ШкольникамСтудентамСпециалистам

От муравья до титана


Александр Бодрик
CISA, CCSK, ITIL Expert

BIS-journal открывает новый проект «Информационная безопасность: образование и карьера». Он адресован в первую очередь молодежи, но будет интересен всем, работающим в сфере ИБ. Первая публикация цикла – обзор ландшафта профессии с высоты птичьего полета. Пока без деталей.

ТЕНЬ БУДУЩЕГО

Молодые люди, выбирающие свою профессиональную стезю, о сфере информационной безопасности обычно знают немного, как правило, две вещи: это важно и это растущее поле для деятельности. Но насколько это важно? Каков размер этого поля? И главное, что нужно сделать, чтобы на него попасть, да еще и стать конкурентным?  В этом мы и попробуем разобраться.

Банковские транзакции, он-лайн сервисы, телекоммуникационные услуги, железнодорожное сообщение, электроэнергетика, нефтедобыча и газотранспорт – ни одна индустрия не способна существовать без определенного уровня информационной безопасности. С другой стороны, информационная безопасность не существует сама по себе. Это свойство некоего актива – индустрии, предприятия, процесса, приложения, устройства. 

Очевидно, у любого актива есть владелец (условный «акционер»), который задает принципы использования и цели для данного актива. Цель может быть нефинансовая или финансовая, например, некое значение показателя «Рентабельность активов» или какую прибыль хочет получить владелец с актива размером, например, в 100 рублей? Чтобы добиться целей владелец актива нанимает менеджера актива – генерального директора или инвестиционного управляющего, который планирует и предпринимает нужные для достижения цели шаги (management).

В этой классической конструкции управления активов специалист по кибербезопасности – советник, внутренний сервис, важность которого прямо пропорциональна важности нематериальных активов внутри предприятия. Специалист по кибербезопасности может дать руководству предприятия дельный совет как защитить корпоративную репутацию, ограничить корпоративную ответственность, снизить непродуктивные потери в информационной сфере. Совет может быть как стратегического уровня – какие оговорки включить в договор о приобретении нового завода, так и тактическогоопционного – какие требуются технологии защиты, что нужно поменять в инфраструктуре чтобы повысить долгосрочную устойчивость бизнеса.

Доля информационных активов в разных индустриях растет год от года. На наших глазах за пять лет сектор такси в крупнейших мировых городах оцифровался, и теперь программное обеспечение Uber, GetTaxi, Yandex.Taxi управляет рынком, и от его бесперебойного и корректного функционирования зависят десятки тысяч таксистов и миллионы их клиентов. Аналогичные процессы идут и в других индустриях. Онлайн платформа AirBnb оцифровывает сектор гостеприимства, банк без отделений Tinkoff –  финансовый сектор, Googl заменяет водителей на «зашитый» в программное обеспечение алгоритм, и уже в этом году автомобили без водителей достигли показателя в 2,5 миллиона миль пробега.

По мнению аналитической компании IDC, стоимость 65% крупных компаний в мире уже в 2021 году будет основываться на информационных активах.

Вывод прост: кибербезопасность сегодня - это бледная тень кибербезопасности наступающего будущего, когда в любом предмете дома или офиса будут «зашиты» цифровые сервисы с тем или иным компонентом кибербезопасности.

НА ЧТО ОРИЕНТИРОВАТЬСЯ?

Сфера кибербезопасности сегодня имеет существенный технический уклон, и 80% позиций в ней относятся к техническим. Среди оставшихся 20% незначительное число (2-3%) занимается людьми – обучением и управлением, остальные – процессами информационной безопасности, разработкой и внедрением контрольных процедур и внутренних нормативных актов.

Технический уклон вызван условным историческим периодом цифровой эры, которая сейчас активно наступает, отвоевывая островок за островком у старого уклада. Именно сейчас нужны технические специалисты, готовые защищать цифровые сервисы, вручную наводя «орудия» или, тут же на коленке, создавая эти «орудия» (средства защиты) в компаниях-производителях. Однако былой потребности в таких артиллеристах уже нет, и сейчас на полях сражений во многом правят бал автоматизированные системы и GPS.

