11/08/2016
BIS-journal открывает новый проект «Информационная безопасность: образование и карьера». Он адресован в первую очередь молодежи, но будет интересен всем, работающим в сфере ИБ. Первая публикация цикла – обзор ландшафта профессии с высоты птичьего полета. Пока без деталей.
 
ТЕНЬ БУДУЩЕГО
 
Молодые люди, выбирающие свою профессиональную стезю, о сфере информационной безопасности обычно знают немного, как правило, две вещи: это важно и это растущее поле для деятельности. Но насколько это важно? Каков размер этого поля? И главное, что нужно сделать, чтобы на него попасть, да еще и стать конкурентным?  В этом мы и попробуем разобраться.

Банковские транзакции, он-лайн сервисы, телекоммуникационные услуги, железнодорожное сообщение, электроэнергетика, нефтедобыча и газотранспорт – ни одна индустрия не способна существовать без определенного уровня информационной безопасности. С другой стороны, информационная безопасность не существует сама по себе. Это свойство некоего актива – индустрии, предприятия, процесса, приложения, устройства. 

Очевидно, у любого актива есть владелец (условный «акционер»), который задает принципы использования и цели для данного актива. Цель может быть нефинансовая или финансовая, например, некое значение показателя «Рентабельность активов» или какую прибыль хочет получить владелец с актива размером, например, в 100 рублей? Чтобы добиться целей владелец актива нанимает менеджера актива – генерального директора или инвестиционного управляющего, который планирует и предпринимает нужные для достижения цели шаги (management).

В этой классической конструкции управления активов специалист по кибербезопасности – советник, внутренний сервис, важность которого прямо пропорциональна важности нематериальных активов внутри предприятия. Специалист по кибербезопасности может дать руководству предприятия дельный совет как защитить корпоративную репутацию, ограничить корпоративную ответственность, снизить непродуктивные потери в информационной сфере. Совет может быть как стратегического уровня – какие оговорки включить в договор о приобретении нового завода, так и тактическогоопционного – какие требуются технологии защиты, что нужно поменять в инфраструктуре чтобы повысить долгосрочную устойчивость бизнеса.

Доля информационных активов в разных индустриях растет год от года. На наших глазах за пять лет сектор такси в крупнейших мировых городах оцифровался, и теперь программное обеспечение Uber, GetTaxi, Yandex.Taxi управляет рынком, и от его бесперебойного и корректного функционирования зависят десятки тысяч таксистов и миллионы их клиентов. Аналогичные процессы идут и в других индустриях. Онлайн платформа AirBnb оцифровывает сектор гостеприимства, банк без отделений Tinkoff –  финансовый сектор, Googl заменяет водителей на «зашитый» в программное обеспечение алгоритм, и уже в этом году автомобили без водителей достигли показателя в 2,5 миллиона миль пробега.

По мнению аналитической компании IDC, стоимость 65% крупных компаний в мире уже в 2021 году будет основываться на информационных активах.

Вывод прост: кибербезопасность сегодня - это бледная тень кибербезопасности наступающего будущего, когда в любом предмете дома или офиса будут «зашиты» цифровые сервисы с тем или иным компонентом кибербезопасности.
 
НА ЧТО ОРИЕНТИРОВАТЬСЯ?
 
Сфера кибербезопасности сегодня имеет существенный технический уклон, и 80% позиций в ней относятся к техническим. Среди оставшихся 20% незначительное число (2-3%) занимается людьми – обучением и управлением, остальные – процессами информационной безопасности, разработкой и внедрением контрольных процедур и внутренних нормативных актов.

Технический уклон вызван условным историческим периодом цифровой эры, которая сейчас активно наступает, отвоевывая островок за островком у старого уклада. Именно сейчас нужны технические специалисты, готовые защищать цифровые сервисы, вручную наводя «орудия» или, тут же на коленке, создавая эти «орудия» (средства защиты) в компаниях-производителях. Однако былой потребности в таких артиллеристах уже нет, и сейчас на полях сражений во многом правят бал автоматизированные системы и GPS.

