Кому больше всех платят

BI аналитика Битрикс 24 — полезный инструмент, предназначенный для анализа и оценки бизнес-процессов, принятия объективных и обоснованных управленческих решений. С ее помощью выполняется сбор, обработка и визуализация информации из разных источников. Функциональный конструктор позволяет создавать индивидуальные отчеты о продажах, маркетинге, производительности и других аспектах работы компании, находить существующие между ними взаимосвязи, оптимизировать любые внутренние бизнес-процессы.

Оценка уязвимостей – лишь первый шаг к грамотно выстроенной информационной безопасности в компании. Второй и не менее важный – выбор стратегии управления рисками.

Зачастую этот этап вызывает множество споров в ИБ-сообществе. Кто-то утверждает, что при выборе методики нужно учитывать только приоритетные риски. Другие считают главным фактором деньги, которые руководство готово выделить на защиту бизнеса. Третьи и вовсе игнорируют все традиционные методы управления рисками.

Почему у российских ИБ-специалистов нет единого мнения? Какие методы управления рисками они считают актуальными? И чем руководствуются на практике? Подробности – в этой статье.

Я поступил на ветеринара и после первого семестра сразу пошел работать ассистентом ветеринарного врача. Параллельно с учебой.
Мой обычный рабочий день в клинике: я просыпался в семь утра и ехал до работы где-то полтора часа. В девять приходил на рабочее место, переодевался и заступал на сутки. После суток шел отсыпаться. Просыпался и понимал: завтра опять на работу.

Я приходил с работы, ложился и смотрел в потолок. Думал, это депрессия. Обратился к специалистам — сказали, апатия. Пошел к психологу, и тот заговорил со мной о сфере IT. Стал искать, мониторить, где лучшие знания дают, больше практики. Читал отзывы, смотрел ролики на ютубе. И так наткнулся на Skypro.

Мне рассказали, как проходят занятия, сколько времени дается на домашки, то есть всё достаточно подробно рассказали. Я решил: мне это подходит. Приятно, что университет подходит индивидуально к каждому студенту. Это дорогого стоит.

После учебы на работу взяли двоих одновременно: меня на младшего специалиста (я увеличил зарплату на 160%) — и опытного тестировщика. И начальник мне говорит, что я его давно обошел. Я уже в команду скоро пойду, а он еще на первом этапе.

Рекрутеры смотрят на них с восхищением, а стоматологи завидуют – ИТ-специалисты в России за последние несколько лет не только ушли вперед по уровню заработных плат от представителей других специальностей, но и получили ряд бонусов от государства в лице Минцифры. Например, льготная ипотека и отсрочка от армии.

Зарплата специалиста по кибербезопасности в России тоже не стала исключением. Уровень оплаты с каждым годом растет, как в ИТ в целом, так и у специалистов этой сферы. Сотрудники, отвечающие за информационную безопасность, не стали исключением. Учитывая специфику прошлого года – изобилие кибератак и частые инциденты с утечкой данных крупных фирм, сегодня каждый уважающий себя руководитель озаботился вопросом безопасности информационной инфраструктуры фирмы и сохранности личных данных. А значит и спрос на ИБ-специалистов и, соответственно, заработные платы должны показать положительную динамику.

В этой статье мы расскажем, какая сегодня средняя зарплата специалиста по информационной безопасности, каким ответвлениям платят больше и за что, а кто из-за потолка в карьере показывает самые незавидные результаты по заработной плате в ИБ-секторе.

XTech занимается VC/Growth Equity и M&A в цифровых продуктах, новых направлениях для Ростелекома. Мы смотрим на различные сегменты цифрового бизнеса, поэтому у нас широкая воронка и сильный разброс в размере сделок. Ещё немного о нас можно прочитать в недавнем интервью CFO Ростелекома. (https://tass.ru/interviews/19281397)

Команда аналитики состоит из выпускников НИУ ВШЭ, ФУ и МФТИ. В ближайшее время мы хотим нанять одного или двух аналитиков, типичные

— Общение с таргетами и разбор предпосылок развития бизнеса

— Финансовое моделирование таргет-компаний

— Оценка компаний и структурирование сделок

— Ресерч по различным направлениям бизнеса

— Составление аналитических записок, тизеров, презентаций и меморандумов

— Коммуникация со старшими коллегами

— Выпускник 2022-2024 гг.

