Рынок труда в кибербезопасности - Россия, 2015

    Источник: http://www.pcweek.ru/security/article/detail.php?ID=185672

Рынок труда в ИБ отличается от других сегментов рынка ИБ своей динамичностью, открытостью и мобильностью. На рынке труда на данный момент относительно мало требований к образованию, квалификации и опыту, а существующие требования часто возможно закрыть услугами внешних провайдеров, предоставляющих сервисы “лицензирования под ключ” и имеющих базы с ранее одобренными в процессе лицензирования организации ФСТЭК и ФСБ специалистами.

            Определяя рынок труда затронем 5 вопросов:

●      Определение специалиста в сфере ИБ.

●      Спрос и компенсации.

●      Предложение компетенций.

●      Комментарии экспертов.

●      Альтернативные стратегии для компаний и сотрудников.

Определение специалиста в сфере ИБ

Для целей статьи специалистом в сфере ИБ определен специалист со знанием и опытом в предметной области ИБ - идентификации и управлением рисками ИБ, управление портфелем мер снижения и сдерживания рисков ИБ как в целом так и конкретных технологий или процессов.

Специалистом в сфере ИБ может быть как обладающий широким набором компетенций “мастер на все руки”, так и специалист в узкой области, впадающий в панику от словосочетания “Защита персональных данных” или задачи проведения оценки защищенности бизнес-приложения.

Спрос и компенсации

На рынке существует 5 сегментов позиций (групп спроса):      

●    Профильные организации (вендоры и консультанты), в которых специалисты в сфере ИБ напрямую влияют на P&L.

● Непрофильные организации (отраслевые и госуправление), где специалисты влияют на P&L через обеспечение защищенности и устойчивости бизнес-продуктов, бизнес-услуг и процессов.

●      Экспорт компетенций - организации, где специалисты предоставляют сервисы ИБ для зарубежных клиентов или штаб-квартир.

● Рекрутинговые агенства и зарубежные компании, предлагающие релокацию зарубеж.

Профильные организации

            Прошедшие в конце 2014 сокращения уменьшили спрос на специалистов, даже в организациях, реализующих проекты по информационной безопасности. В течении 2015 ситуация несколько усугубилось - закрылся один из известных ИБ-интеграторов, был подан ряд исков о банкротстве к интегратору Микротекст, прошел целый ряд сокращений в NVision.

С другой стороны ввиду создания сервисного бизнес-направления в Лаборатории Касперского компанией был усилен найм специалистов по техническому аудиту. Специалисты по техническому аудиту были востребованы и Positive Technologies, из которой и перешел костяк специалистов новосозданного сервисного дивизиона Лаборатории. Так же активно набирала Solar Security, выделившаяся из Инфосистем Джет. Себестоимость содержания полноценного конкурентоспособного Security Operations Center высока по любым меркам, поэтому для выхода на точку безубыточности Solar Security активно масштабировалась в коммерческом и техническом блоках.

            В целом набор вендоров компенсировал падение спроса со стороны интеграторов, и сегмент позиций в профильных компаниях не пострадал в 2015.

            С другой стороны в 2016 Лаборатория Касперского разместила в LinkedIn вакансии разработчиков и продакт менеджера в Ирландии. Учитывая курсовую разницу такой шаг казался нелогичным, поэтому у пресс-службы Лаборатории был запрошен комментарий.

        Пресс-служба ответила “Стратегия компании на ближайшие несколько лет подразумевает активное развитие новых решений и сервисов, направленных не столько на защиту конечных устройств, сколько на своевременное обнаружение, реагирование и прогнозирование кибератак – мы рассчитываем, что это будет основным фактором нашего роста в будущем. Для развития этих направлений «Лаборатория Касперского», в частности, планирует расширить штат сотрудников и создать порядка 400 дополнительных рабочих мест в R&D в 2016 году. Подавляющая часть департамента исследований и разработки по-прежнему находится в Москве, и основной набор специалистов (около 300 рабочих мест) будет проходить именно на российском рынке труда”.

Позиции в профильных компаниях (глобальные вендоры, ведущие консультанты, интеграторы и дистрибуторы) А-брендов (ТОП-20 по версии рейтингов от Cnews, РА Эксперт) в Москве возможно оценить следующим образом:

1.     Пресейл-инженеры\инженеры внедрения по сетевой безопасности (российские решения) - 50-80.

