Срочно нужна команда DevSecOps: кого искать и сколько это стоит

Аватарка пользователя Yulia Swordfish Security

Какие кадры требуются для направления DevSecOps, какие функции они выполняют и сколько они могут «стоить». Список из 11 специалистов внутри.

Срочно нужна команда DevSecOps: кого искать и сколько это стоит 1

В DevSecOps дефицит специалистов ощущается особенно остро, поскольку российские компании активно расширяют разработку программных продуктов для разных сфер, и об их безопасности необходимо заботиться на самых ранних этапах. В этой статье вместе с Антоном Башариным, техническим директором Swordfish Security, мы разберемся, какие кадры требуются для направления безопасной разработки, какие функции они выполняют и сколько они могут «стоить». Возьмем при этом самые важные роли, без которых точно не обойтись.

DevSecOps — это методология разработки программного обеспечения, которая, в отличие от классических подходов, позволяет интегрировать задачи безопасности во все этапы создания ПО. То есть в рамках этой модели работает Shift Left парадигма: проверки защищенности продуктов перемещаются как можно ближе к началу разработки, и безопасность становится неотъемлемой частью этого процесса.

Таким образом, DevSecOps объединяет три главных подразделения: разработку (Dev), информационную безопасность (Sec) и операционную деятельность (Ops). Эффективное взаимодействие между ними, управление и продуктивное функционирование процесса обеспечивает целая команда специалистов. Все ее участники важны и ценны, каждый из них имеет собственную роль. Подробнее об этом мы расскажем ниже.

Менеджмент

Это то самое подразделение, с которого начинается проект. Оно планирует и организовывает всю работу, соблюдая при этом баланс между внешними и внутренними потребностями компании. Команда менеджмента разрабатывает стратегию и тактику проекта, распределяет бюджет, связывает отделы между собой, обеспечивает им условия для продуктивной совместной работы и техническую поддержку, контролирует бизнес-процессы, ищет возможности для масштабирования.

В команду менеджмента могут входить руководители трех основных направлений, которые реализуют проект по DevSecOps. За подразделение ИТ отвечает директор по информационным технологиям (CIO). Он организовывает рабочие процессы, планирует бюджет, управляет персоналом, оценивает эффективность команды. Его роль состоит в том, чтобы разрабатывать технологические стратегии проектов и реализовывать их. Такой специалист может получать в среднем 600 000–700 000 ₽.

Технической частью в компании руководит технический директор (CTO). Он управляет всем, что связано с разработкой, софтом, серверами, отвечает за общий вектор развития проектов организации. Его задача — совершенствовать технологии, повышать их эффективность и за счет этого увеличивать прибыль компании. Средний доход технического директора — 400 000–600 000 ₽

Направлением ИБ руководит директор по информационной безопасности (CISO). В рамках подразделения он организует бизнес-процессы и управляет ими, разрабатывает политику и стратегию компании, планирует бюджет и мероприятия по обеспечению безопасности, формирует рабочие процессы и контролирует их продуктивность. Директор по ИБ может зарабатывать 500 000–700 000 ₽.

Найти высококлассных управленцев для этих направлений на сайтах по поиску работы довольно сложно. Чаще всего компании нанимают таких сотрудников по рекомендациям коллег, хантят их на тематических мероприятиях или переманивают у конкурентов. Помимо руководителей подразделений, в команду менеджмента входят Product Owner (Владелец продукта) и руководитель проекта.

Product Owner

Срочно нужна команда DevSecOps: кого искать и сколько это стоит 2

Чем занимается? Это драйвер проекта от бизнеса, который берет на себя роль заказчика. Он управляет бэклогом и дорожной картой продукта, определяет основные направления развития концепции, защищает ее перед высшим руководством, назначает верхнеуровневые приоритеты для всех этапов. От него зависит, в какой последовательности будут выполняться задачи. Также Product Owner формирует требования к функциональности. Именно он создает в организации команду безопасности программного обеспечения, известную как Software Security Group (SSG), привлекает ресурсы и обеспечивает эффективное взаимодействие подразделений на разных уровнях внутри компании.

Сколько учиться? 12 месяцев (онлайн-курсы) плюс не менее 3 месяцев погружение в компанию.