Подобное ожидает и многих востребованных сегодня технических специалистов. Частично они будут заменены искусственным интеллектом, который уже ставит диагнозы вместо врачей (IBMWatson) или консультирует клиентов в качестве юристов по вопросам банкротства. А частично в них просто отпадет нужда по мере того, как цифровые технологии будут становиться все больше похожими на конструктор: будет развиваться микровиртуализация (Docker) и микросервисы (то, к чему сейчас идет Сбербанк), которые в случае проблем можно восстановить из резервной копии или загрузить их готовый образ. Можно будет просто «выбросить» микросервис как во многих странах делают с телевизорами. Кстати, кто сегодня помнит популярных 20 лет назад телевизионных мастеров?

Спрос на специалистов по кибербезопасности станет более сбалансированным, вырастет необходимость в процессах информационной безопасности, устанавливающих правила управления и использования цифровых активов организации. С другой стороны, по мнению Ernst&Young, дефицит специалистов по кибербезопасности (в первую очередь технических) будет преодолен не ранее чем через 20 лет.

В такой ситуации для завтрашнего студента разумно в ближайшие 10 лет сфокусироваться на технических навыках с постепенным переходом в управление процессами по кибербезопасности и управление архитектурой и системой кибербезопасности предприятия в целом.
 
РЫНОК ТРУДА – РАЗДОЛЬЕ ДЛЯ УМНОГО ЧЕЛОВЕКА
 
Рынок труда начинается с корпоративного спроса, который в России имеет ярко выраженную специфику. В стране относительно мало развит средний и малый бизнес, но много крупных корпораций и государственных институтов. Такая специфика благоприятна для специалистов по кибербезопасности, так как они востребованы в первую очередь в крупных организациях, средние и малые реже выделяют задачи по кибербезопасности в отдельную позицию.

Крупные организации имеют службы информационной безопасности разного размера, вплоть до сотен и тысяч человек. В частности, Федеральная налоговая служба (более 100.000 пользователей корпоративной сети) имеет больше тысячи специалистов по кибербезопасности. Очевидно, что организации со схожими по размеру ИТ-инфраструктурами – ФСБ, МВД, Министерство обороны, ПФР, ФТС, Казначейство, Правительство Москвы, Сбербанк, Росатом, Газпром, РЖД, Роснефть, Лукойл, Ростелеком обладают сопоставимыми по размеру штата службами ИБ (не важно, числятся они в основном штате или в штате аутсорсера).

ТОП-10 интеграторов, ведущие вендоры (Лаборатория Касперского, Позитив Технолоджис) в совокупности формируют еще несколько тысяч рабочих мест в сфере ИБ.

Итого, по моим оценкам, только крупнейшие работодатели содержат от 8 тысяч специалистов по кибербезопасности разной направленности. Вместе с организациями меньшего размера нижний порог рынка труда в сфере ИБ можно смело оценить в 10 тысяч специалистов.

Для расчёта ежегодной потребности в специалистах необходимо учесть текучесть кадров в 15% (примерный средний показатель текучести персонала по России за исключением сектора ритейла) и ежегодичный рост штата в 10%.  В итоге, необходимо 2 500 специалистов ежегодно.

Как эта цифра соотносится с вузовской статистикой? Еще в 2014 году заместитель председателя Учебно-методического объединения по информационной безопасности вузов Евгений Белов озвучил такую цифру: российские вузы ежегодно выпускают более 5000 специалистов по кибербезопасности. С другой стороны, по оценкам практикующих молодых специалистов, хорошо, если 30% выпускников из их студенческих групп работает по специальности. Такой поворот, понятно, существенно снижает конкуренцию в сфере ИБ.

В мире уровень конкуренции в сфере ИБ еще ниже. Например, в 2014 году количество вакансий по кибербезопасности в Великобритании выросло в два раза, а правительство Великобритании открыло Центр компетенций по кибербезопасности, с задачами в области пропаганды среди британцев профессии специалиста по кибербезопасности.

Таким образом, одной из эффективных опций для студентов будет продолжение обучения за рубежом, например, завершение магистерской программы в вузах Германии, где обучение бесплатно. После такого обучения, к слову, будет несложно найти работу и получить необходимые миграционные документы в Германии.
 