Подобное ожидает и многих востребованных сегодня технических специалистов. Частично они будут заменены искусственным интеллектом, который уже ставит диагнозы вместо врачей (IBMWatson) или консультирует клиентов в качестве юристов по вопросам банкротства. А частично в них просто отпадет нужда по мере того, как цифровые технологии будут становиться все больше похожими на конструктор: будет развиваться микровиртуализация (Docker) и микросервисы (то, к чему сейчас идет Сбербанк), которые в случае проблем можно восстановить из резервной копии или загрузить их готовый образ. Можно будет просто «выбросить» микросервис как во многих странах делают с телевизорами. Кстати, кто сегодня помнит популярных 20 лет назад телевизионных мастеров?

Спрос на специалистов по кибербезопасности станет более сбалансированным, вырастет необходимость в процессах информационной безопасности, устанавливающих правила управления и использования цифровых активов организации. С другой стороны, по мнению Ernst&Young, дефицит специалистов по кибербезопасности (в первую очередь технических) будет преодолен не ранее чем через 20 лет.

В такой ситуации для завтрашнего студента разумно в ближайшие 10 лет сфокусироваться на технических навыках с постепенным переходом в управление процессами по кибербезопасности и управление архитектурой и системой кибербезопасности предприятия в целом.

РЫНОК ТРУДА – РАЗДОЛЬЕ ДЛЯ УМНОГО ЧЕЛОВЕКА

Рынок труда начинается с корпоративного спроса, который в России имеет ярко выраженную специфику. В стране относительно мало развит средний и малый бизнес, но много крупных корпораций и государственных институтов. Такая специфика благоприятна для специалистов по кибербезопасности, так как они востребованы в первую очередь в крупных организациях, средние и малые реже выделяют задачи по кибербезопасности в отдельную позицию.

Крупные организации имеют службы информационной безопасности разного размера, вплоть до сотен и тысяч человек. В частности, Федеральная налоговая служба (более 100.000 пользователей корпоративной сети) имеет больше тысячи специалистов по кибербезопасности. Очевидно, что организации со схожими по размеру ИТ-инфраструктурами – ФСБ, МВД, Министерство обороны, ПФР, ФТС, Казначейство, Правительство Москвы, Сбербанк, Росатом, Газпром, РЖД, Роснефть, Лукойл, Ростелеком обладают сопоставимыми по размеру штата службами ИБ (не важно, числятся они в основном штате или в штате аутсорсера).

ТОП-10 интеграторов, ведущие вендоры (Лаборатория Касперского, Позитив Технолоджис) в совокупности формируют еще несколько тысяч рабочих мест в сфере ИБ.

Итого, по моим оценкам, только крупнейшие работодатели содержат от 8 тысяч специалистов по кибербезопасности разной направленности. Вместе с организациями меньшего размера нижний порог рынка труда в сфере ИБ можно смело оценить в 10 тысяч специалистов.

Для расчёта ежегодной потребности в специалистах необходимо учесть текучесть кадров в 15% (примерный средний показатель текучести персонала по России за исключением сектора ритейла) и ежегодичный рост штата в 10%.  В итоге, необходимо 2 500 специалистов ежегодно.

Как эта цифра соотносится с вузовской статистикой? Еще в 2014 году заместитель председателя Учебно-методического объединения по информационной безопасности вузов Евгений Белов озвучил такую цифру: российские вузы ежегодно выпускают более 5000 специалистов по кибербезопасности. С другой стороны, по оценкам практикующих молодых специалистов, хорошо, если 30% выпускников из их студенческих групп работает по специальности. Такой поворот, понятно, существенно снижает конкуренцию в сфере ИБ.

В мире уровень конкуренции в сфере ИБ еще ниже. Например, в 2014 году количество вакансий по кибербезопасности в Великобритании выросло в два раза, а правительство Великобритании открыло Центр компетенций по кибербезопасности, с задачами в области пропаганды среди британцев профессии специалиста по кибербезопасности.

Таким образом, одной из эффективных опций для студентов будет продолжение обучения за рубежом, например, завершение магистерской программы в вузах Германии, где обучение бесплатно. После такого обучения, к слову, будет несложно найти работу и получить необходимые миграционные документы в Германии.