2.     Инженеры по сетевой безопасности (западные решения) - 75-110.

3.     Инженеры по прикладным системам безопасности (DLP, WAF, DAM) - 90-130.

4.     Инженеры редких специализаций (IDM, app. security, cloud security) - 100-160

5.     Архитекторы\ГИПы - 120-200.

6.     Консультанты по управлению ИБ - 70-180.

7.     Технические аудиторы - 50-120.

8.     Специалисты SOC - 60-100.

9.     Аналитики и эксперты SOC - 100-180.

10.  Руководители проектов и программ - 90-200.

11.  Продакт-менеджеры - 100-180.

12.  Управленцы - +20-30% к компенсации прямых подчиненных (напр., инженеров). 

             Позиции в других профильных компаниях:

1.     Пресейл-инженеры\инженеры внедрения по сетевой безопасности (российские решения) - 50-80.

2.     Инженеры по сетевой безопасности (западные решения) - 60-90.

3.     Инженеры по прикладным системам безопасности (DLP, WAF, DAM etc) - 80-110.

4.     Архитекторы\ГИПы - 100-130.

5.     Консультанты - 50-120.

6.     Управленцы - +25-35% к компенсации подчиненных специалистов (напр., инженеров).

            Индустриальные особенности:

1.     Специалисты на проектах поддержки получают меньше на 10-20%.

2.  Выступления на конференциях, статьи в прессе, найденные уязвимости повышают компенсации продакт-менеджеров и технических аудиторов соответтсвенно.

3.     Фокус на откровенном commodity (напр. аттестации, ПЭМИН) снижает компенсацию на 40-60%.

4.     Компенсации у западных вендоров могут быть больше на 10-25% (нужен английский).

5.     Специализированные ИБ-компании сопоставимого размера ИБ-бизнеса платят больше верхнему диапазону (архитекторы, консультанты, продакты).

6.     Наличие сертификатов "большой тройки" (CISA, CISSP, CISM) открывает путь в Big4, и добавляет 10-15% компенсации для должностей консультантов.

7.     Наличие проектов в “голубых фишках” (ТОП-20 коммерческих компаний российской экономики, предствительствах компаний Fortune 500) добавляет 10-15% к компенсациям в международных компаниях.

8.  Наличие проектов в “голубых фишках” госорганов (ФНС, ПФР, Казначейство и др. крупнейших держателей ИТ-бюджетов со сложным ИТ-ландшафтом) добавляет 10-15% к компенсациям подсегмента проектов в госсекторе.

9. Большая горизонтальная зона ответственности (напр. единственный технический специалист в стране у вендора с дополнительными обязанностями по продвижению) может добавлять 20-30% к компенсации.

10.  Верхний диапазон компенсаций для руководителей направлений и проектов возможен только при солидном бюджете под управлением - федеральных проектах, либо выведении новых продуктов на рынок.

   Бонусные программы могут достигать 40% годового оклада для специалистов, ключевыми факторами размера бонуса являются:

●     Степень близости к ключевой функции - формальному центру доходов (продажам), R&D или управлению продуктами.

●     Размер проекта\продукта в управлении либо важность операционной работы эксперта для стратегически значимого продукта\проекта.

●      Возможность и стоимость замены сотрудника.

●      Узнаваемость и авторитет сотрудника среди бизнес-руководителей.

Непрофильные организации

Из-за падения экономики спрос на специалистов по ИБ консолидировался в организациях, демонстрирующих эффективность работы бизнес-модели даже в новых экономических условиях. Рынок “делают” гиганты - Сбербанк, Роснефть, Сибур, структуры Газпрома. Особенной активностью отличается Сбербанк, видимо в рамках создания операционных центров ИБ, тендер на проектирования операционной модели которых был обьявлен в феврале, и специалисты которого разместили десятки вакансий в крупнейшей профильной группе Вакансии ИБ в Facebook.

Позиции в службах ИБ А-брендов (ТОП-50 рейтинга РА Эксперт) в Москве:

1.     Базовые сервисы безопасности (контроль доступа, операторы SOC) - 50-90.