— 1-2 года опыта работы+стажировок в VC / PE / IB / оценке / корпфине

— Опыт построения финансовых моделей с нуля

— Знание корпфина, понимание принципов юнит-экономики

— Full-time позиция, работа из офиса без удалёнки, но без работы на выходных

— Адекватное руководство, команда с опытом работы в банках, PE/VC фондах, Big-4

— Атмосфера работы в IT-корпорации, множество интересных задач и возможностей для профессионального роста

— Отпуск 28 дней, в которые никто не дёргает

— Ежегодный бюджет на образовательные курсы

— Премия по итогам года

— Официальная бронь

— Офис класса «А» около станции метро Проспект Вернадского

Начало пути

Игроки ИТ-рынка отмечают не только нехватку квалифицированных кадров, но и тот факт, что студентов престижных вузов бизнес разбирает еще «щенками» – на первых годах обучения. С одной стороны это большой плюс, как для студентов, так и для будущих работодателей, но с другой это создает дополнительный ажиотаж на рынке.

Инга Оськина

Директор по персоналу Cloud Networks

Дело в том, что в вузах, где идет серьезная подготовка по специальности ИТ/ИБ, талантливые соискатели уже на 3 курсе все разобраны по компаниям и работают на неполную ставку или полноценно вовлечены в проекты. Так что к моменту получения диплома их уже сложно назвать молодыми специалистами, у них за плечами 2 – 3 года опыта работы и соответствующие запросы по зарплате. Поэтому во всё большем количестве компаний можно заметить наличие стажерских программ, отлаженную работу с вузами, даже непосредственное участие в учебных программах в коллаборации с кафедрами ИБ. Мы, Cloud Networks, не исключение и с радостью принимаем в свои ряды стажеров. Что касается начальной ставки, то она варьируется от 33 тыс. рублей до 75 тыс. рублей в зависимости от региона и функционала.

Ксения Китайцева

Управляющий консультант практик «Информационные технологии», «Финансовые институты» рекрутинговой компании Get experts.

Если говорить про зарплату в начале карьеры, то в ИБ ситуация такая же, как в целом на ИТ-рынке. Заработные платы на входе в отрасль составляют примерно 50-80 тыс. рублей. Дальнейшее повышение уже всегда зависит от конкретной компании и конкретного специалиста.

На деле выходит, что молодой специалист не долго остается таковым. По словам экспертов, обычно рост происходит буквально за полгода – год. И, если раньше, выпускник вуза скитался в поисках работы, пытаясь доказать, что он сможет нормально функционировать в рамках компании без требуемого опыта работы, то сейчас уже на третьем курсе это вполне себе состоявшийся работник.

Кому больше всех платят

Главный вопрос не столько для игроков рынка, сколько для студентов, которые хотят определиться с направлением развития в ИТ или уже в ИБ – кому больше всех платят? На этот вопрос представители рынка отвечают по-разному, а статистические данные довольно динамично меняются. Неизменным остается одно – больше всех получают руководители и опытные специалисты, с большим пластом знаний за спиной – от технических особенностей до нюансов законодательства в части ИБ.

Ксения Китайцева

Управляющий консультант практик «Информационные технологии», «Финансовые институты» рекрутинговой компании Get experts.

Наиболее востребованы сейчас DevSecOps и AppSec (application security) специалисты. Им работодатели готовы предлагать наиболее выгодные условия. В среднем вилка по зарплатам этих сотрудников составляет 250-450 тыс. рублей в зависимости от уровня, квалификации и компании. Специалистам уровня middle+ / senior обычно предлагают около 350 тыс. рублей.

Кроме того, востребованы так называемые «редкие» ИБ-специалисты, которые остро необходимы компаниям для работы со специфическими сферами или программами. Таких специалистов сложно найти в свободном плаванье и, соответственно, их зарплата растет в попытках компаний заманить необходимых сотрудников к себе.

Инга Оськина

Директор по персоналу Cloud Networks

Исходя из наших наблюдений, могу сказать, что самые высокооплачиваемые специалисты в ИБ – это специалисты внедрения таких классов решений, как IDM, SIEM, SOAR. Причина очень проста — это редкие специалисты и, чтобы стать таковым, надо иметь достаточный опыт внедрения других решений, таких как NGFW и DLP. К тому же период входа в должность достаточно долгий из-за продолжительности проектов по внедрению. В отличие от специалистов по Пентесту, которых стало на рынке больше, чем запросов на них. И такая ситуация на рынке продержится еще несколько лет.

