Аналитика и советы для пентестеров и хедхантеров

Кейс 3

Владельцу развивающейся российской компании очень хотелось, чтобы работа коммерческой службы была выстроена так же, как в известных западных компаниях.

В планах было расширение географии рынков сбыта и существенное увеличение объемов производства и продаж.

Денег не жалели, очень хотелось «перекупить» руководителя службы продаж известной западной компании.

После встреч и переговоров был нанят руководитель, который «родился и вырос» в отделе продаж западной компании.

Увы, проект оказался неудачным.

Причиной неудачи оказались те самые технологии, используя которые, заказчик хотел добиться успеха.

Агрессивная манера ведения переговоров, усвоенная в ходе многочисленных тренингов в западной компании и опыта представления интересов мирового бренда с неограниченной по финансам маркетинговой поддержкой, оказалась неприемлемой для старых и новых клиентов российской компании.

Клиенты отказывались от сотрудничества и жаловались на специфическую манеру ведения переговоров нового директора по продажам владельцу бизнеса, отдел продаж поразила текучесть кадров, планы по захвату рынка пришлось свернуть — они оказалась нереалистичны.

«Голова не прижилась».

Типичные ошибки в хантинге

Неопытный хантер звонит кандидату и сходу выкладывает все, что знает о работодателе, позиции, процессах и планах развития компании. Его собеседник внимательно выслушивает, а потом говорит: «Нет, извините, мне это не интересно» — и кладет трубку. Итог: хантер остался ни с чем, а вот кандидат получил большой объем информации, часть из которой может быть конфиденциальной. Как он воспользуется этими сведениями, известно только ему.

Вывод: при первом контакте предоставляйте лишь ту информацию, которая необходима, чтобы кандидат проявил интерес к потенциальной роли и был готов продолжить диалог в формате встречи. При последующем общении будьте аккуратны и следите за тем, какую информацию озвучиваете, особенно если речь идет о конфиденциальной позиции или о сотруднике из конкурирующей компании.

Некачественная проработка

Это частая проблема внутренних рекрутеров, которые пытаются побыстрее закрыть вакансию, чтобы выполнить KPI. Но хантинг не про скорость, а про качество, поэтому спешка опасна.

Типичная история: работодатель так торопился вытащить кандидата на работу, что забыл согласовать с ним все условия сотрудничества. Возникает недопонимание: человек получает оффер, а там ряд несостыковок, которые даже не обсуждались. Чаще всего накладки касаются зоны ответственности, зарплаты gross/net и бонусной системы. Результатом может стать отклоненный оффер, срыв переговоров и репутационные потери.

Формирование завышенных ожиданий у кандидата

Некоторые охотники за головами усиленно продают вакансии, как будто это товар, который не подлежит возврату и обмену. Чтобы убедить кандидата перейти в другую компанию, они приукрашивают действительность.

Новоиспеченный сотрудник начинает работать и понимает, что все совсем не так, как ему обещали. Из-за несоответствия реальности и его ожиданий на него накатывает жестокое разочарование и негатив.

Разглашение информации о кандидате

Расскажу реальный кейс, который услышала от коллеги из другого агентства. Один хантер запросил рекомендации по кандидату у компании, где тот работал. Действующий работодатель был изрядно удивлен: он и не подозревал, что сотрудник подумывает об уходе.

Причем запрос был сделан не в лоб, а по секрету через общих знакомых, которые работали в той же компании. Тем не менее информация утекла, что является жестким нарушением правил хантинга.

Затяжной просмотр рынка

Некоторые компании не понимают емкости рынка труда, на котором работают. Они верят, что где-то есть огромное количество кандидатов и нужно непременно посмотреть всех — вдруг будет кто-то еще лучше.

Это приводит к тому, что подбор затягивается, а хорошие специалисты срываются, так как не готовы ждать вечно. Опытный хантер постарается остановить бесконечные поиски: привести клиента в чувство и вернуть его, например, к первой пятерке релевантных кандидатов.

Ориентир только на финансовую мотивацию

Кажется, что перекупить специалиста — самый простой способ. На самом деле это плохое решение. Допустим, кандидат сменил работу только из-за денег. Тогда это лишь вопрос времени, когда появится другая компания, которая предложит еще более высокий уровень вознаграждения и заберет его себе.

Мотивировать специалистов нужно не только деньгами.

Как помешать переманиванию ваших сотрудников

Поэтому я советую кандидатам четко определиться с тем, какие компании интересны, а какие нет. Для этого можно задать себе вопросы:

Пятый пункт можно расписать в виде достижений уже в резюме. Хорошо, если получится показать, чего удалось достичь для себя и компании. Здесь можно и нужно «хвастаться»: вырос со стажера до уверенного мидла, во время отсутствия лида был его замом, получил новый сертификат или, например, создал и возглавил команду для СTF.

