2.9.21

О резюме специалистов по ИБ

В Фейсбуке моя краткая заметке привела к некоторой дискуссии, поэтому я решил написать чуть более развернуто. Но начну я с копипаста своей заметки, чтобы было понятно, о чем идет речь.

"Вот почему люди так пофигистически относятся к подготовке своих резюме? Они ищут работу и, вроде как, должны быть заинтересованы в том, чтобы поразить будущего работодателя своими умениями, навыками и знаниями. Но нет! Почему мало кто из ИБшников или ИБшных сейлов пишет о своих измеримых достижениях в резюме? Меня лично мало интересует, какой ВУЗ человек закончил 10-20-30 лет назад (а это ставят на первое место в резюме почти все - как будто все один плохой шаблон используют). А достижения интересуют. По ним оценивается специалист, а не по тому какому КОИБАСу его учили старперы по учебникам времен Петра Первого. С достижениями, кстати, тоже засада. Если они и есть, то никак не учитывают, кому резюме отправляется. Вот зачем в американской компании человек, который на первое место в своих достижениях выносит проекты по импортозамещению? 😉 Интересно, когда пишется ТЗ на систему по ИБ, оно же не универсальное (я надеюсь). Почему тогда резюме универсальное? Почему нельзя под каждого потенциального работодателя сделать свой вариант, "бьющий точно в цель"?"

Собственно, что я имел ввиду, когда говорил о достижениях? Ну вот, например, вместо указания продуктов, с которыми человек работал (а может не вместо, а вместе), можно было бы написать "внедрил IdM в масштабах предприятия на 1000 сотрудников". Вместо указания названия IRP-платформы, работе с которой можно научиться за пару дней на курсах вендора, а то и вовсе по роликам в YouTube, было бы классно увидеть что-то типа "выстроил процесс incident response, снизив время приема заявки с 17 минут до 3-х". А вместо "работал с заявками пользователей на доступ" горазо выгоднее бы смотрелось "написал средство автоматизации работы с заявками пользователей на доступ, сократив время предоставление доступа до 1 часа".

В ФБ Юлия Омельяненко справедливо пишет, что "умение делать работу и умение продать себя - две, не всегда связанных между собой навыка". С одной стороны я с не соглашусь. Это совсем разные навыки. С другой - если ты хочешь найти себе новую работу (а не просто "а почему бы и не попробовать закинуть резюме, вдруг прокатит"), то чуть напрячься и потратить время на осмысливание того, что ты делал/делаешь на работе и какую пользу ты принес, полезно. Представьте, что вы ищете сейла (специалиста по продажам) и он в резюме пишет, что он каждый день искал клиентов и продавал им какие-то продукты или услуги. Вас разве не заинтересует вопрос, а успешно ли он продавал? На какую сумму он продал на прошлом месте работы и насколько он перевыполнил план? Так и с ИБшником. Он тоже не просто "крутит гайки на файрволах" или выдает ключи электронной подписи - он улучшает состояние ИБ на предприятии.

Насколько улучшает? Как улучшает? К чему приводит его деятельность? "А меня не интересует, насколько безопаснее стало предприятие от моей работы. Я делаю свое дело. Я делаю то, что мне говорит начальство". Ну ОК. Ты классный чувак, наверное. Но на кой ты такой нужен, если тебе абсолютно пофигу, есть результат от твоей работы или нет? Я бы такого человека не только не взял на работу, но и гнал бы в шею поганой метлой, потому что такой пофигист не только не приносит пользы, но и заражает свои безразличием окружающих. Как правильно отметила в заметке Екатерина Калугина, большинство соискателей в резюме пишут, что делали (а это у многих схожих по роли специалистов очень похоже), а не что сделали.

Рустем Хайретдинов в ФБ написал "Специалист такой же продукт, как и софт, чтобы его продать, надо знать своего покупателя, его "боли", свои сильные и слабые стороны. Мне очевидно, что для разных компаний надо писать разные резюме, выбирать те свои "фичи", которые максимально выпячивают конкурентные преимущества на конкретной должности, выбрасывать второстепенные, не врать, но умалчивать недостатки. Писать резюме - несложная штука, научиться сильно проще, чем обращаться с PowerPoint" и я с ним согласен. Если ты веерно рассылаешь одинаковые резюме, то шансов найти что-то стоящее немного. С другой стороны, появляется шанс у тех, кто чуть напрягся и потратил время на изучение потенциального работодателя и подкрутку своего резюме под конкретную организацию. А если еще и сопроводительное письмо было написано, то вообще космос и шансов становится гораздо больше. Причем даже если такое резюме не прошло фильтр в виде HR, который смотрит только на знакомые слова или аббревиатуры, которые ему дали в ИБ (CISSP, OSCP, TIP, NGFW, ФСТЭК, SOC, SIEM и т.п.), то даже в этом случае есть смысл.

