Стажёры рулят или Почему не надо бояться доверять молодым сотрудникам

Боитесь стажёров? Не хотите тратить своё время на обучение начинающих специалистов? Задач много, а специалистов по ИБ мало?

Делюсь опытом построения стажёрского конвейера на базе SOC. Может, это решит ваши проблемы.

Многие российские современные IT-компании имеют стажёрские программы. Я знаком с несколькими примерами ИБ-стажировок в таких компаниях, но ничего близкого к описанной далее реализации не нашёл. Мне кажется, что всё просто и очевидно, но почему вы так не делаете? Не найдя ответа на вопрос, решил написать об очевидном, подкрепляя личным опытом.

Кто я, как у нас?

Я Серёга, работаю в Ozon Tech и старательно организую работу Security Operations Center. Если вы хотите познакомиться с историей нашего подразделения, то прочитайте статью моего коллеги.

Но всё же коротко расскажу, кто мы и чем занимаемся. У нас три команды:

• команда инженеров,

• команда аналитиков,

• команда «Первая линия».

Инженеры самостоятельно внедрили SIEM в отказоустойчивой распределённой конфигурации. Занимаются поддержкой и развитием SIEM, а также конфигурируют всякие интеграции и разрабатывают некоторые свойственные SOC системы и сервисы в собственном исполнении, например, TI-платформа, сервис анализа публикуемых утечек.

Аналитики развивают мониторинг защищённости Ozon, разрабатывают и поддерживают процессы Threat Hunting, организуют мониторинг, используя популярные подходы, актуальные публикуемые отчёты об атаках и инцидентах ИБ, а также реализуют компоненты мониторинга по запросам коллег из смежных ИБ-команд. Основные задачи аналитиков подразделяются на операционные и проектные, первые сводятся к участию в дежурствах как вторая линия обработки событий ИБ (срабатываний правил корреляции) и участие в расследовании (реагировании) инцидентов ИБ, а вторые делятся на три этапа разработки новых компонентов мониторинга: аналитика, реализация и тестирование. А ещё у нас есть компоненты мониторинга на ML, автоматизации реагирования, разные крутые процессы, и мне даже жаль, что редактор меня поругает за «уход от главной темы», поэтому придётся написать другую статью, чтобы подробнее поделиться тем, как оно у нас устроено.

«Первая линия» стоит на страже мониторинга защищённости посредством разбора срабатываний правил корреляции SIEM, оповещений иных СЗИ, а также обращений сотрудников (и не только), связанных с ИБ. Недавно «Первая линия» начала работу в непрерывном формате 24/7 (не On-Call), думаю, напишем подробно статью на эту тему в будущем. Ещё сотрудники осуществляют поддержку формализованных переданных процессов смежных подразделений ИБ. Тут бы рассказать про метрики ещё, но в другой раз.

Коротко как-то так, без данного контекста будет трудно рассказать по основной тематике…

О чём поговорим?

• Сталкивались с повышенным количеством проблем найма сотрудников в ИБ относительно всего IT?

• Коллеги массово покинули компанию в пользу зарубежных работодателей?

• Специфика работы подразделения приводит к высоким затратам на онбординг даже опытных сотрудников?

• Желаемые специалисты на рынке труда «ошиблись» порядком желаемого уровня дохода?

Пару лет назад мы внезапно для себя открыли способ решения некоторых кадровых проблем, вызванных развитием SOC и ростом операционной и проектной нагрузки. Мы наняли стажёров в команду. Можно было бы закончить на этом статью, типа дал рецепт — готовьте, кушайте, но надо же поделиться результатами и опытом, рассказать про шишки на лбах от черенков граблей…

Как-то CISO к нам пришёл,
И сказал нам громко:
Каждому отделу —
Взять по два стажёра!

Это было что-то вроде общей тактики наших HR относительно борьбы с трудностями найма в IT. Кто-то обрадовался (я), кто-то даже расстроился. Пошли разговоры о том, что наставничество отнимает много полезного времени, что полгода поучим ребят, а они потом свалят. Также были доводы про вероятную неблагонадёжность или безответственность неопытных начинающих коллег-стажёров, которые недопустимы в ИБ. Я же для себя увидел потенциал самореализации как наставника, возможность делегировать рутину и тривиальные (неинтересные мне) задачи. О какой-то перспективе становления стажёров действительными специалистами даже не рассуждал, а пытался извлечь из «надо» какие-то плюсы для себя. Как-то так мы инициировали запуск небездушного конвейера подготовки молодых специалистов ИБ в интересах SOC Ozon. Предлагаю к разговору обсуждение нашего полуторагодового опыта стажировок и дальнейшего сотрудничества со стажёрами в качестве специалистов.

