07/04/2017
На протяжении нескольких недель октября в рамках Facebook-группы «Вакансии ИБ» (CyberJobsRussia – 1500+ членов) и социальной сети А.Бодрика (2300+) был проведен опрос «Кадровая ситуация в ИБ».

Опрос был призван помочь понять кадровую ситуацию на едином рынке труда в России с точки зрения сотрудника и предоставить перспективы мобильности, компенсаций и стратегий соискателей для работодателей.

В опросе приняло участие 304 человека. Они ответили на 7 вопросов:
  1. Кто Вы в индустрии информационной безопасности?
  2. Какие опции предоставляет Вам работодатель в рамках компенсационного пакета?
  3. Готовы ли Вы к релокации?
  4. Каков размер Вашего фиксированного заработка (до вычета НДФЛ)?
  5. В каком типе компании Вы работаете?
  6. Ваш прогноз по размеру штата службы ИБ Вашей компании?
  7. Ваша стратегия на рынке труда?
По каждому из вопросов были построены графики – как в целом, так и по четырем самым крупным группам респондентов (совокупно 78% всех респондентов):
  1. CISOДиректор практики ИБ ИТ-компаниитоп-менеджер ИБ-компаний (39 респондентов).
  2. Руководитель подразделения службы ИБнаправления в ИТ-компании (90 респондентов).
  3. Инженер (78 респондентов).
  4. Архитекторпроектировщик (общая ИБ) (29 респондентов).
Кроме упомянутых категорий специалистов в опросе приняли участие консультанты по управлению ИБ, эксперты (IDM, SOC, антифрод), а также разработчики, руководители и специалисты коммерческого блока (маркетологи, менеджеры по продажам).

 
ПРЕДПРИЯТИЯ И СЛУЖБЫ ИБ: КОНТЕКСТ 

Для понимания цифр по компенсациям, параметров мобильности и других необходимо знать в какого рода компаниях работают респонденты. Ответы на этот вопрос показали более-менее равномерное распределение респондентов, ни по одному из пунктов не было набрано менее 10 и более 25 процентов:
  • Клиент класса А (ТОП-100 РБК, банки ТОП-20, ТОП государственных структур.      
  • Клиент класса Б (есть в рейтингах, банки ТОП-50, государственные структуры, ТОП муниципальные структуры).
  • Клиенты иных классов.
  • ИТ-компания класса А (вендоры с капитализацией больше 5 миллиардов долларов, интеграторы с ИБ выручкой от миллиарда руб., крупные дистрибьюторы).
  • ИТ-компания класса Б (вендоры с капитализацией больше 500 миллионов долларов, интеграторы с ИБ-выручкой от 300 миллионов руб., средние дистрибьюторы).
  • ИТ-компании иных классов.
Так же критично понимание тренда спроса на специалистов – будут ли подразделения ИБ нанимать специалистов в ближайшее время.

Ответ на вопрос о динамике спроса неоднозначный. С одной стороны, больше половины собирается сохранить размер штата. С другой – сокращения ожидаются небольшие, и более 30 респондентов указали что наймут более десятка. Возможно, среди респондентов, ответивших положительно, есть представители одних и тех же организаций. С другой стороны, топовые службы ИБ страны насчитывают сотни и даже тысячи специалистов, и для них «наймем более 10» может трансформироваться в «наймем» 100, 200 или 300 специалистов только в одну организацию. С финансовой точки зрения это вполне реально (с учетом регионов это всего-то до 500 миллионов нагрузки на ФОТ в год, что для гигантов не принципиально), но найти столько качественных специалистов физически – проблема, а значит мы можем ожидать очередной виток кадровых войн, когда как и в 2015-2016 тройка возмутителей спокойствия – Сбербанк, Solar Security, Лаборатория Касперского изрядно попортили нервы руководителям подразделений ИБ. В 2017 такими «хулиганами» могут выступить активно нанимающие Сбербанк, Лаборатория Касперского, Информзащита, Ангара, Инфозащита, Сибинтек (аффилированная с Группой Роснефть структура). Особенно отмечу потенциал Ростелекома.

В августе 2016 Ростелеком нанял нового CIO, публично поставив ему задачу «создать внутренние центры компетенций ИТ». В корпоративной практике такая задача решается созданием внутреннего инсорсера, закрывающего 80-90% всех задач по поддержке внутренней ИТ-инфраструктуры. А информационная безопасность в инсорсинге обычно развивается именно внутри подразделений поддержки инфраструктуры – проводится аудит организационной эффективности, выявляются пробелы в текущих компетенциях, незакрытые участки, после чего стартует активный набор сотрудников (например, так было в 2013-2014 в Росэнергоатоме), и ИБ выводится из поддержки инфраструктуры.

