Оценка квалификации специалистов в области ИБ При приеме на работу технических специалистов одним из основных этапов является определение реального уровня их знаний. Как правило, рекрутеры руководствуются сертификатами и навыками, указанными в резюме, не имея возможности точно определить квалификацию соискателя. Наиболее подходящие (на их взгляд) кандидаты сразу направляются на собеседование непосредственно в компанию, открывшую вакансию. При таком подходе процесс подбора квалифицированных кадров может быть очень длительным и занимать до полугода, при этом основная часть кандидатов отсеивается уже внутри компании, во время собеседования с техническими специалистами, отвлекая сотрудников от работы и вызывая их недовольство большим потом низкоквалифицированных кандидатов. Длительный поиск кандидатов не устраивает ни кадровые агентства, ни работодателей, ни самих кандидатов. Для эффективного подбора персонала мы запустили новый сервис оценки квалификации специалистов в области информационной безопасности «HR lab», позволяющий быстро и точно определить уровень квалификации специалистов. Сервис одинаково хорош как для кадровых агентств, так и для сотрудников HR-отделов.

1. Тесты По Информационной Безопасности Для Сотрудников
2. Тесты По Информационной Безопасности Для Сотрудников Банка

Нижеприведенный ТЕСТ ДЛЯ РАБОТНИКА можно и нужно использовать для профилактики хищений и злоупотреблений. К примеру: Десяти сотрудникам дают заполнить этот тест и предупреждают, что в ближайшие дни им предстоит пройти детектор лжи (полиграф). Можно даже приказ по предприятию подготовить о периодических проверках сотрудников на детекторе лжи (полиграфе). Нужен будет образец — я дам. Этим сотрудникам объясняют, что за правдивую информацию в тесте, какая-бы она ни была — не последует серьезного наказания. Но если кто обманет, а детектор лжи (полиграф) выявит ложь, то пусть тогда не обижаются. ТЕСТОВЫЕ ЗАДАНИЯ по предмету «Информационные технологии в профессиональной деятельности.

Одной из сильных сторон нашей компании является соответствие ожиданиям клиента. В «HR lab» мы продолжаем эту традицию с помощью специальных методик тестирования. Их суть предельно проста и логична: совместно с заказчиком создается блок практических заданий для кандидатов, включающих задания по безопасности веб-приложений, криптографии, сетевой безопасности и т.д. Согласованные задания реализуются в специализированной лаборатории, имитирующей корпоративную сеть с заложенными уязвимостями.

По результатам прохождения лаборатории наши специалисты проводят собеседование с кандидатом, на котором задаются дополнительные вопросы для более точного определения уровня знаний. По завершению тестирования заказчик получает отчет, включающий результаты тестирования и проф. Ориентацию соискателя, а также наши рекомендации. Давайте попробуем разобраться. Да, действительно, средняя стоимость — 15 000, но это средняя и зависит не только от квалификации тестируемого специалиста, но и от их количества — чем больше кандидатов, для которых будут одинаковы задания, тем дешевле.

Касательно фразы «Часто важно не только знания человека в данный момент времени, а насколько он может вписаться в команду» — можно согласиться, если речь идет о начинающем специалисте, которого компания готова учить и развивать за свой счет (таких мы не тестируем), а если речь о специалисте со стажем? Конечно, умение работать в команде — это важно, и как правило, люди со стажем (а именно о них и речь) уже научились командной работе на предыдущих местах работы. От таких специалистов требуется знания, и качественные — а по факту: из 20 присланных кадровыми агентствами специалистов только единицы готовы подтвердить свои навыки, указанные в резюме, на практике. Как правило, знания указанные в резюме не соответствуют реальным знаниям. Для этого тестирование и производится — чтобы не «гонять» по 20 человек к заказчику (каждое собеседование — как минимум 30-60 минут времени, не считая других накладок), а отправить уже проверенных специалистов на итоговое собеседование с заказчиком. За счет того и достигается экономия времени и средств.