В общем, кандидату важно проанализировать, как он рос и описать это в своем резюме. Кстати, этот пункт будет самый просматриваемый, потому что рекрутеру важно зацепиться за что-то в вашем тексте.

И еще момент: готовьте вопросы рекрутеру. Ведь его работа и заключается в том, чтобы понять, насколько компания мэтчится с кандидатом и наоборот. В среднем первичное интервью длится около 30 минут (у нас так точно). За это время как раз можно сделать легкий вывод, близки вы по духу с этим работодателем или нет.

Конечно, образование имеет значение и его стоит указывать в резюме. Да, в России официально не учат на пентестеров, и даже в значимой для ИБ Бауманке есть только обобщенные направления. И все же важно иметь это «общее» ИБ- или IT-образование, чтобы быть «в теме», мыслить на одной волне с командой. Еще один плюс высших учебных заведений в том, что многие российские компании сотрудничают с ними, проводят стажировки, запускают партнерские программы, а у ВУЗов есть свои карьерные центры, так что оттуда через стажировку можно попасть на первую работу. Стажировки позволяют рекрутерам познакомиться с кандидатами, понять, кто именно и откуда приходит в эту профессию, какие у них мотивы, интересы и потребности.

Итак, классно, если есть высшее образование в области ИБ или IT. Однако для нас это скорее дополнительный плюс. В целом мы больше за знания, а не за бумажки. Поэтому больше смотрим на профессиональную активность.

Участие в профильных соревнованиях, например, по типу CTF (Capture the Flag, «Захват флага»), здорово усиливает резюме. Пентестеры пишут, как называлась их команда, какие места они занимали. Это правильно, потому что такие заслуги ценятся в профессиональном сообществе. Для многих лидов это одно из главных требований при отборе на вакансию пентестера. Участников CTF видно издалека: чаще всего это студент или свежий выпускник ВУЗа с исследовательским огнем в глазах — такие люди нужны.

Важно упомянуть участие в Bug Bounty-программах (в идеале со ссылкой на профиль на той или иной площадке) или примеры решенных лабораторных работ по типу Hack The Box.

Хороший способ доказать высокий профессионализм — сертификаты OSCP и OSWE, но эти экзамены платные и настолько сложные, что к ним готовятся годами. В то время, как на Bug Bounty-площадках встречаются баги самого разного уровня сложности и за них, наоборот, платят пентестеру.

BugBounty.ru, BI.ZONE Bug Bounty, Standoff 365 Bug Bounty, HackerOne, Vulnerability Lab, Synack, CTFtime, TryHackMe, Root Me и так далее — такие активности высоко ценятся в профсообществе и именно их названия используют рекрутеры в качестве ключевых слов при поиске резюме. Если ничего из этого соискатель не указал, возникает вопрос, почему.

Кроме того, для нашей команды важен опыт работы в компании-интеграторе, поскольку именно он дает навык динамичной работы на заказчика в разных проектах, именно там можно пощупать разные технологии — это особенно ценится в кандидате. В компаниях, где ИБ-шник работает только над внутренними продуктами, занимается исключительно защитой внутренних систем или работает в единственном лице, динамика и разнообразие задач существенно ниже.

Ее не выразишь в резюме, но репутация кандидата также имеет значение и оказывает существенное влияние на найм. Да-да, интернет — «большая деревня», здесь многие друг друга знают. А уж что касается сарафанного радио между ИБ-компаниями, которых в России не так уж много, так это давно налаженный информационный канал. Если кандидат выступал на конференциях, участвовал в обсуждениях на форумах, то это значительный плюс. Но если у него плохая репутация в профессиональных кругах, это в некотором смысле минус (хотя, все обсуждаемо).

Наши техлиды, посмотрев какое-то резюме, могут сказать: «Мы лично его знаем» или «Мы знаем, как работают в этой компании. Из нее кандидатов не смотрим». И это не просто слепой отказ: мы пробовали «давать второй шанс» таким кандидатам, но поняли, что каждый раз это пустая трата времени. Из некоторых компаний идет постоянный поток слабых кандидатов.

Отсюда же логично вытекает и то, что в найме пентестеров и в целом безопасников заметную роль играют рекомендации. Особенно внутренние, когда работающий в компании специалист советует кого-то нанять. В Бастионе по таким рекомендациям стопроцентный найм. Это объясняется тем, что люди, которые уже отработали в компании продолжительное время, хорошо понимают специфику задач и внутренний культурный код, знают команду и видят, кто может подойти на конкретную должность. Также у нас есть такая рекрутерская практика, когда мы выходим на интересующего нас пентестера через нашего коллегу. Потому что спец спеца быстрее приведет, поговорив с ним в формате: «Я тут работаю три года, мне все нравится, у нас классная команда, давай к нам».