Эксперты отмечают, что в список наименее оплачиваемых ИБ-специализаций входят SOC-аналитики, специалисты по внедрению и сопровождению систем цифровой подписи и криптозащиты. Их зарплаты меньше из-за того, что, в первую очередь, есть определенный потолок, выше которого не вырастешь, а во-вторых, есть тенденция к полной автоматизации данных направлений.

Если говорить не о специализациях, а о местах работы, то независимо от специализации более низкий уровень зарплат присутствует в тех секторах экономики, на которые не распространяются требования регуляторов, нет объектов КИИ и не нужно много людей для поддержания структуры ИБ.

Что такое BI аналитика

Система BI аналитики выполняет сбор информации из неограниченного числа источников: баз данных, внешних и внутренних сервисов и т.д. Затем она производит обработку, систематизацию и классификацию поступивших сведений, выводит ее в доступном и понятном для пользователя виде: графики, диаграммы, таблицы, дашборды и т.д. 

Конкретные параметры работы BI аналитики настраиваются в зависимости от задач компании и/или конкретного структурного подразделения. Например, если речь идет об отделе продаж, то система оценивает количество поступивших звонков и лидов, текущих сделок в работе менеджеров, средний чек и другие параметры. В случае с маркетинговым отделом анализироваться могут источники лидов, трафик, конверсия и т.д. 

IB аналитика в Битрикс 24 реализована с целью определения факторов, влияющих на бизнес, повышения качества аналитики и управленческих решений. Инструмент позволяет оперативно реагировать на различные внутренние и внешние изменения, определять тренды, максимально кастомизировать отчеты CRM под потребности и ожидания фирмы. 

В коробочной версии использовать BI-аналитику можно, но с небольшими ограничениями. У пользователей бесплатного тарифа доступа к инструменту нет. Для платных тарифов возможности применения BI аналитики ограничены максимальным количеством строк в отчетной документации:

• Базовый и стандартный — 10.000;
• Профессиональный — 100.000;
• Энтерпрайз — 250/500/1000 — 250.000/500.000/1.000.000 строк соответственно. 

При достижении максимального числа строк пользователь получает уведомление о необходимости перехода на старший тариф. Ограничение в 10.000 строк также действует на BI аналитику, используемую в демо-режиме.

DataLens, Power BI и Looker Studio

Важным преимуществом системы BI аналитики Битрикс 24 стала возможность подключения к CRM таких мощных и современных инструментов, как:

• Google Looker Studio — предназначен для создания интерактивных отчетов и дашбордов пользователями независимо от имеющихся у них навыков в области бизнес-аналитики. 
• Microsoft Power BI — позволяет создавать сложнейшие отчеты, многомерные дашборды и аналитические приложения. 
• Yandex DataLens — открывает широкие возможности для визуализации данных, выполнения глубокого анализа для выявления ключевых паттернов и трендов непосредственно в рабочем пространстве системы. 

Готовые шаблоны отчетов

В разделе BI аналитики Битрикс 24 представлены готовые шаблоны отчетов для различных сфер и направлений бизнеса. Все они предварительно настроены и готовы к применению. 

Например, готовые шаблоны для отчетов будут полезны, если нужно отслеживать эффективность звонков менеджеров, контролировать сделки конкретных исполнителей. 

Системный интегратор присоединился к партнерской программе «СёрчИнформ».

STEP LOGIC, российский поставщик услуг сетевой и системной интеграции, получил статус партнера, позволяющий компании поставлять «СёрчИнформ SIEM» и оказывать заказчикам спектр услуг на базе защитного решения.

«СёрчИнформ SIEM» – система управления событиями и инцидентами информационной безопасности в режиме реального времени. Система аккумулирует информацию из различных источников, анализирует ее, фиксирует ИБ-инциденты и оповещает о них службу безопасности.

«С прошлого года количество кибератак на российские компании кратно увеличилось. Чтобы охватить максимум рисков ИБ, крупные организации давно применяют такие комплексные инструменты защиты, как SIEM-системы. За последние несколько лет функционал отечественных SIEM значительно развился, но обратная сторона технологичности решений – повышенные требования к квалификации специалистов. Поэтому небольшие компании, которые планируют внедрять SIEM, часто сталкиваются с нехваткой компетентных кадров для работы с системой», – рассказал Алексей Парфентьев руководитель отдела аналитики «СёрчИнформ».

