Профессиональное сообщество
лидеров цифровой трансформации
Редакция Global CIO

Как создать команду мечты по направлению кибербезопасности

Создание и управление командой специалистов по информационной безопасности (ИБ) – сложная, но крайне важная задача для любой компании, стремящейся защитить свои данные и инфраструктуру. Эффективная команда специалистов по ИБ должна обладать высоким уровнем профессионализма, работать слаженно и быть мотивированной, но как это сделать, в условиях нехватки бюджета и постоянного кризиса?

С Беляевым Дмитрием, директором Управления Безопасности ИТ-компании, рассмотрели ключевые шаги по формированию такой команды, а также нематериальные методы удержания сотрудников.

1. Определение целей и задач команды

  • Перед созданием команды, необходимо четко понимать цели и задачи компании и уже под реализацию этих целей начинать создавать организационную структуру и обоснование на выделение штатных единиц и необходимых под них оклады.
  • Четко определите миссию и обязанности команды: защита данных, предотвращение кибератак, управление инцидентами или соблюдение нормативных требований.
  • Разработайте стратегию взаимодействия с другими отделами компании (ИТ, HR, юридическим подразделением) для координации усилий в области безопасности.

2. Подбор специалистов

  • Нанимайте сотрудников с разнообразными навыками: от технических (например, тестирование на проникновение, управление уязвимостями) до аналитических (разведка угроз, управление рисками).
  • Важно учитывать не только профессиональные компетенции, но и способность работать в команде. Кандидаты должны быть готовы к обучению и адаптации к корпоративной культуре. Работать в команде очень важный soft-скилл, которым обладают далеко не все. Если у Вашего работника с этим проблемы, решить их можно разными путями, например:
    1. Отправить сотрудника за счет компании или за свой счет на курсы к коучу или ментору, который проработает эту проблему. Я, например, работал с коучем – Петрищевым Александром, который многому меня научил, полученные знания и наработанный опыт помогают мне не только на работе, но и в жизни.
    2. Если на вашей работе есть своя академия со своими преподавателями, можно инициировать обучение вашего сотрудника в ней.
    3. Поставьте в качестве обязательной цели на квартал для сотрудника задачу, прочитать книгу Дейла Карнеги: «Искусство завоевывать друзей и оказывать влияние на людей, эффективно общаться и расти как личность», она позволит взглянуть на мир и общение совсем иными красками, а описанный в сборнике опыт, позволит сэкономить года опыта. Главное, чтобы сотрудник учился на ошибках, описанных в сборнике, а не на своих.
  • Старайтесь искать таланты, которые могут закрыть несколько направлений, в рамках дефицита кадров, они будут являться вашим «бриллиантом».
  • Дам несколько советов, где искать кадры: hh.ru, социальная сеть «сетка», конференции по ИБ, телеграм каналы: «infosec_work, CyberJobsRussia, belyaevsec», чаты набора команд на тематические хакатоны по ИБ, осуществление запросов в Университеты по перспективным ученикам.
  • В условиях большого кадрового дефицита, важно иногда делать ставку на подающих надежды студентов и выпускников вузов, ведь благодаря Вашему опыту, их молодости и тяге к знаниям, вы можете вырастить их них отличных специалистов, но Вы должны какое-то время вкладываться в них.

3. Построение структуры команды

  • Распределите обязанности между участниками: специалисты по управлению рисками, аналитики угроз, администраторы СЗИ и др.
  • Составьте матрицу компетенций для каждого и них, благодаря ей будут понятны сильные и слабые стороны сотрудника, которые можно будет усилить. 

Её необходимо адаптировать под процессы в Вашей компании и описать условия оценок, например:

  1. 0 баллов – компетенция отсутствует;

  2. 1 балл – компетенция проявляется на базовом уровне. Сотрудник знает и применяет основные инструменты, но она не является его сильной стороной;

  3. 2 балла – компетенция выражена на достаточном уровне. Сотрудник проявляет экспертные знания и владеет инструментом. Может решать сложные задачи, участвовать в проектах, адаптировать инструмент под задачи организации. Однако он не может быть экспертом центра компетенций и просто, без сложной терминологии объяснить другим;

  4. 3 балла – компетенция проявляется на превосходном уровне и является сильной стороной сотрудника. Сотрудник может быть экспертом центра компетенций и решать нетипичные задачи с применением инструмента/компетенции. Кроме того, сотрудник способен транслировать знания и умения другим на простом и доступном языке с разбором на практических примерах.