Так что, если нацелены попасть в конкретную компанию, узнайте — может там работает кто-то из ваших знакомых? Только имейте в виду: такая цепочка рукопожатий — вещь эффективная, но может привести и в неловкую ситуацию. В таких случаях мы всегда действуем деликатно, так, чтобы не подставить кандидата, который, может и не спешит менять работу, или сотрудника, который его рекомендовал.

Ну и конечно для пентестера важно любить исследования и расследования, ведь это одни из основных рабочих задач. Поэтому на собеседованиях мы спрашиваем, пишет ли кандидат статьи, ведет ли пет-проекты или может быть взламывает что-то в свободное время?

Подкасты

Hello New Job! — авторский курс-тренинг, который даёт систему поиска работы в современных реалиях. Курс полезен тем, кто уже ищет или планирует искать работу в России, США или Европе.

Что компании готовы предложить «идеальному» хакеру?

Мыслить, как хакер, кодить, как разраб и анализировать, как инженер — такого «идеального» пентестера рад видеть каждый рекрутер. Любой хочет привести в компанию специалиста с кучей международных сертификатов, который круглосуточно прокачивает хард-скиллы и общается на уровне спикеров с TED Talks, но это не просто.

Сейчас рекрутеры в ИБ — это в основном хантеры, использующие активный поиск (в противоположность пассивному, когда выкладывается вакансия — при поиске экспертов он неэффективен). Им надо составить карту поиска кандидата, написать стратегию найма, составить список компаний, из которых гарантированно будут кандидаты с классной экспертизой.

Чтобы схантить такого кандидата, нужно думать и действовать почти, как хакер: собирать информацию, практически выслеживать перспективных людей, а потом искать к каждому подход и разгадывать мотивы. Все, чтобы в итоге написать такое письмо, которое зацепит и покажет, что компании интересен его опыт. Да, у всех рекрутеров есть заготовки, но к опытным пентестерам всегда индивидуальный подход.

Не то чтобы на HeadHunter было мало резюме, но так как на российском рынке сейчас не голод кадров, а голод экспертизы, то описанного специалиста просто так не найти.

Кадровый голод легко продемонстрировать на простом эксперименте.

Фейковое резюме и анализ рынка

15 января я на две недели выложила фейковое резюме такого почти идеального пентестера на HeadHunter. Зачем?

Возможно, это не совсем честно по отношению к коллегам, но так можно получить объективные данные.

Для этого эксперимента я старалась создать такой образ соискателя, который вызывал бы желание платить ему большую зарплату. По легенде ему 27 лет и у него «горящие глаза». В тексте этого толком не покажешь, поэтому я обильно сдобрила резюме ссылками на Bug Bounty-площадки, CTFtime, TryHackMe, Hack The Box и написала, что соискатель готов рассказать об интересных кейсах по запросу (забегая вперед, про них никто так и не спросил ☹). А еще у него есть 2 сертификата: OSCP и OSWE.

Чтобы подчеркнуть «боевой» опыт пентестера, я написала, что он работает в интеграторе почти 4 года. Кстати, он шарит за код и прошел путь от стажера до мидла, что создает образ не «бегунка», а лояльного компании молодого человека с серьезными намерениями. Вишенка на торте — осознанный выбор профессии, поэтому наш герой закончил Бауманку по «Компьютерной безопасности».

Зарплатные ожидания — 300 000 рублей на руки (было интересно, сколько предложат в реальности).

Отклики на резюме и результаты эксперимента

За 14 дней в резюме 123 раза заглянули представители 51 компании. В итоге с кандидатом связались представители 25 компаний. В их числе крупные банки, госорганы, пара больших корпораций и специализированные ИБ-интеграторы — можно сказать, срез рынка.

Теперь к самому интересному: что предлагают. Если вы ожидали невероятные бенефиты, то нет, все достаточно стандартно: ДМС, чаще всего удаленка (только три рекрутера настаивали на офисном формате работы), компенсация обучения и доплата за больничный с учетом стажа.

6 компаний из 25 сразу написали, что 300 000 руб. на руки не дадут точно. Средняя минимальная зарплата, от которой стартовали предложения, — 135 000 руб. на руки. Это не джуновая ставка, рекрутеры обозначали, что им интересен опыт от двух лет.

Средняя максимальная зарплата — 300 000 руб. на руки, но чтобы реально на нее претендовать, нужно сильно заинтересовать технического лида. Кстати, по нашей статистике 300 000 руб. хочет каждый третий пентестер.

Среди 25 предложений были 3 вакансии на роль лида, который должен руководить командой пентестеров и развивать ее экспертизу, но самыми привлекательными по деньгам оказались два предложения:

За рубежом по прежнему готовы платить больше, чем на локальном рынке. При этом максимум, предложенный российскими компаниями, составил 305 000 руб. на руки (это был один известный вендор).