КАК ПЛАТЯТ МОЛОДЫМ СПЕЦИАЛИСТАМ?
 
Компенсации молодым специалистам по кибербезопасности больше зависят от региона, чем от навыков. Компенсации в регионах стартуют с 10-15 тысяч рублей, в МосквеСанкт-Петербурге могут быть и 30-40 тысяч. Мотто работодателей просто: нужных навыков пока нет, специализации нет, платим минимально необходимые для жизни деньги.

Впрочем, уже со второго года в зависимости от специализации возможно рассчитывать на 50 тысяч в МосквеСанкт-Петербурге, а начиная с третьего и на оклады выше 70 тысяч. Потолком на открытом рынке будет оклад 200 тысяч рублей, выше обычно назначается при целевом хантинге кандидата, либо при устройстве по рекомендации.

Большинство вакансий для молодых специалистов находится в МосквеСанкт-Петербурге, довольно активно развиваются региональные центры внутренних услуг федеральных и международных корпораций - Воронеж (Atos, NetCracker), Екатеринбург (Сбербанк), Рязань (Роснефть), Саратов (Роснефть), Краснодар (МТС), Новосибирск (Ростелеком, Позитив Технолоджис), Казань (Лаборатория Касперского), Самара (Сбербанк), Санкт-Петербург (Газпром).

Вакансии для молодых специалистов постоянно открывают три категории компаний:

- Крупнейшие организации – Сбербанк, РЖД, Газпром, Росатом, ПФР.

- Интеграторы и разработчики – одна Лаборатория Касперского откроет в России 300 вакансий внутри департамента разработки и исследований.

- Консультанты Big4 – постоянно открывают вакансии практикантов, интернов и молодых специалистов. 

КАРТА КАРЬЕРЫ 

Для долгосрочного планирования возможно использовать карту карьеры специалиста по кибербезопасности (Рис. 1). Движение по карте ведется как сверху вниз («вертикальный» рост), так и по горизонтали или «наискосок», например, от специалиста по безопасности до специалиста по информационной безопасности. Компенсации в карте приведены с учетом экспертного мнения автора, нижний диапазон относится в первую очередь к стартовым должностям государственной гражданской и муниципальной службы в регионах.


 
Рис. 1. Карта карьеры специалиста по кибербезопасности
 
 
Существенный разброс окладов связан с разбросом в финансовом положении компаний (госкорпорации и международные компании на порядок более обеспечены) и принципиально более высокими компенсациями в Москве, Санкт-Петербурге и нефтегазовых регионах.

            Однако, по данным исследования SuperJob от 1 февраля 2016 года (Таблица 1, http://www.superjob.ru/research/articles/111958/specialist-po-informacionnoj-bezopasnosti/) стартовые оклады существенно выше.
 
Регион  Диапазон I   
(без опыта работы специалистом
по ИБ)
Диапазон II
(с опытом работы от 1 года)
Диапазон III
(с опытом работы от 2 лет)
Диапазон IV
(с опытом работы от 3 лет)
Медиана

(средняя заработная плата)
Москва
 
35 000—
50 000
50 000—70000 70 000—
100 000
100 000—150 000 80 000
Санкт-Петербург 28 000—
40 000
40 000—
55 000
55 000—
80 000
80 000—120 000 64 000
Волгоград 18 000—25 000 25 000—35 000 35 000—48 000 48 000—70 000 38 000
Воронеж 18 000—
25 000
25 000—
35 000
35 000—
50 000
50 000—
75 000
40 000
Екатеринбург 20 000—
32 000
32 000—
45 000
45 000—
65 000
65 000—
95 000
51 000
Казань 18 000—
25 000
25 000—
35 000
35 000—
50 000
50 000—
75 000
40 000
Красноярск 20 000—
30 000
30 000—
40 000
40 000—
55 000
55 000—
85 000
46 000
Нижний Новгород 18 000—
28 000
28 000—
40 000
40 000—
55 000
55 000—
85 000
44 000
Новосибирск 20 000—
32 000
32 000—
45 000
45 000—
65 000
65 000—
95 000
50 000
Омск 18 000—
25 000
25 000—
35 000
35 000—
50 000
50 000—
75 000
40 000
Пермь 20 000—
28 000
28 000—
40 000
40 000—
55 000
55 000—
85 000
46 000
Ростов-на-Дону 20 000—
30 000
30 000—
40 000
40 000—
57 000
57 000—
85 000
45 000
Самара 20 000—
30 000
30 000—
40 000
40 000—
55 000
55 000—
85 000
46 000
Уфа 18 000—
25 000
25 000—
35 000
35 000—
50 000
50 000—
75 000
40 000

