Кадровый Болт Генона

ОГРОМНЫЙ пост

- Center for Economic Studies провёл исследование производительности труда в 140 тысячах компаний. И в 45% случаев рост производительности труда сочетался с ростом числа работников. 

- Исследование American Management Association показало другую сторону этой медали: компании, запустившие программы сокращений улучшают свою прибыль и производительность труда лишь в 30% случаев. Что хуже - в 20% случаев после сокращений компании должны нанять даже больше людей, чтобы вернуться на старый уровень производительности труда.

- Wall Street Journal и вовсе обнаружил, что эффект от увольнения сотрудников длится едва ли 6 месяцев. И после этого компании только в последующие  3 года теряли в среднем 24% собственного капитала. 

- Самое время вспомнить Генри Форда: "Урезание заработной платы никоим образом не приводит к сокращению издержек — наоборот, оно увеличивает их. Единственный путь добиться минимизации издержек состоит в том, чтобы платить отличные деньги за отличную работу".

Как «оптимизация» зарплат вредит бизнесу, и что делать https://habr.com/ru/articles/810583/

👀🍿

Аналитики Securonix обнаружили новую кампанию Dev Popper, которая направлена на разработчиков ПО. Хакеры проводят фальшивые собеседования, чтобы склонить жертв к установке Python-трояна удаленного доступа (RAT).

Атаки Dev Popper используют многоступенчатую цепочку заражений, основанную на социальной инженерии и направленную на обман жертв посредством постепенной компрометации. По мнению исследователей, эти атаки, вероятно, организованы северокорейскими злоумышленниками, однако данных для точной атрибуции пока недостаточно.

Исследователи отмечают, что хакеры «используют профессиональную вовлеченность разработчиков и их доверие к процессу приема на работу, где отказ от выполнения действий интервьюера может поставить под угрозу саму возможность трудоустройства», что делает атаки весьма эффективным.

Как правило, хакеры выдают себя за работодателей, у которых якобы есть вакансии для разработчиков. Во время собеседования они просят кандидатов загрузить и выполнить некое задание из репозитория на GitHub. Но реальная цель злоумышленников — вынудить жертву загрузить малварь, которая собирает системную информацию и обеспечивает атакующим удаленный доступ к хосту.

Так, файл с «заданием» обычно представляет собой ZIP-архив, содержащий пакет NPM, в котором содержится README.md, а также каталоги frontend и backend. Когда разработчик запускает этот пакет NPM, активируется скрытый в директории backend обфусцированный JavaScript-файл (imageDetails.js), выполняющий через процесс Node.js команды curl для загрузки дополнительного архива (p.zi) с внешнего сервера.

На фальшивых собеседованиях разработчиков вынуждают установить Python-бэкдор https://xakep.ru/2024/04/27/dev-popper/

ИБ-специалист, которого сложнее всего найти в принципе или на текущий момент Инфосистемы Джет провели исследование и собрали мнения CISO из 90 российских компаний, принадлежащих к разным сферам бизнеса 🤔 В результате 👇 1️⃣ В 48% компаний в отдел ИБ уже входят пять и больше работников. Компании со штатом до трех специалистов составили четверть выборки, и их процент снижается. Только в 13% компаний специалисты ИБ отсутствуют, а поддержку процессов ИБ осуществляют работники ИТ-подразделений. 2️⃣ Нехватку ИБ-специалистов и трудности с их наймом (особенно на руководящие позиции) отметили большинство опрошенных руководителей (92%). Импортозамещение существующих решений и перестройка процессов ИБ требуют ресурсов: в среднем медианное значение — четыре сотрудника. Больше 10 работников, в основном, требуется респондентам, имеющим достаточный уровень зрелости и ресурсы для выстраивания собственного SOC. Наибольший дефицит профильных кадров испытывают представители финансового, промышленного и топливно-энергетического секторов. 3️⃣ Каждый третий опрошенный отметил затягивание поиска квалифицированных специалистов. Среднее время закрытия вакансий составило 3-4 месяца для специалиста и 6-7 месяцев — для руководителя службы ИБ. 4️⃣ Наибольшим спросом пользуются "универсальные" специалисты, способные закрыть большую часть направлений ИБ в компании (34%). Во многом это обусловлено малым количеством открытых вакансий. 5️⃣Дефицит квалифицированных кадров побуждает компании активно привлекать выпускников вузов, обладающих базовыми знаниями в нужных областях. Большая часть опрошенных (74%) готова трудоустраивать выпускников профильных направлений. 33% респондентов отмечают, что, помимо образования, кандидаты должны иметь хорошие базовые знания или пройти практику/стажировку в другой компании. #аналитика

