus
- rezultatas saugomas tik sutartą laiką
4. Įrodymų tikrinimo scenarijai
Pirmas scenarijus – saugumo operacijų analitikas teigia valdęs incidentus. Paprašykite anonimizuotos situacijos: kokį signalą gavo, kaip atskyrė klaidingą pavojaus pranešimą nuo tikro įvykio, kada perdavė klausimą kitam lygiui ir ką užrašė po sprendimo. Techninis vertintojas tikrina veiksmų seką ir ribų supratimą, o ne prašo tikrų žurnalų iš ankstesnio darbdavio.
Antras scenarijus – rizikos vadovas nurodo sukūręs saugumo programą. Pateikite neutralų organizacijos atvejį ir paprašykite sudaryti pirmųjų veiksmų tvarką: turto ir priklausomybių supratimas, rizikų savininkai, vertinimo metodas, ataskaitos gavėjas ir sprendimo terminas. Vertinkite, ar kandidatas geba techninę informaciją paversti vadovybės pasirinkimu, o ne vien išvardyti standartų numerius.
Trečias scenarijus – saugumo inžinierius pristato debesijos projektą. Paprašykite paaiškinti vieną architektūrinį kompromisą, patikrą prieš diegimą ir veiksmą po nustatytos spragos. Jei kandidatas negali atskleisti ankstesnės sistemos, pasiūlykite išgalvotą architektūrą. Įrodymų patikra turi leisti saugiai parodyti mąstymą, ne skatinti pažeisti ankstesnio darbdavio konfidencialumą.
5. Sertifikatas yra signalas, ne sprendimas
Sertifikatas gali parodyti, kad žmogus sistemingai mokėsi tam tikros srities, tačiau jis nepakeičia darbo pavyzdžio. NKSC kompetencijų platformoje pateikiami mokymosi keliai ir kursai nuo pagrindų iki incidentų reagavimo, rizikos, audito ir saugumo valdymo. Tai naudinga kuriant paieškos žodyną bei mokymosi planą, bet atrankoje reikia vertinti, ką kandidatas su šiomis žiniomis darė.
Nereikalaukite aukšto lygio valdymo sertifikato pradedančiajam analitikui vien todėl, kad jį lengva įrašyti į skelbimą. Lygiai taip pat nevertinkite ilgametę praktinę patirtį turinčio kandidato kaip silpno vien dėl konkretaus ženklo nebuvimo. Su klientu iš anksto sutarkite, kurie dokumentai privalomi dėl jo aplinkos, o kurie tik pageidaujami.
6. Atrankos procesas pats turi būti saugus
Kibernetinio saugumo kandidatams kartais suteikiama per daug informacijos per anksti. Pirmame etape nebūtina dalytis tikslia sistemų architektūra, incidentų istorija, saugumo spragomis ar privilegijuotų paskyrų modeliu. Parenkite informacijos atskleidimo lygius: ką galima nurodyti skelbime, ką – po abipusio susidomėjimo, o ką – tik tinkamai apsaugotame kliento etape.
Kandidato pateikti darbo pavyzdžiai taip pat gali turėti jautrių duomenų. Paprašykite anonimizuoti informaciją ir nepriimkite failų, kurių kandidatas neturi teisės perduoti. Ribokite prieigą prie vertinimo medžiagos, užrašykite gavėjus ir pašalinimo terminą. Saugumo kultūra matoma dar iki darbo sutarties.
7. Kur ieškoti žmonių, kai pavadinimai nesutampa
Lietuvos rinkoje tinkamas kandidatas gali vadintis sistemų administratoriumi, saugumo inžinieriumi, rizikos specialistu, audito konsultantu, reagavimo komandos nariu ar programinės įrangos saugumo specialistu. Ieškokite pagal užduotis ir aplinką: incidentų analizę, pažeidžiamumų valdymą, debesijos saugumą, saugaus kūrimo procesą, rizikos vertinimą ar veiklos tęstinumą.