 
Таблица 1. Оклады специалистов по кибербезопасности 

КОМПЕНСАЦИИ ЗА РУБЕЖОМ 

Компенсации специалистов по кибербезопасности в мире по данным глобального рекрутингового агентства Robert Walters (Таблица 2, https://files.robertwalters.com/content/dam/wwwmedialibrary/imagery-and-files/globalhttps://journal.ib-bank.ru/files/salary-survey/complete-salary-survey-2015.pdf) достигают многих десятков, а иногда и сотен тысяч долларов в год (только фиксированная часть, без учета премий, опционов и бонусов). В зависимости от страны оплата варьируется в разы от 25 до 186 тысяч долларов в год. От страны до страны варьируется и спрос – в Бельгии, Франции, Германии, Нидерландах и Гонконге требуются высококвалифицированные специалисты (от 7 лет опыта и вплоть до 15+), во многих других странах требования мягче.
 
Страна Позиция Компенсация
(тысяч USD в  год)
United Kingdom Security Specialist 80 – 160
Belgium (15Y+ EXP) Security Manager 115 - 145
France (15Y+ EXP) Security Manager 91 - 136
Germany (7 - 15Y EXP) IT Security Specialist 68 - 85
Netherlands (10Y+ EXP) Security 68 - 91
Ireland Data Protection Officer 80- 114
 Australia Security Architect 88 – 147
New Zealand Security Specialist 70 – 104
China IT Security Director 84 – 137
Hong-Kong (15Y+ EXP) Security Specialist 116 – 167
Japan Information Security Officer 93 - 186
Malaysia IT Security Analyst 24 – 35
Singapore IT Risk & Compliance Manager 96 – 147
Thailand IT Security Analyst 25 – 40
Vietnam IT Security Manager 30 - 50

Таблица 2. Компенсации специалистам по кибербезопасности за рубежом по данным отчета о мировых компенсациях Robert Walters (2015)
 
Увы, сравнение компенсаций даже с такими странами как Китай, Таиланд или Вьетнам не всегда в пользу России. Возможно, лицам, принимающим решения, стоит дополнительно стимулировать обучение и инвестиции в столь востребованной сегодня в мире сфере кибербезопасности.
 
СТРАТЕГИЯ РАЗВИТИЯ КОМПЕТЕНЦИЙ 

Современное российское образование унаследовало советский подход, ориентированный на сильную фундаментальную подготовку. Такой подход стимулирует развитие критического мышления и широкого кругозора, но мало помогает приобрести необходимые сразу после вуза практические навыки по идентификации и оценке рисков, внедрению и управлению техническими и организационными мерами контроля.

Это значит, что при выходе из вуза молодой специалист больше готов к менее специализированным сферам деятельности: таким как системное администрирование, консалтинг, исследования безопасности, в том числе, разработка средств защиты.

Если же говорить о работе сразу в службе ИБ, то для эффективной конкуренции за рабочее место при выходе из вуза вузовского образования недостаточно, необходимо иметь дифференцирующие (отличительные) опыт, навыки и компетенции.

Молодой специалист службы ИБ может избрать один из четырех подходов к развитию: generic («общий»), отраслевой, подход специализации и подход работы в органах.
 
Общий подход подразумевает повышение компетенций в соответствии с обобщенными запросами работодателя. Это сделает специалиста более востребованным, но менее редким, ценным и уникальным. Достижение серьезных карьерных высот в таком случае зависит больше от приобретенных со временем управленческих (например, управление проектами) и личных компетенций (например, лидерство), которые будут выделять такого специалиста среди конкурентов.