"А я вот аналитик первой линии SOC и просто работаю по плейбукам. Какие у меня могут быть достижения?" Логичный вопрос. Тоже самое может сказать человек, который настраивает МСЭ или генерит криптографические ключи или обрабатывает заявки на доступ или... Этих "или" может быть очень много. ИБ - не столь творческая профессия, как у художника, у которого каждая его картина уже достижение. И это не продажи, которые легко измерить по объему продаж, перевыполнению плана и другим показателям. И это не начальник, который может писать в резюме, что он управлял 10 сотрудниками или увеличил бюджет подразделения на 20% за пять лет (при ежегодной инфляции в 8%). Но!.. Как мне кажется, на любой должности в области ИБ надо не тупо выполнять то, что написано в плейбуке или инструкции, а думать прежде всего. Если вы тупо выполняете какие-то рутинные операции, то будьте уверены - вы первый кандидат на увольнение. Любая рутинно выполняемая операция рано или поздно будет автоматизирована - либо с помощью специализированных решений класса SOAR, либо с помощью технологий no code/low code, которые начинают проникать в ИБ, либо с помощью машинного обучения (как бы мы к нему не относились), либо с помощью технологий RPA (robot process automation). А если вернуться к работе аналитика, то у вас идеально выстроены процессы мониторинга и идеальные плейбуки, которые не надо улучшать? Мониторя инциденты, вы не замечали, что описанные процедуры неидеальны и могут быть улучшены? А новые правила корреляции вам не нужны? Вы предлагали улучшения? Да? Вы молодец! Это и пишите в "достижения". Не предлагали? Ну тогда повод задуматься.

О том, как писать резюме можно писать еще много, но я не ставил перед собой такую задачу. Главное, что я бы вынес из этой заметки - любая работа должна приносить результат, оцифрованную форму которого и нужно вносить в резюму. Разумеется, все это имеет смысл, если действительно человек не просто ходил на работу "с 9-ти до 6-ти" просиживать штаны, а реально что-то делал полезное для своей компании или хотя бы для своего подразделения. И, конечно, идея "пишите про свои достижения" должна быть принята во внимание, если вы действительно ищете работу (а то многих работа находит сама) и не рассылаете веером свое стандартное резюме "лишь бы куда-нибудь оно попало".

Ну а если вам интересно еще глубже погрузиться в тему строительства своей карьеры по ИБ, то есть несколько книжек на тему: 



ЗЫ. Все это сугубо мое личное мнение :-) Но если я когда-нибудь я буду писать резюме и искать работу с нуля, то я обязательно буду фокусироваться на достижениях и что работодатель получит от моего найма, то есть буду писать не о том, какой я классный (а это даже не обсуждается :-), а о том, что получит работодатель от того, какой я классный.  

12 коммент.:

Michail комментирует...

Алексей, свои 5 копеек
я не уверен что я знаю идеально российский рынок труда, но Израиль/США/Европа (возможно) имеют одну маленькую деталь: конечный заказчик (тот кому в отдел идет человек) видит уже "отобранные резюме", а отбираются они людьми с громадным опытом вне предметной области. И если они не увидят FWSM 5 лет, то все это прекрасное резюме уйдет в мусорку

Поэтому мое ихмо - если резюме такие, значит это кому то нужно

P.S. я знаю что есть другие компании, но их процент на рынке не большой, и чем крупнее компания тем меньше шанс
P.P.S. моя личная лампа: ваш опыт работы: 15 лет, ок, но вы приехали в страну год назад, да, те ваш опыт работы 0, вы нам не подходите (сугубо тех позиция без внешних контактов, ...)

Алексей Лукацкий комментирует...

Да, я согласен, что часто первичный фильтр в виде HR (о нем написал) всего этого не требует, но... никто не мешает совместить "достижения" с hard/soft skills, на которые так падки HR. В двух скриншотах в заметке как раз показан такой вариант

Алексей Лукацкий комментирует...

А ситуация с переездом в другую страну вообще все меняет - хотя и на Западе многие хотят знать, что вы сделали, а не что делали, и чем помогли бизнесу. Главное доказать, что вы не русский хакер и не шпион ФСБ

Michail комментирует...