Формат стажировок в Ozon Tech

Как же оно устроено в Ozon Tech?
Нанимаем стажёров на срочный трудовой договор (6 месяцев) на сорокачасовую (есть вариации двадцати и тридцати) рабочую неделю с должностным окладом размером примерно в половину от величины дохода младшего специалиста. Есть четыре варианта исхода стажировки:

• досрочное завершение трудового договора (по инициативе стажёра или компании);

• прекращение сотрудничества по истечении срока действия трудового договора;

• перевод стажёра на позицию младшего специалиста до или в срок истечения трудового договора;

• ротация стажёра в иные команды (актуально при отсутствии средств бюджета найма в нашу команду).

Каждому стажёру выбираем наставника из числа опытных сотрудников. На основании входных способностей и знаний стажёра составляется индивидуальный план развития (ИПР). В пункты плана вносим технологии, системы и внутренние процессы, которые необходимо освоить стажёру за 6 месяцев стажировки, а также подробное описание этапов и степеней освоения. Успешное освоение всех пунктов ИПР должно гарантировать готовность стажёра стать младшим специалистом — таким принципом необходимо руководствоваться при составлении и ведении ИПР. У каждого стажёра есть стаффер — сотрудник команды стажёрских программ — он сопровождает стажёра, руководителя и наставника по HR-вопросам: от адаптации до перевода в штат.

Как отбираем кандидатов

Специалисты по подбору стажёров отбирают резюме кандидатов, подходящих под предъявляемые нами требования. Мы смотрим также и студентов, так как основная масса принятых нами стажёров были студентами старших курсов (включая очные отделения бакалавриата и магистратуры). Сразу скажу, что проблем совмещения работы и обучения ни у нас, ни у стажёров не возникало (подробнее далее). Требования по подбору кандидатов, транслируемые нами HR, почти полностью соответствуют требованиям к младшим специалистам (опыт не требуем, естественно).

Отобранные кандидаты проходят с HR предварительный технический скрининг, на котором задаются базовые технические вопросы. Кандидата также просят рассказать о своих навыках в фокусе предъявляемых в вакансии требований. Результаты первого общения с кандидатом передаются нанимающему менеджеру (в роли нанимающего менеджера выступает либо руководитель, либо наставник), который на основании полученной информации отбирает кандидатов на интервью.

На интервью приглашается группа сотрудников, заинтересованных в будущей деятельности кандидата как стажёра. Формат интервью — онлайн-конференция длительностью в 1 час. Примерно половина времени уходит на знакомство с кандидатом, а также кандидата с планируемыми задачами стажировки. За эту половину выясняем мотивацию кандидата стажироваться у нас, а именно, смотрим на заинтересованность кандидата в дальнейшем сотрудничестве по факту окончания стажировки, изучаем наличие огонька в глазах (который редко можно увидеть на собеседованиях специалистов), убеждаемся, что кандидат впишется в наш дружный нетоксичный коллектив и подружится с задачами, которые уже приготовлены для него. У нас даже есть несколько обязательных вопросов кандидатам, которые, на первый взгляд, не несут никакого смысла, однако ответы на них и их последующее обсуждение помогают лучше понять душу сущность кандидата. В техническую половину стараемся нащупать сильные стороны кандидата, спрашиваем в соответствии с задекларированными кандидатом знаниями.

Итоговое решение принимает нанимающий менеджер. В среднем с момента начала поиска стажёра уходит один месяц, а на интервью с командой попадают 6 кандидатов до успешного найма стажёра. Резюмируя этот блок, стажёр = горящие глаза + уверенность в себе как в кандидате + теоретические знания уровня младшего специалиста, но, естественно, по каждому критерию мы готовы делать скидки ситуативно.

Формат стажировок в SOC Ozon Tech

В нашем отделе наставниками становятся по желанию, а не по назначению.

