Глобальний дефіцит кадрів у сфері кібербезпеки — 4,8 мільйона спеціалістів (за даними ISC2, 2024 рік). Вакансії тут закриваються на 21% довше, ніж стандартні технічні ролі.
Для рекрутерів ця ситуація означає одне: знайти Cybersecurity Engineer складно, але цілком реально. Важливо розуміти специфіку ролі та ринку.
У цій статті розберемо, як скласти ефективний опис вакансії, де шукати кандидатів і яких помилок краше уникати.
Cybersecurity Engineer — це фахівець, який проєктує, впроваджує та підтримує системи захисту IT-інфраструктури компанії. Простими словами, він вибудовує архітектуру безпеки та забезпечує її стабільну роботу.
У повсякденній роботі це виглядає так:
Під терміном «фахівець з кібербезпеки» часто мають на увазі різні ролі з різними завданнями.
Ось суміжні спеціалізації, які варто розрізняти:
Чітке визначення ролі ще до старту пошуку значно зменшить кількість нерелевантних відгуків і зекономить час.
Опис вакансії — перший контакт із кандидатом. У кібербезпеці він критично важливий: шаблонні тексти тут майже не працюють.
Щоб вакансія була ефективною, варто врахувати такі моменти:
Довгі списки технологій розмивають зміст. Кандидату важливо розуміти суть роботи та зону відповідальності.
База фахівця з безпеки — це розуміння мереж, архітектури ОС та навички скриптингу. Натомість конкретний вендорський продукт, який використовує ваша команда, це nice-to-have і фахівець зможе опанувати в процесі онбордингу.
Буває в описи вакансій рівня Middle додають вимогу щодо наявності сертифіката CISSP. Проте для його отримання треба мати п'ять років підтвердженого досвіду в індустрії. Подібні сертифікати доцільніше виносити у розділ nice-to-have.
Якщо позиція передбачає регулярні on-call чергування або вирішення інцидентів у неробочий час, пишіть про це відразу. Це зніме ризик відмови на наступних етапах.
Також чітко вказуйте формат співпраці. Можливість працювати віддалено залишається вагомим фактором для кандидатів.
Якщо специфіка проєкту вимагає проходження поліграфа, розширеної перевірки служби безпеки або наявності спеціальних допусків, цю інформацію варто вказувати на початку тексту. Це повага до часу кандидата і можливість одразу відсіяти тих, кому такі перевірки не підходять.
Вакансії із зазначеною вилкою отримують більше релевантних відгуків. Вказуйте реальний діапазон — це економить час обох сторін і одразу відсіює невідповідні очікування.
Кібербезпека еволюціонує стрімко, тому інженерам критично важливо оновлювати знання. Якщо компанія оплачує сертифікації, поїздки на конференції чи доступ до тренувальних платформ — обов'язково це підсвітіть. Для багатьох це такий самий важливий критерій, як зарплата.
Класичний пошук через job-борди тут працює гірше. Фахівці бережуть приватність і намагаються уникати спаму. Їх варто шукати там, де вони професійно активні:
CTF (Capture the Flag) — це змагання, де учасники вирішують реальні завдання зі злому та захисту систем. Рейтинги на таких майданчиках показують реальний рівень навичок.
Bug bounty — це програми, де компанії платять винагороду за знайдені вразливості у своїх продуктах. Hall of Fame — публічні списки дослідників, які вже довели свою компетентність.
GitHub допомагає знайти кандидатів через їхні власні проєкти, написані утиліти для безпеки чи участь у дослідженнях CVE (загальновідомих критичних вразливостей).
LinkedIn — базовий інструмент, але потребує складніших Boolean чи X-Ray запитів.
DOU — основна платформа з IT-вакансіями. Варто звертати увагу зокрема на авторів статей та активних учасників форумів.
NETFORCE Jobs — спеціалізована платформа з кандидатами у DevOps та Security напрямах.
Reddit (r/cybersecurity) — спільнота, де фахівці обговорюють загрози та інструменти.
Спільнота фахівців з кібербезпеки досить тісна. Профільні заходи — один із найкращих способів познайомитися з кандидатами, яких немає на стандартних платформах.
Профільні кафедри, IT-школи чи буткемпи — гарний варіант, якщо ви шукаєте Junior-фахівця або готові інвестувати в розвиток спеціаліста з нуля.
Колеги з DevOps та інфраструктурних команд часто знають потрібних людей особисто. Внутрішні реферали в кібербезпеці працюють особливо добре, оскільки спільнота вузька і фахівці довіряють рекомендаціям колег.
Оцінити рівень фахівця лише за резюме важко. Через NDA та специфіку сфери масштаб проєктів часто залишається за кадром. Тому профілі спеціалістів зазвичай виглядають скромніше за реальний досвід.
Якщо кандидат зазначає сертифікати, варто їх верифікувати до фінального етапу. Більшість організацій (ISC2,CompTIA,Offensive Security) дозволяють підтвердити статус документа за іменем або ID на своїх сайтах. Це займає кілька хвилин, але захищає від неприємних сюрпризів.
Попередній роботодавець або колега можуть підтвердити те, що складно побачити в резюме: як людина поводиться під час інциденту, чи вміє комунікувати з нетехнічною командою, як реагує на тиск. Запитуйте не лише про досягнення, а й про конкретні ситуації — це дає значно більше інформації.
Навіть з ідеальною вакансією кандидата легко втратити в процесі співбесід. Ось найпоширеніші помилки роботодавців:
Більшість складнощів у наймі Cybersecurity Engineer виникають ще до етапу сорсингу: нечітко сформульована роль, завищені вимоги у вакансії або вибір нерелевантних каналів пошуку.
У результаті процес затягується, а сильні кандидати просто не доходять до фінальних етапів. Натомість чітке розуміння ролі, реалістичний опис та продумана стратегія пошуку значно підвищують шанси закрити позицію швидко й якісно.
Христина Донченко
Знайдіть свого ідеального DevOps-інженера. Це швидше, ніж ви думаєте.
NETFORCE Jobs — перша в Україні платформа з пошуку роботи для DevOps-інженерів.
Які умови роботи важливі для покоління Z і як компаніям адаптуватися. Розбираємо ключові очікування зумерів: від гнучкості до ментального здоров'я.
Чому кандидати відмовляють на фіналі найму? Аналізуємо метрику Offer Acceptance Rate в ІТ та ділимося перевіреними стратегіями, як покращити ваші пропозиції.
Як компанії повертають колишніх IT-фахівців: розбираємо переваги та ризики бумеранг-найму, стратегію офбордингу й питання для інтерв'ю з кандидатом.