Как компании ищут и растят новое поколение ИБ-специалистов. 3 значимых сдвига в развитии профессии

Кадровый кризис в сфере кибербезопасности сохраняется, несмотря на рост числа учебных программ и инициатив по развитию специалистов. Компании по-прежнему сталкиваются с нехваткой квалифицированных кадров и завышенными требованиями к начинающим соискателям. Исследование ISC2 основано на опросе 929 менеджеров по найму из Канады, Германии, Индии, Японии, Великобритании и США, проведенном в декабре 2024 года. Цель отчета – выяснить, как организации привлекают и развивают специалистов начального и среднего уровня, какие навыки и сертификации востребованы и почему разрыв между ожиданиями работодателей и возможностями кандидатов сохраняется. Полная версия отчета доступна на сайте ISC2.

Что показывает исследование

Отчет ISC2 фиксирует смещение акцента в найме специалистов по кибербезопасности с формального образования на практический опыт и сертификации. 90% менеджеров готовы нанимать кандидатов с опытом работы в ИТ, 89% – с базовой сертификацией без диплома.

Стажировки (55%) и программы обучения (46%) становятся основным каналом привлечения молодых специалистов, особенно в госсекторе, телекоме и энергетике. Большинство компаний (75%) закладывают бюджет на их обучение и развитие, считая подготовку внутренних кадров более выгодной, чем поиск готовых. Работодатели все чаще ценят не технические, а универсальные навыки – работу в команде, решение проблем, аналитическое мышление. Одновременно сохраняется разрыв между ожиданиями и реальностью: треть компаний требует от новичков продвинутых сертификаций вроде CISSP или CISA, недоступных без опыта, что мешает притоку молодых специалистов.

Как компании находят новых специалистов

Главными каналами найма остаются вакансии на сайтах и рекрутинговые агентства – их используют по 57% работодателей. Однако все большую роль играют стажировки и программы обучения, которые позволяют оценить кандидатов до официального трудоустройства. В отраслях образования, здравоохранения и ИТ такие программы применяются так же часто, как классические вакансии.

Некоторые компании ищут кадры внутри собственных подразделений: 22% менеджеров отмечают переход специалистов из ИТ-поддержки, финансов, HR и маркетинга в кибербезопасность. Это расширяет кадровый резерв и приносит в команды сотрудников с пониманием бизнес-процессов и коммуникаций. Всё больше работодателей начинают смотреть за пределы ИТ-специальностей, хотя эта практика пока не стала массовой. Среди менеджеров, сотрудничающих с вузами, четверть находили кандидатов с гуманитарным или экономическим образованием. Такой подход помогает привлекать людей с аналитическим мышлением и развитыми soft skills, которых не хватает в традиционных ИБ-командах.

Как компании выстраивают процесс найма

От корректности описания вакансии зависит успех найма. В большинстве компаний требования к техническим навыкам, опыту и сертификациям формируют руководители ИТ и ИБ, а HR-отдел определяет личные качества и soft skills. Ошибкой остаются нереалистичные описания ролей, где к начинающим специалистам предъявляют требования, рассчитанные на опытных экспертов, что затягивает подбор и снижает интерес кандидатов.

На этапе отбора заявки чаще всего рассматриваются совместно ИБ-менеджерами и HR (53% случаев). Еще 35% компаний доверяют этот процесс самим специалистам по безопасности. Большинство работодателей (84%) используют практические задания или тесты при приеме на работу. Более половины (54%) отсеивают кандидатов из-за неподобающего поведения в соцсетях, подчеркивая важность цифровой репутации.

Почему сертификация становится главным критерием найма

При найме специалистов начального и среднего уровня работодатели все чаще ставят сертификацию и практический опыт выше формального образования. 47% менеджеров считают наличие профессиональных сертификатов критически важным, тогда как образование – лишь 43%.

Основное внимание уделяется базовым международным сертификациям – Certified in Cybersecurity (CC) от ISC2, CompTIA Security+ и CASP+. Они подтверждают владение фундаментальными знаниями и служат реальным «входным билетом» в профессию.

Однако сохраняется разрыв между ожиданиями и реальностью. Более трети работодателей требуют от соискателей уровня Certified Information Systems Security Professional (CISSP) или Certified Information Systems Auditor (CISA), рассчитанных на специалистов с опытом от пяти лет. Такие требования фактически закрывают путь выпускникам и делают дефицит кадров хроническим.

Согласно опросу, работодатели высоко оценивают способность новичков учиться, адаптироваться и снимать нагрузку с опытных сотрудников, выполняя рутинные задачи и помогая в тестировании и анализе рисков. Но для этого необходимо четко разграничивать требования «обязательные» и «желательные» – и строить карьерные треки внутри компаний.

Как компании обучают и удерживают специалистов

Большинство работодателей (75%) имеют бюджет на развитие сотрудников начального уровня, а 73% – на расширение команд. При этом 91% компаний предоставляют возможности профессионального обучения в рабочее время.

Наиболее востребованные форматы – курсы и подготовка к сертификациям (65%), обучение по смежным навыкам (59%), программы наставничества (50%) и планирование карьерного роста (57%). При этом половина организаций все еще не реализует программы наставничества из-за нехватки времени у опытных сотрудников или отсутствия самих менторов.

Обучение молодых специалистов оказывается быстрым и недорогим: до самостоятельной работы они доходят за 4–9 месяцев, а расходы в большинстве случаев составляют до $5 тыс. Такая отдача делает развитие внутренних кадров самым эффективным способом закрывать кадровый дефицит.

Что рекомендует ISC2

Отчет ISC2 выглядит как набор «правильных», но не новых тезисов – стажировки, сертификации, soft skills и кадровый разрыв упоминаются в отраслевых обзорах уже не первый год. Однако за этими формулировками скрываются три значимых сдвига, которые определяют развитие профессии.

Первое – смена критерия отбора. Формальное образование теряет значение: 9 из 10 работодателей готовы нанимать специалистов без профильного диплома, если у них есть базовая сертификация или практический опыт. Сертификация становится универсальным эквивалентом доверия – новым «языком компетенций» в ИБ.

Второе – выход за пределы ИТ. Четверть компаний уже нанимают сотрудников с гуманитарным, экономическим или управленческим бэкграундом. Безопасность становится междисциплинарной областью, где ценятся коммуникация, аналитика и понимание бизнеса.

Третье – экономика обучения. Развитие собственных кадров обходится дешевле и быстрее, чем найм опытных специалистов: подготовка новичка до самостоятельной работы занимает менее года и стоит до $5 тыс. Такой подход превращает обучение в инвестицию с высокой отдачей.

Эти тенденции отражают переход отрасли от поиска «готовых экспертов» к системному выращиванию кадров и делают акцент на устойчивости.