воскресенье, 8 декабря 2013 г.

Почему не стоит учиться на специалиста по информационной безопасности?

В свете происходящих на Украине событий, хотелось бы написать о политической ситуации в стране, своих выводах и взглядах на происходящее, но профессиональный блог не лучшее для этого место. По этой причине оставим политические взгляды для личного общения и рассмотрим такую сферу деятельности как информационная безопасность.
Не так давно были замечены несколько статей о том, как важна безопасность для компаний, а  рынку не хватает специалистов по информационной безопасности и защите информации. Вот одна из таких статей.
Как специалиста данной сферы, меня заинтересовало действительно ли это так? По моему субъективному мнению, это имеет мало общего с реальностью. А реальность такова, что статистика по количеству соискателей на одну вакансию и уровню заработной платы за первый квартал 2013 года на Украине для специалистов по информационной безопасности совсем не радует.
Как видно, специалисты по информационной безопасности одна из самых низко оплачиваемых специализаций в ИТ. И я бы даже сказал, что эта информация не только не радует, но и даже угнетает. Радует, только то, что аутсорсинг ИТ – это одна из не многих отраслей, которая все еще жива на Украине. Совсем печально было бы пойти учиться, например, по призванию на учителя географии и получать 200 долларов.
Так почему же получается ситуация, когда с одной стороны много шума про взломы, необходимость защиты ресурсов компаний и недостаток специалистов, а с другой относительно низкие заработки и единичные вакансии?
Специальность «Информационная безопасность» или «Защита информации» представлена на Украине малым количеством технических ВУЗов. До недавнего времени их было менее 10 на всю Украину. Даже если каждая кафедра готовит по несколько групп в год, и не забыть про заочников, то это около 500 человек в год. Не так уж и много для страны с населением 45 млн. человек. Когда я заканчивал КПИ в 2010 году, то по специальности «Защита информации в компьютерных системах и сетях» выпуск магистров стационара был около 15 человек. Совсем не много.

