Для чего служба безопасности вызывает на личную беседу
Как и почему вызывают в ФСБ
Каким бывает телефонный звонок сотрудника ФСБ
Они обязательно назовут город, где находится тот, кому звонят. Позвонивший назовет свое звание. Будет назван и адрес вызова, а также фамилия, имя и отчество человека. Обязательно будет указана причина.
Как действовать после приглашения на разговор
В том случае, когда позвонивший настаивает на встрече, лучше всего сообщить ему, что такое возможно только на основании соответствующей повестки.
Впрочем, особой надобности вступать в полемику с сотрудником нет. Звонок – это не сигнал того, что человек совершил что-то опасное. В том случае, когда в ходе следственных действий выяснилось, что человек и в самом деле что-то совершил, сотрудники просто задержат злоумышленника на улице, ворвутся к нему в квартиру, выломав дверь.
Возможен вариант, при котором звонят студенту, обучающемуся на последнем курсе. При этом студент уверен, что он не сделал ничего плохого, речь может идти, что при встрече ему предложат работать в Федеральной службе безопасности. Такое предложение нельзя делать при телефонном разговоре. Нужен личный контакт.
На встречу желательно отправиться, заранее обеспечив себе хорошее настроение. Сотрудники спецслужбы являются хорошими специалистами. Они могут не задавать прямых вопросов. Разговор может идти просто об учебе студента, о погоде. Этого сотруднику будет достаточно, чтобы найти ответы, на интересовавшие его вопросы.
Впрочем, со стороны сотрудника возможны и провокации. Поддаваться на них не надо. Достаточно упомянуть статью 51. Далее можно просто молчать, ничего не отвечая сотруднику.
О вызове желательно сообщить родственникам, друзьям, однокурсникам, даже декану факультета. Это станет гарантией того, что человек, отправившись на беседу, не исчезнет на длительное время. И главное, если ничего плохого сделано не было, то сотрудник, даже при отказе человека отвечать на вопросы, отпустит его.
Примеры возможных ситуаций
Одной из причин может стать то, что одним из учеников нарушен закон, или он попал в группу риска. При разговоре Марии объяснят, какой вариант будет наиболее эффективным для оказания должного воздействия на ученика.
Разговор может идти о том, что кем-то скачивались и распространялись некие запрещенные материалы. Провайдер указал, что это связано с общежитием. Поскольку интернетом пользуются практически все студенты, разговаривать будут со всеми, чтобы попытаться вычислить нарушителя.
А может быть темой беседы станет проблема комфортного пользования сетью. Речь будет идти о стоимости обслуживания и прочем. Причиной такого разговора может стать провайдер, который пойман на мошенничестве. Разговоры со студентами – попытка сбора доказательной базы.
Конечно, любой разговор нельзя назвать приятным. Но законопослушному человеку можно ничего не опасаться. Главное – сохранять спокойствие. Если отвечать на задаваемые вопросы, то коротко и по существу.
Вопросы на собеседовании безопасника
Отступление
Рассмотрим 2 сценария:
собеседование в компанию имеющую штат специалистов по ИБ;
собеседование в компанию, которая ищет первого безопасника, не всегда целью поиска является создание целого подразделения и соответственно собеседование именно на руководителя такого подразделения, часто работодатель хочет нанять просто специалиста чтобы понять его значимость.
Собеседование в компанию не имеющей безопасников
Часто на собеседованиях в компании, которые только начинают формировать штат ИБ, вообще не задают каких-то технических вопросов, мое видение проблемы такое:
у работодателя нет того, кто бы хоть как-то разбирался в комплаенсе ИБ глубже даже начинающего безопасника;
собеседует ИТ-шник, но он сам боится задать вопрос на стыке ИТ и ИБ.
Итого обычно основное вступление у подобных соискателей такое: у нас есть то-то и то-то, хотим примерно то-то, опасаемся этого, видим примерно такие-то проблемы. Вступление может и вообще отсутствовать. У работодателя в итоге вытекают логичные вопросы:
как по вашему мнению должно выглядеть подразделение ИБ в нашей компании;
сколько в нем должно быть человек;
с чего начнете работу в нашей компании;
в каком порядке и что вы будете делать, пожалуйста, по подробнее.
Можно добавить, что будут вопросы в части администрирования операционных систем, различного оборудования. Работодатель хочет понять насколько соискатель имел опыт практической работы пусть и не по направлению ИБ.
Собеседование в компанию со штатом ИБ
В данном случае уже присутствуют технические вопросы, вопросы по ИБ.
Стоит разделить вопросы на собеседованиях относительно предлагаемого уровня должности.
Собеседование на начальные позиции:
что такое модели TCP/IP либо OSI?