Средняя зарплата: от 400 000 ₽.

Руководитель проекта

Срочно нужна команда DevSecOps: кого искать и сколько это стоит 3

Чем занимается? Руководитель проекта отвечает за коммуникацию между подразделениями, подрядчиками, владельцем продукта (Product Owner) и другими заинтересованными людьми. Он ставит цели для спринтов, руководит процессами и людьми в команде, следит за соблюдением сроков и задач. Знает все неподвластные другим должностям нюансы открытия и закрытия проектов, владеет магией поддержания участников процесса в тонусе.

Сколько учиться? 8 месяцев (онлайн-курсы) плюс обязательный опыт в сфере проектной работы от года.

Средняя зарплата: 130 000 ₽.

Разработка

Эта команда занимается непосредственно разработкой продуктов. Внутри нее есть разные позиции, которые отвечают за создание и развитие ПО на различных этапах его жизненного цикла.

Team Lead

Срочно нужна команда DevSecOps: кого искать и сколько это стоит 4

Чем занимается? По факту это руководитель команды разработчиков. Он отвечает за реализацию функционала, приоритезацию и распределение задач между разработчиками. Просто помимо обычных задач программиста, у него еще достаточно много менеджерской работы. Поэтому несмотря на то, что Team Lead также является одним из ведущих разработчиков, собственно на кодинг у него остается не более 20-30% времени.

Где искать? Можно вырастить его внутри команды (на это уйдет 1,5-2 года) или нанять готового на рынке и дообучить за несколько месяцев. Он должен знать специфику команды, бизнеса и создаваемых продуктов, а такжы быть погруженным в процессы. Важно, чтобы кандидат обладал управленческими способностями, коммуникативными навыками и умением наладить контакт с коллегами из разработки и из других отделов. Компании, обладающие серьезным бюджетом, нередко также переманивают тим лидов у конкурентов или успешных разработческих команд. На перечисленные выше сайты хорошие тим лиды заходят, но редко открывают свои резюме. Чаще они сами откликаются на заинтересовавшие их предложения, потому что устали от специфики текущей компании. Также нередко они соглашаются на предложение «по знакомству» — точечный хантинг.

Сколько учиться? 6 месяцев (онлайн-курсы) дополнительно к навыкам программирования (не ниже уровня Senior, а это еще 3 года)

Средняя зарплата: 350 000 ₽.

Разработчик

Срочно нужна команда DevSecOps: кого искать и сколько это стоит 5

Чем занимается? Разрабатывает систему, пишет код, работает по проанализированным задачам от аналитика (в идеале). Приоритет его задач определяется тимлидом.

Сколько учиться? 12-15 месяцев (онлайн-курсы).

Средняя зарплата: 250 000 ₽.

Тестировщик

Срочно нужна команда DevSecOps: кого искать и сколько это стоит 6

Чем занимается? QA инженер, или тестировщик, выполняет функциональное тестирование продукта. Он почти никогда не проверяет продукт на безопасность. Есть отличие в том, что тестировщики занимаются тестированием готового продукта, а QA-инженеры следят за качеством продукта на этапах разработки, чтобы не было ошибок и багов, тем самым повышая качество продукта. Как QA инженер, так и тестировщик должен изучать требования к программе у заказчика и следить за их выполнением, проводить тестирование на наличие недочетов, составлять отчеты, следить за исправлением багов.

Сколько учиться? От 8 до 12 месяцев

Средняя зарплата: от 150 000 ₽

DevOps-инженер

Срочно нужна команда DevSecOps: кого искать и сколько это стоит 7

Чем занимается? Помогает команде разработки выстраивать и автоматизировать процессы тестирования, сборки и деплоя приложения в нескольких средах (dev / UAT / test / preprod/ prod). Снимает с разработчиков лишнюю ручную работу.

Сколько учиться? 12 месяцев (онлайн-курсы).

Средняя зарплата: 250-300 000 ₽

Администратор

Срочно нужна команда DevSecOps: кого искать и сколько это стоит 8

Чем занимается? Сопровождает и поддерживает работоспособность всех прикладных систем, компьютеров, приложений и так далее. Отвечает за инфраструктуру и сетевые взаимодействия. Может помогать DevOps-инженерам с развертыванием.

