«Задача CISO — помочь людям понять, зачем они здесь сидят»

— Как сегодня выстроен процесс поиска ИБ-специалистов в Ozon?

— Мы движемся к формированию единой воронки для всех кандидатов — просеиваем их через одно сито. Предположим, у нас открыта ставка мидла, а приходит хороший джун — мы не скажем ему: «Извини, у нас нет подходящей вакансии…» Если тимлид понимает, что кандидат ему не подходит, он все равно оценивает, будет ли этот человек полезен в другой команде Ozon. Проще говоря, мы ищем классных экспертов, а не ориентируемся на формальные требования. Поэтому и описание вакансий у нас достаточно общее: все самое важное мы узнаем на собеседованиях. Это наш ответ нестабильному рынку, сегодня нужно быть гибкими.

— Есть ли в Ozon инфраструктура для выращивания джунов? Где вы их находите и как взаимодействуете с вузами?

— Пока у нас нет крупных интеграций: своей кафедры, больших образовательных программ и т. д. Но это хороший инструмент, которым мы обязательно воспользуемся в будущем. Пока мы выделили для взаимодействия с вузами отдельную HR-команду: набираем там стажеров и активно инвестируем в их развитие.

Раньше основная масса джунов приходила к нам в SOC. По сути, это кузница кадров, в которой мы обучаем начинающих специалистов. Там они варились в своей стажерской каше, менторились экспертами Ozon и постепенно наполняли первую линию. Теперь мы берем джунов и в другие команды — Application Security, SIEM и т.д.

— Какие требования вы предъявляете к стажерам? Это должны быть студенты именно ИБ-факультетов или ИТ-специалисты тоже подойдут? Какие технологии им нужно знать и в чем разбираться?

— Здесь все по классике: в первую очередь нужно желание учиться. Горящие глаза для нас важнее, чем конкретные скиллы. Но база все-таки нужна — я в этом плане старовер и считаю, что ИТ-матчасть должны знать все. Поэтому даже кандидатов на ИБ-позиции ждут вопросы по устройству сетей, ОС, по криптографии и программированию. Сейчас на рынке наметился тренд на снижение уровня хардовых скиллов. Это ужасно, и я пытаюсь с этим бороться — по крайней мере, в рамках моей зоны ответственности.

Отмечу, что ИБ-базу можно освоить и не обучаясь на ИБ-специальности, поэтому айтишников мы тоже берем. Достаточно хотя бы немного быть в тренде: досконально разбираться в DLP необязательно, а вот понимать, как работает DNS, необходимо. Если человек знает айтишную базу, мы поможем ему подтянуть ИБ-скилы.

— С чем связано падение хардовых скилов на рынке?

— Выскажусь немного субъективно: когда ИТ-специалистов готовили всего несколько университетов с хорошо проработанными программами, оттуда выходили лучшие из лучших. Сейчас образовательных программ стало так много, что их качество неизбежно снижается. Кроме того, появилась масса обучающих онлайн-платформ: школы, курсы, вебинары, видео на YouTube и т. д. Круто, когда человек стремится в профессию и проходит онлайн-курс по ИБ. Но этого мало — сначала прочитайте «Компьютерные сети» Таненбаума.

— Технологии меняются быстрее, чем вузовские программы. Это можно назвать проблемой для рынка?

— Да, но она гораздо менее актуальна, чем падение хардовых скилов. Вуз — это не про актуалку, он должен давать фундаментальные знания. Матчасть не так уж сильно изменилась с тех лохматых лет, когда был написан RFC на DNS. А вот погружение в тренды — уже ответственность студентов. Вокруг полно сайтов и телеграм-каналов с разборами уязвимостей, ИБ-статьями и т. д. — возможностей предостаточно. Еще 15 лет назад, когда учился я, единственным способом получить актуальные знания была работа в ИТ- или ИБ-компании…

Так что не надо перекладывать на вузы вину за то, что студенты не следят за трендами. Сегодня в этом нет ничего сложного. К слову, на собеседованиях мы спрашиваем кандидатов, какие крупные уязвимости и инциденты последних лет они знают. Это сразу помогает понять, интересуется ли человек кибербезом.

Мотивационный пирог

— Ощущаете ли вы кадровый голод? Если да, то с чем это связано?

— Ощущаем, как и весь российский рынок. В целом костяк команды сформирован, сейчас в ней 75 человек. Амбициозных планов по найму на ближайшее будущее у нас пока нет. Скорее речь об органичном росте (около 10% в год), который связан с увеличением числа проектов и усилением влияния ИБ на бизнес и ИТ.

