Marek Šottl – Hackitect #3: HR quest za cyber security specialistou

 Situace s náborem cyber security odborníků v Čechách připomíná začarovaný kruh, který by bylo dobré v určitém místě zlomit. Najít toto místo není tak těžké, jak by se mohlo zdát – začíná u poptávky firem. V tomto článku si vysvětlíme proč.

 

Hledání superhrdiny, ideálně za co nejnižší plat

Představte si, že čtete inzerát, ve kterém se od security specialisty žádá následující výbava: Jenkins, Oracle, MySQL, C#, Java, VMware, hands-on zkušenosti s Windows, Unix, MacOS, Python, Bash, PowerShell. Navíc ideálně mít 2 roky praxe, 10 certifikací a být schopný vytvořit a provozovat „continuous improvement“ program. Být leader, být schopný učit ostatní a plánovat.

Nemusíte být nijak zběhlí v technologiích, aby vám bylo hned jasné, že je to příliš mnoho požadavků na jednu pozici. Pokud se s podobným superhrdinským výčtem setká cyber security engineer (a nejen on), buď otočí oči v sloup a pokračuje k dalšímu inzerátu, nebo si řekne – kdybych tohle všechno uměl, nezaložil bych si spíš vlastní firmu? Protože bych byl schopný si všechno odřídit sám a zároveň si pohlídat kvalitu výstupu, když mám potřebné znalosti a rozumím všemu po technické stránce?

 

Proč firmy chtějí jednoho security specialistu na všechno

Kdo se pohybuje v IT náboru, asi už někdy slyšel vousatý vtip o hledání člověka s pětiletou zkušeností s technologií, která vznikla teprve 2 roky zpátky. Proč jsou požadavky společností, které nabírají cyber security specialisty, někdy přemrštěné? Může to být z finančních důvodů. Firmy se zdráhají investovat do více specialistů zároveň, kde by každý měl na starosti jednu část kybernetické bezpečnosti: monitorování, šifrování dat, bezpečnostní architekturu a testování, threat intelligence, forenzní analýzu a další.

Hledají jednoho seniora, Ferdu Mravence, který bezpečnostní potřeby pokryje všechny. Z pohledu managementu je zabezpečení dat a sítí totiž často jen formalita. Na prevenci se vynakládají jenom ty nejnutnější prostředky, protože společnost neočekává, že by se právě s jejími daty mohlo něco stát. Dokud se nestane. A ono se něco vždycky stane. Teprve potom dojde na vyšší investice do bezpečnosti, ale už může být pozdě – napáchané škody můžou být nevratné.

 

Rizika spojená s obsazováním jednoho člověka

Pokud se na inzerát ze začátku článku cyber security specialista vůbec přihlásí – což může trvat několik měsíců – a pokud potom projde přijímacím řízením, pořád nemusí být vyhráno. Stává se, že je přijatý na konkrétní bezpečnostní problém. Když kolem toho firma nedejbože není transparentní a jemu se povede tento problém vyřešit ještě ve zkušební době, tak se potom spolupráce může nečekaně zkrátit.

Dalším rizikem je vyhoření. Práce v cyber security vyžaduje značnou psychickou odolnost – nejen schopnost snášet stres, ale i odmítání ze strany vedení a dalších zúčastněných stran. Security engineer je totiž často považovaný za někoho, kdo si vymýšlí neexistující problémy a rád kreslí čerty na zeď, jenom aby opodstatnil svoje místo ve firmě. Požadavky na nové nástroje, procesy nebo technologie nedostávají vždycky podporu, kterou by si zasloužily.

Samozřejmě neplatí, že se nad kybernetickou bezpečností mává rukou všude, a ve firmách, které ji mají vysoko v prioritách a berou ji za součást svého podnikání, je radost pracovat.

 

Oblíbené dělení junior vs. senior

Místo hledání jednoho odborníka, který zastane pozici cyber security specialisty v celé šíři, se nabízí jiná možnost – dát šanci „nováčkům v oboru“. Lidem, kteří se problematice věnují rok dva, ale právě díky tomu drží perfektně krok s technologiemi. Po večerech ze zájmu studují, experimentují a pracují na svých certifikacích. Označovat tyto „aspiring security konzultanty“ za juniory může být zavádějící, protože lepší než dělení na juniory a seniory je dělení z pohledu motivovanosti.