Давайте попробуем. У человека со стажем уже есть «шаблон» предыдущих компаний в которых он работал и этот шаблон может частично или полностью не совпадать с той куда приходит человек. Во-вторых, как я говорил выше, гораздо важнее не то что он знает сейчас, а как он умеет решать задачи и находить решения. Теперь давайте попробуем посчитать, 20 человек кинуло свои резюме на позицию старшего разработчика. И все они теперь должны будут пройти тестирование и стоимость каждого будет 15000 (можете ниже написать сколько будет скидка исходя из кол-ва). Итого 300 000 руб необходимо заплатить только за тестирование.

Это 2-3 месячных зарплаты разработчика. Но, что если ни один из них не подошел? Получается что работодатель заплатил 300к рублей просто за отсев. А теперь давайте посчитаем сколько будет стоить отвлечь работника в компании. Так как часто собеседует не один человек, то давайте считать часами, а как один рабочий день на одного собеседуемого. Не сложно догадаться, что такой способ отнимет 1 человеко-месяц.

Тесты По Информационной Безопасности Для Сотрудников

Но в пересчете на деньги это меньше чем ваш способ. Ну и последнее, чтобы отфильтровать на совсем раннем этапе кандидата можно попросить выполнить задание близкое к реальным задачам. Так можно и код увидеть и потом если что обсудить почему именно так он выполнил ту или иную задачу. И это явно дешевле:). Если Вы считаете, что способность уметь решать задачи (т.е. Проще говоря — умение мыслить) важнее уровня знаний — то пусть так и останется, я спорить не буду. Да, если нужно будет тестировать 20 человек — то сумма будет значительной.

Но поскольку речь идет о специалистах, чей уровень зарплат превышает 60-100 тыс. Рублей — дело обстоит иначе. Кадровое агенство на первом этапе отсеивают кандидатов, которые не подошли по каким-то причинам (помимо технической подготовки их достаточно). Действительно, как Вы и предложили в последнем абзаце, кадровое агенство постарается насколько это возможно (по тем же вопросам от заказчика) определить уровень подготовки. Итого останется кандидатов 3-5.

И уже этих кандидатам будет предложено пройти тестирование. Если учесть, что для 5-х кандидатов задания будут идентичны (они же претендуют на одну позицию), стоимость их тестирования составит приблизительно 50 тыс. Рублей (за всех). «сэкономив время и средства заказчика» потратив время соискателя. В своё время я в инвестбанк собеседовался и у меня было 7-8 собеседований, но я потратил существенно меньше 10 часов. Человек, который выявляет ит-уязвимости в компании, не должен заниматься их устранением, а именно — патчами приложений и конфигурацией инфраструктуры, этим должны заниматься администраторы и разработчики. Ваша лаба абсолютный аналог сертификаций пентестеров, не дающая никакого дополнительного велью для работодателя.

Спасибо, отвечу по порядку. Будет неправильно ориентироваться только на конкретные случаи — может быть Вам повезло, а может быть у Вас достаточно высокий уровень знаний, поэтому процесс поиска работы был коротким. Практика показывает, что найти качественного специалиста по ИБ не так просто — спросите любого кадровика, занимающегося этим вопросом.

Тесты По Информационной Безопасности Для Сотрудников Банка

Да, не должен (хотя может). А кто говорит, что должен? Я этот вопрос раскрыл в предыдущем комментарии. Суть в том, что задания для тестирования составляются на основе пожеланий заказчика — т.е. Максимально приближены к тем, задачам, которые необходимо будет выполнять будущему сотруднику непосредственно у потенциального работодателя (того, с кем согласовываются данные задания), поэтому сравнивать это с сертификацией — не совсем корректно. На ту работу я так и не устроился, это был пример самого сложного и длительного собеседования, которое по времени занимает меньше чем ваша лаба. Ваша услуга никак не помогает специалисту по безопасности продать себя.

Я знаю, что найти специалиста по ИБ трудно. Если компания не доросла до масштабов присутствия ответственного за ИБ руководителя, который сам может оценить квалификацию технаря по ИБ, то зачем им технарь по ИБ? Специалисты такого профиля нужны в двух случаях — когда этого помогает соответствовать требования закона стандарта, либо когда это осознанная необходимость и часть системы управления рисками. Это всё признаки больших и очень больших компаний.