2.     Инженеры (классические технологии - AV, CA, FW, IDS) - 60-110

3.     Эксперты по СЗИ (продвинутые технологии - SIEM, DLP, WAF) - 70-140

4.     Эксперты SOC 90-170

5.     Внутренние консультанты и архитекторы ИБ  - 90-200.

6.     Линейные руководители - 100-150.

   Позиции в службах ИБ Б-брендов (ТОП-200 РА Эксперт):

1.  Базовые сервисы безопасности (контроль доступа, мониторинг событий, поддержка систем безопасности) - 50-90.

2.     Аналитики - 60-110.

3.     Управленцы - 80-200.

   Позиции в службах ИБ В-брендов:

1.     Технические эксперты - 50-80.

2.     Аналитики - 50-90.

3.     Универсалы - 70-100.

4.     Линейные руководители - 60-120.

   Индустриальные особенности:

1.     Нефтегаз и промышленность отлично платят в корпоративных центрах, неплохо в ИТ-дочках и весьма по разному на предприятиях в регионах.

2.     Если бренд компании принципиально больше ее размера (например, ИТ-компании B2C) вероятно попадание диапазоном ниже.

3.  Иностранные компании платят на 20-40% больше (в зависимости от масштаба требований к английскому).

4.     Под управленческой позицией диапазонов Б и В иногда скрыты позиции универсалов.

    Порядка 10% компаний выплачивают годовые бонусы (10-20% годового дохода), люди участвующие в\управляющие проектами имеют шанс получить еще 10-20% (20 - при участии в стратегических для компании проектах - значимых для акционеров лично, выход на новые рынки и т.п.).

Экспорт компетенций

            Экспорт компетенций происходит 2-умя классическими путями:

●      Производство и продвижение средств защиты

●      Внутренние сервисы глобальных корпораций

            Производство и продвижение средств защиты, а с некоторого времени и услуг традиционно реализовывалось Лабораторией Касперского, а так же такими компаниями как Positive Technologies, Dr. Web, Zecurion, SmartLine и Infowatch.

            Однако масштабы экспорта компетенций именно специалистов в области информационной безопасности были относительно невелики, ведь для разработки и экспорта продуктов нужно и очень много разработчиков, специалистов коммерческого блока, которых отнести в сферу информационной безопасности.

            Не оставляя надежды на активное развитие вышеупомянутого сервисного дивизиона Лаборатории Касперского упомяну возросшую активность компаний по заказной разработке на рынке услуг по информационной безопасности. Такие компании как Luxoft, EPAM, Atos, IBM начинают серьезно работать на этом рынке, например, открывая десятки вакансий в Польше, Венгрии и Румынии. В том числе предлагая переезд в Польшу из стран соседей - как минимум России и Украины. Известных автору успешных релокаций специалистов по кибербезопасности больше десятка только за последние несколько лет.

 А это значит что, например, в Польше пул специалистов уже близок к исчерпанию. Часть задач вполне может быть перенесена в Россию, тем более что это теперь очень выгодно из-за изменения курса рубля, а у всех упомянутых компаний уже существуют представительства в России.

            Внутренние сервисы глобальных организаций только начинают разворачиваться. Пока мне не удалось обнаружить крупных центров оказания внутренних услуг ИБ на глобальном уровне, но это может быстро измениться сразу после стабилизации политической обстановки и отмены санкций. Снижение курса рубля делает затраты на российских специалистов сравнимыми с польскими, где открыто сотни центров обслуживания глобальных корпораций, в том числе сотни позиций центров по кибербезопасности топовых мировых банков UBS, Credit Suisse, Goldman Sachs, BNY Mellon, ING и других. А ведь предложение специалистов даже в самой большой и населенной страны Восточной Европы Польше принципиально слабее чем в России - их и меньше и в Польше очень мало действительно крупных компаний, а значит негде выращивать большое количество компетенций по защите ИТ-ландшафтов корпоративного класса.

            Для уже существующего небольшого пула вакансий по таким проектам возможно рассчитывать на компенсацию до +50% к обычным ставкам.

Релокация

            Релокация пока остается экзотикой на российском рынке специалистов по кибербезопасности. Перевозят за рубеж единичные компании, но активные соискатели смогли найти спрос в Ирландии, Чехии, Польше, Германии, Норвегии, Казахстане, Беларуси, Латвии, ЮАР, Австралии, Японии, ОАЭ и Катаре. Более закрыты рынки труда США, Канады, Швейцарии и Великобритании, хотя именно там находится львиная доля вакансий по кибербезопасности.