У нас есть чек-лист нового сотрудника SOC, в котором описаны все необходимые шаги для самостоятельного онбординга стажёра (запросить доступы, прочитать внутреннюю документацию, посмотреть записи актуальных рассказов сотрудников о технической и организационной структуре SOC). Наставник представляется стажёру и знакомит его с ИПР и чек-листом. На прохождение чек-листа и обязательных курсов стажёру отводится 2 недели. С самой первой минуты мы стараемся создать приятную психологическую атмосферу стажёру, вербально и невербально демонстрируя открытость и готовность принимать вопросы любого характера. Необходимый и достаточный уровень психологической адаптации стажёра в коллективе достигается за 1-3 рабочих дня. Мы стараемся поддерживать документацию в надлежащем виде, поэтому на все вопросы стажёра, ответы на которые нельзя получить из документов, помимо ответов побуждаем к описанию нашего ответа в документации.

После прохождения чек-листа наступает один из самых трудных этапов для стажёра — нужно начинать браться за реальные задачи. Правда, не так давно мы подготовили задачки для стажёров, которые задаются в шуточно-игровом стиле (например, определить, где путешествовал коллега в отпуске), но для решения требуют выполнения операций в боевых системах и сервисах, например, поиск какой-либо информации в SIEM. Наставник,исходя из своих ощущений, подбирает несложную реальную задачу к самостоятельному выполнению стажёром, но всё же сопровождает процесс выполнения.

На данном этапе стажёры (если не имели опыта работы) впервые в жизни приступают к рабочим задачам, этот опыт очень важен, так как в случае неудач придётся усиленно работать над уверенностью стажёра. Далее, давая разнородные задачи, а также предоставляя задачи на выбор, формируется картина о предпочтениях стажёра, о его сильных и слабых местах в технике и софтах. Обычно до этого этапа доходят за 2-3 месяца.

В середине стажировки мы проводим встречу-экватор, где подводим промежуточные итоги и анализируем ИПР. Стажёр получает развёрнутую обратную связь, наставник и руководитель оценивает динамику стажировки: успевает ли стажёр дорасти до джуна за оставшиеся 3 месяца? Если нет, то вносим корректировки в план — предлагаем способы и пути развития проблемных областей. С этого момента стажёр становится почти полностью самостоятельным сотрудником, хотя мы с первого дня относимся к нему как к самостоятельной единице.

К этому моменту уже становятся ясны перспективы дальнейшего взаимодействия со стажёром, поэтому уже за 3 месяца до окончания стажировки начинаем продумывать стратегию перевода стажёра в штат. Нам также важно увидеть, как стажёр развивается (исправляется) под действием корректив со стороны наставника и руководства. Важно также разглядеть инициативность и небезразличие к процессам вокруг. Самая весомая компетенция стажёра для нас — это его самостоятельность. Советом из руководителей и наставником принимается решение о переводе сотрудника в штат. Ещё может быть выдуман «дембельский аккорд» для стажёра в виде серьёзной задачи или небольшого проекта, по факту успешного завершения которого будет произведён перевод в штат. Было бы неплохо порефлексировать вместе со стажёром о его пути у нас, учитывая его ощущения, проще говоря, получить от него обратную связь о стажировке.

Наши успехи

За полтора года мы наняли 13 стажёров, из них на момент написания статьи:

• 5 являются штатными сотрудниками;

• 3 только начали свой путь в Ozon Tech (менее двух недель);

• 3 стажируются успешно около трёх месяцев;

• с двумя пришлось расстаться.

Первые 2 наших стажёра, нанятых в начале лета 2022 года, были приняты в штат на позиции младших специалистов в команду аналитиков незначительно раньше истечения срока стажировки, а в настоящее время являются middle-специалистами (тут читателю нужно поверить, что процесс ревью в Ozon Tech справедливый и объективный) в той же команде. Данные сотрудники являются ключевыми в решении и операционных, и проектных задач аналитики SOC, накопленный опыт позволяет не только самостоятельно решать задачи, но и выступать в роли наставников стажёрам.

Командой «первой линии» руководит бывший стажёр, вышедший на данный уровень за один год (полгода стажировки и полгода работы на «первой линии»).

Один из стажёров «первой линии», попавший в штат через 4 месяца после начала стажировки сразу на позицию middle-специалиста «первой линии», спустя 7 месяцев после зачисления в штат перешёл в команду инженеров SOC.