Тем не менее по некоторым направлениям у нас все еще открыто много вакансий. Например, не хватает AppSec-инженеров. Почему? Потому что на рынке полно специалистов, которые просят немалые деньги за свои ИБ-компетенции, но при этом не знают, как работает все тот же DNS. Я считаю, что знание AppSec не освобождает от знания DNS. Аналогичная проблема была с DevSecOps-специалистами: несколько лет назад вокруг них тоже был страшный ажиотаж.

— Есть ли в Ozon внутренняя ротация?

— Да, причем это переходы не только в рамках ИБ-команды, но и между ИБ и ИТ. Во-первых, это помогает бороться с выгоранием сотрудников. Во-вторых, интересы людей меняются, а их навыки растут: мы прекрасно это понимаем и всегда открыты к предложениям. Если кто-то из подчиненных скажет: «Текущие задачи надоели, а вот проекты в соседнем подразделении драйвят…», мы точно придумаем, как решить эту проблему.

— Как вы мотивируете команду? Что, помимо денег, привлекает ваших сотрудников?

— На мой взгляд, деньги — далеко не главный мотиватор. Сегодня по-настоящему хороший безопасник может выйти на рынок и за пару месяцев найти предложение с зарплатой х1,5. Несмотря на это, люди продолжают работать на своих местах и показывать хорошие результаты. Почему? Потому что есть нематериальная мотивация. Перейдем к главным кускам этого пирога.

Первый — задачи. Например, когда тебе нужно не просто внедрить DLP (сидеть и смотреть почтовый трафик), а придумать, какие события для нас важны и как мы будем их собирать. Согласитесь, звучит гораздо интереснее. Мы даем сотрудникам много задач в части R&D, допиливания open source и т. д. Все остаются довольны.

Второй важный кусок — формирование у сотрудников чувства собственной значимости и погружение в глобальные задачи компании. Если человек понимает, как его работа влияет на бизнес Ozon, ее важность автоматически возрастает. По сути, это моя главная задача как CISO — помочь людям понять, зачем они здесь сидят. Например, для этого мы маппим задачи сотрудников на общую ИБ-стратегию компании. В итоге каждый может узнать, как его работа влияет на безопасность маркетплейса с триллионным оборотом, — это драйвит.

Отмечу, что мы никогда не вставляем палки в колеса людям, которые осознанно выбирают другого работодателя. Если сотрудник хочет делать меньше, но за бо́льшие деньги, это можно понять. Но мы все равно постараемся его удержать и понять его мотивацию. Что для него действительно важно? Действительно ли он хочет решать скучные задачи за бо́льшие деньги?

— Вы конкурируете за кадры только с ритейлерами или со всем рынком?

— На мой взгляд, конкурируем за кадры со всем рынком — и с крупными компаниями, и со стартапами. Помогает то, что мы давно вкладываемся в ИТ-, а с недавних пор и в ИБ-бренд. Проще говоря, зарекомендовали себя на рынке. Я сам пришел в Ozon, потому что это современная, технологичная компания, в которой есть крутая экспертиза. И мы активно работаем над ее продвижением: ребята выступают на профильных конференциях, пишут статьи на Хабр и т. д. В этом году также планируем провести первый масштабный ИБ-митап.

Популяризация ИБ

— В 2023 г. Ozon запустил собственный ИБ-портал для покупателей и продавцов маркетплейса. Расскажите об этом подробнее.

— Мы понимаем, как работать с ИТ- и ИБ-сообществом, но у нас есть и обычные клиенты, которые мало знают о кибербезе. Им тоже нужна защита — для нас важно, чтобы их деньги и товары были в безопасности. Поэтому мы и запустили обучающий ресурс, в рамках которого занимаемся awareness для продавцов, сотрудников пунктов выдачи заказов, обычных покупателей и т. д.

Мне в принципе нравится идея популяризации кибербеза со стороны компаний, которые в этом действительно разбираются. Мы вот в теме, и вы тоже, поэтому мы и делаем это интервью :)

— И последнее: расскажите о своем участии в PHDays Fest 2.

— Я участвовал в молодежном дне и выступал перед студентами. Первая цель — профориентация. Я бы был рад, если бы в студенческие годы мне рассказывали о реальных перспективах развития в отрасли. Вторая важная задача — заинтересовать и вовлечь в профессию подрастающее поколение. Я готов инвестировать время и ресурсы нашей команды в развитие молодежи, ведь чем больше безопасников мы вырастим, тем проще нам будет через пять лет.