Yena šiame projekte gali padėti išplėsti pareigų sinonimus, surasti profilius pagal aprašytą patirtį ir prie kiekvieno kandidato išsaugoti paieškos priežastį. Kadangi saugumo srityje klaidingas teigiamas rezultatas kainuoja daug laiko, komanda turėtų naudoti mažus peržiūros ciklus: patikrinti keliolika profilių, su klientu patikslinti signalus ir tik tada tęsti platesnę paiešką.
8. Atrinktų kandidatų sąrašas turi rodyti sprendimo ribas
Klientui pateikite ne sertifikatų rinkinį, o keturių dalių santrauką: kandidato pagrindinis vaidmuo, du darbo įrodymai, dar nepatikrinta rizika ir rekomenduojamas vertinimo etapas. Jei kandidatas stiprus incidentų analizėje, bet neturi strategijos kūrimo patirties, tai turi būti matoma. Galbūt klientui būtent tokio žmogaus ir reikia, o strategiją dengs vadovas.
Yena neturėtų būti aprašoma kaip sistema, kuri nusprendžia, kas yra geriausias saugumo specialistas. Jos vertė – paieškos atsekamumas ir komandos atmintis: kodėl profilis rastas, kokį faktą žmogus patikrino ir ką reikia daryti toliau. Galutinį vertinimą bei kontaktą valdo atrankų ir saugumo specialistai.
9. Ką matuoti po pirmųjų keturių savaičių
Pirmiausia matuokite paieškos tikslumą: kiek peržiūrėtų profilių iš tiesų atitiko pagrindinį vaidmenį. Tada stebėkite laiką iki techninio pokalbio, atsisakymo priežastis, vertinimo etapų trukmę ir tai, ar kliento komanda sutaria dėl kandidatų. Didelis CV skaičius nekompensuoja neaiškios pareigybės.
Atskirai registruokite, kur procesas stringa dėl prieigos ar konfidencialumo. Jei techniniai vertintojai laukia leidimo matyti užduotis, sutvarkykite procesą. Jei kandidatai atsisako dėl budėjimų, darbo vietos ar atsakomybės be įgaliojimų, keiskite pasiūlymą. Šios išvados klientui yra vertingesnės už bendrą teiginį, kad rinkoje trūksta žmonių.
Dažniausi klausimai
Kuo skiriasi kibernetinio saugumo specialistas nuo IT administratoriaus?
Darbai gali persidengti, tačiau saugumo vaidmuo turi aiškų rizikos, prevencijos, aptikimo ar reagavimo rezultatą. Vertinkite užduotis ir atsakomybę, ne vien pareigų pavadinimą.
Ar kibernetinio saugumo sertifikatas būtinas?
Tik jei to pagrįstai reikalauja konkreti pareigybė ar kliento aplinka. Dažniausiai sertifikatas yra vienas signalas šalia praktinės patirties ir struktūruoto vertinimo.
Kaip patikrinti praktinius gebėjimus neatskleidžiant įmonės duomenų?
Naudokite neutralų scenarijų, anonimizuotą darbo pavyzdį arba techninę diskusiją. Neduokite kandidatui tikrų prieigų, žurnalų ar pažeidžiamumų informacijos.
Ar ENISA ECSF tinka pareigybės aprašui?
Taip, kaip bendras vaidmenų ir gebėjimų žodynas. Organizacija turi pritaikyti pasirinktą vaidmenį savo sistemoms, komandai, atsakomybėms ir darbo režimui.
Kaip Yena padeda kibernetinio saugumo atrankoje?
Yena padeda ieškoti pagal patirties kontekstą ir išsaugoti kiekvieno profilio tinkamumo pagrindimą. Žmogus tikrina įrodymus, saugo jautrią informaciją ir priima visus atrankos sprendimus.
Patikimi šaltiniai
Ieškokite pagal vaidmenį, ne santrumpų skaičių
Yena padeda išplėsti pareigų sinonimus ir fiksuoti, kodėl profilis aktualus. Praktines žinias, saugumo ribas ir galutinį sprendimą valdo atrankų bei kibernetinio saugumo specialistai.
Išbandyti kontekstinę paiešką