Тут несколько крайностей:
1 - нужно чтобы резюме прошло первичный отбор (мы помним про новое поколение - 1 страница, ключевые слова, все понятно для специалиста в другой предметной области (у меня одного кандидата зарубили потому что не поняли как это он может 1 год не работать (стаж 20 лет))
2 - хоть как то зацепило конечного заказчика (это в случае если конечник знает что нужно, а не как в ситуации мы нанимаем первого/единственного ИБшника))
3 - при текущей системе разослать 500 раз резюме никакой индивидуальной работы не предвидиться/ожидается

поэтому мы получаем то что получаем, и (в большинстве случаев) это работает. а тем кому нужно другое это погрешность (да я знаю, я лично - погрешность)

Алексей Лукацкий комментирует...

Ну я думаю, есть люди, которые хотят выйти из массы и стать этой погрешностью, получая больше всего (денег, ресурсов, возможностей, интересной работы)

Michail комментирует...

Люди которые вышли из массы не отправляют резюме в 500 компаний :)
И скорее вообще резюме идет для "нужно чтобы в системы было, приходи на очное"
но возможно и ошибаюсь

George Morozov комментирует...

Я думаю, что целевое резюме работодателю - это как документы для поступления в ВУЗ. Желающих много, а место (конечная цель/работодатель) одно. Да, с точки зрения Компании хочется ощущать себя той единственной и неповторимой, в которой все хотят работать. Но если она таковой не является (а таких подавляющее большинство), то в итоге мы и получаем шаблонные резюме в компании, которые предлагают ИБшнику шаблонные зарплаты и которые сами, в свою очередь, пишут шаблонные запросы на вакансии. Откройте любой ресурс по трудоустройству - там по каждому из направлений ИБ шаблонные и требования, и плюшки, ничем (вообще!) не выделяющие саму компанию для Соискателя из сотен таких же. Итог: шаблонные резюме вам на рассмотрение. (шаблонному же человеку на входе). Может, немного скомканно, но как то так

Алексей Лукацкий комментирует...

Michail: правильно, они направляют в каждую компанию свое отдельное резюме

Алексей Лукацкий комментирует...

George: да, есть такое

Michail комментирует...

Алексей, немного на персонали (если можно)
Возьмем (невозможную и невероятную) ситуацию Вы выходите на рынок труда и ищете себе новое место в России (важно).
Вы будете отправлять резюме в 10 компаний, модифицируя его под них ?
Или (ихмо, чуть более вероятно) найдете в контактах нужных людей и пообщавшись с ними сделаете какое то +- подходящее под (свежесозданную) вакансию и оно пойдет внутри систем с пометкой первые Н раундов не нужны

Я могу очень заблуждаться, но спецы о которых Вы говорите (топ Н*100) скорее устраиваются так

Да, я согласен, что отделы мечты в компаниях мечты именно так как указано в обоих статьях и набирают - исходя из описанного "чем я могу пригодиться бизнесу"
но даже в компаниях мечты эти отделы редки, а уж в регулярных Б и далее диапазоне компаний и вообще исчезающе малы

П.С. а если уж холиварить - то и работодатель должен выкладывать нормальные требования к вакансии:
что ожидается от кандидата
что важно
что не очень
А не это все что любят 2х буквенные отделы + набор технологий теоретически применимых внутри всей профессии
П.П.С. мой двухбуквенный отдел замечательный - ну где то процентов 60-70 моих хотелок удается довести до текста вакансий с минимальными боями, правда, увы, реалии локального рынка, что это никто не читает, ибо (см п.1) нужно успеть послать 500 резюме

Unknown комментирует...

Поддерживаю Вашу позицию. Соискателю мало себя продать именно Вам, ему нужно захотеть себя продать именно Вам, а для этого Вы должны хотя бы выглядеть как компания мечты, и запрашивать вакансию, как компания мечты, тогда и будет Вам спецрезюме с его достижениями, а не шаблонный ответ на запрос с перечислением федеральных законов (по ооочень широкому спектр знаний), кучи аббревиатура и требований, чтобы кандидат помимо того, чтобы мог один реализовывать весь менеджмент ИБ в организации, так ещё один его и исполнять..

Алексей Лукацкий комментирует...

Michail: мне хотелось бы думать, что я пойду по знакомствам или точно не с улицы, пропустив первые раунды. Но то, что я буду искать то, что интересно в первую очередь мне, это очевидно. И чтобы заинтересовать работодателя, я буду делать резюме под него и включая в него свои достижения, которые могут быть интересны той вакансии, которая мне у него интересна.

А что касается работодателя, то да, согласен, он тоже должен быть немного креативным и отходить от стандартного шаблона запроса на вакансию. Но даже в этом случае, всегда можно выйти на нужных людей, минуя HR, напрямую заинтересовав человека своим резюме. Соцсети, конференции, чатики и т.п. А потом уже можно и в HR подаваться, когда за вас слово замолчили и вы оказались интересны для работодателя