По данным исследования «СёрчИнформ», для 14% российских компаний главной причиной отказа от закупки SIEM стали потенциальные трудозатраты на внедрение, настройку и кастомизацию. Только в 11% компаний смогли выделить для работы с SIEM профильного специалиста. Специалисты STEP LOGIC предлагают заказчикам услуги по настройке и эксплуатации «СёрчИнформ SIEM».

«Мы видим широкие перспективы в данном направлении и возможность применения услуги у заказчиков из разных сегментов – как обладающих высоким уровнем в области ИБ, так и менее зрелых, но нацеленных на развитие. Сейчас наблюдаем тенденцию по увеличению количества запросов на подобные услуги от небольших компаний, что, как раз, косвенно свидетельствует о повышении их уровня зрелости. Использование «СёрчИнформ SIEM» позволит нам оказывать качественную и конкурентную услугу», – комментирует Тарас Дира, директор центра сервисов информационной безопасности STEP LOGIC.

Компетенции компании STEP LOGIC включают внедрение, эксплуатацию и поддержку SIEM от «СёрчИнформ». Партнер уже обучил работе с SIEM аналитиков сервисного подразделения, а также планирует подготовить проектных инженеров и архитекторов.

– ведущий российский разработчик средств информационной безопасности. Входит в НП «Руссофт», член АПКИТ. Ее клиенты – более 4000 компаний по всей России и в 20+ странах мира.
 более 30 лет предоставляет на российском рынке услуги сетевой и системной интеграции. Штат – более 500 сотрудников, офисы расположены в Москве, Казани, Ереване и Алма-Ате. В компании свыше 350 инженеров и системных архитекторов, сертифицированных ведущими отечественными и мировыми производителями. Спектр решений и услуг включает в себя сетевую и системную интеграцию, построение аудиовизуальных решений, создание систем видеоконференцсвязи и контакт-центров, обеспечение комплексной безопасности, услуги в области обработки и хранения данных, построение сетевой и инженерной инфраструктуры зданий, интернет вещей, а также полный комплекс услуг по технической поддержке, сопровождению и обслуживанию информационных систем, включая консалтинг, аудит и аутсорсинг ИТ.

Методы актуальные и не очень

Ксения Коляда

Менеджер продукта R-Vision SGRC в компании R-Vision

Опираясь на наш практический опыт, можно сделать вывод о том, что наиболее распространенными являются качественные и смешанные методики (OCTAVE, FRAP, CRAMM, Microsoft). В отличие от количественных подходов, в основе которых лежит математический расчет уровня риска, качественные предполагают оценку параметров по вербальной шкале (например: «высокий», «средний», «низкий»). Смешанные методики соединяют в себе принципы количественного и качественного подходов, — например, параметрам риска могут присваиваться численные значения, преобразуемые в качественные, и наоборот.

Многие эксперты начинают перечислять методы управления рисками с CRAMM – CCTA Risk Analysis and Management Method. Технологию разработало британское Центральное агентство связи и телекоммуникаций в 1985 году. Сегодня ей пользуются правительственные учреждения Великобритании и крупные международные компании. Несмотря на это, CRAMM часто называют устаревшим методом.

Лидия Виткова

Ведущий инженер-аналитик компании «Газинформсервис»

В CRAMM управление рисками делится на три этапа. На каждом из них работает группа экспертов. На последнем этапе формируются рекомендации, в изначальном проекте – на бумаге.

В какой-то момент метод перестал повсеместно использоваться. Например, CRAMM не применим к облачным инфраструктурам, к сервисам. Плюс этот метод не учитывает бизнес-функции, в отличие от FRAP, например. Но и FRAP – это также скорее регламент, а не метод.

FRAP – Facilitated Risk Analysis Process – в 2000 году разработали в компании Peltier and Associates. Обычно он используется для оценки и управления рисками в четко ограниченном секторе ИТ-инфраструктуры компании. Это может быть веб-приложение или бизнес-процесс, который требует повышенного внимания.

