Рынок кибербезопасности растёт, но информации о том, как устроены собеседования в этой сфере, катастрофически мало. Статьи в открытых источниках либо поверхностны, либо устарели, либо написаны людьми, которые опираются на какие-то штучные примеры из свой жизни и карьеры. Эта статья — попытка закрыть пробел и дать структурированный гид для тех, кто хочет понять, через какие этапы придётся пройти как начинающему, так и матерому кибербезопаснику на пути к заветному офферу и работе мечты.
ИБшный рынок труда неразрывно связан с рынком IT, поэтому многие приемы и паттерны были переняты у старших коллег. Но, тем не менее, мир собеседований в кибербезе имеет достаточное количество нюансов, расхождений с оригиналом и самобытности, о которых стоит упомянуть.
Небольшой дисклеймер обо мне, чтобы вы сразу приняли решение – стоит дальше читать этот материал или нет. Карьеру в IT и ИБ я начал строить уже порядка 10 лет назад, начав свой путь с джуна фронтенда. Ну а после этого была череда перемещений: от фронтенда к бэкенду, дальше в фуллстака, позже в тимлида, а потом я ворвался в тот самый мир ИБ, где успел побывать и обычным специалистом, и архитектором, и аудитором, и даже проджектом. Сейчас я практикующий кибербезопасник и ментор, который регулярно не только собеседует кандидатов, но и сам проходит по несколько десятков интервью в квартал (и да, не всегда успешно), а также постоянно слушает истории своих учеников о том, как их там мучают собеседуют. Все пруфы, прошлые статьи и прочие плоды моей дейтельности ты сможешь найти вот тут – ссылка
Спойлер – в статье я буду использовать достаточно много англицизмов и иностранных слов. Сделано это не с целью разжигания дополнительного огня в комментариях, а просто потому, что менять их банально не на что. Ну все, представился, оправдался, двигаемся дальше.
О чем же дальше пойдет речь: мы посмотрим на все популярные типы и этапы собеседований, интервью, скринингов и прочих контрольных точек, которые я встречал (не только в РФ и СНГ) из раза в раз, и разберем каждую из них. Ну а по дороге я буду делиться с вами какими-то нюансами и лайфхаками, которые вам могут пригодиться, если вы встретите что-то из этой статьи в реальной жизни. Погнали.
Виды и этапы интервью
Конфетно-букетный период или первый контакт
Это самый первый этап, на котором вы только познакомились с рекрутером. Он мог выйти на вас через мессенджеры, по почте, через сервисы по поиску работы или сразу позвонить (крайне редкий и дискомфортный вариант). Тут вас ждет максимально вежливое и приветливое общение, в рамках которого можно сравняться по ожиданиям: обсудить ветку вилку, премии, офисный формат работы и базовые вопросы по специфике самой позиции. Здесь вам двоим нужно понять, стоит ли дальше общаться или есть вещи, с которыми вы или потенциальный работодатель не готовы мириться. Далее вы договариваетесь о времени первого звонка, который и станет следующим этапом.
*Дисклеймер – да, в некоторых случаях общение с рекрутером можете инициировать и вы сами, но сути это не меняет.
Скрининг
Чаще всего он проходит в формате видео-созвона, но иногда хватает и только голоса. Раньше этот этап нужен был для того, чтобы выявить первичные рэдфлаги у кандидата и понять, умеет ли он общаться, например, без хамства. На этом созвоне вас могут попросить (не в последний раз) пройтись по своему опыту и регалиям для того, чтобы выявить несостыковки в вашем резюме, а вы, в свою очередь, можете задавать вопросы, которые касаются вакансии, процесса найма или компании в целом: ищут ли они человека на замену кому-то или это расширение штата, какой текущий состав команды, какая иерархия в компании, какие есть бенефиты, бывают ли переработки и как они оплачиваются, сколько будет этапов интервью и какими они будут, сколько времени может занять этот процесс и т.д. Длится это все обычно от 20 до 40 минут.