Что творится на российском рынке ИБ-специалистов

До технических собесов дело не дошло, поэтому наш «кандидат» не может сказать вам, сколько конкретно он стоит на рынке. Так нагло тратить чужое время я не стала, но все равно могу сделать некоторые выводы.

Ситуация в России создает все предпосылки для бурного развития рынка ИБ. Уже резко выросло количество стартапов в сфере кибербезопасности.

Пока вы это читаете, где-то открывается еще стартап, который хочет забрать кандидата, которого хотим мы. А еще гиганты-безопасники («Лаборатория Касперского», Positive Technologies и подобные) во всю пылесосят рынок. Вносят вклад в конкуренцию и релоцировавшиеся за границу бизнесы, и, отчасти, Bug Bounty-программы.

Наблюдается высокий спрос на квалифицированных пентестеров, но при этом у российских компаний плюс-минус одинаковые запросы и условия для кандидатов. Чтобы выбрать лучшее предложение и найти ту самую работу мечты, придется поговорить примерно с 25-ю компаниями за две недели. А это, мягко говоря, энергозатратно.

Бесплатные вебинары для HR-специалистов

Работает на всех устройствах

11:00 (МСК), длительность: 1,5 ч

Вовлекающий контент для корпоративного обучения: проще, чем кажется

Product Manager компании Edstein по модулю обучения

Обучение сотрудников: рабочий инструмент или слив бюджета;Как корпоративное обучение влияет на креативность сотрудников;Корпоративное обучение как способ налаживания внутрикомандных связей;Тренды в обучении персонала 2024;В чем секрет эффективного обучающего контента;Как вовлечь сотрудников в обучение;Разрабатывать контент на аутсорсе или создавать самим;

Будь в курсе самых актуальных HR-трендов, прокачивай свои знания и навыки вместе с нами!

Про headhunting

Cлово headhunting звучит таинственно и завораживающе.

Некоторые специалисты с гордостью именуют себя хедхантерами в профилях в социальных сетях, многие наниматели искренне верят в истории о том, как добытые «охотниками» чудо-головы достигали запредельных высот в развитии бизнеса.

Принято считать, что headhunting — дорогое, но эффективное средство для решения сложных бизнес-задач, справиться с которыми не могут сотрудники, нанятые «по объявлению».

Давайте на реальных примерах разберемся, как часто headhunting позволяет достичь ожидаемого результата, и действительно ли для «охоты за головами» используются недоступные рядовым специалистам по подбору персонала технологии.

Так как я был непосредственным участником событий в 2/3 из описанных кейсов, их оценку можно считать вполне объективной.

Онлайн-курс «Методы и технологии подбора персонала»

Как нанимателям вести себя в условиях высокой конкуренции между ИБ-компаниями

Сразу отмечу, что сорсить пентестеров лучше с утра, потому что к обеду ты будешь уже пятым. На первом этапе лучше не звонить, а направить человеку письмо с сообщением, что вы нашли его резюме и заинтересованы в нем, как в специалисте. Первое касание — самое важное. Письма нужно составлять индивидуально, внимательно изучив резюме, которое позволяет хотя бы немного понять ценности и интересы соискателя.

Часто кандидаты не хотят даже разговаривать, пока не узнают зарплатную «вилку». Однако довольно сложно составить какую-то аналитику по зарплатам, поскольку их размер открыто не публикуют. Пока пытаетесь ее сформировать, предлагайте кандидату сказать сумму, ниже которой ему точно неинтересно будет работать. Далее после технического интервью можно будет снова поговорить про деньги.

Самый животрепещущий вопрос от кандидатов «Почему вы не говорите вилку?»‎. Ребята, иногда ее непросто сформулировать, так как рынок штормит. С одними и теми же скиллами два разных кандидата будут просить 120 000 и 260 000 рублей на руки. К тому же, чтобы составить вилку, нужно проанализировать и зарплаты кандидатов, и вакансии от других компаний, в которых свои бюджеты. Находясь по другую сторону найма, соискатель спешит делать вывод, что все хотят его обмануть и дать «невкусный» оффер. Но это не так, просто рынок диктует свои правила.

Труд пентестеров малозаметен, хотя их вклад в IT-индустрию не менее важен, чем вклад разработчиков. Найти подходящего специалиста сейчас непросто, но и пентестеру нелегко выбрать постоянного работодателя. Но если мы будем стараться  следовать нехитрым рекомендациям из этой статьи, то всем нам будет проще.

Кейс 2

Требовался специалист, имеющий опыт реализации проекта запуска производства с использованием редкой технологии.

Тратить время и силы на разработку проекта «с нуля»- изучать рынки сырья и оборудования, общаться с маркетологами, технологами и проектировщиками заказчику не хотелось.

Искали «голову» в России и СНГ.

Искали по-разному —  от поиска статей в СМИ о запуске производств, на которых использовалась интересующая заказчика технология, до публикации обычных объявлений о найме.

