06.10.2025 09:22
JetHabr 0 335 Источник

Представьте: вы садитесь в такси. У водителя есть права — значит, формально он умеет водить. Но сможете ли вы предсказать, как он поведет себя в экстренной ситуации? Вряд ли. С оценкой сотрудников то же самое: формальная проверка есть, но глубины часто не хватает.

Как понять, что специалист действительно хорош? Как его оценивать и развивать? И можно ли делать это не на глаз? Отвечаем на эти и другие вопросы. 

Как оценивать спеца: формальные методы 

В компаниях обычно начинают с простого — с KPI или OKR. Сверху спускаются ключевые показатели, которые каскадируются до конкретных исполнителей Такая система хорошо показывает результат: задачи выполнены, цифры достигнуты. Но они почти ничего не говорят о том, как сотрудник к этому пришёл и какие у него реальные компетенции.

Хорошо это или плохо? KPI позволяет понять результат, но редко — компетенции

Следующий популярный инструмент — тесты и сертификации. Тут спектр широкий: от коротких тестов на платформах вроде HeadHunter до серьёзных вендорских экзаменов (Kaspersky, Azure Gate, Positive Technologies и других) и международных стандартов вроде CISM/CISA/CISSP или его российского аналога ССК. Они дают представление об уровне знаний, но охватывают в основном теорию или конкретные продукты.

Есть и более системный подход — модель или карта компетенций. Идея в том, что для сотрудника выделяется набор компетенций, которые должны у него проявляться, и фиксируются поведенческие индикаторы, чтобы системно наблюдать и оценивать специалиста. Это уже не «сдал/не сдал», а полноценная рамка, по которой можно строить индивидуальный план развития.

Еще один популярный инструмент — аттестации. Для некоторых компаний такая оценка обязательна в силу положений федерального законодательства. Большинство же коммерческих компаний вправе, но не обязаны ее проводить, и, поскольку, единого формата аттестаций нет, эта процедура проходит у всех по-разному. Вплоть до абсолютных формальностей.

Как оценивать спеца: неформальные методы 

Оценка 360°. Этот подход тесно связан с моделью компетенций, на ее основе составляется опросник, по которому сотрудника анонимно оценивают его руководитель, коллеги, подчиненные, а иногда и клиенты. В завершение сотрудник часто проводит и самооценку по тем же критериям, что позволяет сравнить его восприятие себя с взглядом со стороны

One-to-one сессии. Очень популярная неформальная практика в IT. Это периодические сессии с руководителем, на которых происходит не только оценка работы, но и обсуждается развитие.   

Менторство. Еще один тренд. Сейчас программы менторства есть в большинстве крупных компаний. В этой модели, помимо рефлексии и развития сотрудников, руководители могут собирать обратную связь у менторов о специалистах.  

Стихийные методы оценки. В шутку их называют «пол, палец, потолок». Иногда он срабатывает — особенно, если вы точно знаете, что требуется от человека. Но чаще всего такие методы создают иллюзию понимания, а не объективную картину.

Все рассмотренные методы оценки эффективны по-разному, но, как мы выяснили, каждый из них имеет свои ограничения. KPI и OKR показывают результат, но не раскрывают процесс. Тесты и сертификации проверяют знания, но не отражают реальные навыки и умение применять их на практике. Оценка 360° затрагивает поведенческие компетенции, но сложна для интерпретации и не всегда объективна. А главное — ни один из этих инструментов не добирается до скрытой, «подводной» части айсберга: мотивации, установок и истинного потенциала сотрудника.

В компании «Инфосистемы Джет» мы задались вопросом: как же методически верно и при этом интересно проверить те знания и навыки, которые проявляются в реальной работе? И придумали проект Cyber Camp. Его цель не столько оценить сотрудников и тех, кто в нем участвует, а обучить. То есть мы сначала оцениваем уровень, на котором специалист находится сейчас, а потом уже подбираем конкретную практику и теорию, чтобы человек развил то, чего ему не хватает.

Давайте разбираться на примерах:

Представим, что мы как один из многих руководителей в сфере безопасности понимаем, что, развиваясь, наша компания становится все более привлекательной целью для кибератак. Мы внедряем у себя качественные и апробированные технологии защиты, и даже организовали свой внутренний SOC. Но одно дело — технологии, совсем другое — те, кто ими пользуется. С чего нам начать, нанимая готовых специалистов или развивая внутренний кадровый резерв? Разберем это на примере оценки компетенций SOC-аналитика.

Для начала — поймем, кто это такой и чем он занимается в нашей компании. Основная задача SOC-аналитика — это обнаружение, мониторинг и реагирование на инциденты. А если говорить чуть менее формально — готовность ко встрече со злоумышленником. При этом мы понимаем, что функционал SOC-аналитика, особенно уровня третьей линии, очень широк.

Эту специальность можно сравнить с архитектором: он должен обладать обширными знаниями в разных областях — от технологий и систем защиты до баз форензики и анализа индикаторов компрометации. 

Помимо этого, мы хотим, чтобы сотрудник развивался, а не топтался на месте, поскольку эпоха «одной профессии на всю жизнь» уже прошла — сегодня критически важно непрерывное обучение и развитие компетенций.

Для того чтобы нам спланировать и достичь наши (в идеале — совместные) цели, нужно:

●      Определить, какими знаниями и навыками должен обладать сотрудник в конкретной роли, какие задачи он должен делать.

●      Определить систему координат, которая позволяет оценить, где сотрудник находится сейчас и в каком направлении его нужно развивать — то есть перейти от формата «норм/не норм» к более осмысленным градациям.