В последнее время, с учетом того, что рынок становится жестче (да, сокращения затронули и безопасников), рекрутеры всё чаще начали на этом этапе проводить небольшие блиц-опросы на технический лад. Вопросы в блице никак не кастомизируются под ваш опыт и резюме, они одинаковы для всех кандидатов и зависят от того, на какое направление вы претендуете. Скорее всего вам будут задавать вопросы про популярные веб-уязвимости, флаги безопасности в cookie, протоколы авторизации и передачи данных, логи, аббревиатуры и прочие базовые вещи. Эти вопросы не очень сложные, но если не знать о том, что их будут задавать (а об этом далеко не всегда предупреждают), то можно и посыпаться.
Нужно это для того, чтобы отсеивать специалистов на ранних этапах воронки найма и не тратить время загруженных инженеров и лидов на то, чтобы проверять эти вещи на следующих этапах (да, этот мир не такой солнечный и приветливый). Они же и составляют эти блиц-опросы и готовят на них ответы, которые потом передают рекрутеру.
Технический блиц
Достаточно свежая штука, которая встречается пока редко и обычно в тех компаниях, где есть большой конкурс на позицию и высокие стандарты по техническим навыкам. Формат далеко не самый приятный, отчасти лишенный человечности и выглядящий как аналог теста Тьюринга из “Бегущего по лезвию”.
Суть в том, что на протяжении целого часа вам задают порядка 100 технических вопросов максимально широкого плана: сколько байтов в IP-адресе, что такое ASLR и от чего защищает, что такое SSRF, чем шифрование отличается от кодирования, какие бывают виды HTTP и т.д. Ваша задача – отвечать так, как знаете и чувствуете, без растекания мыслью по древу, так как у вас есть всего полминуты на ответ. Происходит это в формате видео-созвона. Загуглить и перезадать этот вопрос нейронке практически нереально из-за временных ограничений.
Встречал я это на собеседованиях только в РФ компаниях. Ощущаешь ты себя после такого как выжатый лимон, даже если у тебя получилось ответить на бОльшую часть вопросов. Процесс собеседований и так окутан стрессом, давлением и психологическими травмами еще со школьной/университетской скамьи, а тут все эти чувства возводятся в абсолют. Очень надеюсь, что компании и HR одумаются, и избавятся от подобного формата, пока это не стало глобальным трендом.
Техническое интервью
А вот и самый популярный тип собеседований, через который проходили многие из вас. При всей его очевидности и простоте здесь есть много вариаций его проведения (в том числе и их комбинация). Объединяет их все то, что это происходит это также в формате видео-созвонов либо с техническим специалистом, либо с несколькими такими инженерами, либо сразу с нанимающим менеджером/лидом. Продолжительность у такого мероприятия обычно от 1 до 2 часов.
Первый и самый популярный формат – обычные технические вопросы по мотивам того, что было описано в вакансии. Всё это может приправляться проверкой того, что вы указали в своем резюме. Тут возможны прыжки по верхам и углубление в какие-то конкретные домены, где интервьюер будет чувствовать вашу уверенность или напротив, слабость. Также могут быть дополнения в формате кейсов, которые встречались у команды в реальной работе или просто кажутся им интересными и сложными. Цель интервью – понять, насколько ваши текущие навыки соответствуют ожиданиям потенциального работодателя и смогут ли эти навыки усилить текущую команду.
Для отдельных ролей здесь могут быть разные вариации котлы. Так, например, AppSec-инженеров могут проверить на знание небезопасных конструкций и наличие уязвимостей в коде. Вам будут показывать на экране фрагменты кода на разных языках программирования и просить рассказать, что там не так, и как это можно исправить. В общем, это некий аналог алгоритмических интервью, но для кибербезопасников.
