Как справиться с дефицитом специалистов по кибербезопасности

Можно ли удержать таких сотрудников
13 июня 2021, 12:42
Как справиться с дефицитом специалистов по кибербезопасности
Бизнес
Кибербезопасность

За год число киберпреступлений в России выросло почти в два раза. Представители бизнеса все чаще обращаются к управлению цифровыми рисками, а IT-специалисты все реже придерживаются мнения, что хакерам они не интересны.

В итоге во всех крупных отраслях бизнеса проявился кадровый голод экспертов по кибербезопасности. Рустэм Хайретдинов — директор по росту компании BI.ZONE, которая занимается стратегическим управлением цифровыми рисками — предлагает стратегии работы в существующих условиях.

Почему безопасников будет мало

Причины, по которым компаниям не хватает специалистов по кибербезопасности: они легко укладываются в известную формулу «трудно найти и легко потерять».

С одной стороны, из-за демографической ямы 90-х годов таких кандидатов в принципе мало на рынке, и за них соревнуются.

С другой, безопасников манят смежная сфера IT и более интересные задачи в других компаниях.

Переход в IT

Проекты по цифровизации тоже испытывают дефицит кадров: спрос вырос быстрее предложения. Частные и государственные предприятия, даже те, кто был далек от цифровых инициатив, вдруг стали IT-компаниями.

Налоговые льготы для IT-отрасли добавили энтузиазма неайтишным предприятиям, и те стали срочно выводить свои IT-департаменты в отдельные юридические лица.

Но обучение айтишников — долгое и непростое дело, поэтому на демографическую яму, из-за которой молодежи статистически меньше, наложилась проблема подготовки кадров: слишком долго меняются методические планы, слишком тяжело вводятся в программу новые дисциплины.

Результат: только в России сотни тысяч незакрытых IT-вакансий. Экспертов с радостью ждут в IT и в кибербезопасности, а часть безопасников выбирает первую сферу, например, из-за меньшего количества требований.

Безопасник должен не только знать IT, но еще и разбираться в юриспруденции и психологии, иметь черты характера, позволяющие внимательно ковыряться в коде и настройках, сделанных другими людьми, быть стрессоустойчивым, поскольку инциденты кибербезопасности — это всегда «вдруг».

Учитывая, что безопасник получает компенсацию в среднем процентов на 30 меньше айтишника той же квалификации, уход из кибербезопасности в IT — не такая уж редкость.

Другие компании

Безопасники в рамках трудоустройства постоянно передвигаются по оси «регионы — столицы — мир» и «госорганизация — коммерческая организация — IT-/КБ-компания — экосистема».

Год-два «прокачки», и специалист переезжает с Дальнего Востока в Европу транзитом через Москву; из областной администрации — в условный «Яндекс» или даже Apple. Сейчас процесс стал еще активнее: пандемия легализовала удаленную работу, и для того, чтобы увести человека, даже не нужно его перевозить.

Специалист в Магнитогорске может уйти в Facebook, получив учетную запись в системе нового работодателя и статус ИП для начисления денег из-за рубежа.

Профессионал на острие технологий должен постоянно расти, и этого не закрыть оплатой курсов: нужны еще интересные задачи и сложные проекты, которых у небольшой организации может и не быть.

Невозможно бесконечно повышать ему зарплату, иначе в какой-то момент он будет получать больше некоторых топ-менеджеров.

Как справляться с дефицитом кадров

Как жить компании с пониманием, что для дефицитных сотрудников КБ-департамента вы лишь начальная ступень для перехода в другую сферу, компанию или страну? Есть три стратегии.

  • Политика преемственности. Можно так выстраивать работу отдела кибербезопасности, чтобы функции сотрудников дублировались: у каждого специалиста был бы ученик, так что уход одного человека вызывал бы карьерный рост всех, кто находится ниже по должности.
  • Роботизация. Практически каждый разработчик средств кибербезопасности экспериментирует с искусственным интеллектом, и многие довольно далеко в этом продвинулись. В этом случае предварительный анализ событий КБ и поддержку принятия решений о реакции на них берет на себя робот. У специалистов же остается время на более креативные задачи.
  • Аутсорсинг. Пандемия сдвинула центр принятия решения с психологической мотивации (страх «как, мы доверим нашу безопасность людям, которых не можем уволить?») к экономической. Авральная цифровизация при переходе на удаленку научила компании считать эффективность внедрения решений. Если кибербезопасность — это функция цифровой системы, значит, эту функцию можно оптимизировать: сотрудникам оставить стратегические задачи, а такие работы, как мониторинг инфраструктуры, реагирование на атаки, анализ защищенности и подобное передать на аутсорсинг.
  • Микс стратегий. Эти подходы не взаимоисключающие. Встречается и умелое комбинирование всех трех стратегий: системообразующие функции кибербезопасности основываются на постоянно обновляющихся кадрах, рутинные операции роботизируются, а то, что экономически невыгодно держать у себя из-за слишком дорогих компетенций, отдается на аутсорсинг.

Кибератак, как и объектов защиты, будет только больше. Злоумышленники постоянно совершенствуются в техниках нападения, а цифровизацию уже не отменить: все ощутили прелести цифрового внедрения за счет низких транзакционных расходов и вряд ли от них откажутся, отключив интернет и свои информационные системы.

А вот число кибербезопасников сильно не увеличится, но с этим можно справиться. Не бойтесь, экспериментируйте и ищите свои, подходящие именно вам пропорции найма, роботизации и передачи функций сторонним подрядчикам.

Фото: Pressmaster / Shutterstock

Авторы
Рустэм Хайретдинов
Рустэм Хайретдинов
Директор по росту BI.ZONE
Подписаться на телеграм-канал
Публикации по теме
Новости по теме