Определение знаний и навыков

Первое, что здесь приходит в голову — профессиональные стандарты. Да, они существуют и используются, но в основном — для образовательных целей. Они помогают формировать учебные программы, треки для вузов и колледжей, но сильно отстают от реальной практики и не отражают актуальные потребности бизнеса. Поэтому для оценки мы их не применяем (разве что ради интереса).

Более практичный способ — анализ рынка труда. Если взять сотню вакансий по роли SOC- аналитика и обобщить требования, можно увидеть усредненные ожидания индустрии.

Но если задуматься о формализованных подходах, то внимание заслуживает международный фреймворк NICE, разработанный Национальным институтом стандартов и технологий США (NIST). Его логика проста:

●      задачи ИБ разбиты на отдельные действия;

●      действия распределены по ролям;

●      роли сгруппированы по направлениям;

●      для каждой роли определены знания и навыки.

То есть, можно открыть карту, найти нужную роль и увидеть:

●      задачи (Tasks), которые специалист должен выполнять;

●      знания (Knowledge), которыми он должен обладать;

●      навыки (Skills), которые он должен применять на практике.

Важно понимать: роль — это не должность. Это набор работ и ответственности, который может выполняться одним человеком или командой. Иногда роль совпадает с должностью, но чаще один специалист по кибербезопасности совмещает несколько ролей.

Карта роли Incident Response в фреймворке NICE
Карта роли Incident Response в фреймворке NICE

Подобные подходы есть и у других стран (например, Saudi Cybersecurity Workforce Framework). Суть везде одна — от знаний и теории к конкретным задачам и умениям.

Почему это удобно для оценки? Потому что так легче строить обучение в целом. Перелопатив и испытав множество методик оценки и планирования развития, мы пришли к выводу: подход с оценкой компетенций: навыков и знаний — реально работает.

И в итоге, когда мы разрабатывали обучающие треки для киберучений, именно эта концепция легла в основу. На платформе Jet Cyber Camp мы используем модель, отправная точка которой — целевой набор компетенций. Это тот минимум, который должен быть у каждой роли (аналитик, инженер, пентестер и других), чтобы он мог не просто «знать», а действовать в реальных сценариях атак.

В текущем релизе мы выделили 10 ключевых групп компетенций:

1.       Форензика (Forensics skills)

2.       Базовые аналитические навыки (SOC analyst skills)

3.       Базовое администрирование ИТ (Administrative skills / IT operations)

4.       Сетевая безопасность (Network defense skills)

5.       Этичный хакинг (Ethical hacking skills)

6.       Работа со средствами защиты (Manage security tools)

7.       Операционная и управленческая отчетность (Reporting skills)

8.       Реверс-инжиниринг (Reverse engineering skills)

9.       Активный поиск угроз и разведка (Threat hunting & threat intel)

10.   Методология и законодательство (Legal & compliance knowledge)

Под «капотом» каждой группы — переработанный и обогащённый российской спецификой набор компетенций NICE.

Оценка компетенций

С набором знаний и умений разобрались, как их оценивать? Для этого существует много моделей: Кирпатрика, Филлипса, Блума, Тайлера и другие. Мы для себя выбрали Модель Блума — она позволяет структурировать и оценить когнитивные навыки сотрудника.

Существует «пирамида Блума», которая строится так:

●      внизу — простые уровни: знание, понимание, применение;

●      выше — анализ;

●      на вершине — синтез и оценка, когда специалист участвует в создании нового и в экспертной оценке.

Оцениваемый должен продемонстрировать не только запоминание материала, но и способность применить его на практике, использовать его творчески и критически проанализировать. То есть она структурирует когнитивные мыслительные процессы по возрастанию сложности и глубины.

Здесь все как в школе — сначала зазубриваете, потом понимаете, потом применяете. Дальше создаете новое и обучаете.

              «Пирамида Блума»
              «Пирамида Блума»

Сама модель отлично связана с моделью знаний и навыков и самое главное — она  предлагает для каждого уровня конкретные инструменты обучения и оценки. Вот так выглядит сценарий использования пирамиды (не только для его оценки, но и для развития) для рассматриваемого нами SOC-аналитика.

Сценарий использования пирамиды Блума
Сценарий использования пирамиды Блума

Как это выглядит на практике? Например, в одном из проектов мы оценивали компетенции следующим образом:

●      Сначала — 30 вопросов по теории;

●      Затем — интервью для понимания soft и hard skills;

●      Потом — практические лабы и расследования инцидентов;

●      В конце формируется аналитическая записка с оценкой по шкале от 1 до 5, где 1 — это отсутствие навыков и их применения, а 5 — отличное владение компетенцией. 

Если посмотреть на пирамидку выше – это четыре первых уровня модели. В результате мы получаем не просто «процент правильных ответов», а визуальную «ромашку» компетенций по ключевым областям — так сразу видно, в чем сотрудник силен, а где проседает.

Выглядит это так: 

«Ромашка» компетенций
«Ромашка» компетенций

Для развития навыков мы комбинируем разные форматы: теорию, работу с тренером, практические сценарии, домашние задания, тесты и другие элементы. Обучающие треки выстроены так, чтобы навыки развивались системно и равномерно, а не точечно.

Подводя итог, стоит сказать, что оценка специалистов перестала быть формальностью — сегодня этого недостаточно.

Формальные тесты и сертификации дают лишь часть картины, но реальная ценность раскрывается через комплексный подход: анализ задач, навыков, поведения и результатов. Модель Блума помогает нам систематизировать процесс и связать обучение с практикой, а инструменты вроде Jet Cyber Camp делают этот процесс живым — от диагностики до развития.

Итог: компания получает специалистов, которые реально держат оборону, а сотрудники — маршрут для своего роста. Это не про контроль ради контроля, а про движение вперёд.

Комментарии (0)