Пентестеров может ожидать некий аналог лайвкодинга, где вас попросят пошарить ваш экран и попросить в прямом эфире взломать тестовую виртуалку или поднятый работодателем веб-сервис. Само собой, все будут рады вашим рассуждениям вслух, чтобы понять ход вашей мысли.
Архитекторов ИБ, Security Business Partner-ов и схожих с ними ролей может ждать что-то похожее на System Design Interview. Вас попросят с нуля спроектировать какой-нибудь сервис и сделать упор на его безопасность. Это может быть как что-то попсовое по типу видео-хостинга или корпоративного мессенджера, а может быть что-то специфичное в виде сервиса авторизации или API-шлюза. Здесь вы можете задавать наводящие вопросы и точно также рассуждать вслух. Все во имя того, чтобы в итоге вы собрали безопасный продукт, состоящий из баз данных, кэшей, менеджеров очередей, балансировщиков и прочих типовых компонентов.
Здесь важно осознать одну мысль – количество технических вопросов в мире кибербезопасности конечно и достаточно сильно ограничено. Именно поэтому в какой-то момент, если проходить эти собеседования регулярно, вы поймете, что вопросы начинают повторяться.
Общение с командой или отголоски Culture Fit
У нас в стране практика проведения Cultural fit интервью не очень популярна, хотя местами встречается. Суть его в том, чтобы синхронизироваться по ценностям, целям, мотивации и культурному коду компании и команды. Это касается всяких work-life balance, ответственному подходу к задачам, субординации в коллективе (в хорошем смысле этого слова), низкому уровню токсичности, заинтересованности в развитии компании. Но, несмотря на то, что в России такое практически не встречается, у нас иногда практикуются созвоны с будущей командой для того, чтобы также словить некий мэтч.
Это чаще встречается в небольших компаниях и там, где руководитель очень дорожит климатом внутри своей команды. На таких видео-созвонах обычно обсуждается опыт кандидата и какие-то интересные истории из его карьеры, команда делится своими внутряками и тем, с чем они сталкиваются каждый день. В общем, небольшой групповой смолток для того, чтобы окончательно убедиться в том, что с кандидатом все хорошо, и что ему самому будет комфортно в новом коллективе. Продолжительность у этого созвона не очень большая – обычно от 20 минут до 1 часа.
Поведенческое интервью
Культура поведенческих собеседований (Behavioral Interview) в нашей стране развита также не очень сильно, хотя крайне часто встречается в зарубежных компаниях, особенно, в Европе. Суть в том, чтобы понять, как вы будете поступать в тех или иных конфликтных и спорных ситуациях, которые могут возникать у вас на работе: ссора с руководством, невыполнимая задача, конфликт в коллективе, оскорбление от коллеги или заказчика, комплаенс-риски, моральный выбор, столкновение между ИБ и командами разработки, и все в этом духе.
Вам будут моделировать ситуации, а вы будете пытаться их них выйти. Зачастую однозначных правильных решений в таких симулированных случаях нет, и здесь придется просто выбирать путь с наименьшим ущербом. Также нужно понимать, что сфера кибербезопасности накладывает свою специфику в виде профдеформации людей, из-за чего у них притупляются коммуникативные навыки и возрастает недоверие ко всем окружающим. Этот факт несколько усложняет прохождение таких интервью. Длится это все обычно 1 час.
В РФ вкрапления подобного типа интервью иногда встречаются либо на технических собеседованиях, либо на этапе финального общения с руководством.
Проверка службой безопасности
Этот этап обычно затрагивает не только безопасников, поэтому кажется уже достаточно привычным. Зачастую проверка со стороны службы безопасности (СБ) проходит в фоновом режиме, а от вас требуется только собрать и отправить перечень документов, которые для нее будут нужны. По итогу вам либо приходит вердикт о том, что проверка пройдена/провалена, либо к вам приходят за уточнением каких-то деталей и проведением дополнительного интервью с теми самыми сотрудниками СБ. Отказ со стороны СБ редко как-то комментируется, и это зачастую однозначно прерывает ваш процесс трудоустройства в эту компанию. Ну а положительный вердикт просто пропустит вас дальше. Эта проверка обычно занимает от 1 дня до 2 недель.
