Расследование HR - Куда на самом деле пропадают ваши резюме и как заставить их засветиться в ИБ

 Эти вопросы заданы HR Business Partner, который ежедневно ищет и оценивает IT-таланты. Ответы помогут вам понять, что думают рекрутеры, на что они смотрят и как пройти путь от новичка до востребованного специалиста. 

Расскажи немного о себе, о своем опыте работы Hr-ом?

Я работаю в рекрутменте более 8 лет, 5 из которых специализируюсь на поиске IT-специалистов с фокусом на инженерные вакансии, в том числе ИБ.

Как сегодня выглядит идеальный кандидат на стартовую позицию в кибербезопасности? Что в его арсенале важнее: диплом, сертификаты, личные проекты или определённый склад ума?

«Идеальный кандидат» для каждой компании разный. Базово это специалист с правильной технической базой и потенциалом к развитию.
Выделю:
·    аналитический склад ума, способность последовательно разбираться в причинах и следствиях;
·    личные проекты и кейсы: учебные проекты, участие в хакатонах, GitHub со скриптами, заметками об уязвимостях и их разбором, pet-проекты, примеры решённых задач из тренажёров;
·    базовое понимание IT-ландшафта (сети, операционные системы, принципы работы приложений);
·    мотивация к постоянному обучению, подтверждённая практическими шагами.
Диплом может помочь пройти формальный отбор (особенно в корпорациях и госсекторе), сертификаты о пройденных курсах - всегда плюс для специалистов всех уровней, но не являются обязательным маркером при отборе.
На мой взгляд, важнее кейсы и склад ума, далее - диплом и сертификаты.

Какие направления в ИБ (SOC, анализ уязвимостей, GRC, DevSecOps) вы бы назвали «точками входа» для человека с минимальным опытом? Почему?

–    SOC (уровень L1) - это структурированная среда с чёткими регламентами и высокой плотностью практики, позволяющая быстро погрузиться в реальные инциденты и процессы. Вы видите «всё по чуть-чуть» - сети, системы, атаки на приложения. Это помогает понять, какая область ИБ вас интересует больше всего.
–    Управление уязвимостями - порог входа сложнее, меньше вакансий для junior-специалистов. Более сфокусированная область, чем SOC. Требует хорошего понимания систем, сетей и прикладных технологий (веб-серверы, БД, CMS).
–    GRC - не лучшая точка входа: чтобы эффективно управлять рисками или проверять соответствие стандартам, нужно хорошее понимание того, как работает ИБ на практике.
–    DevSecOps - не лучшая точка входа, требует серьёзной подготовки, насмотренности и глубокого погружения в ИБ.

С какими главными иллюзиями о работе в ИБ приходят молодые специалисты и как реальность отличается от их ожиданий?

Быстрый доступ к сложным задачам, разнообразие задач, быстрый рост до middle-уровня.На практике работа в ИБ, особенно на старте, включает значительную долю рутинных процессов, внимательную работу с деталями и документацией. Это нормальный этап профессионального становления, который формирует экспертизу.

Самый частый и досадный промах на собеседовании у джуниоров (не технический, а скорее в коммуникации или подготовке)? Что их, наоборот, сразу выделяет в лучшую сторону?

Промах: отсутствие подготовки к собеседованию - не знает, чем занимается компания, не задаёт вопросы про команду, рабочие процессы, онбординг; размытая мотивация «хочу в ИБ в целом», завышенные ожидания от роли и темпа развития, фокус на уровне дохода, а не на возможностях приобретения коммерческого опыта.
Выделяет в лучшую сторону: осознанный выбор направления, примеры самостоятельного обучения и личных проектов, участие в хакатонах и лабораториях, наличие портфолио, способность аргументированно рассуждать, конструктивный и уважительный стиль общения, хорошая самопрезентация на 2–3 минуты с выделением главного.

Опишите типичный путь кандидата от отклика до приглашения на работу. Какие этапы (скрининг, интервью с HR, тех. собеседование) самые критичные?

–    HR - скрининг
–    Техническое интервью с Руководителем
–    Дополнительный кейс или тестовое задание (опционально);
–    Финальное интервью
–    Оффер.

Все этапы важны, каждый из них помогает вам перейти на следующий. Цель HR-скрининга отсеять неподходящих кандидатов до технического интервью, экономя время руководителей, и подготовить к следующему этапу тех, кто реально имеет потенциал. Считаю его достаточно критичным для стартовых позиций.

Вы — первый фильтр. На что вы обязательно посмотрите в резюме человека без коммерческого опыта? А на что — никогда не смотрите?

Обязательно посмотрю на: структуру и ясность изложения мысли, конкретные навыки и инструменты.
Никогда не посмотрю на пустое резюме или резюме с большим количеством орфографических или пунктуационных ошибок, на отсутствие заполненного раздела «о себе» и сопроводительного письма.
Какой канал поиска первой работы вы считаете самым эффективным для новичка: открытые площадки (hh), стажировки, нетворкинг (митапы, конференции) или что-то ещё?
Учебная практика, стажировки, открытые площадки, социальные сети, нетворкинг.

Как часто вы рассматриваете кандидатов без профильного IT-образования (физики, математики, гуманитарии), но с пройденными курсами и мотивацией? Насколько диплом важен сегодня?

Всё зависит от требований компании и её заказчиков: где-то профильное образование принципиально, где-то важно наличие высшего в целом, а для части работодателей отсутствие диплома не критично.
На практике кандидатов без профильного IT-образования рассматривают довольно часто - для многих руководителей решающими остаются база, практические навыки и мотивация, а диплом чаще играет роль формального фильтра. Курсы лучше подкреплять кейсами по программе обучения и отражать в портфолио.