Все сотрудники, «произошедшие» из стажёров, транслируют удовлетворённость условиями сотрудничества и текущими проектами и задачами, демонстрируют высокую производительность и вовлечённость.

На «первой линии» выработана и применяется стратегия непрерывного роста команды в зависимости от нагрузки по поддерживаемым процессам ИБ. Как только оценка загруженности по формализованной методике пересекает порог в 80%, инициируем наём стажёра.

Интересно: за 2023 год в Ozon Tech было принято 217 стажёров, а переведено в штат 198.

Плюсы

• Кандидаты в стажёры часто недооценивают себя, поэтому всегда можно найти «звезду» на рынке стажёров.

• Сотрудники, закончившие стажёрскую программу, больше вовлечены в рабочие процессы и нацелены на долгосрочный карьерный трек в компании.

• С каждой итерацией найма стажёров накапливается опыт и артефакты, упрощающие адаптацию последующим.

• Стажёр неосознанно перенимает модель поведения наставника, что позволяет в будущем использовать такого сотрудника как наставника. Выходит своего рода «стажёрская пирамида».

• Из-за нетривиальности внутренних процессов, а также из-за использования непопулярных систем, включая самостоятельно разработанные, зачастую приходится затратить достаточно много сил на обучение специалистов, что незначительно больше затрат сил на стажёров.

• Стажёры имеют зарплатные ожидания значительно ниже специалистов.

• Наставники наращивают опыт и компетенции по управлению персоналом в ходе стажировки, следовательно, набирают потенциал на замещение руководящих позиций.

• Также наставничество может помочь увидеть линейным сотрудникам картину управления персоналом с противоположной стороны, что может привести к росту лояльности к руководству.

• Стажёры могут иметь здоровый трудовой запал и высокий ударный потенциал, а еще могут быть привлечены к рутинным задачам.

• Стажировка позволяет дольше узнавать человека, чем испытательный срок.

• Параллельно принятые стажёры по одному направлению могут здраво конкурировать, что положительно сказывается и на скорости их развития, и на решении задач.

• Стажёру легче привить ожидаемый уровень качества выполнения задач, чем сотруднику, имеющему опыт в организациях, где качеству не уделялось должного внимания.

Проблемы

• Часто у стажёров возникает синдром самозванца, проявления которого могут отрицательно сказываться на его производительности.

• Здравая конкуренция стажёров может перерастать в некачественное экстенсивное выполнение задач в спешке.

• Из-за отсутствия трудового опыта в других организациях у стажёров и сотрудников, выросших из стажёров, может возникнуть желание покинуть организацию для сравнения условий труда в другой.

• Из-за высокого стремления проявить себя и недостатка опыта стажёры могут начать суетиться, что может приводить к каким-либо неупорядоченным действиям с их стороны.

• Стажёры всё же выедают капаситет опытных сотрудников.

• Из-за большого запала стажёры часто могут нарушать work/life-баланс в пользу работы, что может привести к выгоранию.

• Стажёрам часто приходится разбивать розовые очки, так как их представления могут значительно расходиться с действительностью.

• У стажёров редко можно позаимствовать экспертизу, что очевидно и ожидаемо.

• Стажёры-студенты очных отделений вузов вынуждены совмещать работу с учебой.

• Осознание, что срочный трудовой договор может закончиться без перевода в штат, добавляет тревожности стажёру.

• Стажёрам приходится осваивать основные рабочие инструменты, например, системы контроля версий, системы регистрации и ведения задач, системы ведения документации.

• Стажёр может иметь интерес к стажировке в качестве трамплина для развития за пределами организации. Такое желательно определять на этапах собеседования.

Cтажёр-студент — ок ли?

Как я написал выше, значительная часть стажёров (85%) были студентами очной формы обучения на момент прохождения стажировки. Среди них были и молодые люди, посещающие еженедельно занятия по военной подготовке в вузах.

Рабочие часы за «военку», равно и за обычные пары, ребята отрабатывали вечером и в выходные дни. С учётом факта, что приходится противодействовать злоумышленникам, у которых ненормированный рабочий день, возникают потребности поработать в случайные моменты времени. Выходит, что то на то и выходит.

В важные моменты обучения, например в сессию, можно взять отпуск, которого как раз накапливается 14 дней за всю стажировку.

