Рынок кибербезопасности растёт, но информации о том, как устроены собеседования в этой сфере, катастрофически мало. Статьи в открытых источниках либо поверхностны, либо устарели, либо написаны людьми, которые опираются на какие-то штучные примеры из свой жизни и карьеры. Эта статья — попытка закрыть пробел и дать структурированный гид для тех, кто хочет понять, через какие этапы придётся пройти как начинающему, так и матерому кибербезопаснику на пути к заветному офферу и работе мечты.
ИБшный рынок труда неразрывно связан с рынком IT, поэтому многие приемы и паттерны были переняты у старших коллег. Но, тем не менее, мир собеседований в кибербезе имеет достаточное количество нюансов, расхождений с оригиналом и самобытности, о которых стоит упомянуть.
Небольшой дисклеймер обо мне, чтобы вы сразу приняли решение – стоит дальше читать этот материал или нет. Карьеру в IT и ИБ я начал строить уже порядка 10 лет назад, начав свой путь с джуна фронтенда. Ну а после этого была череда перемещений: от фронтенда к бэкенду, дальше в фуллстака, позже в тимлида, а потом я ворвался в тот самый мир ИБ, где успел побывать и обычным специалистом, и архитектором, и аудитором, и даже проджектом. Сейчас я практикующий кибербезопасник и ментор, который регулярно не только собеседует кандидатов, но и сам проходит по несколько десятков интервью в квартал (и да, не всегда успешно), а также постоянно слушает истории своих учеников о том, как их там мучают собеседуют. Все пруфы, прошлые статьи и прочие плоды моей дейтельности ты сможешь найти вот тут – ссылка
Спойлер – в статье я буду использовать достаточно много англицизмов и иностранных слов. Сделано это не с целью разжигания дополнительного огня в комментариях, а просто потому, что менять их банально не на что. Ну все, представился, оправдался, двигаемся дальше.
О чем же дальше пойдет речь: мы посмотрим на все популярные типы и этапы собеседований, интервью, скринингов и прочих контрольных точек, которые я встречал (не только в РФ и СНГ) из раза в раз, и разберем каждую из них. Ну а по дороге я буду делиться с вами какими-то нюансами и лайфхаками, которые вам могут пригодиться, если вы встретите что-то из этой статьи в реальной жизни. Погнали.
Виды и этапы интервью
Конфетно-букетный период или первый контакт
Это самый первый этап, на котором вы только познакомились с рекрутером. Он мог выйти на вас через мессенджеры, по почте, через сервисы по поиску работы или сразу позвонить (крайне редкий и дискомфортный вариант). Тут вас ждет максимально вежливое и приветливое общение, в рамках которого можно сравняться по ожиданиям: обсудить ветку вилку, премии, офисный формат работы и базовые вопросы по специфике самой позиции. Здесь вам двоим нужно понять, стоит ли дальше общаться или есть вещи, с которыми вы или потенциальный работодатель не готовы мириться. Далее вы договариваетесь о времени первого звонка, который и станет следующим этапом.
*Дисклеймер – да, в некоторых случаях общение с рекрутером можете инициировать и вы сами, но сути это не меняет.
Скрининг
Чаще всего он проходит в формате видео-созвона, но иногда хватает и только голоса. Раньше этот этап нужен был для того, чтобы выявить первичные рэдфлаги у кандидата и понять, умеет ли он общаться, например, без хамства. На этом созвоне вас могут попросить (не в последний раз) пройтись по своему опыту и регалиям для того, чтобы выявить несостыковки в вашем резюме, а вы, в свою очередь, можете задавать вопросы, которые касаются вакансии, процесса найма или компании в целом: ищут ли они человека на замену кому-то или это расширение штата, какой текущий состав команды, какая иерархия в компании, какие есть бенефиты, бывают ли переработки и как они оплачиваются, сколько будет этапов интервью и какими они будут, сколько времени может занять этот процесс и т.д. Длится это все обычно от 20 до 40 минут.