На что молодому специалисту стоит обращать внимание при выборе первой работы, кроме зарплаты? (Команда, менторинг, технологии, процессы обучения).

Культуру обучения и обратной связи, наличие ментора, зрелость процессов, стабильность компании.

Как в хорошей компании должен быть устроен онбординг для джуниора в ИБ? Чего самому новичку стоит ждать и требовать в первые 90 дней?

Понятный план адаптации с целями на 1–3–6 месяцев, поддержка наставника, постепенное увеличение сложности задач.
Требовать что-то - не лучший вариант. Можно и нужно проявлять инициативность, задавать вопросы, фиксировать обратную связь и работать над точками роста, не бояться ошибаться и максимально перенимать опыт у более опытных коллег.
 

Как, с точки зрения HR, понять, что пора расти с junior до middle? Что меняется в требованиях: сроки, сложность задач, самостоятельность?

Ключевые признаки: самостоятельное выполнение задач, понимание последствий решений, снижение потребности в постоянном контроле, способность предлагать решения, а не только выполнять инструкции.

Есть мнение, что сегодня даже опытным специалистам иногда приходится «скручивать» свой опыт в резюме, чтобы не казаться «чересчур дорогими» или «оверквалифицированными». Сталкивались ли вы с этим? Как вы советуете правильно «упаковывать» свой многолетний опыт в новых реалиях?

Конечно, сталкивалась. Упаковать опыт правильно можно, сменив акценты - вместо 20+ технологий, с которыми вы работали, выделите наиболее релевантные к интересующим вас вакансиям и те, которые вы знаете на высоком уровне. Остальные можно объединить.
Сделайте акцент на эффектах, а не на обязанностях.
Самый релевантный и свежий опыт можно описать подробнее, менее релевантный и начальный - обобщить.
Адаптируйте резюме под интересующие вас вакансии, но без накрутки опыта. Цель - выглядеть релевантнее, а не скручивать или приукрашивать опыт.

Выгорание — тема, которую у нас всё чаще поднимают. Какие первые сигналы выгорания у начинающих специалистов вы замечаете как HR? И что может стать профилактикой — со стороны компании и со стороны самого человека?

У начинающих специалистов выгорание часто проявляется не как «усталость от работы», а как разочарование в ожиданиях. 
Первые сигналы: резкое падение инициативы, страх задавать вопросы, ощущение, что «я ничего не понимаю и не подхожу», раздражение из-за обратной связи и постоянное сравнение себя с более сильными коллегами.
Со стороны компании профилактика - это внятный онбординг, реальные ожидания от джуна и культура, где можно ошибаться и задавать «глупые» вопросы. Очень важно, чтобы у новичка был живой наставник, а не просто доступ к Confluence.
Со стороны сотрудника - умение не пытаться «доказать всё за первые три месяца», нормализовать обучение как часть работы и выстраивать границы. В ИБ нельзя знать всё сразу, и принятие этого сильно снижает риск выгорания.

Сейчас популярны карьерные консультанты и коучи для IT. Как HR-профессионал, вы видите в этом полезный тренд или дань моде? В каких ситуациях (старт, кризис, рост) обращение к такому консультанту действительно может быть оправдано?

Я вижу в этом полезный тренд, но эффективность консультации сильно зависит от запроса и качества самого консультанта. 
Обращение может быть оправдано в разных ситуациях: на старте карьеры - чтобы понять рынок, роли и требования, а также грамотно составить резюме; в период кризиса или выгорания - чтобы оценить реальную ценность на рынке и принять решение о смене работы или профиля; при росте и переходе на следующий уровень - чтобы определиться со стратегией развития и оценкой навыков. Важно, чтобы кандидат был готов работать над собой. Существуют также сообщества IT-наставников, готовых делиться знаниями и опытом, например, GetMentor - в них можно найти консультанта даже на безвозмездной основе.

Что лично вас больше всего удивляет или радует в новом поколении ИБ-специалистов? И с какими их типичными слабыми местами (кроме опыта) вы чаще всего работаете?

Радует ранний и осознанный вход в ИБ, ориентация на практику и готовность постоянно учиться. Новое поколение не боится сложных технологий и англоязычных источников.
Слабые места - фрагментарные знания без системности, переоценка курсов и сертификатов, слабые soft skills.

Можете вспомнить самый запоминающийся или творческий способ, которым кандидат привлёк ваше внимание? Что сработало, а что, наоборот, оттолкнуло?

Кандидат прислал визуальную «карту навыков», где показал, что уже умеет и что изучает. Это сразу выделяло его среди стандартных резюме. Хорошо оформленное портфолио.
Что отталкивает: резюме, где только дипломы и курсы, без каких-либо собственных попыток или проектов.

Ваш один главный совет на ближайший год для того, кто завтра просыпается с мыслью: «Всё, я твёрдо решил строить карьеру в кибербезопасности». С чего ему сделать первый практический шаг завтра утром?

–    Найти в интернете карты изучения кибербезопасности (roadmap), начать изучать каждый блок и решать по нему задачи в тренажёрах - часть из них будут на английском, но всегда можно установить автоматический переводчик в браузере.
–    Проанализировать интересные для вас вакансии и, ориентируясь на требования, начать самостоятельно изучать технологии.
–    Читать книги по сетевой безопасности, учебники по IT-базам, сетям (TCP/IP, OSI), операционным системам (Linux) и программированию (Python).
–    Бесплатные курсы, например на Stepik.

Ответы на эти вопросы — это карта, нарисованная тем, кто сидит по ту сторону экрана. Используйте эти инсайты, чтобы строить свой путь не вслепую, а с пониманием правил игры. Мы попытались построить данное интервью максимально не привязывая вопросы к определелённой компании, надеюсь оно будет для вас полезным! Удачи в покорении киберпространства!