Как и в случае с CRAMM, метод часто критикуют в экспертном сообществе. Зачастую это происходит из-за того, что он не включает весь спектр задач по защите компании. 

Лидия Виткова

Ведущий инженер-аналитик компании «Газинформсервис»

Основная цель FRAP – разработка эффективного и упорядоченного процесса, обеспечивающего учет и документирование бизнес-операций, в которых используются данные (информация в целом).

С одной стороны, реализация такого метода требует большого вовлечения внутреннего персонала. С другой – нет никакой связи с уязвимостями, атаками, системами защиты.

Еще один метод управления рисками информационной безопасности принадлежит Microsoft. Его основы компания изложила в 2006 году. Согласно Руководству, в котором поясняется суть метода, здесь используются количественный и качественный подходы анализа рисков. Один помогает быстро классифицировать риски, а второй – тщательнее проработать наиболее важные из них.

Как поясняют эксперты, метод Microsoft нельзя на 100% рассматривать в рамках управления рисками ИБ в компании. Главная причина – он больше относится к разработке ПО и истории про безопасный код. Именно поэтому метод актуален только на момент создания объекта ИТ-инфраструктуры, но не после – когда он уже используется или выводится из эксплуатации.

Другое дело – COBIT for Risk, который разработали в ассоциации ISACA (Information Systems Audit and Control Association) в 2013 году. Метод основывается на COSO ERM, ISO 31000, ISO\IEC 27 и других международных практиках. Риски ИБ здесь рассматриваются совместно с основной деятельностью компании, ее процессами и особенностями управления ими. 

Лидия Виткова

Ведущий инженер-аналитик компании «Газинформсервис»

COBIT помогает в управлении рисками и оценке рисков для информационных активов организации, в том числе размещенных в облаке. Плюс в концепцию входит понятие разделение ответственности за контроль. Это больше подходит современным компаниям. COBIT – хорошая методика, уже продуманная и взвешенная, но пока чаще используется другая – OCTAVE.

По словам эксперта, необходимо различать два варианта – OCTAVE S (имеет меньше процессов, больше применим для малого бизнеса) и OCTAVE Allegro. Метод управления рисками создали в 2007 году в США по заказу Минобороны для защиты критической инфраструктуры. Однако из-за высокой детализации и сложности подхода к оценке его долго обходили стороной.  И только спустя несколько лет компании осознали, что у метода много плюсов.

Суть OCTAVE Allegro в том, что здесь все факторы рассматриваются в совокупности. Сотрудники, технологии, ПО и другие объекты – все это имеет отношение к данным и бизнес-процессам, в которых они участвуют.

Как правило, компании-приверженцы OCTAVE Allegro в управлении рисками проходят четыре этапа:

1. Определяют критерии для оценки рисков.
2. На их основе описывают профили ИТ-активов и идентифицируют их окружение (люди, процессы и т.д.).
3. Выявляют секторы и сценарии возникновения угроз, которые возникают в каждом случае.
4. Используя данные выше, приоритизируют риски и определяют подходы к их обработке.

Эксперты уточняют: метод больше подходит компаниям, которые только начинают выстраивать внутренние процессы управления рисками. Особенно если этим занимается не подрядчик, а ИБ-специалисты организации.

Использование BI Конструктора

BI-Конструктор — инструмент для создания аналитических отчетов на основании данных из CRM компании. По функционалу он похож на популярные системы аналитики (в частности, Google Looker Studio), при этом функционирует исключительно внутри инфраструктуры Bitrix24. Это значит, что для формирования отчетной документации и отслеживания любых показателей пользователям не придется докупать лицензии, передавать информацию в сторонние сервисы и системы. 

Как начать работать с BI конструктором

Чтобы просматривать отчеты и проводить анализ необходимо перейти в раздел CRM и выбрать вкладку IB-конструктор. Здесь доступно 5 шаблонов отчетных документов:

• Аналитика сделок — для оценки эффективности продаж.
• Динамика лидогенерации — отчет отражает динамику и текущие тенденции генерации лидов для оптимизации и улучшения показателей работы маркетингового отдела. 
• Динамика продаж — позволяет отслеживать изменения в продажах для оперативного принятия важных бизнес-решений. 
• Структура продаж — с помощью этого отчета вы сможете выявлять слабые и сильные стороны своего бизнеса. 
• Аналитика звонков — отчет позволяет выявлять ошибки, которые допускают менеджеры при коммуникации с клиентами. 