По данным исследования SuperJob от 2016 года работодатели в целом ценят следующие 9 тематик:

1. знания нормативно-правовой базы, руководящих документов, государственных стандартов в сфере информационной безопасности;

2. знания стандартов шифрования, основных технологий обеспечения информационной безопасности, современных программных и аппаратных средств защиты информации;

3. навыки настройки и конфигурирования современных решений защиты информации (межсетевые экраны, системы обнаружения и предотвращения атак и проч.);

4. опыт проведения аудита информационной безопасности;

5. опыт разработки регламентов и политик безопасности;

6. опыт проведения расследований внешних и внутренних инцидентов в сфере информационной безопасности;

7. сертификаты по информационной безопасности;

8. опыт реализации систем информационной безопасности в крупных корпоративных сетях;

9. опыт проектирования эксклюзивных систем и методов защиты информации. 

Отраслевой подход подразумевает фокус на определенной отрасли, и повышение компетенций под ее запросы. Востребованность и степень уникальности будут средними. Достижение существенной компенсации будет зависеть как от приобретенных управленческих навыков, так и от глубины понимания отрасли, степени конвертации понимания в конкретные нужные навыки. Например, для финансовой отрасли важны глубокое понимание и опыт работы с криптографической защитой, понимание и опыт внедрения актов регулятора, профильное образование, понимание банковских процессов и продуктов (в частности, розничного, корпоративного и корпоративно-инвестиционного направлений).
 
Подход специализации направлен на развитие только части компетенций предметной области «кибербезопасность». Существует два классических больших направления кибербезопасности  – policy (все, что связано с людьми, стандартами и процессами) и technology (все, что связано с технологиями).

Направление policy малочисленно, развиваться в нем удобнее всего внутри интегратора и компании «большой четверки». Важным в нем является знание применимых для данной конкретной ситуации стандартов безопасности, понимание смежных предметных областей (ИТ, управление качеством, противодействие мошенничеству, внутренний аудит), понимание цепочек создания ценности (value chain) различных отраслей, умение работать с информацией, «мягкие» навыки (soft skills). Прямо влияют на компенсацию опыт работы на проектах или во внутренних службах «голубых фишек» - Fortune Global 500, 50 крупнейших российских коммерческих компаний, разнообразие и сложность реализованных проектов или внедренных внутренних процессов.

Направление technology предполагает большое разнообразие карьерных путей. Важны в нем технические навыки в одном из направлений – внедрение средств защиты, penetration testing (webinfrastructure), vulnerability research, code review, reverse engineering, digitalcomputer forensics, базовые навыки программирования на PythonRuby. Прямо влияют на компенсацию опыт нахождения уязвимостей в известных продуктахсервисах, опыт реализации проектов с редкими технологиями и классами продуктов (WAF, SIEM, DAM и др.) в «голубых фишках», наличие выступлений на профильных технических конференциях, особенно зарубежных.
 
Подход работы в органах постепенно отходит в прошлое, но сейчас по разным оценкам от 50 до 70% руководителей служб информационной безопасности пришли из разнообразных силовых структур (МО, МВД) и регуляторов (ФСТЭК, ФСБ). Достигшие уровней начальников отделов и выше сотрудники органов и регуляторов имеют шанс занять кресла директоров по кибербезопасности крупнейших организаций. Из публичных примеров – ФНС, Газпром, Роснефть. С каждым годом вероятность такого перехода все меньше – все больше такие посты заполняются «коммерческими» специалистами, но перспектива через 20 лет увеличить свою компенсацию с 60-80 тысяч (начальник отдела в «органе») до 500+ (директор службы информационной безопасности национального чемпиона) пока еще существует.
 
ПРАКТИКА РАЗВИТИЯ КОМПЕТЕНЦИЙ 

Преобразование стратегии в практические шаги может быть непростой задачей для молодого специалиста, особенно в регионе. Поэтому приведу семь доступных даже в регионе практик развития компетенций по кибербезопасности.

Производственная практика. Производственная практика может быть ценным источником не только реального опыта, но и информации о той или иной отрасли. Не факт, что конкретному специалисту придется по душе, например, отрасль производства продуктов питания.