назовите названия уровней одной из моделей?
что такое криптография?
какие виды криптографии бывают и для чего применяются?
что такое электронная подпись и чем отличается от хэша?
для того чтобы безопасно передать информацию получателю, каким ключом ее подписывать, а каким шифровать?
назовите нормативные акты по ИБ и кратко опишите их назначение;
что такое риск ИБ и как им управлять?
какие методологии управления ИБ вам известны?
чем отличается антивирус от EDR?
каких производителей какого-то (зависит от потребностей конкретного работодателя) средства защиты знаете?
как бы Вы реализовали процесс управления доступом?
как защититься от утечки информации?
Как видим вопросы достаточно базовые и достаточно редко они будут на знание именно нормативки регуляторов либо лучших практик, скорее таких вообще не бывает.
Собеседование на позиции выше.
В данном случае ищут как универсала, так и безопасника, который будет заниматься узкой деятельностью, перечень вопросов можно прикинуть из описания обязанностей в вакансии и требований к соискателю.
Часто собеседующему безопаснику достаточно услышать начало ответа на вопрос и он начинает накидывать следующий вопрос на основе ответа не дав ответить соискателю так как понимает, что соискатель знает ответ. Бывает так, что работодатель либо собеседующий безопасник задает сразу 5 вопросов и просит на них ответить. Суть сводится к возможности соискателем вспомнить все вопросы и ответить на все вопросы при условии дополнительных вопросов по ходу ответов на условные 5 вопросов.
Примерный список общих вопросов:
этапы создания системы защиты информации?
приведите перечень основных уязвимостей информационных систем либо ПО (намек на перечисление уязвимостей из списка OWASP TOP 10 либо БДУ ФСТЭК Росси);
раскройте описание одной из уязвимостей OWASP TOP 10, обычно это SQL-инъекция, XSS, неверная аутентификация;
какие средства и методы защиты применяют для защиты того-то и того-то, например, сейчас актуальна тема удаленного доступа;
опишите процесс работы протокола безопасности, часто это Kerberos или TLS;
опишите процесс реализации атаки, например, подбор пароля, какой-то из видов спуфинга на один из протоколов модели OSI, DNS-тунель;
опишите как бы вы защищались от угрозы, выбранная угроза зависит от текущих потребностей работодателя;
минимальная длина пароля для учетных записей в AD и почему?
Как видим, вопросы уже на более глубокое понимание процессов, но опять де, по нормативке вопросов минимальное количество. Все хотят видеть знания именно в технике процессов и защиты.
Вопросы по резюме
Суть вопросов сводится к пониманию того, что написал в своем резюме сам соискатель:
вы пишете, что занимались тем-то, расскажите что конкретно делали и чего добились;
на основе каких нормативных документов и лучших практик вы занимались указанной в данном пункте резюме деятельностью;
у вас указан опыт работы с тем-то продуктом, опишите что бы вы улучшили на предыдущем месте работы в части работы с этим продуктом;
у вас указан опыт работы с тем-то продуктом, опишите как он работает.
Как можно понять, работодатель пытается понять правда ли написана в резюме у соискателя и понимает ли он что вообще написал.
Общие вопросы
какое из направлений вам более интересно: комплаенс, администрирование СЗИ, аналитика, написание документов, безопасная разработка, тестирование на проникновения, реагирование на инциденты?
какие паблики по ИБ читаете?
как еще прокачиваете свои навыки?
пишите ли статьи или может в Twitter что публикуете?
перечислите 3 ваших достижения, обычно за весь опыт либо за опыт в конкретной компании?
в каком направлении хотели бы развивать в перспективе?
Если есть интересные вопросы из вашего опыта, оставьте их комментарием.
«Безопасники — это союзники, а не враги»: как наладить контакт со службой безопасности
Найти общий язык с СБ — службой безопасности — не так-то просто. Порой может казаться, что вы находитесь по разные стороны баррикад. Особенно когда безопасники почему-то затягивают с проверками, отказывают хорошим кандидатам и препятствуют внедрению облачных HR-продуктов. Но на самом деле вы решаете общую задачу, просто смотрите на нее под разными углами.
Об этой проблеме мы поговорили с Оксаной Лындиной. Она успела поработать в 6 банках и знает все о том, как построить взаимодействие со службой безопасности, ведь сама много раз это делала.
Обычно это бывшие сотрудники правоохранительных органов, которые вышли на пенсию и перешли на работу в коммерческую организацию. Это самый типичный карьерный трек.
Чем они занимаются:
Специалисты службы безопасности — одни из ключевых смежников для эйчара. Мы делим с ними ответственность за проверку кандидатов, поэтому должны выстраивать комфортные и эффективные процессы взаимодействия.
