Специалистам

Кадровая ситуация в ИБ 2016: Россия


Александр Бодрик
директор по развитию бизнеса и консалтинга, CISA, CCSK, ITIL Expert (ГК ИРИДИС)

На протяжении нескольких недель октября в рамках Facebook-группы Вакансии ИБ (CyberJobsRussia – 1 500+ членов) и социальной сети А. Бодрика (2 300+) был проведен опрос «Кадровая ситуация в ИБ».

Опрос был призван помочь понять кадровую ситуацию на едином рынке труда в России с точки зрения сотрудника, и предоставить перспективы мобильности, компенсаций и стратегий соискателей для работодателей.

В опросе приняло участие 304 человека, что ответили на 7 вопросов:

  1. Кто Вы в индустрии информационной безопасности?
  2. Какие опции предоставляет Вам работодатель в рамках компенсационного пакета?
  3. Готовы ли Вы к релокации?
  4. Каков размер Вашего фиксированного заработка (до вычета НДФЛ)?
  5. В каком типе компании Вы работаете?
  6. Ваш прогноз по размеру штата службы ИБ Вашей компании?
  7. Ваша стратегия на рынке труда?

Данный отчет ставит своей целью проанализировать ответы респондентов в целом и дополнительно 4-ех сегментов:

  1. Сегмент “CISO”.
  2. Сегмент “CISO-1”.
  3. Сегмент “Архитектор ИБ”.
  4. Сегмент “CISO”.

По каждому из вопросов были построены графики – как в целом, так и по 4-ем наиболее крупным группам респондентов (совокупно 78% всех респондентов):

  1. CISOДиректор практики ИБ ИТ-компаниитоп-менеджер ИБ-компаний (39 респондентов).
  2. Руководитель подразделения службы ИБнапрравления в ИТ-компании (90 респондентов).
  3. Инженер (78 респондентов).
  4. Архитекторпроектировщик (общая ИБ) (29 респондентов).

Кроме упомянутых категорий специалистов в опросе приняли участие консультанты по управлению ИБ, эксперты (IDM, SOC, антифрод), а так же разработчики, руководители и специалисты коммерческого блока (маркетологи, менеджеры по продажам).

СИТУАЦИЯ В ЦЕЛОМ

Предприятия и службы ИБ: контекст

Для понимания цифр по компенсациям, параметров мобильности и других необходимо знать в какого рода компаниях работают респонденты. Результаты вопроса на эту тему показали более-менее равномерное распределение респондентов, ни по одному из пунктов не было набрано менее 10 и более 25 процентов:

  • Клиент класса А (ТОП-100 РБК, банки ТОП-20, ТОП государственных структур.      
  • Клиент класса Б (есть в рейтингах, банки ТОП-50, государственные структуры, ТОП муниципальные структуры).
  • Клиенты иных классов.
  • ИТ-компания класса А (вендоры с капитализацией больше 5 миллиардов долларов, интеграторы с ИБ выручкой от миллиарда руб., крупные дистрибьюторы).
  • ИТ-компания класса Б (вендоры с капитализацией больше 500 миллионов долларов, интеграторы с ИБ-выручкой от 300 миллионов руб., средние дистрибьюторы).
  • ИТ-компании иных классов.

Так же критично понимание тренда спроса на специалистов – будут ли подразделения ИБ нанимать специалистов в ближайшее время.

Ответ на вопрос динамики спроса неоднозначный. С одной стороны большая половина собирается сохранить размер штата. С другой – сокращения ожидаются небольшие, и более 30 респондентов указали что наймут более десятка. Возможно, в среди ответивших положительно респондентов есть представители одних и тех же организаций, с другой стороны топовые службы ИБ страны насчитывают сотни и даже тысячи специалистов, и для них «наймем более 10» может трансформироваться в наймем 100, 200 или 300 специалистов только в одну организацию. С финансовой точки зрения это вполне реально (с учетом регионов это всего-то до 500 миллионов нагрузки на ФОТ в год – что для гигантов не принципиально), но найти столько качественных специалистов физически проблема, а значит мы можем ожидать очередной виток кадровых войн, когда как и в 2015-2016 тройка возмутителей спокойствия – Сбербанк, Solar Security, Лаборатория Касперского изрядно попортили нервы руководителям подразделений ИБ. В 2017 такими «хулиганами» могут выступить активно нанимающие Сбербанк, Лаборатория Касперского, Информзащита, Ангара, Инфозащита, Сибинтек (аффилированная с Группой Роснефть структура. Особенно отмечу потенциал Ростелекома.