Волонтерство. Общественные организации часто имеют критические и конфиденциальные данные (например, медицинские), и нуждаются в профессиональной помощи в их защите. Отсутствие средств компенсируется реальным опытом настройки средств безопасности и коммуникаций с бизнесом. У многих общественных организаций очень развиты практики работы с волонтерами, и они с радостью предлагают три вида благодарности:

1. Оформление отзывов и рекомендаций для будущих работодателей.
2. Обучение – в первую очередь юридическим вопросам и фандрайзингу.
3. Рекомендации специалиста знакомым работодателям – а сети знакомств у общественников всегда значимого размера.

Сертификации по информационной безопасности. Для направления policy ключевые сертификаты CISSP, CISM, CISA, CRISC. Для направления technology сертификаты Microsoft, Cisco, CEH, OSCP. Сертификат показывает готовность специалиста инвестировать свое время и средства в изучение глобальных практик, а также мотивирует специалиста достичь определенного уровня знаний.

Сообщества по информационной безопасности. Существует большое количество разноплановых сообществ по информационной безопасности. От неформальных групп в социальных сетях (RISSPA, Вакансии ИБ), и групп по информационной безопасности популярных Open Source проектов (OpenStack, Docker и др.) до надлежащим образом оформленных организаций, например, АРСИБ, SANS и ISACA. Сообщества по информационной безопасности могут предоставить не только ценный совет, но и помочь с реальным опытом. У сообществ open-source есть задачи по обеспечению безопасности разработки ПО, АРСИБ регулярно проводит состязания по взлому (CTF), а SANS давно запустила программу привлечения волонтеров-аналитиков для мониторинга мировых угроз.

Изучение и конспектирование книг, руководств и курсов. Выбрав эту неоднозначную и тяжелую в исполнении, но часто крайне эффективную на выходе, стратегию, придется рационально последовательно изучать книги, руководства и курсы по темам. От классических книг (обычно находящихся в ТОПе Amazon) до бесплатных курсов на новых платформах он-лайн обучения (таких как Coursera). Важно конспектировать материал, чтобы использовать его еще раз в будущем.

Фриланс. Полученные теоретические знания возможно применять в подработках, например, проводя исследования защищенности приложений в рамках программ Bug bounty. За найденную уязвимость корпорации часто готовы платить, иногда такая плата достигает нескольких тысяч долларов. Другой вариант – глобальные ресурсы фриланса (например, лидер – upwork.com) предоставляют большое количество различных заказов по кибербезопасности. Много и базовых – провести безопасную настройку того или иного инфраструктурного сервиса или веб-сайта.

Изучение английского языка. Без английского языка в сфере кибербезопасности будет сложно достичь сколь-нибудь заметных высот. Даже регулятору ФСТЭК пригодилось знание английского языка, ведь известные 17, 21 и 31 приказы более чем на 50% основаны на американском стандарте NIST 800-53. Язык возможно учить разными способами (например, с помощью бесплатных сервисов DuoLingo, LinguaLeo, которые использовал и автор), главное – делать это регулярно и довести до уровня успешного прохождения собеседования в иностранную компанию, беглого чтения стандартов и руководств по кибербезопасности.
 
Естественно, каждая из практик должна быть частью комплексного плана личного профессионального развития. Например, производственной практики вовсе не обязательно ждать до 4-ого курса. Необходимо самостоятельно искать такую возможность как можно раньше: предлагать свои услуги предприятиям, обсуждать разные возможности с преподавателями.

Идеальным местом для развития компетенций по кибербезопасности в нашей стране является, конечно же, Москва. Тут максимальное количество возможностей как для обучения, так и для заработка, поэтому начинать обучение и карьеру лучше именно в московском вузе.
 
*** 

Инвестиции в высшее образование по информационной безопасности не дадут заметной отдачи, если будущий специалист не развивает целенаправленно и гармонично свои компетенции. Однако, специалисты, которые приложат достаточно усилий, станут элитой как в России, так и за рубежом, с возможностью жить и работать в любом из значимых мировых городов – Москве, Амстердаме Лондоне, Нью-Йорке, Сингапуре, Гонконге и других.