В последнее время, с учетом того, что рынок становится жестче (да, сокращения затронули и безопасников), рекрутеры всё чаще начали на этом этапе проводить небольшие блиц-опросы на технический лад. Вопросы в блице никак не кастомизируются под ваш опыт и резюме, они одинаковы для всех кандидатов и зависят от того, на какое направление вы претендуете. Скорее всего вам будут задавать вопросы про популярные веб-уязвимости, флаги безопасности в cookie, протоколы авторизации и передачи данных, логи, аббревиатуры и прочие базовые вещи. Эти вопросы не очень сложные, но если не знать о том, что их будут задавать (а об этом далеко не всегда предупреждают), то можно и посыпаться.
Нужно это для того, чтобы отсеивать специалистов на ранних этапах воронки найма и не тратить время загруженных инженеров и лидов на то, чтобы проверять эти вещи на следующих этапах (да, этот мир не такой солнечный и приветливый). Они же и составляют эти блиц-опросы и готовят на них ответы, которые потом передают рекрутеру.
Технический блиц
Достаточно свежая штука, которая встречается пока редко и обычно в тех компаниях, где есть большой конкурс на позицию и высокие стандарты по техническим навыкам. Формат далеко не самый приятный, отчасти лишенный человечности и выглядящий как аналог теста Тьюринга из “Бегущего по лезвию”.
Суть в том, что на протяжении целого часа вам задают порядка 100 технических вопросов максимально широкого плана: сколько байтов в IP-адресе, что такое ASLR и от чего защищает, что такое SSRF, чем шифрование отличается от кодирования, какие бывают виды HTTP и т.д. Ваша задача – отвечать так, как знаете и чувствуете, без растекания мыслью по древу, так как у вас есть всего полминуты на ответ. Происходит это в формате видео-созвона. Загуглить и перезадать этот вопрос нейронке практически нереально из-за временных ограничений.
Встречал я это на собеседованиях только в РФ компаниях. Ощущаешь ты себя после такого как выжатый лимон, даже если у тебя получилось ответить на бОльшую часть вопросов. Процесс собеседований и так окутан стрессом, давлением и психологическими травмами еще со школьной/университетской скамьи, а тут все эти чувства возводятся в абсолют. Очень надеюсь, что компании и HR одумаются, и избавятся от подобного формата, пока это не стало глобальным трендом.
Техническое интервью
А вот и самый популярный тип собеседований, через который проходили многие из вас. При всей его очевидности и простоте здесь есть много вариаций его проведения (в том числе и их комбинация). Объединяет их все то, что это происходит это также в формате видео-созвонов либо с техническим специалистом, либо с несколькими такими инженерами, либо сразу с нанимающим менеджером/лидом. Продолжительность у такого мероприятия обычно от 1 до 2 часов.
Первый и самый популярный формат – обычные технические вопросы по мотивам того, что было описано в вакансии. Всё это может приправляться проверкой того, что вы указали в своем резюме. Тут возможны прыжки по верхам и углубление в какие-то конкретные домены, где интервьюер будет чувствовать вашу уверенность или напротив, слабость. Также могут быть дополнения в формате кейсов, которые встречались у команды в реальной работе или просто кажутся им интересными и сложными. Цель интервью – понять, насколько ваши текущие навыки соответствуют ожиданиям потенциального работодателя и смогут ли эти навыки усилить текущую команду.
Для отдельных ролей здесь могут быть разные вариации котлы. Так, например, AppSec-инженеров могут проверить на знание небезопасных конструкций и наличие уязвимостей в коде. Вам будут показывать на экране фрагменты кода на разных языках программирования и просить рассказать, что там не так, и как это можно исправить. В общем, это некий аналог алгоритмических интервью, но для кибербезопасников.