Чтобы сотрудники службы безопасности и команда подбора не делали одну и ту же работу дважды, необходимо договориться, кто и как проверяет кандидатов. Иначе возможны накладки, которые негативно сказываются на репутации работодателя. Например, рекрутер прошелся и собрал рекомендации по кандидату, а затем безопасник вышел на тех же людей с аналогичным запросом.
Неделями ждать решения службы безопасности — непозволительная роскошь на современном рынке труда. Проверка должна быть максимально быстрой, например, даже 3 дня для меня уже много. Важно разделить кандидатов на категории, для каждой из которых установить предельные сроки проверки.
Но безопасники не знают о ваших проблемах с подбором и высокой конкуренции на рынке труда. Поэтому такая поспешность может казаться им неоправданной и непонятной. И здесь начинается сложная, но важная работа эйчара: объяснить коллегам из СБ, как устроен подбор, рассказать, что лишний час ожидания может стоить закрытой позиции.
Служба безопасности заинтересована в том, чтобы собрать максимум информации — на всякий случай, вдруг пригодится. Так появляются гигантские опросники на 10 листах, которые непременно нужно заполнить от руки и заверить подписью.
Я сама время от времени выступаю в роли кандидата, когда выхожу на рынок труда. Прекрасно понимаю, как подобные анкеты раздражают и отбивают всякое желание продолжать общение с потенциальным работодателем. Поэтому всегда стараюсь оптимизировать анкету, избавиться от бесполезных полей, упростить ее заполнение для кандидатов. Я иду к специалистам СБ и задаю им вопросы:
Чтобы упорядочить взаимодействие, я создаю отдельный электронный ящик, доступ к которому будет у команды подбора и службы безопасности. Через этот ящик мы и работаем: рекрутер скидывает туда анкету, а безопасник — решение по кандидату. Благодаря такой системе информация не теряется: можно вбить фамилию и найти результаты проверки.
Это примитивный базовый процесс, но его можно доработать и автоматизировать с помощью рекрутинговой CRM. Например, так:
В этом случае остается цифровой след, по которому видно, когда анкета поступила на рассмотрение, сколько времени заняла проверка и соблюдаются ли сроки.
Если договоренности не записаны, считайте, что их не было. В идеале нужно фиксировать все в отдельном регламенте взаимодействия по кадровой безопасности, но проблема в том, что сотрудники СБ не любят подписывать подобные документы.
Если не удается зарегламентировать процесс проверки, то можно просто запротоколировать договоренности и отправить эту информацию на почту всем заинтересованным лицам.
В сотрудниках службы безопасности я вижу только союзников. Наша общая задача — не пустить в компанию мошенников и прохиндеев, которых достаточно на рынке. Поэтому эйчару важно выстраивать партнерские взаимоотношения с безопасниками. Надо максимально погружать коллег в рекрутинг, чтобы сформировать у них понимание процессов, рынка и сложности подбора.
Я сталкивалась с тем, что сотрудники службы безопасности обесценивают работу рекрутеров и даже позволяют себе замечания в духе: «Совсем слабенькие кандидаты, а получше никого не было?» Так происходит из-за непонимания процессов.
Со стороны видна лишь верхушка айсберга, поэтому кажется, что найти сотрудника — это элементарно. Выход есть: покажите безопасникам весь айсберг целиком. Общайтесь с ними, демонстрируйте воронку, рассказывайте, сколько кандидатов посмотрели с заказчиком ради того, чтобы принести эти несколько анкет на финальную проверку.
Допустим, я устроилась в банк на позицию HRD. В первый же рабочий день знакомлюсь с директором департамента безопасности и руководителем отдела внутренней безопасности. Я иду к ним не «воевать» и «отстаивать позиции», а чтобы понять, как построить понятные и удобные для всех процессы. Мы проговариваем:
Обычно переговоры со службой безопасности по процессам и системным проблемам ведет HRD или руководители подбора. При этом я всегда рекомендую обычным рекрутерам и эйчарам налаживать дружеское общение с коллегами из СБ, быть максимально позитивными и дружелюбными.
Все безопасники, которых я знаю, очень любят поговорить и терпеть не могут «писанину» — им важен живой человеческий контакт. Поэтому любые возникающие проблемы лучше обсуждать лично, а не через электронную почту или мессенджеры.
Отсутствие партнерских отношений — главная ошибка, которую я часто наблюдаю. Важно понять и принять, что сотрудники службы безопасности не враги. Если они и «заворачивают» кандидатов, то вовсе не для того, чтобы усложнить жизнь бедному рекрутеру. Безопасники просто делают свою работу как умеют.
