Сколько стоит специалист по безопасности?

Сколько стоит специалист по безопасности?

Михаил Савельев,
директор департамента развития региональной сети компании "Информзащита"

Откуда они берутся

Откуда вообще появляются эти люди -"специалисты по безопасности"?

Несколько лет назад многие из них были представителями армии и силовых структур. Часть перешла в эту отрасль из рядов системных администраторов и программистов.

Сегодня уже можно говорить уверенно: большинство из них приходят в компании из вузов, которые повально начали готовить у себя специалистов по этой специальности.

Текущее базовое образование пока оставляет за собой полное право называться "базовым". Причина этого прежде всего, видимо, кроется в системе образования, которая сегодня неспособна менять содержание программ обучения вслед за быстро изменяющимися тенденциями рынка.

Так, до сих пор на вопрос о том, что такое безопасность, из трех ее качеств (конфиденциальность, целостность и доступность) среднестатистический выпускник может припомнить только первое. А на вопрос о том, какие документы и стандарты по информационной безопасности (ИБ) вы знаете, все уверенно называют РД Гостехкомиссии. И только половина выпускников может сказать, что они что-то слышали о BS 7799, ISO 27001 и т.п.

Люди разные нужны

Второй немаловажный вопрос: "Какие специалисты нужны компаниям?". Если сильно "огрубить", рынок труда для специалистов по безопасности можно разделить на следующие сегменты:

• мелкие компании;
• крупные компании;
• компании-интеграторы.

Наиболее интересны две первые позиции, т.е. простые организации разных форм собственности, для которых ИБ - не предмет продажи, а одна из внутренних потребностей. Разница заключается в том, что требуется от специалиста в тех или иных условиях.

В первом случае компании достаточно и вчерашнего студента. Его основная задача -попытаться хоть как-то упорядочить работу компании со своими данными, хотя бы внедрением определенных регламентов и инструкций бороться с произволом системных администраторов. На плечи этого же человека падает бремя администрации внедряемых им же средств защиты. Скоро он вынужден заниматься только текучкой, и на что-то более серьезное ни времени, ни сил у него не хватает. Этот класс специалистов можно условно разделить на "сетевиков" и "системщиков". Первые чрезмерно увлекаются "внутренностями" информационной системы, ОС, особенностями сетевого оборудования, не обращая внимания ни на что вокруг. Например, они могут без устали "вылизывать" периме-тровую защиту и просто не думать о необходимости заняться разграничением доступа в приложениях, где как раз и обрабатываются конфиденциальные и просто критичные данные. "Системщики" же смотрят на проблемы шире, но они, как правило, не вникают глубоко в особенности все тех же ОС и коммутационного оборудования, что тоже не совсем правильно.

Крупные компании, способные нанять нескольких человек или иметь целые отделы ИБ, нуждаются в двух классах сотрудников. Первые - "эксплуатационщики" - уже знакомый нам тип специалиста, которые и здесь занимаются обслуживанием и администрированием внедренных средств защиты. Над ними возвышается каста "нормативщиков", которые берут на себя функции создания различного рода нормативных документов - от политики безопасности до политики межсетевого экранирования. Они же часто выступают и в роли своеобразных надсмотрщиков за тем, как выполняются требования созданных и внедренных ими документов.

Здесь тоже есть касты "сетевиков" и "системщиков", с той разницей, что первые занимаются "делом ради дела", а вторые стараются проникнуть в суть защищаемого бизнеса. Если первые честно начинают внедрять одну технологию защиты за другой из известного им перечня, то вторые пытаются вникнуть в бизнес-процессы, правильно понять и оценить свойственные именно этой отрасли риски и т.п.

Чтобы подняться на эту ступень, специалист должен проявить себя: ни в институте, ни на курсах этой работе пока не учат. Правильное понимание истинных отраслевых угроз еще только формируется работающими в крупных компаниях людьми.

Если говорить о компаниях-интеграторах, то, используя терминологию из мира эксплуатации, можно провести четкие параллели. Сотрудники этих компаний условно делятся на следующие категории:

• специалисты;
• системные архитекторы;
• менеджеры проектов.

В этих людях без труда можно опознать уже известные нам типы специалистов: "эксплуатационщиков" и "нормативщиков" из обычных компаний.