Специалист был найден, для интервью заказчик оплатил его перелет из другого города.

Встреча с потенциальным нанимателем прошла в хорошем ресторане, но переговоры наймом не завершилась.

Угостив соискателя ужином, заказчик получил нужную информацию, но отказался от реализации проекта, сочтя его слишком затратным и рискованным.

Работа была выполнена, заказчик нетривиальным способом решил свою бизнес-задачу, кандидат предложение о найме не получил.

Как оказалось, заказчику нужна была не столько «голова», сколько ее содержимое, и он получил его, не нанимая сотрудника.

Когда нужен хантинг

Важно понимать, для чего использовать хантинг персонала:: что это закрывает не только задачу переманивания конкретного сотрудника, но и ряд других потребностей бизнеса:

Хантинг не нужен, когда компания:

Чем хантинг отличается от executive search

Хантинг — направление поиска ключевых специалистов, основанное на переманивании из одной компании в другую. Причем целью может быть не только топ-менеджер, но и эксперт с редкими навыками или специалист, известный в своей отрасли.

Самый простой пример — директор компании вызывает рекрутера и говорит: «У конкурентов работает такой разработчик Вася, хорошо бы его к нам забрать». Перед рекрутером поставили задачу, но вот вопрос: сможет ли он выполнить этот кейс самостоятельно? Хантинг имеет свою специфику и нюансы, без знания которых легко ошибиться. Поэтому рекрутеру, если он не обладает достаточной экспертностью и опытом, лучше отдать этот процесс на аутсорс.

Executive search — профессиональная технология, направленная на прямой поиск кандидатов С-level, редких и уникальных специалистов. А хантинг сотрудников — только одна из составных частей этой технологии.

Вот из каких этапов состоит executive search:

Executive search — сложный многоступенчатый процесс, крайне чувствительный к профессионализму исполнителей. Одному рекрутеру сложно справиться со всеми этими задачами, поэтому такую технологию поиска эффективно проводят специализированные агентства, обладающие необходимой экспертностью и ресурсами.

Например, в нашей компании над одним сложным проектом могут работать несколько человек:

Некоторые компании не передают задачи точечного поиска на аутсорс, а справляются своими силами. Для этого они нанимают в штат talent-acquisition- или executive-search-менеджеров — опытных высокооплачиваемых хантеров с классным бэкграундом и прокачанным нетворком. Как правило, такие специалисты — выходцы из executive-search-агентств. Но это выгодно, только если работодатель регулярно решает задачи по точечному сложному найму и хантингу.

Собственный хантер — дорогое удовольствие. Если вы не занимаетесь постоянным поиском уникальных специалистов и топ-менеджеров, расходы вряд ли окупятся.

Кейс 4

Собственник бизнеса решил передать оперативное управление компанией наемному менеджеру.

Для этого был «перекуплен» генеральный директор близкой по профилю компании, новому руководителю был дан карт-бланш.

Увы, собственник не смог не вмешиваться в процесс управления.

Мелкие разногласия во взглядах на развитие бизнеса постепенно перерастали в крупные, взаимное недовольство росло.

Разочарование наемного сотрудника несоблюдением достигнутых при приеме на работу договоренностей накладывалось на обманутые ожидания собственника, ожидавшего большей эффективности от нанятого руководителя, вознаграждение которого более чем в полтора раза превышало рыночное.

История закономерно закончилась увольнением.

Обиженная «голова» нашла утешение у конкурентов.

Курс «Специалист по подбору персонала»

Кейс 1

Полиграфическому предприятию требовался опытный технолог.

Предприятий, использующих такую же, как у заказчика, уникальную технологию, в СНГ было всего три, поэтому круг поиска был сужен до нескольких кандидатов.

Для сбора информации о «головах» на интервью приглашались бывшие и действующие сотрудники предприятий-конкурентов.

В ходе собеседований как бы невзначай задавались вопросы: «А технологи у вас там Михаил Петрович и Петр Иванович? Нет? А кто?»

Зная Ф.И.О., собрать дополнительную информацию о «голове» и найти способ выйти на контакт было несложно.

Далее — переговоры, встречи, предложение, которое технолог, работавший у конкурентов, принял.

Новый сотрудник переехал из регионального центра в Санкт-Петербург, его доход существенно вырос по сравнению с предыдущим местом работы, но при этом был ненамного выше средней заработной платы специалистов такой квалификации в Петербурге.

В любом случае, для нанимателя это было выгодное приобретение — приглашенный специалист привнес некоторые полезные новшества в производственный процесс, и несмотря на то, что технологическая революция не случилась, и работа предприятия заказчика благодаря нанятой «голове» кардинально не изменилась, результат работы сотрудника вполне соответствовал затратам на его заработную плату и аренду жилья.