Кто-то считает этот этап бесполезным и сугубо формальным, но лично на моей практике эта проверка однажды смогла выявить кандидата, который стоит на учете в одном государственном заведении и имеет несколько приводов в полицию по достаточно специфичным поводам. При этом, на интервью к этому человеку у меня вопросов особо не было. И если бы не эта проверка, мы бы скорее всего так и не узнали об этих фактах. Само собой, на его работу это могло бы и не повлиять, но риски тут думаю очевидны.
Также был случай, когда с этим дополнительным интервью от СБ пришли ко мне, когда я собеседовался в один банк. Я бы сказал, что это был стресс-тест по видеосвязи на тему моего отношения к неоднозначным вещам. Сотрудник при этом не стеснялся использовать различные приемы манипуляции, вызывая у меня то тревогу, то доверие, то вину. В общем, приятного мало, но проверку я тогда прошел, хоть осадок и остался.
Полиграф
Ну а это излюбленный механизм проверки в больших банках и государственных компаниях. Через полиграф прогоняют не всех сотрудников, но кибербезопасников, как вы уже догадались, направляют туда с высокой вероятностью. Более того, есть компании, где эта процедура проводится на регулярной основе даже после трудоустройства (обычно раз в год).
На самом деле, это только звучит страшно, а так, это скорее скучно, потому что вам нужно обклеиться датчиками, сидеть на одном месте, смотреть в одну точку, не дергаться и монотонно отвечать на одни и те же вопросы по несколько раз. В итоге этот процесс занимает порядка 2 часов, если вам повезло и вы не захотели чихнуть.
Вопросы обычно везде одинаковые и базовые – про ваше отношение и опыт с нарушением закона, азартными играми и запрещенными веществами. Причем вы заранее все эти вопросы обсуждаете, проговариваете, а только потом начинается тест.
Финальный босс или общение с руководством
Обычно это финальное интервью, которое проводит ваш потенциальный непосредственный руководитель. Чаще всего это последняя контрольная точка перед оффером. Тут может обсуждаться тот самый преоффер, будущие задачи, потенциал развития вас, как специалиста, уровень интереса к вакансии или компании. Делается это с теми же целями, что и в случае с командой – чтобы словить мэтч и убедиться в том, что в будущем проблем не будет. Занимает это от 30 минут до 1 часа.
В кибербезе (особенно, продуктовом) очень часто бывает так, что у вас будет двойное подчинение – по ветке IT (ДИТ или Департамент Информационных Технологий) и по ветке ИБ (ДИБ или Департамент Информационной Безопасности). Одно из них будет функциональным, второе сугубо организационным. Так случается из-за того, что бюджет на вашу позицию выделяет IT-подразделение, а нанимают вас непосредственно в ДИБ. Так сложилось исторически и нужно для решения проблемы конфликта интересов. В этом случае вас может ждать финальное собеседования сразу с двумя вашими потенциальными руководителями.
Иногда подобное собеседование проводит даже сам CEO/CTO/CISO компании. В этом случае оно носит скорее формальный характер и встречается сильно реже – обычно там, где делается большой акцент на корпоративной культуре, семейном формате взаимоотношений в коллективе и холакратии.
Оффер
Да, это тоже этап. Во-первых, это именно то, ради чего вы прошли через всё вышеописанное. Во-вторых, рекрутеры часто любят позвонить и озвучить все условия и цифры, чтобы сразу понять вашу реакцию на них. Иногда после этого они присылают вам файл с теми же условиями, но бывают и случаи, когда до вашего согласия никакой файл вам не отправляют. Делается этого для того, чтобы вам было сложнее пойти за контр-оффером. В-третьих, это еще не конец.