Выбирайте нужный вам отчет и приступайте к анализу работы компании. 

Возможности BI конструктора

BI Конструктор открывает перед пользователями недоступные ранее возможности для аналитики в рамках корпоративного портала Битрикс24. Пожалуй, его главной особенностью является уникальная гибкость и адаптивность. Пять готовых отчетов с предустановленными настройками обеспечивают моментальный старт работы с инструментом. Пользователям также доступно копирование и добавление стандартных отчетов, вставка в них графиков, диаграмм и таблиц. 

Еще одним плюсом BI конструктора стала возможность обработки информации в режиме реального времени. Благодаря этому бизнес может своевременно реагировать на меняющиеся рыночные условия, выявлять актуальные тренды, составлять реалистичные прогнозы на будущее. 

Пример создания аналитического отчета с помощью BI конструктора

Для лучшего понимания особенностей работы с BI конструктором разберем на конкретном примере процесс создания нового аналитического отчета. Для этого скопируем стандартный отчет, дополним его таблицами и графиками:

1. Перейдите в раздел IB конструктор — Мои отчеты;
2. Выберите отчет и кликните по “Меню” — “Редактировать”. 
3. Задайте “Период отчета”. Имейте в виде, что скорость выгрузки данных и работы конструктора напрямую зависит от выбранного временного промежутка — чем он больше, тем медленнее будет загружаться информация. 
4. Перейдите во вкладку Datasets, чтобы наполнить отчет информацией. Вы можете выбрать готовый набор данных или создать новый, кликнув по “+Датасет”. 
5. Укажите в каком виде представить информацию и нажмите на “Создать новый график”. 
6. Откройте отчет в режиме предварительного просмотра. Выберите расположение графика, если нужно измените его оформление. Добавьте дополнительные графики. 
7. Сохраните настройки и вновь откройте отчет. 

Внимание! Внести изменения в системные отчеты не получится. Чтобы настроить шаблон под потребности компании необходимо создать его копию. 

Настройка BI аналитики

В настройках BI аналитики пользователи могут добавлять новые отчеты, распределять роли и права доступа, управлять ключами, отслеживать статистику применения инструмента. 

Где находятся настройки 

Для получения доступа к настройкам перейдите в раздел CRM корпоративного портала. Затем последовательно выберите вкладки “Аналитика” — “BI аналитика” — “Настройки BI аналитики”.

В этом подразделе вы можете просматривать все отчеты, которые уже имеются на портале, добавлять новые отчеты и распределять права доступа к ним. Для добавления нового отчета:

1. Кликните по кнопке “Добавить отчет”.
2. Кликните по кнопке “Добавить новый отчет”.

Сохраненный отчет должен появиться в общем списке. 

С помощью этого подраздела можно просматривать ключи к приложениям, распределять и настраивать права доступа к ним. Ключи предназначены для выгрузки информации из Битрикс 24 в сторонние аналитические сервисы. Они также необходимы для отправки различных запросов в BI-коннектор. 

Использование BI — коннектора

Еще один полезный подраздел с настройками, в котором можно просматривать статистику применения BI-коннектора сотрудниками компании, контролировать превышение лимитов по тарифу. Для удобства пользователей сведения отображаются в виде таблицы с детализированной статистикой по всем источникам, количеством загруженных строк и объемом данных. Чтобы проверить лимиты можно воспользоваться кнопкой “Показать превышения”. 

Чем вам поможет подключение BI аналитики

Современные компании работают с огромными массивами данных. Использование BI-решения от Битрикс24 существенно облегчает процессы сбора и обработки широкого перечня финансовых показателей, упрощает оценку результатов производственной, маркетинговой и любого другого направления деятельности. 

Использование BI-аналитики позволяет успешно решать следующие задачи:

• хранение и систематизации сведений в рамках одного виртуального пространства;
• принятие важных управленческих решений, разработка стратегий развития бизнеса;
• повышение качества планирования и прогнозирования;
• подготовка сложных отчетов, выявление слабых и уязвимых мест в деятельности фирмы. 

Если у вас имеются сложности с настройкой и освоением BI аналитики от Битрикс 24 обратитесь за помощью к специалистам Деломатики. Опытные и квалифицированные интеграторы помогут вам в кратчайшие сроки получить практичный и функциональный инструмент, отвечающий потребностям и ожиданиям именно вашего бизнеса. 