Они в состоянии найти себе специалиста самостоятельно. Мелким компаниям такой специалист не нужен (как и ваша услуга), с финансовой точки зрения можно нанять эникейщика и тушить пожары. Вы — платное усложнение процесса рекрутинга, равносильное дополнительному собеседованию на стороне.

Фильтровать кандидатов можно без всяких лаб, и до заказчика допускать только адекватных. Ну вот в плане разработчиков это еще возможно — протестировать в «сферическом вакууме» дав задания. А как вы себе это представляете в сфере информационной безопасности?

На своей инфраструктуре дать поиграться? Виртуалки поднимать? И другой момент, почему, заплатив HR агентству за подбор кандидатов, я должен потом, как работодатель, их еще и отсеивать на своей стороне? По-моему, вполне логичная услуга для кадровых агентств для повышения качества их работы.

Я, кстати, сильно сомневаюсь в возможностях кадровых агентств адекватно проверить кандидатов по этому направлению. Это не такая распространенная область как та же разработка, например. Собеседование с руководителем — способ оценить квалификацию, можно дать ему Kali и попросить что-нибудь показать, можно просто в живом диалоге обсудить конкретные задачи и его опыт, как во многих других собеседованиях. Без отсева на стороне работодателя не обойтись, это риск который работодатель сам не примет. Кадровые агенства, любого уровня качества, всего лишь фильтр, которые отсеивает совсем уж шлак.

Один из их KPI это количество приведенных кандидатов, у них нет цели найти «того единственного», у них цель — предоставить небольшой, но относительно качественный пул. Кадровые агенства таких специалистов точно не проверят, естественно.

Человек, который выявляет ит-уязвимости в компании, не должен заниматься их устранением, а именно — патчами приложений и конфигурацией инфраструктуры, этим должны заниматься администраторы и разработчики. — Он должен знать как их устранять, как их устранять нельзя. Как минимум для валидации и надежности. Как очевидно — консультанция, так как часто после выявления придут админы и разрабы с вопросом: что посоветуете и если Ваш человек скажет, я ХЗ, я просто выявляю — гоните его в шею, бесполезный кадр запускающий сканеры. Ну и как максимум — бывают ситуации когда нуден срочный workaround средствами IPS, WAF или иное.

С технической части это ОК, идея хороша. Но я не стал бы заказывать 8) 1) Да, ХР имеет проблемы с фильтрами для человеков из ИБ. Они могут читать резюме, и выбирать их для нас, но собеседовать не могут, так как в предметной области не очень. Предлагается решить именно эту проблему? Это единственный плюс по сути. 2) Мне не нужен абстрактный специалист в вакууме — мне нужен человек, который может решать задачи которые есть у нас.

С ИБ это особенно важно. Прохождение абстрактной лабы — это прикольно, но не интересно для HR, по сути равносильно OSCP сертификату (хороший серт., но проблему кадров не решает). Та же задача решается у нас довольно просто и дешевле (ну как нам кажется) — у нас есть свой стенд в инете — всем желающим работать технарем по ИБ в HERE Nokia, выдается урл.

Предлагается так же все зохакать и написать отчет (что нашли, что захакали, как это все починить). Эти отчеты можно тихо и спокойно читать не сильно отвлекаясь от работы + можно глянуть логи с стенда-сервера (это самое интересное, смотреть что и как человек делал, что бы достичь или не достичь результата). По этому отчету на 99% можно оценить тех. Навыки по определенным областям, скилам и опыт. И уже потом, если нас устраивает результат — собеседование в живую и да, опять техническое собеседование. И дело тут не в том, что мы хотим удостоверится, что человек знает базу, а в том, что он понимает что от него мы хотим, что ему предстоит делать, с кем работать и какие задачи мы решаем. Ведь не только работодатель собеседует, но и работодателя;) + тут многие вещи важны — мотивация, интересы и тд (например, что бы работать в Близзард, надо быть фанатом игр Близзард).

Короче от собеседований отказаться нельзя, даже от технических, а потому дополнительные траты на абстрактный результат — не очень интересно (ИМХО). Спасибо за ценные советы.

В принципе, именно так и реализован сервис — лаборатория + устное собеседование. Вряд ли заказчик сможет позволить себе сделать лабораторию, обслуживать ее и держать в интернете — это требует ресурсов. Если говорить о сторонних лабораториях — это не то, потому как лаборатория — целый набор уязвимостей, взять наши бесплатные лаборатории — ZN Test.lab, PHD IV Test lab. У заказчика может быть много веба, или же наоборот, требуется спец по ИБ в области безопасности сетей, и акцент при тестировании тогда нужно ставить именно на сети. А поскольку мы для каждого заказчика разрабатываем индивидуальные задания, на основе его требований к соискателю — то и результат получается ожидаемый заказчиком, чего невозможно добиться, делая типовые лаборатории «для всех». Еще раз спасибо за ценные советы, возможно они найдут свое применение в сервисе.

Следует осознать ту степень зависимости от компьютерной обработки данных, в которую попало современное общество. Без всякого преувеличения можно сказать, что необходима информационная гражданская оборона. Спокойно, без нагнетания страстей, нужно разъяснять обществу не только преимущества, но и опасности, связанные с использованием информационных технологий. Акцент следует делать не на военной или криминальной стороне дела, а на гражданских аспектах, связанных с поддержанием нормального функционирования аппаратного и программного обеспечения, то есть концентрироваться на вопросах доступности и целостности данных. Принцип разделения обязанностей предписывает как распределять роли и ответственность, чтобы один человек не мог нарушить критически важный для организации процесс. Например, нежелательна ситуация, когда крупные платежи от имени организации выполняет один человек. Надежнее поручить одному сотруднику оформление заявок на подобные платежи, а другому - заверять эти заявки.

Другой пример - процедурные ограничения действий суперпользователя. Можно искусственно 'расщепить' пароль суперпользователя, сообщив первую его часть одному сотруднику, а вторую - другому. Тогда критически важные действия по администрированию ИС они смогут выполнить только вдвоем, что снижает вероятность ошибок и злоупотреблений. Предварительное составление описания должности позволяет оценить ее критичность и спланировать процедуру проверки и отбора кандидатов. Чем ответственнее должность, тем тщательнее нужно проверять кандидатов: навести о них справки, быть может, побеседовать с бывшими сослуживцами и т.д.

Подобная процедура может быть длительной и дорогой, поэтому нет смысла дополнительно усложнять ее. В то же время, неразумно и совсем отказываться от предварительной проверки, чтобы случайно не принять на работу человека с уголовным прошлым или психическим заболеванием. С момента заведения системного счета начинается его администрирование, а также протоколирование и анализ действий пользователя. Постепенно изменяется окружение, в котором работает пользователь, его служебные обязанности и т.п. Все это требует соответствующего изменения привилегий. Техническую сложность представляют временные перемещения пользователя, выполнение им обязанностей взамен сотрудника, ушедшего в отпуск, и иные обстоятельства, когда полномочия нужно сначала предоставить, а через некоторое время взять обратно.

В такие периоды профиль активности пользователя резко меняется, что создает трудности при выявлении подозрительных ситуаций. Определенную аккуратность следует соблюдать и при выдаче новых постоянных полномочий, не забывая ликвидировать старые права доступа. К управлению сотрудниками примыкает администрирование лиц, работающих по контракту (например, специалистов фирмы-поставщика, помогающих запустить новую систему). В соответствии с принципом минимизации привилегий, им нужно выделить ровно столько прав, сколько необходимо, и изъять эти права сразу по окончании контракта. Проблема, однако, состоит в том, что на начальном этапе внедрения 'внешние' сотрудники будут администрировать 'местных', а не наоборот. Здесь на первый план выходит квалификация персонала организации, его способность быстро обучаться, а также оперативное проведение учебных курсов.

Важны и принципы выбора деловых партнеров.

Должностная инструкция тренера, должностные обязанности тренера, образец должностной инструкции тренера. 20 октября 2010. Должностная инструкция бухгалтера. 2018-6-9  Должностная инструкция тренера Фитнес, спорт, индустрия красоты Должностная инструкция тренера Должностная инструкция.