Одобренная в апреле 2016 Еврокомиссией и Европарламентом инициатива по защита персональных данных (General Data Protection Regulation) может изменить баланс и создать реальное давление на рынок труда специалистов по кибербезопасности в России. Ведь минимальный штраф за нарушение правил GDPR - 20 миллионов евро или 4% от глобальных доходов, в зависимости от того какая величина больше. А в числе правил - создание института Офицера по защите персональных данных, внутреннего “мини-регулятора” защиты персональных данных граждан ЕС. Для того что бы создать эффективный институт защиты до даты вступления GDPR в силу (25 мая 2018) крупные компании могут начать искать уже осенью 2016, что бы войти в 2017 с сильной командой.

Аналогичное давление вероятно в случае краха Шенгена, когда интересные российским соискателям высокоплачиваемые рабочие места в Западной Европе уже не будут заполняться специалистами из Восточной Европы.

Структура спроса смещена в сторону технических навыков (как минимум 66% всех вакансий содержат требования к техническим навыкам), так как технические навыки менее зависят от языкового и культурного контекста. Впрочем, в недавнем глобальном исследовании State of Cybersecurity 2016 авторитетной международной ассоциации ISACA самыми дефицитными навыками были названы не технические, а способность найти общий язык с бизнесом. Равно как и в недавнем плане по развитию кибербезопасности США (представленном администрацией Обамы в начале года) была отдельно подчеркнута необходимость развития у специалистов по кибербезопасности коммуникационных навыков и знаний бизнес-среды.

Возможно выделить и конкретные востребованные позиции:

●      Технические аудиторы.

●      Аудиторы системы управления ИБ (ISO 27001).

●      Эксперты SOC.

●      Консультанты по рискам кибербезопасности.

●      Инженеры поддержки систем кибербезопасности.

●      Менеджеры по управлению ИБ.

Предложение

Начинающие специалисты (1-3 года)

Предложение начинающих специалистов превышает спрос, вакансий для начинающих специалистов единицы а выпускаются десятки и сотни специалистов.

Организации в целом не расположены инвестировать в подготовку молодых специалистов и студентов в сфере ИБ. Ведь от приема вчерашнего студента на работу Казалось бы, складывается парадоксальная ситуация - ведь откуда возьмутся квалифицированные специалисты если вакансий для начинающих единицы?

На практике карьерный путь специалиста по ИБ часто  проходит через ИТ. Сетевые администраторы, администраторы серверной инфраструктуры, разработчики, должности в государственном секторе и силовых ведомствах становятся выходом для вчерашних студентов. Отдельной, но небольшой в масштабах страны возможностью является практика и вакансии базового уровня в консалтинговых компаниях (Big4, системных интеграторах, внутренних ИТ-компаниях крупнейших компаний страны).

Квалифицированные специалисты (3-5 лет)

Из-за продолжающегося “банкопада”, начавшегося в декабре 2014 сезона высоких процентных ставок (с последующими сокращениями штатов в том числе специалистов по кибербезопасности) и проблемной финансовой ситуации у многих малых и средних системных интеграторов на рынке существует небольшой избыток квалифицированных специалистов.

Избыток мог быть существенно больше, но у компаний мало выбора - инвестировать в начинающих это долгий проект, а в текущих экономических условиях горизонт планирования компаний снижен, а инвестировать в высококвалифицированных специалистов многие руководители считают избыточным, ведь перед ними стоит выбор - сохранять квалифицированных бизнес-специалистов или специалистов сервисных подразделений, таких как кибербезопасность.

Особый избыток возможно увидеть в следующих областях:

●      Специалисты по кибербезопасности банков.

●      Специалисты по соответствию государственным требованиям (аттестация и пр.).

●      Консультанты по информационной безопасности без опыта работы на “голубые фишки” и международных сертификатов.

●      Специалисты без знания английского языка и редких компетенций.

Высококвалифицированные специалисты (5+ лет)

            Высококвалифицированных специалистов возможно разделить на 3 категории:

●      Руководители.

●      Эксперты широкого и узкого профиля.

●      Эксперты по новым направлениям.

            Руководителей в 2015 был существенный избыток, службы ИБ сокращались и реформировались, банкопад продолжался, роли директоров по ИБ переходили к директорам по ИТ.

