За год число киберпреступлений в России выросло почти в два раза. Представители бизнеса все чаще обращаются к управлению цифровыми рисками, а IT-специалисты все реже придерживаются мнения, что хакерам они не интересны.
В итоге во всех крупных отраслях бизнеса проявился кадровый голод экспертов по кибербезопасности. Рустэм Хайретдинов — директор по росту компании BI.ZONE, которая занимается стратегическим управлением цифровыми рисками — предлагает стратегии работы в существующих условиях.Почему безопасников будет мало
Причины, по которым компаниям не хватает специалистов по кибербезопасности: они легко укладываются в известную формулу «трудно найти и легко потерять».
С одной стороны, из-за демографической ямы 90-х годов таких кандидатов в принципе мало на рынке, и за них соревнуются.
С другой, безопасников манят смежная сфера IT и более интересные задачи в других компаниях.
Переход в IT
Проекты по цифровизации тоже испытывают дефицит кадров: спрос вырос быстрее предложения. Частные и государственные предприятия, даже те, кто был далек от цифровых инициатив, вдруг стали IT-компаниями.
Налоговые льготы для IT-отрасли добавили энтузиазма неайтишным предприятиям, и те стали срочно выводить свои IT-департаменты в отдельные юридические лица.
Но обучение айтишников — долгое и непростое дело, поэтому на демографическую яму, из-за которой молодежи статистически меньше, наложилась проблема подготовки кадров: слишком долго меняются методические планы, слишком тяжело вводятся в программу новые дисциплины.
Результат: только в России сотни тысяч незакрытых IT-вакансий. Экспертов с радостью ждут в IT и в кибербезопасности, а часть безопасников выбирает первую сферу, например, из-за меньшего количества требований.
Безопасник должен не только знать IT, но еще и разбираться в юриспруденции и психологии, иметь черты характера, позволяющие внимательно ковыряться в коде и настройках, сделанных другими людьми, быть стрессоустойчивым, поскольку инциденты кибербезопасности — это всегда «вдруг».
Учитывая, что безопасник получает компенсацию в среднем процентов на 30 меньше айтишника той же квалификации, уход из кибербезопасности в IT — не такая уж редкость.
Другие компании
Безопасники в рамках трудоустройства постоянно передвигаются по оси «регионы — столицы — мир» и «госорганизация — коммерческая организация — IT-/КБ-компания — экосистема».
Год-два «прокачки», и специалист переезжает с Дальнего Востока в Европу транзитом через Москву; из областной администрации — в условный «Яндекс» или даже Apple. Сейчас процесс стал еще активнее: пандемия легализовала удаленную работу, и для того, чтобы увести человека, даже не нужно его перевозить.
Специалист в Магнитогорске может уйти в Facebook, получив учетную запись в системе нового работодателя и статус ИП для начисления денег из-за рубежа.
Профессионал на острие технологий должен постоянно расти, и этого не закрыть оплатой курсов: нужны еще интересные задачи и сложные проекты, которых у небольшой организации может и не быть.
Невозможно бесконечно повышать ему зарплату, иначе в какой-то момент он будет получать больше некоторых топ-менеджеров.
Как справляться с дефицитом кадров
Как жить компании с пониманием, что для дефицитных сотрудников КБ-департамента вы лишь начальная ступень для перехода в другую сферу, компанию или страну? Есть три стратегии.
- Политика преемственности. Можно так выстраивать работу отдела кибербезопасности, чтобы функции сотрудников дублировались: у каждого специалиста был бы ученик, так что уход одного человека вызывал бы карьерный рост всех, кто находится ниже по должности.
- Роботизация. Практически каждый разработчик средств кибербезопасности экспериментирует с искусственным интеллектом, и многие довольно далеко в этом продвинулись. В этом случае предварительный анализ событий КБ и поддержку принятия решений о реакции на них берет на себя робот. У специалистов же остается время на более креативные задачи.
- Аутсорсинг. Пандемия сдвинула центр принятия решения с психологической мотивации (страх «как, мы доверим нашу безопасность людям, которых не можем уволить?») к экономической. Авральная цифровизация при переходе на удаленку научила компании считать эффективность внедрения решений. Если кибербезопасность — это функция цифровой системы, значит, эту функцию можно оптимизировать: сотрудникам оставить стратегические задачи, а такие работы, как мониторинг инфраструктуры, реагирование на атаки, анализ защищенности и подобное передать на аутсорсинг.
- Микс стратегий. Эти подходы не взаимоисключающие. Встречается и умелое комбинирование всех трех стратегий: системообразующие функции кибербезопасности основываются на постоянно обновляющихся кадрах, рутинные операции роботизируются, а то, что экономически невыгодно держать у себя из-за слишком дорогих компетенций, отдается на аутсорсинг.
Кибератак, как и объектов защиты, будет только больше. Злоумышленники постоянно совершенствуются в техниках нападения, а цифровизацию уже не отменить: все ощутили прелести цифрового внедрения за счет низких транзакционных расходов и вряд ли от них откажутся, отключив интернет и свои информационные системы.
А вот число кибербезопасников сильно не увеличится, но с этим можно справиться. Не бойтесь, экспериментируйте и ищите свои, подходящие именно вам пропорции найма, роботизации и передачи функций сторонним подрядчикам.
Фото: Pressmaster /
Нашли опечатку? Выделите текст и нажмите Ctrl + Enter
Материалы по теме
- 1 Face ID нового времени: как работают алгоритмы распознавания лиц и можно ли их обмануть
- 2 Flint Capital повторно инвестировал в израильский стартап по кибербезопасности Cynomi
- 3 Avito, «Вымпелком», «Тинькофф Банк» и «Яндекс» подписали отраслевой стандарт защиты данных
- 4 Как заставить кибермошенника плакать? Соблюдайте цифровую гигиену при работе с корпоративной почтой
- 5 Как среднему бизнесу защищаться от новейших киберугроз
ВОЗМОЖНОСТИ
20 апреля 2024
21 апреля 2024
21 апреля 2024