КАК ПЛАТЯТ МОЛОДЫМ СПЕЦИАЛИСТАМ?

Компенсации молодым специалистам по кибербезопасности больше зависят от региона, чем от навыков. Компенсации в регионах стартуют с 10-15 тысяч рублей, в МосквеСанкт-Петербурге могут быть и 30-40 тысяч. Мотто работодателей просто: нужных навыков пока нет, специализации нет, платим минимально необходимые для жизни деньги.

Впрочем, уже со второго года в зависимости от специализации возможно рассчитывать на 50 тысяч в МосквеСанкт-Петербурге, а начиная с третьего и на оклады выше 70 тысяч. Потолком на открытом рынке будет оклад 200 тысяч рублей, выше обычно назначается при целевом хантинге кандидата, либо при устройстве по рекомендации.

Большинство вакансий для молодых специалистов находится в МосквеСанкт-Петербурге, довольно активно развиваются региональные центры внутренних услуг федеральных и международных корпораций - Воронеж (Atos, NetCracker), Екатеринбург (Сбербанк), Рязань (Роснефть), Саратов (Роснефть), Краснодар (МТС), Новосибирск (Ростелеком, Позитив Технолоджис), Казань (Лаборатория Касперского), Самара (Сбербанк), Санкт-Петербург (Газпром).

Вакансии для молодых специалистов постоянно открывают три категории компаний:

Крупнейшие организации – Сбербанк, РЖД, Газпром, Росатом, ПФР.
Интеграторы и разработчики – одна Лаборатория Касперского откроет в России 300 вакансий внутри департамента разработки и исследований.
Консультанты Big4 – постоянно открывают вакансии практикантов, интернов и молодых специалистов.

КАРТА КАРЬЕРЫ

Для долгосрочного планирования возможно использовать карту карьеры специалиста по кибербезопасности (Рис. 1). Движение по карте ведется как сверху вниз («вертикальный» рост), так и по горизонтали или «наискосок», например, от специалиста по безопасности до специалиста по информационной безопасности. Компенсации в карте приведены с учетом экспертного мнения автора, нижний диапазон относится в первую очередь к стартовым должностям государственной гражданской и муниципальной службы в регионах.

Рис. 1. Карта карьеры специалиста по кибербезопасности

Существенный разброс окладов связан с разбросом в финансовом положении компаний (госкорпорации и международные компании на порядок более обеспечены) и принципиально более высокими компенсациями в Москве, Санкт-Петербурге и нефтегазовых регионах.

Однако, по данным исследования SuperJob от 1 февраля 2016 года (Таблица 1, http://www.superjob.ru/research/articles/111958/specialist-po-informacionnoj-bezopasnosti/) стартовые оклады существенно выше.

Регион

Диапазон I

Диапазон II

Диапазон III

Диапазон IV

Медиана

(без опыта работы специалистом по ИБ)

(с опытом работы от 1 года)

(с опытом работы от 2 лет)

(с опытом работы от 3 лет)

(средняя заработная плата)