Если говорить о квалификации, то вот учебный план бакалавров по специальности "защита информации". В нем я не нашел некоторых дисциплин, которые учил, но тем не менее он дает представление о том, что учит студент данной специальности первые 4 года. А магистры учатся 6 лет. В учебном плане присутствует большинство дисциплин, которые учат будущие программисты на факультете прикладной математики и тем более на факультете информатики и вычислительной техники в КПИ. Так что, какой-то критичной разницы в программах и их сложности я не заметил.
Теперь давайте посмотрим, какое количество соискателей претендует на одну вакансию (по данным портала rabota.ua) среди специалистов по информационной безопасности эта цифра – 15. Больше только на должность CIO/CTO - 21. В то время как для программистов этот показатель доходит до 1.   
Понимаю, что выборка может не на 100% отражать действительность, но тем не менее она показывает, что отличие - на порядок.
Теперь давайте сравним зарплату специалиста информационной безопасности и программиста.
В Киеве заработная плата начинающего специалиста по информационной безопасности стартует от 300 (гос. конторы) и до 700 долларов. Для программистов уровень оклада   стартует ни как не ниже чем с 700 долларов.
Опытный специалист по информационной безопасности получает 1000-1500 долларов. Опытный программист в 2-2,5 раза больше.
Руководитель информационной безопасности получает 1,5 – 3 тыс. долларов и практически никогда больше. Заработная плата тим. лидера программистов стартует с 2 500 и ставка может достигать 5, и даже 7 тыс. долларов. Не так давно знакомые искали даже линейного программиста с очень специфичными знаниями  на 7 000 долларов.  
Тем, для кого деньги не последний пункт в мотивационной программе, стоит задуматься на кого учиться… Но обязательно учесть, что рынок перегрет и продержится ли он с таким ростом еще 5 лет, пока Вы будете учиться сказать сложно. Но мы не о программистах, а о специалистах по информационной безопасности.
Спрос на специалистов и уровень их заработной платы диктуется интересом компаний к этим специалистам. А состояние компаний – состоянием того или иного сегмента рынка.
Очевидно, что самые большие службы безопасности в банках, страховых компаниях, холдингах и аудиторских компаниях. Но сейчас на Украине эти компании, мягко говоря, не в выигрышном положении. Но может возникнуть резонный вопрос – почему же заработная плата специалистов по безопасности не была огромной до 2008 года, когда банки были на коне?
Вторая причина – это сервисная ориентированность подразделений безопасности. Они попросту не зарабатывают компании деньги, а тратят их. И любой собственник не сильно жалует тех, кто деньги тратит. В этом случае, что бы показать свою полезность, сотрудникам безопасности нужно или пугать ТОПов страшилками (это у нас риски), или раздувать инциденты безопасности, либо уповать на требования регуляторов, международные стандарты и стандарты материнских компаний, обязательные к выполнению. Но все это не делает отдел безопасности приносящим прибыть подразделением, и в сути своей не меняет отношения руководства (если оно по природе своей не параноидально).
А отсутствие жестких требований и стандартов по информационной безопасности, незначительная ценность информации и как следствие бессмысленность ее защиты, личные договоренности директоров с другими участниками рынка и отсутствие у компаний каких-то реально важных коммерческих тайн, дающих им конкурентное преимущество (за исключением черной бухгалтерии) для большинства компаний, позволяет либо переложить функции информационной безопасности на ИТ, либо взять одного специалиста по безопасности на которого и переложить на него все обязанности целиком.
Дополнительной «радостью» сотрудников информационной безопасности является подчинение физической безопасности в компании или ИТ подразделению.
Первый вариант наводит тоску и печаль, потому как в большинстве своем сотрудники физической безопасности это выходцы из силовых структур и очень плохо знакомы с информационными технологиями в принципе, не говоря о том, что бы понимать их архитектуру и применять их возможности. А самым действенным методом считается «термо-ректальный криптоанализ» и другие приемы психо-физического воздействия. Хотя и нужно отметить, что среди них есть очень сильные психологи и переговорщики. Особенно, бывшие сотрудники «Альфы» и «ГРУ». Уровень подготовки высочайший. Но, тем не менее, такие специалисты крайне редко бывают на переднем рубеже информационных технологий.
Второй вариант – это подчинение ИТ директору. Тут все несколько легче с одной стороны и сложнее с другой. Эти люди хорошо знакомы с ИТ технологиями и обладают знаниями о информационной безопасности. Но их основная задача обеспечить работоспособность систем, а не их безопасность. И при выборе между безопасностью и скоростью внедрения приоритет, скорее всего, будет отдан скорости внедрения в ущерб безопасности. Тут точкой пересечения может стать отказоустойчивость, в которой тоже заинтересованно ИТ подразделение, но ни как не конфиденциальность.
Есть еще примеры подчинения безопасности аудиту, карточному бизнесу и пр. Но в целом более чем в 70% компаний, информационная безопасность не подчиняется на прямую главе правления или директору. Что в свою очередь ставит очень много дополнительных вопросов (если не палок в колеса) сотрудникам информационной безопасности.
Даже в тех случаях, когда подчинение у информационной безопасности на прямую руководителю компании, и он всячески выражает свою поддержку задачам безопасности, в первую очередь руководство в реальности будет опекать зарабатывающие бизнес процессы компании, и только вслед за этим поддерживающие. Я считаю, что это правильный подход (нет поступления денег в компанию – нет компании, тогда и безопасность станет не нужна). Но нужно иметь виду, что направление информационной безопасности будет во втором эшелоне по важности, а скорее всего еще дальше.
К этому стоит добавить необходимость сотрудников информационной безопасности заниматься задачами, которые могут противоречить принципам некоторых людей. Это анализ действий сотрудников, сбор информации, подготовка служебных записок, проведение расследований и пр.
 Если рассматривать карьерные перспективы то тут тоже, все радужно до определенного уровня. После руководителя информационной безопасности вы можете стать:
- Руководителем всей безопасности в компании.
- Советником главы правления.
Если сильно напрячься, то можно возглавить ИТ подразделение.
Стоит учесть, что для курирования всей безопасностью в приоритете сотрудники физической безопасности. Экономическая же безопасность, как правило, выделена отдельно. А претендентов на должность ИТ директора зачастую, в достаточном количестве и с более профильными знаниями.
К этому стоит добавить, что после 40 лет специалисты по информационной безопасности востребованы все меньше, так как требуется постоянно следить за технологиями, которые  изменяются.
В других странах СНГ ситуация примерно аналогична, только Москва обеспечивает больший уровень заработной платы.
Что же делать в данной ситуации?
Можно рассматривать вариант обучения данной специальности на Украине (желательно на бюджете, пока такая возможность есть), сдачу международных сертификатов и отъезд на работу в США, Австралию или Великобританию. Тут появляется много вопросов с рабочей визой и поиском работы, но и уровень заработной платы совсем другой  – в среднем около 100 000 долларов в год. Это хорошая оплата даже относительно уровня жизни в этих странах.
Второй вариант – это становиться сильным технарем прикладного уровня и работать удаленно, тоже на западных заказчиков. Кроме того, светлые головы с хорошим образованием в данной сфере и уклоном в технологии начинают быть востребованы на Украине международными компаниями, например, "Самсунг" перенесла много вопросов связанных с безопасностью в украинский офис. Но оплату, как вы понимаете, Самсунг, оставила не слишком отличными от средне украинских в области.
Третий вариант – это целенаправленно учиться и уходить на темную сторону силы. Теневой рынок взломов постоянно растет, появилось много электронных валют, многие банки выходят в онлайн. Но нужно понимать, что с ростом рынка растет и ответственность за преступления данного типа.
Ну и есть еще вариант сразу сделать выбор в пользу другой сферы. Где нет описанных выше вопросов, но скорее всего, есть другие...

Комментариев нет: