Инвестиции в технологии бессмысленны без параллельных вложений в человеческий капитал – эта мысль стала основной для участников экспертной сессии «SOC как центр компетенций: развитие и обучение талантов», прошедшей в Москве в рамках SOC Forum 2025. Дискуссия о развитии человеческого капитала в сфере информационной безопасности, инициированная компанией «Газинформсервис», выявила ключевые вызовы, стоящие перед российскими центрами мониторинга информационной безопасности (SOC). О том, какие темы обсуждали спикеры на мероприятии и как принятые решения повлияют на развитие отрасли, – в материале .
Профильная аудитория
Форум задуман как ключевое дискуссионное мероприятие Российской недели кибербезопасности, которая проходит с 17 по 23 ноября. Помимо экспертной сессии, компания «Газинформсервис», как системный интегратор и вендор в области ИБ, выступила стратегическим партнером форума. На выставочном стенде компании гости ознакомились с продуктами, обеспечивающими работу современных команд безопасности.
Устаревающие знания, рутина и перехват ценных кадров
Прежде всего спикеры обозначили главные вызовы для специалистов SOC (Security Operations Center – центр мониторинга и реагирования на киберинциденты – ред.): как удержать ценных специалистов в условиях кризиса кадров, развивать таланты, стимулировать профессиональный и личностный рост и не допускать выгорания от рутинной работы.
«В первую очередь, это проблема большого багажа знаний, который необходим аналитику для того, чтобы быть эффективным. Это проблема как самого аналитика, так и SOC, в котором он работает. Кроме того, этот багаж знаний нужно постоянно пополнять и актуализировать, так как часть знаний из него достаточно быстро устаревает», – начал дискуссию руководитель GSOC компании «Газинформсервис» Александр Михайлов.
Он подчеркнул, что среди самых больших опасностей в выстраивании карьерных путей для команды SOC являются высокий уровень стресса и выгорание; нехватка квалицированных кадров и конкуренция за людей; быстрое устаревание навыков; рутина на первой линии, приводящая к «слепоте» к инцидентам.
Другие участники разговора добавили в копилку насущных проблем непрозрачность или отсутствие карьерного роста, возможную потерю собственных выращенных кадров в условии острой конкуренции на рынке труда.
«Поле игроков в индустрии SOC – огромное. И все они хотят одного – квалифицированных кадров. Мы вкладываемся в обучение, растим сотрудника, а потом его просто перехватывают. Поэтому задача не просто найти, а создать такую среду, где человеку захочется остаться, несмотря на внешние предложения», – подчеркнул директор центра мониторинга кибербезопасности УЦСБ SOC Константин Мушовец.
Горизонтальная карьера и корпоративная культура
Эксперты предложили пересмотреть традиционные представления о карьерном росте, который необязательно должен быть вертикальным. SOC, по их мнению, предоставляет широкие возможности для горизонтальных перемещений между смежными областями.
«Не всем надо становиться директорами. Многие люди не осознают, что работа большого руководителя местами неинтересна. Помимо вертикального роста, есть еще горизонтальные перемещения. И в коммерческих “соках” (профессиональный сленг от SOC – ред.) очень много возможностей. Устал на своей позиции – можно заниматься экспертизой продуктов, идти в форензику (поиск, сбор и анализ данных для расследования киберпреступлений – ред.), киберразведку или стать пентестером (специалистом, который проводит тесты на проникновение, имитируя атаки хакеров – ред.). Важно, чтобы сотрудники понимали, что такие возможности есть», – отметил в своем выступлении директор департамента мониторинга, реагирования и исследования киберугроз BI.ZONE Теймур Хеирхабаров.
По его мнению, для этого нужно иметь хорошего HR, который умеет разговорить людей, которому доверяют и не стесняются рассказать о своих желаниях. Не менее важно уделять внимание корпоративной культуре, сближающей людей.
«Это достигается клубами по интересам, какими-то тусовками, спортивными мероприятиями. Главное, чтобы у людей было желание ходить на работу не только для того, чтобы решать рабочие задачи, но и общаться. Жить свою жизнь», – уточнил спикер.