В итоге у Вас появится таблица, которую необходимо будет прописать должности сотрудников и оценки от 0 до 3, согласно методологии.


 

  • Установите чёткие роли и зоны ответственности для каждого сотрудника и пропишите их в должностной инструкции сотрудника.

4. Обучение и повышение квалификации

  • Регулярно проводите тренинги по актуальным вопросам информационной безопасности: фишинг, социальная инженерия, работа с конфиденциальной информацией.
  • Используйте геймификацию и симуляцию атак для повышения вовлечённости сотрудников.
  • Также, очень важно планировать и согласовывать обучения для сотрудников, за счет компании и ставить дополнительные обучения по бесплатным курсам, связанными с прямыми обязанностями и реализуемыми самим сотрудником процессами. Например, это могут быть курсы по администрированию или настройке СЗИ. Таких площадок не мало, например:
    1. https://stepik.org/catalog
    2. https://university.tssolution.ru/
    3. https://edu.ptsecurity.com/
  • Внедряйте программы наставничества: опытные сотрудники могут обучать новичков, что укрепляет командный дух и повышает доверие между ними.

Удержание сотрудников с использованием нематериальных инструментов

Нематериальные методы мотивации помогают создать комфортную рабочую среду и укрепить приверженность сотрудников компании.

5. Формирование корпоративной культуры

  • Создайте атмосферу доверия и уважения в коллективе. Поощряйте открытое общение между членами команды.
  • Поддерживайте баланс между работой и личной жизнью сотрудников. Например, избегайте привлечения к работе в нерабочее время без крайней необходимости.
  • Старайтесь организовывать локальные тимбилдинги или иные развлекательные мероприятия.
  • Участвуйте вместе на конференциях;
  • Не забывайте про личное общение, так-как очень важно чувствовать своего сотрудника и вовремя заметить если что-то случилось, чтобы обсудить проблему и постараться помочь ему. Психологическая поддержка очень важна для сотрудника, как и своевременное решение возникших у сотрудника проблем.
  • Не забывайте хватить сотрудников за успехи, и прорабатывать с ним лично его ошибки.

Важно понимать, что ряд описанных выше предложений могут быть не применимы для компаний, у которых очень большие отделы КБ, но тогда вы должны назначить либо Security Champion, либо Руководителей направлений с квартальной целью в виде ППР, тогда Вы сможете делегировать часть этой работы.

6. Возможности для профессионального роста

  • Предоставьте сотрудникам возможности карьерного роста внутри компании: участие в новых проектах, повышение квалификации или переход на более высокие должности.
  • Включайте сотрудников в процесс принятия решений по ключевым вопросам безопасности.
  • Очень важно, чтобы до момента, когда Вы уйдёте в отпуск или внезапно заболеете, чтобы у Вас было 1-2 ключевых сотрудника, которые подменят Вас, благодаря чему ваш корабль будет уверенно плыть дальше и тогда Вас никто не будет «Дёргать». Прокачка команды в этом направлении очень важна, ведь не редко, когда мы видим ситуации, что Руководители не идут в отпуск годами, потому-что без них «всё упадёт». Это неправильно построенный процесс.

7. Признание достижений

  • Отмечайте успехи сотрудников публично: награды за достижения, упоминания на собраниях или корпоративных мероприятиях.
  • Вводите нестандартные номинации или символические награды для создания положительного эмоционального фона.

 

2199

Комментировать могут только авторизованные пользователи.
Предлагаем Вам в систему или зарегистрироваться.

фильтр
Предметная область
Отрасль
Управление
Мы используем файлы cookie в аналитических целях и для того, чтобы обеспечить вам наилучшие впечатления от работы с нашим сайтом. Заходя на сайт, вы соглашаетесь с Политикой использования файлов cookie.