В августе 2016 Ростелеком нанял нового CIO, публично поставив ему задачу «создать внутренние центры компетенций ИТ». В корпоративной практике такая задача решается созданием внутреннего инсорсера, закрывающего 80-90% всех задач по поддержке внутренней ИТ-инфраструктуры. А информационная безопасность в инсорсинге обычно развивается именно внутри подразделений поддержки инфраструктуры – проводится аудит организационной эффективности, выявляются пробелы в текущих компетенциях, незакрытые участки – после чего стартует активный набор (например, как было в 2013-2014 в Росэнергоатоме), и ИБ выводится из поддержки инфраструктуры.

Компенсации

Классическая фраза «стакан то ли наполовину пуст то ли наполовину полон» отражает ситуацию с материальной компенсацией (в первую очередь фиксированной заработной платой) практически во все времена. Такой вечно актуальный вопрос был включен и в наш опрос.

Парадоксально, но более половины специалистов по кибербезопасности информационной безопасности заявила компенсацию от 110 тысяч рублей. Вероятно стоит сделать поправку на большую распространенность сетей, через которые проводился опрос (Twitter, Linkedin, Facebook),  в двух столицах, а так же на круги в которых вращается организатор вопроса (консультанты по управлению ИБ, узкоспециализированные эксперты и инженеры, CISO). Однако тенденция налицо – зарплаты в ИБ в разы больше средних по странице и по столице (Москва – 57 тысяч рублей), а почти 9% специалистов имеют приличные и по мировым меркам компенсации (от 250 тысяч рублей или порядка 50 тысяч долларов в год).

Однако, не зарплатой единой. Многие специалисты воспринимают дополнительные опции (ЗОЖ, матпомощь по особым случаям) как свидетельство заборы организации о персонале. Посмотрим, отвечают ли им взаимностью организации.

И среди таких опций безусловным лидером стал ДМС, второе место заняла распространённая в нефтегазовой и энергетической отраслях система материальной помощи (по случаю профессиональных дней, отпусков, рождению детей, болезней и т.п.). Расширенные ДМС и направленные на здоровье сотрудников (фитнес, фрукты и т.п.) опции пока еще редкость, но даже обычная бонусная система встречается пока только в 38% компаний.

Кадровые стратегии профессионалов

Статистика может быть занимательной, но лучше чтобы она была полезной. Поэтому наш кадровый опрос не смог обойтись без направленного на выяснения настроений и стратегий профессионалов блока.

Ответ на вопрос готовности к релокации потрясает. 7 из 10 профессионалов готово перехать, 2 из 10 готовы мчаться без оглядки куда угодно (вероятно – лишь бы были интересные задачи и достойная оплата.

Такая высокая готовность к жизненным переменам должна как-то выражаться и в текущих планах действий профессионалов. Итак, какие планы у профессионалов по кибербезопасности информационной безопасности?

Ключевой план – «что-то делать», ведь только немногим меньше 30% не собирается ничего предпринимать. Треть будет повышать квалификацию, больше пятой части сменит работу, и лишь 3 процента не работает – безработица в кибербезопасности как минимум в 2 раза меньше чем официальная в стране.

Ключевые выводы

Подводя итоги сформулируем 3 ключевых вывода:

  1. Рынок труда в России  по настоящему единый. Очевидно, что постоянные релокации сдерживают финансовый аспект и информационная асимметрия на кадровом рынке, но даже они по мере роста востребованности профессионалов отходят в прошлое.
  2. 73%  опрошенных ищут пути для повышения своей стоимости на кадровом рынке иили увеличения дохода. Это делает работодателей уязвимыми к хедхантингу со стороны западных и крупнейших федеральных корпораций, что обладают несравненно большими финансовыми ресурсами.
  3. 46% процентов опрошенных готовы уехать зарубеж. Очевидно, что отток сдерживают слабое владение английским и глобальная конкуренция за рабочие места с Китаем, Индией, Украиной и Беларусью.

Ключевые рекомендации

Увы, выводы получились пессимистичными. Однако, существует ряд простых и экономически эффективных шагов, призванных сгладить возможные кадровые риски:

  1. Закрыть ненужные вакансии по информационной безопасности. Открытие вакансий «впрок» или без четко определенной бизнес-необходимости «надувает» спрос на кадровом рынке и подогревает инфляцию компенсаций.
  2. Консолидировать компетенции. Консолидация компетенций в центрах оказания внутренних услуг по информационной безопасности не только повышает производительность (по оценкам консультантов минимум на 20-30%), но и позволяет создать профессионально интересную среду обмена мнения и практиками, из которой профессионалам будет сложнее уйти.
  3. Обратить внимание на молодых и очень опытных кандидатов. На кадровом рынке в целом такие кандидаты имеют дискаунт от 20%. Однако, далеко не всякий молодой кандидат «летун», а очень опытный мечтает о пенсии. Внимание к нестандартным кандидатам может окупиться сторицей как в плане сдерживания роста ФОТ так и, что более важно, в плане роста производительности.

 

СЕГМЕНТ CISO. ЦАРЬ ГОРЫ


Предприятия и службы ИБ: контекст сегмента

            В кибербезопасности руководители служб информационной безопасности (т.н. CISO – Chief Information Security Officer) выступают в качестве «царей горы», которые формируют будущее как своего подразделения так и всей организации.

            Эффективность – мотивация, профессионализм и лояльность CISO во многом определяет эффективность службы информационной безопасности и системы информационной безопасности предприятия в целом То же относится и к руководителям бизнес-направлений информационной безопасности в ИТ-компаниях.

            Находясь на вершине пирамиды службы информационной безопасности CISO лучше других специалистов понимают будут ли сокращения подразделений внутри их служб.

           

CISO не планируют сокращать свои подразделения, более того – две трети CISO планирую нарастить численность своих «кибердружин».

Компенсации сегмента

            Компенсации CISO всегда отличались наибольшим разнообразием, ведь позиция и область ответственности так же разнообразны как российский бизнес-ландшафт.

           

Однако опрос показывает, что больше двух третей российских CISO зарабатывают свыше 150 тысяч рублей в месяц, а более трети – свыше 250 тысяч. В отсутствие региональной привязки стоит предложить что голосовали CISO из Москвы и Санкт-Петербурга, а так же «внутренние экспаты» - CISO вывезенные в регионы крупными региональными компаниями (в таких случаях компенсации обычно выше среднемосковских).

            Последние несколько лет ввиду финансовых трудностей многие компании сделали упор на нематериальное и непрямое материальное стимулирование персонала. В рамках информационной безопасности интересно как компании стимулируют “первых лиц по ИБ” – CISO.

           

Принципиальным отличием от общих показателей оказалась бонусная система. CISO в 1,5 раза (60+% против 40% в среднем) чаще вовлечены в бонусную систему. Вероятно, на таком уровне ответственности предприятия переходят к управлению через цели (Management By Objectives – MBO), и стимулируют управленцев достигать целей через выплату бонусов по достижению целевых показателей.

Кадровые стратегии сегмента

            По мере роста крупного бизнеса и центров оказания услуг глобальных и крупнейших российских корпораций в регионах внутренняя миграция имеет потенциал стать многонаправленной, изменившись из ставшей классической “все едут в Москву, Питер или в нефтегазовые регионы”.

           

Готовность CISO к мобильности не отличается в корне от стандартных для ИБ показателей, разве что в МосквуПитер CISO переезжать готовы меньше, а в пределах страны больше, что может свидетельствовать о уже упомянутой специфике опроса - голосовали CISO из Москвы и Санкт-Петербурга, а так же «внутренние экспаты» - CISO вывезенные в регионы крупными региональными компаниями (в таких случаях компенсации обычно выше среднемосковских)

            Однако релокация это довольно радикальная и не для всех подходящая кадровая стратегия. Какие кадровые стратегии в целом выбирают CISO?

   

CISO принципиально более удовлетворены текущим местом работы и своей ценностью на рынке чем специалисты в среднем, что выражается в большем проценте ответов «Не ищу работу» и меньшем проценте ответов «Буду повышать квалификацию».

Выводы по сегменту

            В целом CISO оптимистично смотрят на ситуацию на рынке ИБ, держатся за место но готовы переехать если поступит предложение от которого нельзя отказаться.

Рекомендации по сегменту

            Тем предприятиям что еще не распространили бонусную систему на CISO стоит это сделать, ведь зачем нанимать CISO если не ставить ему амбициозные задачи и мотивировать его к их достижению? Тем более что 23 компаний уже распростарнили бонусную систему на CISO.

СЕГМЕНТ CISO-1. ПОТЕРЯННОЕ ПОКОЛЕНИЕ


Предприятия и службы ИБ: контекст сегмента

            CISO-1 – руководители подразделений внутри службы информационной безопасности (начальники отделов по управлению доступом, криптосервисам, SOC, deputy CISO) будут CISO в будущем, причем будущее может наступить уже завтра – после получения заманчивого положения. Вместе с этим именно такой сегмент выступает в роли внутреннего кадрового резерва для позиций CISO.

Как члены управленческой команды CISO-1 обычно неплохо осведомлены о стратегии информационной безопасности и предстоящих сокращениях либо наборе персонала.

В отличие от CISO CISO-1 ожидают сокращений (незначительных), а более половины ожидают заморозки штата службы ИБ. Учитывая что такой настрой противоречит мнению CISO (более осведомленных профессионалов), он может быть следствием большей тревожности в сегменте.

Компенсации сегмента

Компенсации сегмента CISO-1 выступают естественным драйвером роста представителей сегмента в сегмент CISO, а так же роста из исполнителей в менеджеры, ведь CISO-1 часто стает первой управленческой должностью бывшего ИБ-инженера.

           

Компенсации CISO-1 принципиально ниже компенсаций CISO, топовых компенсаций (500+) уже нет как класс, высоких компенсаций (250-500) всего 5% против 30% у CISO, более половины компенсаций располагаются в рамках150 тысяч рублей.

Возможно компании в данном сегменте профессионалов делают упор на непрямую мотивацию?

Ответ двоякий – с одной стороны CISO-1 практически по всем показателям проигрывают CISO, c другой – компании предоставляют им принципиально больше материальной помощи (почти 60% против 40% у CISO). Возможно в условиях повсеместного «уплощения» организационных структур компании пока не определились насколько им нужны мотивированные менеджеры по ИБ, но и избавляться от них прямо сейчас смысла не видят.

Кадровые стратегии сегмента

Если компании меньше ценят своих менеджеров чем CISO, то возможно они это чувствуют и готовы уехать?

Менеджеры и правда готовы уехать в пределах страны а так же на Запад (ЕС США), популярностью пользуются в частности и 2 столицы – Москва и Санкт-Петербург.

Столько высокая готовность к релокации может быть признаком общей тревожности и малой лояльности сегмента. Какие кадровые стратегии выбирает сегмент?

Более 30% профессионалов сегмента ищут работу работая, что значительно выше показателей сегмента CISO и общего показателя. В несколько раз больше чем в сегменте CISO и количество выбравших стратегию «Буду искать работу» в будущем, что совокупно дает более 40% профессионалов сегмента, что планируют сменить в ближайшее время место работы.

Выводы по сегменту

Значительный разрыв компенсаций и льгот между сегментами CISO и CISO-1, повышенная тревожность сегмента CISO-1 делает профессионалов сегмента более мобильными и менее лояльными.

Рекомендации по сегменту

Компаниям со значительным количеством менеджеров по ИБ стоит задуматься о их ослабевшей мотивации, ведь CISO других компаний уже анонсировали расширение штатов.

СЕГМЕНТ "АРХИТЕКТОРЫ". ЛИДЕРЫ ИННОВАЦИЙ


Предприятия и службы ИБ: контекст сегмента

Архитекторы по информационной безопасности (кибербезопасности) выступают мостом между руководством служб информационной безопасности и инженерами – проектируя и осуществляя техническое руководство сервисами и проеками информационной безопасности в интересах внутренних и внешних заказчиков.

Довольно часто архитекторы по ИБ выполняют роль менеджеров по ИБ (CISO-1), но они ближе к «полям» (инженерам ИТ и ИБ) и их ощущение рисков сокращений хорошо передает мнение инженерного коллектива в целом.

Мнение архитекторов аналогично мнению сегмента CISO-1 – ситуация сохранится как есть, вероятны небольшие сокращения.

Компенсации сегмента

Учитывая постоянное усложнение корпоративных ИТ-ландшафтов и все возрастающую зависимость компаний от ИТ сегментов архитекторов в теории предполагает значительные компенсации.

Компенсации сегмента архитекторов меньше компенсаций предшествующих сегментов, здесь уже более 70% компенсаций лежат в 150 тысяч рублей в месяц, а треть в рамках 110 тысяч.

Возможно, дальнейшее падение прямой финансовой компенсации все таки приведет к росту непрямой?

Действительно, сегмент архитекторов имеет принципиально большие показатели по непрямой компенсации, по всем параметрам превосходя общие показатели, и по 4 из 5 параметров превосходя предшествующие сегменты CISO, CISO-1 (CISO больше вовлечены в бонусную систему, а CISO-1 в систему материальной помощи, но по всем остальным параметрам эти сегменты проигрывают архитекторскому).

Кадровые стратегии сегмента

Архитекторские обязанности требуют значительного масштаба мышления – что позволит эффективно увязать между собой различные технологии, процессы и компетенции персонала. Такой масштаб подразумевает и осведомленность о внешнем мире – где сколько платят, что не может не повлиять на мобильность профессионалов сегмента.