КОМПЕНСАЦИИ

Классическая дилемма «стакан наполовину полон или наполовину пуст» отражает ситуацию с материальной компенсацией (в первую очередь фиксированной заработной платой) практически во все времена. Этот актуальный вопрос был включен и в наш опрос.


Парадоксально, но больше половины специалистов по кибербезопасности / информационной безопасности заявили компенсацию от 110 тысяч рублей. Вероятно, стоит сделать поправку на большую распространенность сетей, через которые проводился опрос (Twitter, Linkedin, Facebook), в двух столицах, а также на круги, в которых вращается организатор опроса (консультанты по управлению ИБ, узкоспециализированные эксперты и инженеры, CISO). Однако тенденция налицо – зарплаты в ИБ в разы больше средних по странице и по столице (Москва – 57 тысяч рублей), а почти 9% специалистов имеют приличные и по мировым меркам компенсации (от 250 тысяч рублей или порядка 50 тысяч долларов в год).
           
Но не зарплатой единой. Многие специалисты воспринимают дополнительные опции (ЗОЖ, матпомощь по особым случаям) как свидетельство заботы организации о персонале. Посмотрим, отвечают ли им взаимностью сами организации.


 И среди таких опций безусловным лидером стал ДМС, второе место заняла распространённая в нефтегазовой и энергетической отраслях система материальной помощи (по случаю профессиональных дней, отпусков, рождению детей, болезней и т.п.). Расширенные ДМС и направленные на здоровье сотрудников (фитнес, фрукты и т.п.) опции пока еще редкость, но даже обычная бонусная система встречается пока только в 38% компаний.

КАДРОВЫЕ СТРАТЕГИИ ПРОФЕССИОНАЛОВ 

Статистика может быть занимательной, но лучше чтобы она была полезной. Поэтому наш кадровый опрос не смог обойтись без направленного на выяснения настроений и стратегий профессионалов блока.


Ответ на вопрос о готовности к релокации потрясает. 7 из 10 профессионалов готовы переехать, 2 из 10 готовы мчаться без оглядки куда угодно (вероятно – лишь бы были интересные задачи и достойная оплата.

Такая высокая готовность к жизненным переменам должна как-то выражаться и в текущих планах действий профессионалов. Итак, какие планы у профессионалов по кибербезопасности информационной безопасности?

Ключевой план – «что-то делать», ведь только немногим меньше 30% не собираются ничего предпринимать. Треть будет повышать квалификацию, больше пятой части сменит работу, и лишь 3 процента не работает – безработица в кибербезопасности как минимум в 2 раза меньше, чем официальная в стране.

КЛЮЧЕВЫЕ ВЫВОДЫ 

Подводя итоги сформулируем 3 ключевых вывода:
  1. Рынок труда в России  по-настоящему единый. Очевидно, что постоянные релокации сдерживают финансовый аспект и информационная асимметрия на кадровом рынке, но даже они по мере роста востребованности профессионалов отходят в прошлое.
  2. 73 процента опрошенных ищут пути для повышения своей стоимости на кадровом рынке иили увеличения дохода. Это делает работодателей уязвимыми к хедхантингу со стороны западных и крупнейших федеральных корпораций, что обладают несравненно большими финансовыми ресурсами.
  3. 46 процента опрошенных готовы уехать за рубеж. Очевидно, что отток сдерживают слабое владение английским и глобальная конкуренция за рабочие места с Китаем, Индией, Украиной и Беларусью.

КЛЮЧЕВЫЕ РЕКОМЕНДАЦИИ
 
Увы, выводы получились пессимистичными. Однако, существует ряд простых и экономически эффективных шагов, призванных сгладить возможные кадровые риски:
  1. Закрыть ненужные вакансии по информационной безопасности. Открытие вакансий «впрок» или без четко определенной бизнес-необходимости «надувает» спрос на кадровом рынке и подогревает инфляцию компенсаций.
  2. Консолидировать компетенции. Консолидация компетенций в центрах оказания услуг не только повышает производительность (по оценкам консультантов минимум на 20-30%), но и позволяет создать профессионально интересную среду обмена мнениями и практиками, из которой профессионалам будет сложнее уйти.
  3. Обратить внимание на молодых и очень опытных кандидатов. На кадровом рынке в целом такие кандидаты имеют дискаунт от 20%. Однако, далеко не всякий молодой кандидат «летун», а очень опытный мечтает о пенсии. Внимание к нестандартным кандидатам может окупиться сторицей как в плане сдерживания роста ФОТ, так и, что более важно, в плане роста производительности.