Сколько учиться? 7 месяцев (онлайн-курсы).

Средняя зарплата: 150-180 000 ₽.

Команда безопасности ПО (SSG)

Эта группа специалистов отвечает за обеспечение безопасности ПО. Она повышает уровень защищенности программных продуктов (приложений, цифровых сервисов и других разработок), наращивает экспертизу в рамках заданного технологического стека, организует DevSecOps-фабрики по производству ПО, управляет знаниями в командах разработки.

AppSec-аналитик​

Срочно нужна команда DevSecOps: кого искать и сколько это стоит 9

Чем занимается? Выполняет моделирование угроз​, анализирует внешние и внутренние требования ИБ​ и формирует критерии для разрабатываемого ПО​. Проводит ревью конечного технического задания на соответствие ранее определенным параметрам, отвечает за поддержание безопасности ПО на рекомендуемом уровне​, помогает команде с формированием и разбором дефектов​ и, конечно, консультирует коллег из ИТ-департамента в процессе разработки.

Сколько учиться? 4 года (профильное образование в ВУЗе по ИБ или ИТ) и самостоятельное обучение на онлайн-курсах, тренингах и так далее.

Средняя зарплата: 150 000 ₽.

AppSec-инженер

Срочно нужна команда DevSecOps: кого искать и сколько это стоит 10

Чем занимается? Настраивает инструменты в конвейере DevSecOps​, осуществляет триаж дефектов, определяет параметры автоматических проверок качества продукта для каждого этапа разработки​. Также в его ведении находятся разбор бэклога дефектов​ и помощь команде в работе с ними.

Он регулярно консультирует коллег из ИТ-департамента в процессе разработки​ и участвует в анализе метрик конвейера для оценки эффективности практик​, принимает решения о внедрении новых инструментов.

Сколько учиться? 4 года (профильное образование в ВУЗе по ИБ или ИТ), самостоятельное обучение на курсах по информационной безопасности, тестированию ПО или разработке.

Средняя зарплата: 200 000–300 000 ₽.

ИБ-евангелист

Срочно нужна команда DevSecOps: кого искать и сколько это стоит 11

Чем занимается? Конечно, ИБ-евангелист — это не должность, а особая роль. Она заключается в создании сильной культуры безопасности и ее развитии. На позицию ИБ-евангелиста подойдет сотрудник, который глубоко заинтересован сферой безопасности, обладает широкими техническими знаниями, лидерскими качествами и навыками проведения презентаций. Это технический, идеологический и методологический эксперт в области безопасности ПО, который работает со всеми заинтересованными сторонами, включая руководство компании, SSG, команды разработки и клиентов.

Сколько учиться? 4 года (профильное образование в ВУЗе по ИБ или ИТ и дополнительное самообразование в виде лекций, тренингов и т.д.).

Средняя зарплата: 200 000 ₽.

Заключение

Каждый участник в команде для внедрения DevSecOps — отдельная деталь, которая выполняет собственную роль, важную для всего процесса. Если кого-то исключить, «конструктор» поломается, а значит будет работать не так эффективно, как нужно. Но как избежать таких «поломок», если рынок ИТ сегодня испытывает острый дефицит профессиональных кадров? Для начала нужно оценить все ресурсы, которыми обладает компания, и подобрать соответствующую им стратегию внедрения процесса безопасной разработки.

Собрать команду самостоятельно будет довольно сложно, еще это дорого и долго. Для подразделений менеджмента, разработки и операционной деятельности найти опытных сотрудников всё же можно — они есть, хоть и в ограниченном количестве. Намного хуже обстоят дела со специалистами по информационной безопасности, которые имеют опыт внедрения DevSecOps. Их число на сегодняшний день крайне ограничено, но без таких кадров проекту никак не обойтись. Где же искать оставшиеся «детали»? Возможно, часть из них уже работает в штате компании — после обучения из этих сотрудников получатся, к примеру, отличные Security Champions. А чтобы закрыть обязанности другой части, можно обратиться за помощью к аутсорсинговой компании, которая поможет внедрить DevSecOps.

Организация разработки
DevOps
Гостевая публикация
1732