            Ощущается небольшая нехватка экспертов по новым направлениям - кибербезопасности SAP, IDM, SIEM, кибербезопасности АСУ ТП а так же технических аудиторов для проведения тестов на проникновение.

            Существенной была нехватка проектировщиков и архитекторов по кибербезопасности, в силу продолжения большого количества проектов в государственном секторе.

            Из-за сокращений в регионах высококвалифицированные специалисты из регионов стали рассматривать варианты в Москве.

Комментарий эксперта

            Комментарий дал Андрей Дроздов, вице-президент российского отделения международной ассоциации ISACA, обьединяющей десятки тысяч специалистом по управлению ИТ и ИБ по всему миру.

            Вопрос - Каких специалистов не хватает компаниям?

1.   Андрей Дроздов  - В приведенном ISACA на Конференции RSA в начале 2016 г. отчете по результатам исследования на основе опроса 461 менеджеров и директоров по ИБ отмечено, что в 60% компаний руководители служб ИБ не верят что их персонал способен на что-то больше чем реагирование на простые инциденты по ИБ (прим. автора – видимо передача паролей коллегам, нарушение политики "чистого стола" и т.п.) и отмечают нехватку высококвалифицированных экспертов.

Вопрос - Каких специалистов сейчас на рынке избыток?

1.     Андрей Дроздов - Менеджеров общего плана без конкретных навыков в идентификации и оценке рисков, выбору и внедрении мер защиты.

Вопрос - Нужны ли профессиональные сертификаты по кибербезопасности?

1.     Андрей Дроздов - В медународных компаниях, например «Большой Четверки» , невозможно сделать карьеру в области ИТ аудита,не обладая сертификатом CISA. В целом наличие сертификата свидетельствует о стремлении специалиста повышать свой профессиональный уровень и непрерывно развиваться, ведь серьезные сертификаты (например CISA, CISM, CRISC, CGEIT) требуют постоянного обучения для подтверждения т.н. "баллов непрерыного профессионального образования" (CPE).

Вопрос - Нужно ли знание английского языка профессионалам?

1.     Андрей Дроздов - Сложно получить специализированные и современные профессиональные знания навыки без знания языка, на котором, в основном, публикуются международные стандарты и методологии. Специалистом мирового класса без знания английского уже не стать.

Альтернативные стратегии

Стратегии для компаний

            Компании, которые сталкиваются с серьезными проблемами при поиске и найме специалистов по кибербезопасности могут прибегнуть к альтернативным стратегиям, в том числе 5-и нижеописанным.

Бизнес-кейсы

            Поиск и найм сотрудников остается во многом основанной на интуиции деятельностью, редкие компании имеют модели рассчета необходимого количества сотрудников, детальные исследования рынков и руководствуются данными при принятии кадровых решений в сфере кибербезопасности. Среди глобальных примеров возможно упомянуть швейцарский инвестиционный банк UBS, разместивший в открытых источниках вакансии т.н. Reward Advisors, ставящих на системные рельсы изучение рынка и определение целевой компенсации.

            Переходя к практике - найм каждого сотрудника должен быть обоснован. Желательно не “на пальцах” а с указанием под какие задачи и какой обьем задач нужен сотрудник, как соотносятся требуемые компетенции с задачами, прорабатывались ли альтернативные стратегии - повышение квалификации существующих сотрудников, автоматизация процессов ИБ, перераспределение обязанностей, принятие соответствующего риска ИБ, аутсорсинг и т.д. Нужно понимать, что каждый новый сотрудник это не только финансовые затраты, но и в конечном итоге затраты времени менеджмента компании.

            При наличии на руках формального бизнес-кейса будет гораздо легче вести с руководством диалог о необходимости расширения зоны поиска на регионы или другие страны, повышения компенсации и других стратегиях поиска.

Страхование рисков

            Альтернативной стратегией является страхование информационных рисков. На Западе эта стратегия давно работает, страхуются риски с потенциальным возмещением в сотни миллионов долларов. В наших условиях стратегия ограничена небольшим предложением страховых услуг такого рода (хотя вариантов не менее 3-ех), привычка руководства делать виноватым во всех инцидентах ИБ руководителя службы ИБ и отсутствием такой деловой практики.