11 программ обучения специалистов по подбору персонала

Чем переманивать кандидата и что делать, если он отказывается

Некоторые полагают, что хантинг в основном про деньги: якобы переманить — все равно что завалить зарплатой и «плюшками». Это не так. Финансовая мотивация чаще всего присутствует, но не является ключевой.

Гораздо важнее совпадение по ценностям кандидата и компании. Сейчас люди меняют работу, если понимают, что в другом месте смогут достигать своих целей, быть результативными, развиваться быстрее и эффективнее, получать опыт, повышающий экспертность на рынке труда.

Если хантер предполагает, что кандидат и работодатель не подходят друг другу, он первым должен бить тревогу. Его цель не быстро подписать оффер с кем угодно, а найти человека, который легко встроится в компанию и будет эффективно решать ее задачи.

Расскажу, как мы пробовали схантить сотрудника на позицию уровня CEO. Кандидат прошел много этапов интервью, познакомился со всеми бордами, выполнил тестовое задание. Но в финале он отклонил оффер: понял, что не готов к переходу, и решил остаться в прежней компании.

Если вы полностью и качественно выполнили свою часть работы: поняли истинную мотивацию, грамотно представили компанию, рассказали обо всех преимуществах, проработали сомнения, — а кандидат все равно отказывается, не надо дожимать. Лучше подобрать правильные слова для заказчика, чтобы обосновать отказ и снять разочарование, и продолжить поиск идеального мэтча.

Кейс 5

Наверное, оно известен многим — это история сотрудничества АвтоВаза и «варяга» — шведского менеджера Бу Андерссона, под руководством которого в России была спроектирована и начала производиться Lada Vesta — первый и пока последний отечественный легковой автомобиль, который всерьез сравнивают с моделями ведущих мировых производителей.

Если помните, сразу после запуска производства модели швед был с позором изгнан с АвтоВаза —  его работа была признана неудовлетворительной.

Официальная причина — ожидаемый финансовый результат не достигнут, хотя продажи показали, что коммерчески автомобиль вполне успешен.

Бу Андерсон уволен давно, но других моделей у АвтоВаза так и не появилось, и непонятно, когда они появятся.

Как оценивать эту историю — как безусловный успех «головы», за несколько лет сделавшей то, что никому не удавалось десятилетиями, или провал —  глобального чуда, ожидаемого владельцами предприятия, не случилось — решайте сами.

Процесс найма этичных хакеров

В остальном алгоритм найма у нас достаточно простой. Первый этап — общение с рекрутером, где мы задаем вопросы про опыт и рассказываем кандидату о том, чем занимаемся, какая у нас команда пентестеров и что они умеют в части экспертизы.

С результатами этого этапа мы идем к лиду пентестеров, обсуждаем, ставим техническое собеседование. На техсобесе руководитель проектов рассказывает про проекты, техлид задает технические вопросы, а рекрутер становится неким фасилитатором встречи. Если после этого этапа у нас остались вопросы, высылаем тестовое задание.

Пример из тестового задания для специалиста по социальной инженерии (эти довольно простые)

Если вопросов нет, мы достаточно быстро делаем оффер. Бывало даже, в тот же день. В части принятия решения в Бастионе все происходит быстро, что достаточно редко для ИБ. Мы стараемся не удлинять процесс найма, чтобы не терять ценные кадры. Сейчас это почти так же важно, как проводить стажировки и шарить экспертизу во вне.

В результате такого сильного спроса на экспертов, кандидат в ИБ сейчас избалован предложениями о работе. У меня были кандидаты, которым я писала в начале месяца, а они мне говорили, мол, я могу прийти на техсобес только в 20-х числах, потому что до 20-го у меня все расписано. А к 20 числу он говорит: «Все, я устал и выдохся, у меня уже есть 5 офферов, я буду из них выбирать». В таких условиях надо буквально продавать вакансию. И тут мне хотелось бы порекомендовать кое-что не только кандидатам, но и коллегам, потому что этот танец танцуют двое.

Про службу безопасности, или Как не привести злого хакера в штат?

Многие люди, особенно далекие от IT, ассоциируют хакеров с преступниками, но наши кандидаты ни разу не рассказывали о том, как сливали базы данных, управляли ботнетами или распространяли шифровальщики. И не потому что боялись признаться. Дело в том, что мы ищем кандидатов на HeadHunter, LinkedIn и в серьезных профессиональных сообществах, а не в даркнете.

Преступники не выкладывают резюме и не общаются с рекрутерами. У них свое комьюнити и своя атмосфера. Они просто не заинтересованы в законной работе, и на респектабельных площадках их не найти. Это не значит, что нам совсем не встречались нарушители закона, но не такие, как можно подумать. На HeadHunter черных шляп нет, зато есть обычные люди, и они совершают ошибки. Например, получают административку по неосторожности.

