Мнение / февраль 2018
Нефтегазовая промышленностьЭлектроэнергетикаЖКХ и "умный город"Автомобильная промышленностьОбрабатывающая промышленностьФинансовый секторГосударственное управлениеЗдравоохранениеОптовая и розничная торговляТранспорт и логистикаСельское хозяйство

К чему ведет дефицит сотрудников в области информационной безопасности (и как с ним бороться)

Андрей Прошин,
менеджер по развитию бизнеса в области информационной безопасности Orange Business Services Россия и СНГ
© ComNews
12.02.2018

Несмотря на развитие рынка ИТ вопрос возрастающего дефицита кадров в области информационной безопасности остается нерешенным. В России и мире наиболее остро эта нехватка ощущается в одной из составляющих ИТ-безопасности - кибербезопасности.

Согласно исследованию, проведенному несколькими крупными рекрутинговыми агентствами, 81% опрошенных компаний ожидает дальнейшее увеличение спроса на экспертов в информационной безопасности, и лишь 16% уверены, что спрос будет удовлетворен. Для нас, как для разработчика решений в области ИБ, дефицит предложения на фоне растущего спроса весьма ощутим. С чем он связан и что необходимо учесть при подборе кадров мы разберем ниже.

Глобальный характер проблемы

Эксперты из компании ISACA, специализирующиеся на вопросах по информационной безопасности, считают, что к 2019 году дефицит кадров в этой сфере возрастет до 2 миллинов вакансий. Схожий прогноз сделали и сотрудники консультационной компании Frost & Sullivan, отметив, что около 62% кадровиков уже сообщают о нехватке экспертов.

Согласно данным, приведенным аналитической компанией CyberSeek, ежегодно в США заполняется лишь около 40 000 вакансий в сфере ИТ-безопасности, а еще 200 000 остаются открытыми. Требуемого количества специалистов просто нет. На сайте по подбору персонала Indeed из 10 размещенных вакансий только 7 являются активными, то есть по ним кто-то кликает. Три объявления остаются невостребованными.

Проведенное в России исследование по информационной безопасности бизнеса показало, что 45% компаний испытывают дефицит специалистов данной отрасли. Проблема заключается в том, что найти профессионалов, обладающих не только актуальными знаниями, но и опытом, а также навыками стратегического мышления крайне сложно. 15% компаний заявили, что поиск специалистов-кибербезопасников является приоритетной задачей. По оценкам HR-менеджеров "Лаборатории Касперского", для того, чтобы найти подходящего кандидата на требуемую должность в сфере ИБ, в некоторых случаях требуется провести собеседования с 40 кандидатами.

В исследовании, проведенном этой компанией, приняли участие более 350 представителей различных компаний со всего мира, включая Россию, для 15% компаний поиск специалистов-кибербезопасников является приоритетной задачей.

Причины дефицита

В основе растущей нужды в специалистах отрасли лежит желание компаний уберечься от возможных потерь - как в виде прямых убытков, так и упущенной прибыли. НедавнееисследованиеCisco показало, что деньги теряют около 29% компаний, подвергшимся кибератакам. Хакеры взламывают как защиту крупнейших корпораций, так и небольших центров здоровья или больниц.

В России 42% опрошенных компаний понесли потери данных в результате киберинцидента.  Треть предприятий (33%) в течение года пострадали от четырех случаев утечек и более. В среднем на ликвидацию одного инцидента информационной безопасности крупные компании потратили от 11 миллионов рублей. В отдельных случаях восстановление инфраструктуры сети может обойтись в миллионы долларов, как это произошло с хостинг-провайдером из Южной Кореи, заплатившим хакерам $1млн за вывод вируса с серверов провайдера. Однако важно понимать, что убытки, которые понесла компания, не ограничиваются миллионом - репутационные потери, отток клиентов и работы по восстановлению сети приведут к гораздо более масштабным последствиям.  

Еще одна причина - появление новых требований регуляторов к компаниям, работающим в телекоммуникационной сфере. Далеко не всегда в штате есть необходимые специалисты, которые способны закрыть все задачи, стоящие перед компанией, тем более, что каждый год эти задачи обновляются и видоизменяются.

Востребованные специальности

Многие отечественные компании в первую очередь нуждаются в инженерах - специалистах, которые будут проектировать, внедрять и заниматься настройкой инструментов ИБ. Следом идут аналитики, изучающие как потенциальные атаки, так и уже случившиеся инциденты. В дефиците также администраторы службы кибербезопасности, занимающиеся защитой "первой линии". Это специалисты, внедряющие существующие и новые решения информационной безопасности в инфраструктуру сети собственной компании.