Если вы видите системные проблемы во взаимодействии между подбором и службой безопасности, то нужно обсуждать их, а не злиться, страдать и молчать.
Я рекомендую не вмешиваться в процесс согласования конкретного кандидата: нет — значит нет. Безопасники — это профессионалы, доверяйте им.
Но ничего не мешает обсуждать сами критерии отбора. Например, сотрудники СБ утверждают, что если у человека хотя бы два открытых кредита, то он закредитован и попадает в категорию «неблагонадежные». Вы с этим не согласны, поэтому идете и доказываете, что закредитованность определяется не количеством кредитов, а соотношением ежемесячных платежей к доходам. В результате с вашими доводами соглашаются и меняют критерий отсева.
Бывает, что руководитель всеми силами защищает кандидата. Служба безопасности может пойти навстречу — это вопрос переговоров. Тогда в заключении пишут примерно так: «Согласовано под ответственность руководителя департамента маркетинга Иванова С. А.». Хотя я никогда бы не стала брать на себя ответственность за незнакомого кандидата.
Все зависит от уровня позиции: если я ищу топ-менеджера, то провожу всех кандидатов через службу безопасности до интервью с заказчиком. Это штучная позиция, и я не могу отправлять непроверенных претендентов руководителю банка.
По остальным позициям этап «проверка в СБ» встраивается в воронку перед выставлением оффера. Безопасники подключаются, как только заказчик подтвердит, что кандидат его устраивает. Проверять всех подряд не стоит: вы будете впустую тратить ресурсы службы безопасности, которые и так ограничены.
Я стараюсь исключать или хотя бы минимизировать прямые контакты между СБ и кандидатами. Проверки нужны, но они должны быть незаметными для будущего сотрудника.
Как я уже рассказывала, безопасники предпочитают живое общение, а кандидаты не любят длинные процессы подбора, особенно если нужно куда-то ехать и встречаться лично. Тем более, когда на этой встрече их ждет суровый специалист службы безопасности, а не веселый и приветливый рекрутер.
Обычно эти интервью с безопасниками избыточны: они не несут ничего нового и полезного — там задаются те же вопросы, которые звучали ранее. По сути, к этому моменту все решения уже приняты: заказчик с рекрутером оценили компетенции кандидата, определились и ждут только одобрения от СБ.
У нас есть 2 ключевые точки взаимодействия: доступы для новых сотрудников и внедрение облачных решений.
Вовремя получить доступы для сотрудников — это вечная проблема. Чтобы автоматизировать этот процесс, советую идти по пути типизации ролей. То есть в кадровой системе каждому сотруднику присваивается определенная роль, которой соответствует набор прав и доступов.
Не нужно присылать заявку, а потом ждать, пока безопасники ее отработают: доступы открываются автоматически в соответствии с ролью.
При прочих равных банк всегда предпочтет вариант с размещением продукта у себя на сервере. Но бывает, что выбора нет: например, мы хотим внедрить уникальный и классный продукт, который доступен только в облаке.
Хантфлоу поддерживает размещение на серверах клиента (on-premise) и другие требования безопасности.
В таком случае не стоит самостоятельно идти и убеждать коллег из СБ. Если вы не эксперт в сфере информационной безопасности, то у вас не хватит компетенций, чтобы защитить облачное решение. Предоставьте это поставщику продукта, подключив его к переговорам.
Если вы все же хотите пролоббировать внедрение, то соберите информацию, кто из конкурентов уже пользуется этим продуктом. Например, я всегда прошу партнеров указывать в коммерческих предложениях, с какими банками они работают. Потом эту информацию можно использовать как аргумент в переговорах со службой безопасности: «Почему там это разрешено, а у нас нет?»
В банках, где я работала, была такая система: специалисты службы безопасности проводили расследование и скидывали мне свое заключение. Если я была согласна с их выводами, то готовила приказ о дисциплинарном взыскании. Потом согласовывала этот приказ с юристами и передавала на подпись руководителю организации.
Считаю, что в спорных ситуациях нужно отстаивать сотрудников перед безопасниками. Важно понимать, что если вина человека неочевидна, а доказательная часть хромает, то есть риск оспаривания дисциплинарного взыскания.
Специалисты СБ могут настаивать на наказании, но не стоит идти у них на поводу вопреки здравому смыслу. Они не всегда погружены в судебную практику по трудовому законодательству и часто не осознают всех правовых рисков.
При этом безопасники опираются на факты, а не на мотивы. А за фактами стоит живой человек, с которым нужно разговаривать, чтобы понять истинные причины нарушения. В таких случаях я стараюсь пообщаться с провинившимся сотрудником самостоятельно — без коллег из СБ. Это позволяет построить более доверительный и открытый диалог, а также избежать излишнего психологического давления.