Existují totiž senioři, kteří jsou spokojení s tím, že pohodlně replikují, co už umí, a svojí firmě vlastně dávají strop ve výšce svých možností. Na druhé straně zase můžou být junioři, které baví rozšiřování obzorů a syntéza neotřelých řešení, což firmu posouvá vpřed. Nehraje tady takovou roli, jestli se v cyber security pohybují rok, nebo 5 let.

Investovat tři měsíce do toho, aby se nováček doučil potřebné technologie, a potom těžit z jeho kreativního přístupu, dává smysl krátkodobě i dlouhodobě. Krátkodobě proto, že nábor ostříleného profesionála kolikrát trvá ještě déle než tři měsíce. Dlouhodobě proto, že nový člověk s „out-of-the-box“ uvažováním dost možná bude chvíli psát kód podle zadání, ale po čase třeba přijde s návrhem systému, který bude kód sám generovat, ověřovat a nasazovat.

 

Soft skills si při náboru zaslouží pozornost

Empatie, společenské IQ, emoční inteligence – součást výbavy, která se při náboru zkoumá obtížně. Přesto je i v případě cyber security specialisty důležitá. Technicky se totiž člověk může dostat na vysokou úroveň za relativně krátký čas – ale vyzrát po citové stránce se všichni učíme celý život.

Přijímací pohovory na pozici cyber security inženýra svojí strukturou připomínají spíš certifikační test. Zaměstnavatel si pochopitelně chce ověřit, jestli má kandidát dostatek vědomostí a zkušeností, ale často nedává už takový důraz na komunikační dovednosti nebo emoční stabilitu. Dokonce je ochotný přivřít oči nad svéráznou osobností, protože je přeci „vždycky něco za něco“. Přitom společenskost je faktor, který může způsobit, že firma půl roku po obsazení jedné prázdné role v týmu řeší tři další kvůli mezilidským neshodám.

Jenže teď přichází otázka. Dá se vůbec na pohovoru emoční inteligence prozkoumat nějak přirozeně?

Někteří náboráři se vydají cestou stres testu, kdy na security kandidáta tlačí nekompromisními otázkami „a co dál?“ nebo „aha, my jsme mysleli, že máte být odborník…“ a na konci pohovoru mu oznámí, že jen testovali, jak se s tím vypořádá. Lepší je ale vyzkoušet nepřímé behaviorální otázky, jako například: „Junior způsobil hrozné škody v kódu a vy to s ním máte vyřešit. Jak to uděláte?“ Na tuto hypotetickou situaci může IT specialista odpovědět podle vlastního nastavení, jestli zvolí spíš konfrontaci, nebo spolupráci a pomoc k růstu.

 

Jakou dobrou praxi poradit IT recruiterovi?

Náborář, který má za úkol obsadit roli cyber security specialisty, musí nejdřív přijít na kloub tomu, jestli má jeho firma reálnou představu o tom, co má jeden security expert šanci obsáhnout. Dále potřebuje zjistit, jestli tento člověk opravdu vyřeší problém, se kterým se firma potýká. Třeba ve skutečnosti nepotřebuje zabezpečení webu, ale chybí jí governance a bezpečnostní procesy. Když potom motivovaný security specialista přijde do práce a dostane za úkol psát směrnice, rychle se dostaví rozčarování.

Po tom, co si recruiter s manažerem týmu nebo i se samotným týmem ujasní očekávání od role, vytvoří si v hlavě personu a napíše pro ni pracovní inzerát. Práce s kandidáty potom není jenom cvičení „najdi 10 shod“ mezi technologiemi v popisu pozice a v CV, ale i o tom si s kandidátem sednout a zjistit, jaké má ambice a styl uvažování. Recruiter by se měl zaměřit na jeho potenciál ve smyslu schopnosti růst a zvážit, jestli nováčkovi nedat přednost, pokud má evidentně talent. Možná objeví zrnko zlata, ze kterého bude za krátký čas nedocenitelný člen týmu.

 

  • medailonek o Markovi, odkaz na blog

Marek je držitel řady certifikátů v cyber security, vývojář a architekt bezpečnostních systémů, ale zároveň také etický hacker a penetrační tester. Když může, tak i konzultuje a přednáší. Takovou kombinaci zaměření je nejen náročné zvládnout, ale i výstižně pojmenovat. Marek sám sebe popisuje slovem HACKITECT s podtitulkem „hands-on architect“ a píše blog Hackitect’s Playground.

 

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

Scroll to top