Со стороны работодателя с существенными проблемами из-за учёбы стажёров в вузах никто не столкнулся. Важно, чтобы для самого стажёра такое совмещение было ок. Сам с первого курса работал, проблем не возникало.

Рекомендую на интервью поинтересоваться у кандидата-студента про опыт обучения в вузе, а именно: про наличие задолженностей, сложность обучения, необходимость посещать занятия очно, приветствует ли преподавательский состав совмещение с работой. Часто кандидаты самостоятельно выдают обучение за высокоприоритетную или затратную по времени деятельность, тогда можно предложить частичную занятость (20-30 рабочих часов в неделю). Хорошей практикой вижу превентивный опрос кандидатов о возможности совмещения с обучением, а также самостоятельную оценку стажёром временной нагрузки обучения в рабочее время.

Советы

• У каждого стажёра будет наставник, но не у каждого наставника будет стажёр! Необходимо поощрять наставничество в компании для повышения престижа этой роли и повышения интереса сотрудников выступить в ней. Не стесняйтесь проявлять благодарность за труд наставника, по возможности используйте инструменты материального вознаграждения состоявшихся наставников.

• Найдя индивидуальный подход к стажёру, управлять его развитием намного проще. Иногда для этого может потребоваться взаимодействие не только в рамках работы. Если наставник со стажёром искренне взаимно друг другу интересны как личности, не стесняйтесь предложить провести совместно время за пределами офиса, но в пересечении интересов.

• Советую рассматривать молодых кандидатов-студентов выпускных курсов. Из опыта — самый перспективный класс кандидатов.

• Старайтесь давать стажёрам больше свободы и в решении задач, и в выборе задач. Ограничение самостоятельности может пагубно повлиять на уровень самостоятельности в будущем. Желательно также спрашивать и учитывать их мнение при внедрении внутренних организационных мер и процессов, а также при планировании задач.

• Также не на все вопросы стажёров стоит отвечать непосредственно, возможно, стоит их отправлять искать ответы самостоятельно

• Придерживайтесь позиции, что стажёр — полноценный сотрудник, это придаёт уверенности и значимости, которых может не хватать для эффективного решения задач.

• Уделяйте должное внимание отбору на стажировку. Поверьте, вы сможете найти тот самый алмаз!

• Уделяйте должное внимание выбору наставника. Учитывайте личные качества, особенности и предпочтения наставника и стажёра.

• Позволяйте стажёрам ошибаться, где есть возможность. Собственные ошибки наиболее эффективно обучают качеству выполнения задач.

• Управляйте кругом общения стажёра с коллегами. Вам может быть виднее, что контакт стажёра с кем-то из коллег может положительно отразиться на стажёре, например, может повлиять на формирующуюся модель поведения в рабочем коллективе.

• Давайте обратную связь стажёру с максимально возможной дискретностью, например, раз в две недели (при необходимости и чаще). Так вы сможете направлять стажёра своевременно.

• Не бойтесь давать стажёрам ответственные задачи, но обязательно подсвечивайте необходимый высокий уровень ответственности при выполнении таких задач.

Интересный кейс

Тут должны быть миллион оговорок, прежде чем такое писать.
Опыт найма первых двух стажёров, которых искали и нанимали одновременно, показал удивительную картину: из восемнадцати рассмотренных кандидатов три были девушками. Из пятнадцати кандидатов-мужчин мы совсем никому не были готовы делать предложение о стажировке, а вот всем трём девушкам сделали (одна из них приняла предложение о стажировке другого направления Ozon Tech). Стоит дополнить, что основным решающим фактором явились технические знания в предметной области.

Выводы

Мы проверили на себе жизнеспособность повышенного внимания к росту молодых специалистов из стажёров, и теперь вы знаете, что у нас вышло.

У нас дружный коллектив, перед SOC стоит много задач, а у стажёров достойный уровень дохода — думаю, соблюдение таких условий может позволить перенять наш опыт успешно.

Пробуйте, если не пробовали. Делитесь опытом, если попробовали. Спорьте со мной, если не согласны. Спрашивайте, если непонятно, а если понятно, но интересно, то всё равно спрашивайте. Кто хочет — ищет возможность, кто не хочет — ищет причину (оправдание). Лучше жалеть о содеянном, чем о несделанном.