Мы работаем в очень чувствительной сфере, так что изучаем биографию всех кандидатов. Безопасники также дают нам, рекрутерам, хороший фундамент в формате «сейчас мы его пробьем по базе» (Шутка. Никакой единой базы нет, они просто ищут везде). Мы же, в свою очередь выясняем подробности у человека, и здесь имеет значение открытость кандидата — чем он честнее, тем выше шанс, что правонарушения не повлияют на решение о найме. Другое дело — уголовные статьи. В последнее время мы стали встречать кандидатов с уголовкой, а конкретнее — с судимостью за наркотики. Это красный флаг. Мы за вторые шансы в жизни, но не на проектах, к сожалению.

В силу особенностей нашей работы существует и некоторый шанс, что в компанию захочет устроиться профессиональный инсайдер. Этакий шпион, стремящийся навредить нашим клиентам. Паранойя? А вот и нет. Во время Red team-проектов наши социальные инженеры часто ходят на собеседования на должность безопасников в другие компании, чтобы добыть информацию для будущих хакерских атак.

В таких ситуациях выручает некая «чуйка», интуиция рекрутера, которая распознает красные флажки. Например, человек хочет работать неофициально или только через определенные организационно-правовые формы — зачем ему это? Убедительно врать в глаза опытному рекрутеру не так просто, как можно подумать. В процессе интервью чувствуешь, что человек недоговаривает, несмотря на доброжелательную атмосферу.

Мы не отсеиваем таких соискателей сразу, но присматриваемся повнимательнее и просим специалистов проверить их биографию по открытым источникам.

В резюме могут быть фиктивные личные данные и информация о предыдущих местах работы. Так было у одного нашего соискателя с вымышленным именем, который якобы работал в компании, занимающейся криптой и обанкротившейся, но в интернете не было и следа о ней. На просьбы показать хотя бы какие-то скрины сайта или буклеты компании, он уводил разговор в другую сторону, задавал свои вопросы. Не мог даже сформулировать, что именно он делал в компании и какая там была команда. Вообще, забавно, когда люди врут представителю ИБ-компании. Мы же безопасники, искать информацию — в нашей экспертизе! Но обо всем, что говорил этот парень, не было найдено ничего, даже элементарного совпадения фамилии с датой рождения. Надо ли говорить о том, что наши пути разошлись?

Какой еще мотив может быть у такого соискателя, кроме вредоносного? Возможно, желание что-то скрыть, но не из-за коварных планов. Просто нам попался, так сказать, «сырой кандидат», который действительно мог работать в этой компании, но пытается утаить это, возможно, по причине неофициального трудоустройства, и у него не получается это сделать, не вызывая подозрений. А любая загадочность, отсутствие открытости, включая желание работать «в серую», их вызывают.

Такие требования к кандидату, как добросовестность и законопослушность в ИБ самые обычные, как и к сотрудникам любых других компаний. Однако работа рекрутера в том числе и заключается в том, чтобы доверять, но проверять. Поэтому, когда мы чувствуем риски, то уводим их от нашей компании.

Кейс 6

Очень хотелось бы добавить оптимизма кейсом, в котором и у «головы» все сложилось хорошо, и компания-наниматель добилась головокружительных успехов.

Жаль, такого примера «из жизни» у меня нет.

Так что кейсом со счастливым концом будем считать историю признанного успеха компании Apple и Стива Джобса.

Хотите — верьте, хотите — нет, ведь детали созданной пиарщиками легенды никто никогда узнает.

Как хантить правильно

Хантинг состоит из нескольких этапов:

Далее расскажу подробнее о каждом шаге.

Расширять нетворк и развивать профессиональную экспертизу

В идеале первый контакт с потенциальным кандидатом должен состояться задолго до появления вакансии. Для этого важно расширять нетворк — знакомиться и общаться с профессионалами, причем делать это на перспективу, а не в рамках определенной роли или компании. Такое общение носит характер сотрудничества, обмена информацией и сводится к выстраиванию длительных доверительных отношений.

Нет единого правила, как выстраивать нетворк — например, делать это онлайн или вживую. Хантеру нужно отталкиваться от того, в какой среде он ощущает себя комфортно и органично. Если он будет чувствовать себя неуверенно, выстроить партнерские отношения с кандидатами не получится.

Хантер выстраивает нетворк не для коллекционирования контактов специалистов, а чтобы быть в контексте — понимать, какие сейчас тренды на рынке: компании, вакансии и требования к позициям.

Длительное знакомство с кандидатом позволяет заранее глубоко проработать его мотивацию и понять причины, почему он может согласиться на переход в другую компанию. Тогда к моменту появления вакансии у хантера уже будет вся необходимая информация, чтобы действовать точечно и грамотно.