Михайлов в продолжение разговора напомнил о ценности созидания, которое нередко вдохновляет людей больше, чем перспектива высокой должности.
«Не хочет человек становиться руководителем – не вижу в этом проблемы. Если он мощный специалист, лучшее, что мы можем сделать, – это тиражировать его опыт. Сделать его наставником, поручить написание учебных материалов, которые тоже очень нужны. Пусть проводит мастерские, повышая профессиональный уровень коллег. Это ценно для обеих сторон. И многие находят себя именно в созидании. Поэтому нам нужно давать таким людям нечто большее – то, что не исчисляется деньгами», – пояснил свою позицию глава GSOC.
Также он отметил, что любые действия, которые можно скорее отнести к операторским, нужно автоматизировать. Например – обогащение данными карточки с подозрением на инцидент.
«По умолчанию в ней есть данные из SIEM или EDR, их не так много и часто не хватает для вынесения решения, поэтому необходимо наладить обогащение данными из службы каталогов и других справочников, из TI-платформ и средств защиты информации. Уже сложнее, но вполне можно реализовать средствами машинного обучения и искусственного интеллекта – анализ powershell-команд, скоринг и автоматическое закрытие ложно-положительных инцидентов», – сказал Михайлов.
Симуляция или устранение реальной проблемы: что эффективнее?
Перечисляя проблемы и задачи индустрии кибербезопасности, где требуются высококлассные специалисты, эксперты единодушны в том, что необходимо работать на опережение. Это означает непрерывное развитие и обучение, а касается оно не только действующих сотрудников, но и потенциальных.
«У нас выстроен процесс обучения, начиная со школьной и студенческой скамьи. Мы работаем с вузами, проводим стажировки, вовлекаем студентов в рабочий процесс, проводим тестирования, отбираем и трудоустраиваем лучших. Но дальше возникает вопрос внутреннего роста и повышения навыков. То есть у сотрудника должно быть осознанное стремление к развитию. У нас в компании, например, у каждого аналитика в «соке» есть KPI, от которого зависит его квартальная премия. И речь здесь как раз о повышении собственных навыков. У нас написана платформа киберполигона – курсы, кейсы под разные компетенции, средства мониторинга. Есть матрица компетенции сотрудников – для понимания, на какую ветку развития их двигать – по вертикали или горизонтали. Это тоже определенная стратегия – прокачка сотрудников», – рассказал руководитель центра противодействия киберугрозам Innostage SOC CyberART Максим Акимов.
Михайлов, в свою очередь, подчеркнул, что в случае, если стоит цель создать зрелый SOC, «учебный полигон» необходим.
«Объясню почему – ни один хоть сколько-нибудь зрелый SOС не может работать, не разрабатывая собственный контент обнаружения атак и не адаптируя коробочный контент. Как минимум, эта задача требует хотя бы крохотной инфраструктуры для проверки разработок. И это вот та часть работы, без которой совсем не обойтись, а еще хорошо бы проводить пилоты новых и альтернативных решений, обкатывать инструмент, используемый для расследований и выявления следов компрометации, не говоря о хоть сколько-нибудь масштабных учениях и проверках гипотез», – заявил Михайлов.
При этом, в качестве совета тем руководителям, которые хотят превратить свой SOC в центр компетенций, он предложил создать среду для экспериментов и инноваций – позволить команде выделить время на исследование новых инструментов и технологий, поощрять инициативы в этой области.
«Разработайте четкие карьерные пути и систему мотивации. Автоматизируйте рутинные задачи и оптимизируйте процессы – это высвободит время аналитиков для более сложных и интеллектуальных задач. Формируйте культуру обмена знаниями – внедрите программу наставничества, организуйте регулярные семинары, создайте базу знаний», – сказал глава GSOC компании «Газинформсервис».
Итогом дискуссии стала общая установка на расширение и сохранение высококлассных специалистов в области кибербезопасности путем создания атмосферы развития команды, готовности руководства компании слушать сотрудников, давать им право делиться идеями, учиться на ошибках и принимать, если надо, удар на себя. То есть – создавать для своих кадров все условия для эффективной работы, творческого и смелого подхода в борьбе с киберпреступниками.
Свежие комментарии