Москва

35 000—50 000

50 000—70 000

70 000—100 000

100 000—150 000

80 000

Санкт-Петербург

28 000—40 000

40 000—55 000

55 000—80 000

80 000—120 000

64 000

Волгоград

18 000—25 000

25 000—35 000

35 000—48 000

48 000—70 000

38 000

Воронеж

18 000—25 000

25 000—35 000

35 000—50 000

50 000—75 000

40 000

Екатеринбург

20 000—32 000

32 000—45 000

45 000—65 000

65 000—95 000

51 000

Казань

18 000—25 000

25 000—35 000

35 000—50 000

50 000—75 000

40 000

Красноярск

20 000—30 000

30 000—40 000

40 000—55 000

55 000—85 000

46 000

Нижний Новгород

18 000—28 000

28 000—40 000

40 000—55 000

55 000—85 000

44 000

Новосибирск

20 000—32 000

32 000—45 000

45 000—65 000

65 000—95 000

50 000

Омск

18 000—25 000

25 000—35 000

35 000—50 000

50 000—75 000

40 000

Пермь

20 000—28 000

28 000—40 000

40 000—55 000

55 000—85 000

46 000

Ростов-на-Дону

20 000—30 000

30 000—40 000

40 000—57 000

57 000—85 000

45 000

Самара

20 000—30 000

30 000—40 000

40 000—55 000

55 000—85 000

46 000

Уфа

18 000—25 000

25 000—35 000

35 000—50 000

50 000—75 000

40 000

Челябинск

20 000—30 000

30 000—42 000

42 000—58 000

58 000—85 000

46 000

Таблица 1. Оклады специалистов по кибербезопасности

КОМПЕНСАЦИИ ЗА РУБЕЖОМ

Компенсации специалистов по кибербезопасности в мире по данным глобального рекрутингового агентства Robert Walters (Таблица 2, https://files.robertwalters.com/content/dam/wwwmedialibrary/imagery-and-files/global/files/salary-survey/complete-salary-survey-2015.pdf) достигают многих десятков, а иногда и сотен тысяч долларов в год (только фиксированная часть, без учета премий, опционов и бонусов). В зависимости от страны оплата варьируется в разы от 25 до 186 тысяч долларов в год. От страны до страны варьируется и спрос – в Бельгии, Франции, Германии, Нидерландах и Гонконге требуются высококвалифицированные специалисты (от 7 лет опыта и вплоть до 15+), во многих других странах требования мягче.

Страна

Позиция

Компенсация (тысяч USD в  год)

United Kingdom

Security Specialist

80 – 160

Belgium (15Y+ EXP)

Security Manager

115 - 145

France (15Y+ EXP)

Security Manager

91 - 136

Germany (7 - 15Y EXP)

IT Security Specialist

68 - 85

Netherlands (10Y+ EXP)

Security

68 - 91

Ireland

Data Protection Officer

80- 114

Australia

Security Architect

88 – 147

New Zealand

Security Specialist

70 – 104

China

IT Security Director

84 – 137

Hong-Kong (15Y+ EXP)

Security Specialist

116 – 167

Japan

Information Security Officer

93 - 186

Malaysia

IT Security Analyst

24 – 35

Singapore

IT Risk & Compliance Manager

96 – 147

Thailand

IT Security Analyst

25 – 40

Vietnam

IT Security Manager

30 - 50

Таблица 2. Компенсации специалистам по кибербезопасности за рубежом по данным отчета о мировых компенсациях Robert Walters (2015)

Увы, сравнение компенсаций даже с такими странами как Китай, Таиланд или Вьетнам не всегда в пользу России. Возможно, лицам, принимающим решения, стоит дополнительно стимулировать обучение и инвестиции в столь востребованной сегодня в мире сфере кибербезопасности.

СТРАТЕГИЯ РАЗВИТИЯ КОМПЕТЕНЦИЙ

Современное российское образование унаследовало советский подход, ориентированный на сильную фундаментальную подготовку. Такой подход стимулирует развитие критического мышления и широкого кругозора, но мало помогает приобрести необходимые сразу после вуза практические навыки по идентификации и оценке рисков, внедрению и управлению техническими и организационными мерами контроля.

Это значит, что при выходе из вуза молодой специалист больше готов к менее специализированным сферам деятельности: таким как системное администрирование, консалтинг, исследования безопасности, в том числе, разработка средств защиты.

Если же говорить о работе сразу в службе ИБ, то для эффективной конкуренции за рабочее место при выходе из вуза вузовского образования недостаточно, необходимо иметь дифференцирующие (отличительные) опыт, навыки и компетенции.

Молодой специалист службы ИБ может избрать один из четырех подходов к развитию: generic («общий»), отраслевой, подход специализации и подход работы в органах.

Общий подход подразумевает повышение компетенций в соответствии с обобщенными запросами работодателя. Это сделает специалиста более востребованным, но менее редким, ценным и уникальным. Достижение серьезных карьерных высот в таком случае зависит больше от приобретенных со временем управленческих (например, управление проектами) и личных компетенций (например, лидерство), которые будут выделять такого специалиста среди конкурентов.