Например, мы поддерживаем длительные профессиональные отношения со многими потенциальными кандидатами, поэтому знаем и понимаем:

Когда к нам приходит клиент и просит найти сотрудника, я сразу же определяю пул людей, которые подойдут именно этому бизнесу или руководителю.

Конечно, всех знать невозможно — бывает, что хантер не знаком со многими кандидатами из лонг-листа. Расскажу, как я действую в подобной ситуации.

Первый контакт

Сначала нахожу человека через социальные сети (например, в линкедине) и добавляю в профессиональный круг. Практически все подтверждают мой запрос: опытные руководители взаимодействуют с хантерами и поддерживают новые знакомства.

Затем пишу короткий месседж: представляюсь, кратко объясняю цель знакомства и предлагаю созвониться. Например, так: «Здравствуйте! Я Ольга, представляю executive-search-компанию Benchmark. Сейчас я в поиске топ-менеджера в одну технологическую компанию. Открыты ли вы к потенциальным предложениям? Буду рада встретиться с вами, обсудить детали текущего проекта или познакомиться на перспективу».

Важно отметить, что, если до встречи мне нужно созвониться с кандидатом, я сначала пишу в вотсап* или телеграм с уточнением, когда кандидату будет удобно со мной пообщаться.

Совет начинающим хантерам: старайтесь избегать звонков в лоб. Представьте: человек находится на работе, вокруг коллеги. Вдруг ему звонят и предлагают обсудить переход в другую компанию — скорее всего, такой контакт обречен на провал.

Встреча

Так как хантер инициирует встречу, именно он задает настроение, озвучивает повестку и цель встречи.

На первой встрече хантер знакомится с кандидатом и выясняет, почему кандидат откликнулся на приглашение познакомиться.

Обычно я начинаю с презентации себя и нашей компании. Рассказываю об успешных кейсах и личном опыте в индустрии, объясняю, в чем наша уникальность, называю компании, с которыми сотрудничаем, делюсь информацией о ситуации в бизнес-среде.

Я стараюсь расположить человека к себе и создаю такую атмосферу, чтобы он доверился мне как профессионалу, прокрутил в голове: «Ого, а они классные, общаются с лидерами в нашей индустрии. Надо бы познакомиться и рассказать о себе подробнее». Расположить к себе кандидата важно, чтобы состоялся максимально открытый и искренний диалог.

Я спрашиваю прямо, открыт ли кандидат к предложениям сейчас или готов ли он в перспективе перейти в другую компанию. Ведь когда кандидат согласился на встречу, он чем-то руководствовался. Скорее всего, у него как минимум есть желание посмотреть, какое предложение ему могут сделать.

Обычно кандидаты готовы рассмотреть потенциальные предложения, вопрос только в том, при каких обстоятельствах и какая финансовая компенсация будет предложена.

Затем я провожу глубинное интервью, чтобы получить подробную информацию о кандидате, которая понадобится для оценки: узнаю про опыт, достижения, прощупываю его компетенции.

Постепенно продвигаюсь в сторону исследования мотивации к переходу. Мне важно понимать:

Далее я рассказываю кандидату о потенциальном работодателе и роли, подсвечиваю преимущества перехода с опорой на его мотивацию и акцентом на задачах и функционале, ценностях компании и корпоративной культуре.

Фактически на встрече хантер проводит карьерную консультацию. Отвечая на вопросы, кандидат понимает, удовлетворен ли он текущей работой или готов двигаться дальше.

Чтобы заполучить доверие кандидата, хантеру важно быть экспертом не только в прямом поиске и общении с людьми, но в профессиональной области — например, в ИТ, финансах или HR. С профессиональным консультантом человек готов и поделиться своими взглядами, и узнать его мнение об индустрии. А еще это помогает хантеру лучше понимать боли и потребности кандидата.

Вне зависимости от того, есть ли у меня предложение или это встреча на перспективу, хорошо, если кандидат выходит со встречи с ощущением, что получил от нее пользу. Общение не должно быть односторонним: вопрос хантера — ответ кандидата. Человек должен вынести из разговора что-то для себя — например, представление о трендах на рынке или новые мысли о том, как выстроить свой карьерный трек.

Дать подумать и разрешить сомнения

Для хантера идеально уже на встрече получить ответ от кандидата, готов ли он сотрудничать дальше. Но бывает, что человеку нужно подумать — тогда лучше не дожимать, а предоставить такую возможность.

Я сразу договариваюсь с собеседником, когда можно будет вернуться к обсуждению, обычно речь идет об одном или двух днях. Обязательно уточняю, не нужна ли дополнительная информация, и при необходимости ее предоставляю.

Человек вправе сомневаться — это нормально. Не нужно давить и продавать вакансию любой ценой здесь и сейчас. Пусть кандидат возьмет паузу и все обдумает — дайте ему принять взвешенное решение. Лучше вернуться к обсуждению позже, выслушать и спокойно, без надрыва, обработать его сомнения.