На этом этапе рекрутер поинтересуется у вас, сколько вам нужно времени на принятие решения. Вероятнее всего вас будут склонять к паре дней, но я советую взять таймаут в неделю. Можете аргументировать это тем, что сейчас загрузка на текущей работе, а еще вам нужно сесть, все обстоятельно обдумать и обсудить с близкими.
Торги
Вещь опциональная и обычно проводится при наличии на руках у кандидата офферов из других компаний (если вы успели запараллелить собеседования). А также при наличии возможности сходить за контр-оффером к вашему текущему руководителю или если финальные условия вас чем-то не устраивают.
Все варианты абсолютно легальны и имеют право на жизнь, поэтому стесняться тут нечего: вы имеете полное право собеседоваться параллельно сразу в несколько компаний; вы в любом случае сообщите вашему текущему руководителю о вашем намерении сменить компанию, а он имеет полное право попытаться вас удержать; в ходе прохождения всех интервью ваше мнение и виденье о вашей будущей работе может измениться, что также вполне логично может повлиять на ваши запросы.
Здесь нужно просто грамотно, этично и открыто обсудить эту ситуацию с рекрутером, чтобы в итоге сойтись на компромиссе, который устроит всех. Вам могут как повысить оклад, так и премиальный коэффициент (что бывает реже), а еще вам могут дать сайнап-бонус (что-то вроде единоразовое выплаты при принятии оффера). В общем, вариантов много, тут все будет в ваших руках.
Суммируем и делаем выводы
Итого у нас получается набор из 11 этапов. Чаще всего вы будете встречать его стандартную комбинацию из 6 этапов, в которые входят: первое знакомство, скрининг, техническое интервью, проверка СБ, общение с руководством и оффер (я в вас верю). То есть, скорее всего вас будут ждать 3 полноценных созвона. Растягивается вся эта история с момента первого сообщения/письма до оффера в среднем на 2-3 недели, потому что у всех есть работа и забитые календари. Но бывают и случаи, когда все это длится месяцами – мой личный рекорд – 3,5 месяца, на протяжении которых я прошел аж 5 полноценных собеседований в формате видео-созвонов, 3 из которых были техническими. Вы можете заранее примерно прикинуть, сколько будет длиться процесс трудоустройства в ту или иную компанию, отталкиваясь от ее размера – в стартапах обычно это не занимает больше 3 недель, в энтерпрайзах это может занять до 2 месяцев.
А еще помните одну важную вещь – хоть все эти этапы и процедуры придумали нанимающие компании, но нужны они далеко не только им. Собеседования необходимы обеим сторонам для того, чтобы понять, хотите ли вы идти одной дорогой, разделять одни ценности и тратить друг на друга треть своей жизни и прочие важные ресурсы. Не стесняйтесь задавать любые вопросы, которые только возникают у вас в голове, собирайте обратную связь у людей, которые уже работают или когда-то работали в этой компании, читайте отзывы, изучайте рейтинги работодателей.
Я намеренно не стал затрагивать в этой статье конкретные вопросы из блока с техническим интервью, так как их слишком много, и это не имеет особого смысла. Несмотря на это, когда-то давно я их начал собирать – сначала чтобы самому готовиться к собеседованиям и освежать в памяти какие-то азы, а позже это добро пригодилось для учеников и менти, которые только начинали свой путь в мире кибербезопасности. В итоге они сами помогали мне дополнять эту базу, а в какой-то момент я решил заопенсорсить эти накопления, чтобы ими мог воспользоваться кто угодно.
Собеседования и так стрессовая штука, на которой некоторые запрещают гуглить (а это, я вам скажу, отдельный навык, который еще прокачать надо), давят психологически, не дают время на подумать и применяют другие техники для снижения когнитивных способностей (осуждаем). Поэтому надеюсь, что эта статья сможет немного облегчить жизнь всех тех, кто только начинает пробовать эту сферу на вкус, и тех, кто засиделся на одном месте, но уже задумывается о смене работы.