Так сколько вешать в у.е.?

Автору не удалось найти специализированную статистику именно по специалистам в области ИБ, поэтому он попытается опереться на статистику в смежных отраслях. По различным оценкам (например, сайта Газета.Ru), потребность российских предприятий и организаций в новых ИТ-специалистах в 2007 г. превышает предложение. Так, в этой отрасли сегодня требуется 175 тыс. человек. При этом количество подготавливаемых российскими вузами ИТ-специалистов не соответствует потребностям индустрии. Например, в 2005 г. вузами было выпущено 29,5 тыс. магистров и специалистов ИТ-профиля, а также 18 тыс. бакалавров. В том же году на обучение по ИТ-специальностям в вузы было зачислено около 70 тыс. человек. По личным ощущениям автора (как человека, работающего в сфере безопасности), весь этот дефицит концентрируется именно в области IT...

Анализ размещенных резюме и предложений о найме на работу на портале Headhun-ter.ru, выполненный кадровой службой компании "Информзащита", подтверждает эти выводы. В настоящее время спрос на специалистов немного превышает предложение.

Были проанализированы трехмесячные выборки данных по следующим условным категориям:

• cпециалисты;
• системные архитекторы;
• менеджеры проектов (см. таблицу).

Сложившаяся ситуация лишний раз демонстрирует то, что компании готовы платить действительно квалифицированным специалистам и остро нуждаются в них.

Завышенность предложения над спросом говорит еще и о том, что организации готовы купить готового специалиста, а не вкладывать средства в его образование. Особенно четко это проявляется на уровне специалистов младшего звена: наиболее толковые из них быстро устают от рутины и либо переходят на более высокую должность, либо меняют место работы.

Еще одна особенность сегодняшнего положения на кадровом рынке безопасности заключается в том, что работающие ныне специалисты интеграторов и неинтеграторов росли параллельно: одни теоретически, другие практически. В настоящее время им просто не хватает смежных знаний, отчего мы наблюдаем постоянную миграцию специалистов от интеграторов в обычные компании и наоборот. Остается надеяться, что в течение ближайшего года эта ситуация начнет стабилизироваться за счет того, что люди, наконец, поймут, какая же именно "сторона баррикад" им ближе.

Хороша телушка, да рубль перевоз

Необходимо отметить, что для работодателя указанные суммы - еще не конечные траты на такого рода специалистов. Область И Б сегодня -одна из самых стремительно развивающихся. Поэтому для того чтобы специалист не терял квалификацию, он должен как минимум 20% времени тратить на самообучение и курсы повышения квалификации. И если курсы - это ощутимые затраты, то 20% времени обычно в расчет никто не принимает.

Помимо курсов, организации часто оплачивают своим сотрудникам приобретение литературы. Хорошие книги по безопасности, тексты нормативных актов и т.д. стоят в среднем 100 у.е. за экземпляр. И это без учета Интернет-трафика, затрачиваемого на обзор специализированных сайтов, скачивание тестовых версий различных программ и т.п.

Правда, для специалистов тоже важно не перегнуть палку. В одних местах очень ценят обилие профессиональных сертификатов, в других справедливо вопрошают: а когда же ты успевал работать, если ты все время учился?

Еще раз подчеркну, что особую ценность на рынке труда сегодня представляют профессионалы, имеющие реальный опыт внедрения или эксплуатации тех или иных систем безопасности.

Причем в данном случае неважно, с какой "стороны баррикад" работал специалист, -таких специалистов просто очень мало. Этих специалистов на вес золота ценят как крупные компании, так и компании-интеграторы.

Вместо итога

В заключение хочется отметить, что в скором будущем особенный дефицит кадров будет наблюдаться именно на уровне "младшего" технического звена. В условиях указанного дефицита эти специалисты будут быстро расти, уходя с нудной и рутинной работы по эксплуатации. Это будет способствовать еще большему удорожанию их труда. Причем затраты будут складываться не только из зарплаты, но и из средств, потраченных на поиск кандидата, на его адаптацию и обучение.

Очевидно, что в такой ситуации постоянной текучки искать и обучать подобных специалистов многим организациям будет не под силу. А это приведет либо к росту зарплат, либо к развитию рынка услуг и аутсорсинга.