Архитекторы готовы переезжать в разные города, степень их мобильности скорее высокая (соответствует общим показателям).

Противоречие компенсации – средняя заработная плата и значительные льготы может толкать архитекторов на эксперименты со своими кадровыми стратегиями.

Сегмент архитекторов принципиально превосходит предшествующие сегменты по желанию обучаться (повышать квалификацию – стоимость на рынке труда), а так же показал нулевую безработицу (что может свидетельствовать о значительном спросе на профессионалов сегмента). Необычная и популярность стратегии “Искать приработок”, что может быть обусловлено как значительным спросом на технических профессионалов по кибербезопасности так и меньшими компенсациями чем в предшествующих сегментах.

Выводы по сегменту

Архитекторы выглядят динамичным и активно экспериментирующим сегментом, готовым повышать свою ценность, находить дополнительный заработок при этом активно конкурируя за рабочие места с другими сегментами.

Рекомендации по сегменту

Учитывая значительный обьем льгот и желание архитекторов зарабатывать больше компаниям может быть выгодно внедрить т.н. “кафетерий льгот” – предоставить архитекторам возможность выбрать льготы либо их монетарный эквивалент. А учитывая масштаб мышления архитекторов вполне возможно рассматривать их как кадровый резерв для позиций CISO, CISO-1.

СЕГМЕНТ "ИНЖЕНЕРЫ". СТАНОВОЙ ХРЕБЕТ ИБ


Предприятия и службы ИБ: контекст сегмента

Инженеры по ИБ выступают фундаментов службы ИБ – именно за счет их служба крепко стоит на ногах и реалистично смотрит на технические проблемы. С другой стороны – в крупных службах ИБ инженеров десятки и сотни, и их статус априори невысок - “пехота”.

Инженеры по должности не могут знать будут ли сокращения или набор в службу ИБ, но их восприятие кадрового тренда службы влияет на их лояльность.

Инженеры (как и CISO) твердо уверены что сокращения маловероятны, но несколько более консервативны по поводу расширения штатов. Очевидно, что тревожность опрошенных инженеров в части стабильности рабочего места небольшая.

Компенсации сегмента

Находясь в основе кадровой пирамиды кибербезопасности компенсации инженеров в целом обречены быть скромнее чем сегменты CISO, CISO-1 и архитекторов.

Однако отдельные узкие специалисты в силу дефицита в теории могут рассчитывать на существенные компенсации.

Хотя более половины инженеров имеют компенсации в рамках 80 тысяч рублей – почти 10 процентов доходят до 250 а то и 500 тысяч рублей. Возможно, что узкая специализация иногда себя оправдывает в материальном плане или часть респондентов работает на заграничных заказчиков (США, Сингапур, Гонконг и др.), где компенсация в 500+ рублей в месяц для высококвалифицированного инженера не диковинка.

Существует ли аналогичный разрыв внутри сегмента инженеров в части льгот?

Де факто льготы инженерам находятся ниже средних значений – кроме показателя обеспеченности ДМС. Вероятно в отношении профессионалов сегмента преобладает простой подход – оплата за работу и компетенцию + ДМС для компенсации невысоких окладов.

Кадровые стратегии сегмента

Невысокие компенсации и небольшой набор льгот могут быть триггерами для переезда инженеров к более щедрым компаниям.

Показатели мобильности инженеров в целом аналогичны общим, однако сегмент инженеров более “всеяден” – почти 30% профессионалов готовы переехать куда угодно. Возможно для инженеров важнее задачи чем окружение, тем более что их работа больше направлена на взаимодействие с технологиями чем с людьми.

Как и архитекторы инженеры относятся к техническим специалистам, возможно их кадровые стратегии будут схожи с архитекторами.

Инженеры (как и архитекторы) планирую повышать квалификацию, но в отличие от архитекторов не планируют искать приработок (нет спроса на техническую работу или инженеры еще не умеют доставать заказы).

Выводы по сегменту

            «Становой хребет» служб информационной безопасности относительно пассивен в плане поиска работы, но  активно повышает компетенции и готов переехать куда угодно при возможности.

Рекомендации по сегменту

Учитывая высокую пассивную мобильность инженеров компаниям рекомендуется создать для них благоприятную обстановку – предоставить интересные задачи и повысить качество управления. Качество управления инженерами в ИБ должно быть на голову выше качества управления в бизнесе – так как спрос на ИБ-инженеров растет как в стране так и за ее пределами гораздо быстрее чем рынок труда в целом.