Пентестеров может ожидать некий аналог лайвкодинга, где вас попросят пошарить ваш экран и попросить в прямом эфире взломать тестовую виртуалку или поднятый работодателем веб-сервис. Само собой, все будут рады вашим рассуждениям вслух, чтобы понять ход вашей мысли.
Архитекторов ИБ, Security Business Partner-ов и схожих с ними ролей может ждать что-то похожее на System Design Interview. Вас попросят с нуля спроектировать какой-нибудь сервис и сделать упор на его безопасность. Это может быть как что-то попсовое по типу видео-хостинга или корпоративного мессенджера, а может быть что-то специфичное в виде сервиса авторизации или API-шлюза. Здесь вы можете задавать наводящие вопросы и точно также рассуждать вслух. Все во имя того, чтобы в итоге вы собрали безопасный продукт, состоящий из баз данных, кэшей, менеджеров очередей, балансировщиков и прочих типовых компонентов.
Здесь важно осознать одну мысль – количество технических вопросов в мире кибербезопасности конечно и достаточно сильно ограничено. Именно поэтому в какой-то момент, если проходить эти собеседования регулярно, вы поймете, что вопросы начинают повторяться.
Общение с командой или отголоски Culture Fit
У нас в стране практика проведения Cultural fit интервью не очень популярна, хотя местами встречается. Суть его в том, чтобы синхронизироваться по ценностям, целям, мотивации и культурному коду компании и команды. Это касается всяких work-life balance, ответственному подходу к задачам, субординации в коллективе (в хорошем смысле этого слова), низкому уровню токсичности, заинтересованности в развитии компании. Но, несмотря на то, что в России такое практически не встречается, у нас иногда практикуются созвоны с будущей командой для того, чтобы также словить некий мэтч.
Это чаще встречается в небольших компаниях и там, где руководитель очень дорожит климатом внутри своей команды. На таких видео-созвонах обычно обсуждается опыт кандидата и какие-то интересные истории из его карьеры, команда делится своими внутряками и тем, с чем они сталкиваются каждый день. В общем, небольшой групповой смолток для того, чтобы окончательно убедиться в том, что с кандидатом все хорошо, и что ему самому будет комфортно в новом коллективе. Продолжительность у этого созвона не очень большая – обычно от 20 минут до 1 часа.
Поведенческое интервью
Культура поведенческих собеседований (Behavioral Interview) в нашей стране развита также не очень сильно, хотя крайне часто встречается в зарубежных компаниях, особенно, в Европе. Суть в том, чтобы понять, как вы будете поступать в тех или иных конфликтных и спорных ситуациях, которые могут возникать у вас на работе: ссора с руководством, невыполнимая задача, конфликт в коллективе, оскорбление от коллеги или заказчика, комплаенс-риски, моральный выбор, столкновение между ИБ и командами разработки, и все в этом духе.
Вам будут моделировать ситуации, а вы будете пытаться их них выйти. Зачастую однозначных правильных решений в таких симулированных случаях нет, и здесь придется просто выбирать путь с наименьшим ущербом. Также нужно понимать, что сфера кибербезопасности накладывает свою специфику в виде профдеформации людей, из-за чего у них притупляются коммуникативные навыки и возрастает недоверие ко всем окружающим. Этот факт несколько усложняет прохождение таких интервью. Длится это все обычно 1 час.
В РФ вкрапления подобного типа интервью иногда встречаются либо на технических собеседованиях, либо на этапе финального общения с руководством.
Проверка службой безопасности
Этот этап обычно затрагивает не только безопасников, поэтому кажется уже достаточно привычным. Зачастую проверка со стороны службы безопасности (СБ) проходит в фоновом режиме, а от вас требуется только собрать и отправить перечень документов, которые для нее будут нужны. По итогу вам либо приходит вердикт о том, что проверка пройдена/провалена, либо к вам приходят за уточнением каких-то деталей и проведением дополнительного интервью с теми самыми сотрудниками СБ. Отказ со стороны СБ редко как-то комментируется, и это зачастую однозначно прерывает ваш процесс трудоустройства в эту компанию. Ну а положительный вердикт просто пропустит вас дальше. Эта проверка обычно занимает от 1 дня до 2 недель.