Аутсорсинг

            Аутсорсинг ИБ в России развивается уже давно, года и года назад начались первые проекты по аудиту ИБ, поддержке средств безопасности силами внешних специалистов. Однако чувствительные сервисы - управление доступом, внутренняя информационная безопасность, мониторинг инцидентов и управление уяязвимостями организации стремятся оставлять внутри, отдавая их наружу “не от хорошей жизни” - невозможности расширить штат, невозможности предсказать скорость роста бизнеса и т.п. Аутсорсинг является эффективной стратегией, и скорее даже частью концепции ИБ - готова ли организация последовательно описывать ИБ сервисы, измерять их внутреннюю эффективность и сравнивать с рыночными предложениями.

Общие центры обслуживания

            Общие центры обслуживания (ОЦО\SSC) уже десятки лет применяются в бизнесе как инструмент для снижения или сдерживания роста затрат при удержании или повышении качества. Механизм их работы прост - консолидация ресурсов позволяет воспользоваться экономией на масштабе. Общие центры обслуживания по ИБ уже существуют у ведущих корпораций страны - Росатом, Ростех, Роснефть, СУЭК, Норникель. Очевидно,

Привлечение иностранных специалистов

            В России уже года существуют законодательные льготы иностранным специалистам по ИБ. До формирования современной патентной системы “специалист по ИБ” входил в бесквотный список выдачи разрешения на работу, а сейчас такой специалист с трехлетним опытом работы в РФ может получить гражданство РФ по упрощенной процедуре.

Тем не менее в России немного “импортных” специалистов по ИБ. Те случаи что есть в основном относятся к постсоветским странам - Украина, Молдавия, Беларусь, Киргизия, Узбекистан и Казахстан.

После внедерния патентной системы (отказа от квот) данная стратегия стала довольно проста для организаций, но они пока морально не готовы в заметных количествах привлекать на постоянную работу иностранцев.

Стратегии для соискателей

            В рамках рынка кибербезопасности в России соискателям придется резко повысить свою конкурентоспособность - одновременно наращивая свои компетенции и повышая свою заметность для работодателей.

            Перечень необходимых компетенций рекомендую определять исходя из целевой позиции (например, на основе перечней позиций выше), рекомендации по повышению заметности универсальны: точное и детальное заполнение профилей в социальных сетях и job-сайтах, вступление в профильные группы (например, группы Вакансии ИБ (Facebook), RISSPA (LinkedIn) насчитывающие более 1 000 членов каждая), рассылка резюме по базам кадровых агенств и аккуратное обсуждение заинтересованной в работе внутри собственной сети профессиональных контактов.

            Выход на смежные кадровые рынки

            Решившим попробовать смежные кадровые рынки рекомендуется получить профильный сертификат. Это даст возможность “пощупать” предметную область, понять терминологию а иногда и войти в закрытый круг профессиональной ассоциации.

Среди таких сертификаций возможно упомянуть PMP - Project Management Professional (управление проектами), CFE - Certified Fraud Examiner (противодействие хищениям), CIA - Certified Internal Auditor (внутренний аудит), CISA - Certified Internal Systems Auditor (аудит ИТ) и CPP - Certified Protection Professional (общая безопасность бизнеса).

Заключение

            Рынок компетенций кибербезопасности в России усложняется, первые ласточки уже уехали за рубеж, с другой стороны развиваются общие центры услуг по кибербезопасности гигантов - Сбербанка, Роснефти, Газпрома, Росатома и Ростеха.

            Рынок еще не достиг точки бифуркации и дальнейшая его судьба неясна, но в любом случае региональным работодателям, органам государственного управления, среднему и даже крупному бизнесу будет сложно конкурировать за лучшие кадры с национальными чемпионами или транснациональными корпорациями. Поэтому рекомендую компаниям выращивать лояльные кадры со струдентской скамьи, вести постоянный мониторинг рынка и выстраивать гибкую стратегию обеспечения компетенциями службы кибербезопасности.

            Соискателям разумно постоянно вести мониторинг востребованных компетенций, прогнозировать их востребованность в будущем (например, многие низкоуровневые аналитики вполне могут быть заменены искусственным интеллектом в ближайшие 10-15 лет), обучаться и постоянно совершенствовать как профильные компетенции так и т.н. “мягкие “ навыки.