Размер заработной платы специалистов по информационной безопасности в России зависит от региона и города. В целом, вилка составляет от 55 до 130 тыс. рублей в зависимости от опыта работы специалиста. Чем больше опыт работы и выше уровень компетенций (английский язык, регламенты и политики ИБ, опыт проведения расследований инцидентов и т.п.), тем выше уровень заработной платы, на которую может претендовать соискатель.

Многим компаниям нужны и продакт-менеджеры, ответственные за стандартизацию новых и существующих продуктов. От них требуется умение интегрировать передовые технологии в уже готовые решения так, чтобы клиенты компании могли без труда работать с ними. Иначе говоря, они должны понимать, как работает технология, для каких клиентов она будет максимально полезной, сколько она стоит и другие данные.

Не все так просто

В ходе подбора специалистов по ИБ в нашу команду мы столкнулись с некоторыми сложностями.

Работа сервис-провайдеров довольно специфична, потому даже соискатели со значительным опытом могут не подойти под конкретные бизнес-задачи. На рынке ИБ доступно большое количество решений и продуктов разных вендоров, что позволяет разделить всех специалистов на два типа. Первый - эксперты в какой-либо узкой специальности или продукте, не всегда подходящие, если компания занимается широким спектром решений. Второй тип - специалисты, обладающие знаниями по технологиям ИБ и смежным сферам, но знаниями не особо глубокими. Такие специалисты подойдут для проектной деятельности, в узкой области они смогут работать лишь после дополнительной адаптации. Определить компетенции можно только в ходе личного интервью и очень детальной беседы. С одним из соискателей мы разговаривали 2,5 часа, причем в пятницу вечером. Собеседование перешло в настолько интересный и профессиональный разговор, что мы порекомендовали человека в другую команду, поняв, что на ту позицию специального опыта ему не доставало.

Сотрудник может иметь отличный багаж знаний и опыт работы, но, как и в любой другой специальности, совсем не вписываться в коллектив. Спрос на профессионалов превышает предложение, но надо критически оценивать все плюсы и минусы такого специалиста, так как сложно придется не только ему, но и всей команде.

Существуют и довольно проблемные специальности, закрывать вакансии по которым сложнее, чем по другим направлениям работы. К примеру, позиция консультанта/проектировщика ИБ. На первом этапе рассматриваются десятки резюме, но на деле - лишь 5-6 кандидатов выходят на этап собеседования. В финале выделяются 1-2 специалиста, но бывает и такое, что срезаются все и приходится искать сначала.

Для нас, как для иностранной компании, важным условием является знание английского языка. Оно необходимо как для внутренней коммуникации между департаментами, так и для общения с клиентами и партнерами. К сожалению, во многих случаях без него просто нельзя обойтись, поэтому приходилось отказывать кандидатам, которые всем были хороши, но с языком - пробел.

Решение проблемы

Несмотря на то, что информационная безопасность - крайне прикладная отрасль и разница между студентом и специалистом, даже с минимальным опытом работы, колоссальна, рекомендуем сотрудничать с профильными высшими учебными заведениями. Это убьет сразу двух зайцев - поиск кадров и развитие HR-бренда компании.

Бонусы. Речь идет не только о финансовой составляющей - мы замечаем, что все больше соискателей заинтересованы в социальных гарантиях. Привлечь внимание новых кадров также помогает упор на двух элементах - международных командировках и доступе к передовым технологиям. При прочих равных условиях, а порой и неравных, соискатель выбирает проекты с возможностью получения международного опыта.

Если компания не специализируется на информационной безопасности, то еще один вариант - аутсорс. В это направление активно инвестируют сервис-провайдеры. Аутсорс экономит время на поиск и трудоустройство отдельных специалистов и позволяет нанять целую компанию, которая будет заниматься актуальными задачами киберзащиты своего клиента.

Далеко не все разработчики ПО разбираются в принципах ИТ-безопасности, и не все кибербезопасники сильны в программном обеспечении. Во многих случаях необходимо добиться "золотой середины", чтобы кросс-функциональные отделы понимали хотя бы базовые основы деятельности друг друга. Это оптимизирует рабочий процесс и сглаживает дефицит кадров за счет сохранения временных ресурсов.