Привет! Я проводил множество собесов для админов и пентестеров, менторил несколько человек по разным аспектам наступательной информационной безопасности, сам участвовал в собесах. Мне нравится как разные вопросы позволяют пролить свет на глубину знаний человека в той или иной области. Решил создать и курировать репозиторий с вопросами по наступательной безопасности на русском языке. Почему-то я не нашел такой репозиторий сразу. На английском языке таких огромное колличество и все они имею свои плюсы и минусы. Этот репозиторий содержит в себе компиляцию вопросов по наступательной безопасности (offensive security). Используя этот материал, можно подготовиться к предстоящему собеседованию или прикинуть какие области знаний Вами не покрыты для самостоятельного обучения. Хороший интервьюер всегда задаст более глубокий и уточняющий вопрос, а соискателю будет невероятно полезно осознавать что еще ему стоит подучить или хотя бы иметь ввиду. Проект является личной инициативой и несет в себе исключительно альтруистические цели. Проект является открытым, каждый желающий может сделать форк или предложить изменения в существующий список вопросов мне в личку в телеге (@curiv). Порядок вопросов и их категория носят субъективный характер. Репозиторий будет наполняться с течением времени, список источников представлен в последнем разделе. Вопросы будут агрегироваться из источников, список источников также будет пополняться. Если оставите положительные реакции, то мне будет приятно ❤️ https://github.com/curiv/russian-offensive-security-questions #pentest #interview #repository

Исследователи из Лаборатории компьютерных наук и искусственного интеллекта при MIT совместно с учёными из Университета Массачусетса в Лоуэлле выявили, что обучение заключённых веб-дизайну и программированию способствует улучшению их самооценки и обеспечивает навыки цифровой грамотности, которые помогают им избежать повторного попадания в тюрьму.

Результаты исследования были опубликованы в научной работе под названием «От тюрем к программированию: развитие самоэффективности через виртуальные учебные программы по веб-дизайну», где «самоэффективность» — термин, обозначающий веру индивида в свою способность выполнять действия, необходимые для достижения определенных результатов.

С тюремной шконки прямиком в веб-дизайн: HTML и CSS дарят заключённым билет в светлое будущее https://www.securitylab.ru/news/547771.php

Новости из будущего Петиция о снижении зарплаты айтишникам набрала миллион подписей https://panorama.pub/news/peticia-o-snizenii-zarplaty-ajtisnikam

- Зато уже четвертый год самым важным для IT-соискателей является то, что создает компания: на первом месте находится критерий «Качество продуктов и услуг». Также значимы «человечность», то есть хорошие отношения в коллективе, ценности и культура компании.

- Если вы хотите развивать свой IT-бренд и у вас есть возможности для горизонтального роста, рассказывайте об этом в вакансиях и на карьерном сайте.

- Компания, которая развивает IT-бренд, то есть показывает качество продукта, предоставляет сотрудникам личностный рост, дает профессиональное окружение, может платить на 15% ниже рынка.

Продукт, зарплата, график: что изменилось в ожиданиях IT-специалистов и как теперь привлекать айтишников в команду https://vc.ru/hr/1140852-produkt-zarplata-grafik-chto-izmenilos-v-ozhidaniyah-it-specialistov-i-kak-teper-privlekat-aytishnikov-v-komandu