Кто-то считает этот этап бесполезным и сугубо формальным, но лично на моей практике эта проверка однажды смогла выявить кандидата, который стоит на учете в одном государственном заведении и имеет несколько приводов в полицию по достаточно специфичным поводам. При этом, на интервью к этому человеку у меня вопросов особо не было. И если бы не эта проверка, мы бы скорее всего так и не узна��и об этих фактах. Само собой, на его работу это могло бы и не повлиять, но риски тут думаю очевидны.
Также был случай, когда с этим дополнительным интервью от СБ пришли ко мне, когда я собеседовался в один банк. Я бы сказал, что это был стресс-тест по видеосвязи на тему моего отношения к неоднозначным вещам. Сотрудник при этом не стеснялся использовать различные приемы манипуляции, вызывая у меня то тревогу, то доверие, то вину. В общем, приятного мало, но проверку я тогда прошел, хоть осадок и остался.
Полиграф
Ну а это излюбленный механизм проверки в больших банках и государственных компаниях. Через полиграф прогоняют не всех сотрудников, но кибербезопасников, как вы уже догадались, направляют туда с высокой вероятностью. Более того, есть компании, где эта процедура проводится на регулярной основе даже после трудоустройства (обычно раз в год).
На самом деле, это только звучит страшно, а так, это скорее скучно, потому что вам нужно обклеиться датчиками, сидеть на одном месте, смотреть в одну точку, не дергаться и монотонно отвечать на одни и те же вопросы по несколько раз. В итоге этот процесс занимает порядка 2 часов, если вам повезло и вы не захотели чихнуть.
Вопросы обычно везде одинаковые и базовые – про ваше отношение и опыт с нарушением закона, азартными играми и запрещенными веществами. Причем вы заранее все эти вопросы обсуждаете, проговариваете, а только потом начинается тест.
Финальный босс или общение с руководством
Обычно это финальн��е интервью, которое проводит ваш потенциальный непосредственный руководитель. Чаще всего это последняя контрольная точка перед оффером. Тут может обсуждаться тот самый преоффер, будущие задачи, потенциал развития вас, как специалиста, уровень интереса к вакансии или компании. Делается это с теми же целями, что и в случае с командой – чтобы словить мэтч и убедиться в том, что в будущем проблем не будет. Занимает это от 30 минут до 1 часа.
В кибербезе (особенно, продуктовом) очень часто бывает так, что у вас будет двойное подчинение – по ветке IT (ДИТ или Департамент Информационных Технологий) и по ветке ИБ (ДИБ или Департамент Информационной Безопасности). Одно из них будет функциональным, второе сугубо организационным. Так случается из-за того, что бюджет на вашу позицию выделяет IT-подразделение, а нанимают вас непосредственно в ДИБ. Так сложилось исторически и нужно для решения проблемы конфликта интересов. В этом случае вас может ждать финальное собеседования сразу с двумя вашими потенциальными руководителями.
Иногда подобное собеседование проводит даже сам CEO/CTO/CISO компании. В этом случае оно носит скорее формальный характер и встречается сильно реже – обычно там, где делается большой акцент на корпоративной культуре, семейном формате взаимоотношений в коллективе и холакратии.
Оффер
Да, это тоже этап. Во-первых, это именно то, ради чего вы прошли через всё вышеописанное. Во-вторых, рекрутеры часто любят позвонить и озвучить все условия и цифры, чтобы сразу понять вашу реакцию на них. Иногда после этого они присылают вам файл с теми же условиями, но бывают и случаи, когда до вашего согласия никакой файл вам не отправляют. Делается этого для того, чтобы вам было сложнее пойти за контр-оффером. В-третьих, это еще не конец.