Как определиться с выбором

Решить, какой именно вариант подходит компании, бывает непросто. Выбор метода управления рисками зависит от многих факторов: сферы деятельности организации, уровня зрелости процессов информационной безопасности, требований нормативных документов и т.д. 

Ксения Коляда

Менеджер продукта R-Vision SGRC в компании R-Vision

В развивающихся организациях, в которых отсутствуют отлаженные процессы менеджмента ИБ, популярны матричные модели оценки рисков, позволяющие эксперту определить значение риска «по таблице». По мере роста уровня зрелости осуществляется переход от качественных методик к количественным, появляется стремление кастомизации типовых методик под потребности организации.

В любом случае, по словам эксперта, выбор подхода к управлению рисками должен основываться на возможностях организации, ее потребностях и требованиях законодательства. Последний фактор часто оказывается решающим.

Ксения Коляда

Менеджер продукта R-Vision SGRC в компании R-Vision

В российском сегменте основным драйвером развития риск-ориентированного подхода являются регуляторы – ФСТЭК, Банк России. Их документы зачастую задают общие принципы оценки, оставляя свободу для формирования собственных методик.

Скорее всего, эта тенденция сохранится и в будущем – по мере накопления опыта, организации будут самостоятельно разрабатывать подходы к оценке, опираясь на официальные методики и беря лучшие практики лишь за основу.

Ксения Коляда добавляет: организации без большого опыта предпочитают оперировать термином «моделирование угроз». По сути, это синоним качественной оценки рисков, в которой ценность актива – классически один из наиболее сложных аспектов для оценки – зачастую опускается. Именно поэтому организации чаще нуждаются не столько в нужной методике, сколько в каталогах угроз.

Сейчас наиболее популярным каталогом является БДУ ФСТЭК. Но эксперты не исключают, что в будущем появятся другие. В том числе на фоне растущей популярности сценарного подхода.

А что дальше

Мировой тренд в управлении рисками ИБ – учитывать максимум данных, которые влияют на вероятность инцидентов в компании. Во всяком случае, он четко прослеживается на протяжении последних десяти лет. Популярность OCTAVE в мире – тому подтверждение.

Однако, по мнению экспертов, все перечисленные методы пока имеют мало общего с российскими реалиями. Управление рисками ИБ в компаниях зачастую строится на отечественных идеях, средствах оценки и защищенности.

Лидия Виткова

Ведущий инженер-аналитик компании «Газинформсервис»

Все это нужно адаптировать. И, на самом деле, очень хорошие идеи есть в странах Азии. Они менее демократичные – нигде не звучит словосочетание «мозговой штурм» и группа экспертов несет полную ответственность за свои оценки.

Азиатские идеи все чаще рассматривают в российских компаниях, где сегодня проводят оценку рисков на объектах критической инфраструктуры. Закончится ли это исследование созданием какого-то гибридного метода – вопрос пока открытый. 

Ксения Коляда

Менеджер продукта R-Vision SGRC в компании R-Vision

С учетом стремительности изменений в области ИБ, прогнозировать тренды на ближайшие десять лет довольно сложно. Однако в целом можно сказать, что на текущий момент наиболее остро звучат запросы от организаций, либо почти не имеющих опыта в области оценки рисков, либо наоборот, желающих перейти на следующий уровень зрелости. Первые нуждаются в стартовых материалах и базовых принципах, вторые смотрят в сторону автоматизации и уже давно работают со своими утвержденными методиками.

Скорее всего, по словам эксперта, компании сосредоточат усилия в этих направлениях, а не в разработке новых методических документов. А классические подходы по-прежнему будут лишь браться за основу при разработке стратегии управления рисками. 

Управление рисками – это процесс

Причем непрерывный. Основная задача управления рисками ИБ – своевременно выявлять риски, оценивать критичность и снижать возможную угрозу их возникновения. В классическом определении речь идет об уязвимостях, которые могут привести к разглашению конфиденциальной информации и коммерческой тайны.

Если стратегию управления рисками в компании определяют верно, то чувствительные данные не появляются в сети и не попадают в руки вымогателей. Кроме того, качественный подход к делу влияет на целесообразность инвестиций в ИБ. Чем корректнее стратегия, тем меньше средств тратится впустую.

В любом случае, управление рисками – это задачи, с которыми ИБ-подразделение компании сталкивается постоянно. В их числе:

• оценка рисков, которые могут сказаться на бизнес-процессах и ИТ-инфраструктуре организации,
• определение связанных с ними нарушений и угроз,
• подготовка плана действий, которые позволят снизить вероятность наступления рисков,
• аудит уязвимостей, которые остались после принятых мер.

Каждая компания выстраивает стратегию управления рисками ИБ по-своему. Именно поэтому список задач не может быть единым для всех. Особенно много отличий бывает, когда компании используют разные методы управления рисками.

Зарплата в ИБ сегодня

Говоря в общем про ИТ-сферу, согласно данным исследования hh.ru за февраль-март текущего года Senior получает в среднем 250 тыс. рублей в месяц. Средняя зарплата в Москве специалиста по информационной безопасности – 125 тыс. рублей в месяц по данным популярных рекрутинговых сайтов. Но руководитель по информационной безопасности вполне может рассчитывать на 250 тыс. рублей в месяц. При условии, что он имеет опыт работы в аналогичной должности от 3 лет.

По данным «Хабр Карьера» зарплаты ИТ-специалистов в первом полугодии 2023 выросли на 10% за счет регионов. Медианная зарплата ИТ-специалистов сейчас, по данным их исследования, 165 тыс. рублей, что на 10% больше, чем во втором полугодии 2022 года, когда рост был +7%. По словам аналитиков «Хабр Карьера», в основном на рост повлияло повышение зарплат в регионах, где ИТ-специалистам сейчас платят в среднем 150 тыс. рублей. В Москве средняя зарплата — 200 тыс. рублей, а в Санкт-Петербурге — 172 тыс. рублей.

При этом в сфере информационной безопасности в сравнении первого полугодия 2022 года и 2023 года в Москве зарплаты выросли на 17%, в регионах на 6%, а в Санкт-Петербурге произошло снижение на 4%. При этом вообщем по России рост для ИБ составил 9%.

Ксения Китайцева

Управляющий консультант практик «Информационные технологии», «Финансовые институты» рекрутинговой компании Get experts.

Начиная с 2022 года мы фиксируем тенденцию резкого повышения зарплат ИБ-специалистов в России. Если раньше зарплаты росли в среднем на 10-20% за год, и это было средним показателем по ИТ-рынку, то в последнее время происходят повышения на 30% и выше, что связано с дефицитом специалистов. Намного чаще стали встречаться случаи «перекупа» сотрудников, когда для стимулирования перехода предлагают сразу +50% к текущему окладу.

Кадровый голод в сфере информационных технологий в России далеко не новость, а на фоне тотальной цифровизации не только бизнеса, но и госструктур на всех уровнях актуальность только растет. С другой стороны, популярность соответствующие факультеты в вузах, дающие фундаментальное образование в ИТ-сфере, начали набирать только несколько лет назад. Основной поток кадров либо еще не закончил обучение, либо еще не имеет соответствующего опыта. Именно поэтому за хороших ИТ-специалистов в целом и конкретно за ИБ-специалистов идет высокая конкуренция среди работодателей на рынке, что напрямую сказывается на росте заработных плат, предлагаемых кандидатам.

Итог

ИТ-сфере пророчат светлое будущее и неизменный рост заработной платы ближайшие лет 10-12 лет точно. Именно так в прошлом году оценивался срок решения проблемы с нехваткой ИТ-специалистов. Но в конце прошлого года Минцифры заявили, что два новых проекта Цифровые профессии» и «Цифровые кафедры», которые правительство РФ запустило по нацпроекту «Цифровая экономика» решат проблему нехватки ИТ-специалистов в экономике России в два раза быстрее.

Что будет после закрытия вопроса не известно, но ИБ-специалисты, как и ИТ-специалисты в целом всегда будут необходимы, несмотря на устойчивый тренд к автоматизации. Как бы активно функции ИБ-специалиста не переезжали в соответствующие программы, основная причина утечки данных и других киберинцидентов все еще человеческий фактор.

Сегодня работа в сфере безопасности молодых людей, не в последнюю очередь, интересует из-за высокой заработной платы. Ее могут обеспечить не только ранее начало практики и накопление опыта, но и освоение нестандартных, специфических программ и навыков.