По данным исследования SuperJob от 2016 года работодатели в целом ценят следующие 9 тематик:

  1. знания нормативно-правовой базы, руководящих документов, государственных стандартов в сфере информационной безопасности;
  2. знания стандартов шифрования, основных технологий обеспечения информационной безопасности, современных программных и аппаратных средств защиты информации;
  3. навыки настройки и конфигурирования современных решений защиты информации (межсетевые экраны, системы обнаружения и предотвращения атак и проч.);
  4. опыт проведения аудита информационной безопасности;
  5. опыт разработки регламентов и политик безопасности;
  6. опыт проведения расследований внешних и внутренних инцидентов в сфере информационной безопасности;
  7. сертификаты по информационной безопасности;
  8. опыт реализации систем информационной безопасности в крупных корпоративных сетях;
  9. опыт проектирования эксклюзивных систем и методов защиты информации.

Отраслевой подход подразумевает фокус на определенной отрасли, и повышение компетенций под ее запросы. Востребованность и степень уникальности будут средними. Достижение существенной компенсации будет зависеть как от приобретенных управленческих навыков, так и от глубины понимания отрасли, степени конвертации понимания в конкретные нужные навыки. Например, для финансовой отрасли важны глубокое понимание и опыт работы с криптографической защитой, понимание и опыт внедрения актов регулятора, профильное образование, понимание банковских процессов и продуктов (в частности, розничного, корпоративного и корпоративно-инвестиционного направлений).

Подход специализации направлен на развитие только части компетенций предметной области «кибербезопасность». Существует два классических больших направления кибербезопасности  – policy (все, что связано с людьми, стандартами и процессами) и technology (все, что связано с технологиями).

Направление policy малочисленно, развиваться в нем удобнее всего внутри интегратора и компании «большой четверки». Важным в нем является знание применимых для данной конкретной ситуации стандартов безопасности, понимание смежных предметных областей (ИТ, управление качеством, противодействие мошенничеству, внутренний аудит), понимание цепочек создания ценности (value chain) различных отраслей, умение работать с информацией, «мягкие» навыки (soft skills). Прямо влияют на компенсацию опыт работы на проектах или во внутренних службах «голубых фишек» - Fortune Global 500, 50 крупнейших российских коммерческих компаний, разнообразие и сложность реализованных проектов или внедренных внутренних процессов.

Направление technology предполагает большое разнообразие карьерных путей. Важны в нем технические навыки в одном из направлений – внедрение средств защиты, penetration testing (webinfrastructure), vulnerability research, code review, reverse engineering, digitalcomputer forensics, базовые навыки программирования на PythonRuby. Прямо влияют на компенсацию опыт нахождения уязвимостей в известных продуктахсервисах, опыт реализации проектов с редкими технологиями и классами продуктов (WAF, SIEM, DAM и др.) в «голубых фишках», наличие выступлений на профильных технических конференциях, особенно зарубежных.

Подход работы в органах постепенно отходит в прошлое, но сейчас по разным оценкам от 50 до 70% руководителей служб информационной безопасности пришли из разнообразных силовых структур (МО, МВД) и регуляторов (ФСТЭК, ФСБ). Достигшие уровней начальников отделов и выше сотрудники органов и регуляторов имеют шанс занять кресла директоров по кибербезопасности крупнейших организаций. Из публичных примеров – ФНС, Газпром, Роснефть. С каждым годом вероятность такого перехода все меньше – все больше такие посты заполняются «коммерческими» специалистами, но перспектива через 20 лет увеличить свою компенсацию с 60-80 тысяч (начальник отдела в «органе») до 500+ (директор службы информационной безопасности национального чемпиона) пока еще существует.

ПРАКТИКА РАЗВИТИЯ КОМПЕТЕНЦИЙ

Преобразование стратегии в практические шаги может быть непростой задачей для молодого специалиста, особенно в регионе. Поэтому приведу семь доступных даже в регионе практик развития компетенций по кибербезопасности.

Производственная практика. Производственная практика может быть ценным источником не только реального опыта, но и информации о той или иной отрасли. Не факт, что конкретному специалисту придется по душе, например, отрасль производства продуктов питания.

Волонтерство. Общественные организации часто имеют критические и конфиденциальные данные (например, медицинские), и нуждаются в профессиональной помощи в их защите. Отсутствие средств компенсируется реальным опытом настройки средств безопасности и коммуникаций с бизнесом. У многих общественных организаций очень развиты практики работы с волонтерами, и они с радостью предлагают три вида благодарности:

Оформление отзывов и рекомендаций для будущих работодателей.
Обучение – в первую очередь юридическим вопросам и фандрайзингу.
Рекомендации специалиста знакомым работодателям – а сети знакомств у общественников всегда значимого размера.

Сертификации по информационной безопасности. Для направления policy ключевые сертификаты CISSP, CISM, CISA, CRISC. Для направления technology сертификаты Microsoft, Cisco, CEH, OSCP. Сертификат показывает готовность специалиста инвестировать свое время и средства в изучение глобальных практик, а также мотивирует специалиста достичь определенного уровня знаний.

Сообщества по информационной безопасности. Существует большое количество разноплановых сообществ по информационной безопасности. От неформальных групп в социальных сетях (RISSPA, Вакансии ИБ), и групп по информационной безопасности популярных Open Source проектов (OpenStack, Docker и др.) до надлежащим образом оформленных организаций, например, АРСИБ, SANS и ISACA. Сообщества по информационной безопасности могут предоставить не только ценный совет, но и помочь с реальным опытом. У сообществ open-source есть задачи по обеспечению безопасности разработки ПО, АРСИБ регулярно проводит состязания по взлому (CTF), а SANS давно запустила программу привлечения волонтеров-аналитиков для мониторинга мировых угроз.

Изучение и конспектирование книг, руководств и курсов. Выбрав эту неоднозначную и тяжелую в исполнении, но часто крайне эффективную на выходе, стратегию, придется рационально последовательно изучать книги, руководства и курсы по темам. От классических книг (обычно находящихся в ТОПе Amazon) до бесплатных курсов на новых платформах он-лайн обучения (таких как Coursera). Важно конспектировать материал, чтобы использовать его еще раз в будущем.

Фриланс. Полученные теоретические знания возможно применять в подработках, например, проводя исследования защищенности приложений в рамках программ Bug bounty. За найденную уязвимость корпорации часто готовы платить, иногда такая плата достигает нескольких тысяч долларов. Другой вариант – глобальные ресурсы фриланса (например, лидер – upwork.com) предоставляют большое количество различных заказов по кибербезопасности. Много и базовых – провести безопасную настройку того или иного инфраструктурного сервиса или веб-сайта.

Изучение английского языка. Без английского языка в сфере кибербезопасности будет сложно достичь сколь-нибудь заметных высот. Даже регулятору ФСТЭК пригодилось знание английского языка, ведь известные 17, 21 и 31 приказы более чем на 50% основаны на американском стандарте NIST 800-53. Язык возможно учить разными способами (например, с помощью бесплатных сервисов DuoLingo, LinguaLeo, которые использовал и автор), главное – делать это регулярно и довести до уровня успешного прохождения собеседования в иностранную компанию, беглого чтения стандартов и руководств по кибербезопасности.

Естественно, каждая из практик должна быть частью комплексного плана личного профессионального развития. Например, производственной практики вовсе не обязательно ждать до 4-ого курса. Необходимо самостоятельно искать такую возможность как можно раньше: предлагать свои услуги предприятиям, обсуждать разные возможности с преподавателями.

Идеальным местом для развития компетенций по кибербезопасности в нашей стране является, конечно же, Москва. Тут максимальное количество возможностей как для обучения, так и для заработка, поэтому начинать обучение и карьеру лучше именно в московском вузе.

***

Инвестиции в высшее образование по информационной безопасности не дадут заметной отдачи, если будущий специалист не развивает целенаправленно и гармонично свои компетенции. Однако, специалисты, которые приложат достаточно усилий, станут элитой как в России, так и за рубежом, с возможностью жить и работать в любом из значимых мировых городов – Москве, Амстердаме Лондоне, Нью-Йорке, Сингапуре, Гонконге и других.