На этом этапе рекрутер поинтересуется у вас, сколько вам нужно времени на принятие решения. Вероятнее всего вас будут склонять к паре дней, но я советую взять таймаут в неделю. Можете аргументировать это тем, что сейчас загрузка на текущей работе, а еще вам нужно сесть, все обстоятельно обдумать и обсудить с близкими.
Торги
Вещь опциональная и обычно проводится при наличии на руках у кандидата офферов из других компаний (если вы успели запараллелить собеседования). А также при наличии возможности сходить за контр-оффером к вашему текущему руководителю или если финальные условия вас чем-то не устраивают.
Все варианты абсолютно легальны и имеют право на жизнь, поэтому стесняться тут нечего: вы имеете полное право собеседоваться параллельно сразу в несколько компаний; вы в любом случае сообщите вашему текущему руководителю о вашем намерении сменить компанию, а он имеет полное право попытаться вас удержать; в ходе прохождения всех интервью ваше мнение и виденье о вашей будущей работе может измениться, что также вполне логично может повлиять на ваши запросы.
Здесь нужно просто грамотно, этично и открыто обсудить эту ситуацию с рекрутером, чтобы в итоге сойтись на компромиссе, который устроит всех. Вам могут как повысить оклад, так и премиальный коэффициент (что бывает реже), а еще вам могут дать сайнап-бонус (что-то вроде единоразовое выплаты при принятии оффера). В общем, вариантов много, тут все будет в ваших руках.
Суммируем и делаем выводы
Итого у нас получается набор из 11 этапов. Чаще всего вы будете встречать его стандартную комбинацию из 6 этапов, в которые входят: первое знакомство, скрининг, техническое интервью, проверка СБ, общение с руководством и оффер (я в вас верю). То есть, скорее всего вас будут ждать 3 полноценных созвона. Растягивается вся эта история с момента первого сообщения/письма до оффера в среднем на 2-3 недели, потому что у всех есть работа и забитые календари. Но бывают и случаи, когда все это длится месяцами – мой личный рекорд – 3,5 месяца, на протяжении которых я прошел аж 5 полноценных собеседований в формате видео-созвонов, 3 из которых были техническими. Вы можете заранее примерно прикинуть, сколько будет длиться процесс трудоустройства в ту или иную компанию, отталкиваясь от ее размера – в стартапах обычно это не занимает больше 3 недель, в энтерпрайзах это может занять до 2 месяцев.
А еще помните одну важную вещь – хоть все эти этапы и процедуры придумали нанимающие компании, но нужны они далеко не только им. Собеседования необходимы обеим сторонам для того, чтобы понять, хотите ли вы идти одной дорогой, разделять одни ценности и тратить друг на друга треть своей жизни и прочие важные ресурсы. Не стесняйтесь задавать любые вопросы, которые только возникают у вас в голове, собирайте обратную связь у людей, которые уже работают или когда-то работали в этой компании, читайте отзывы, изучайте рейтинги работодателей.
Я намеренно не стал затрагивать в этой статье конкретные вопросы из блока с техническим интервью, так как их слишком много, и это не имеет особого смысла. Несмотря на это, когда-то давно я их начал собирать – сначала чтобы самому готовиться к собеседованиям и освежать в памяти какие-то азы, а позже это добро пригодилось для учеников и менти, которые только начинали свой путь в мире кибербезопасности. В итоге они сами помогали мне дополнять эту базу, а в какой-то момент я решил заопенсорсить эти накопления, чтобы ими мог воспользоваться кто угодно.
Собеседования и так стрессовая штука, на которой некоторые запрещают гуглить (а это, я вам скажу, отдельный навык, который еще прокачать надо), давят психологически, не дают время на подумать и применяют другие техники для снижения когнитивных способностей (осуждаем). Поэтому надеюсь, что эта статья сможет немного облегчить жизнь всех тех, кто только начинает пробовать эту сферу на вкус, и тех, кто засиделся на одном месте, но уже задумывается о смене работы.
