Банки экономят на ИБ-специалистах?Источник: cnews
Проведенное компанией Perimetrix и сообществом ABISS исследование показало, что банки готовы не только вкладывать деньги в ИБ, но и говорить о ней публично. Из комментариев респондентов, в частности, следует, что сейчас безопасность является неотъемлемой частью риск-менеджмента организации. Она стала таким же точно элементом бизнес-процессов банка, как и все остальные. В связи с этим, для управления процессом ИБ требуются уже количественные, а не качественные оценки. Более того, скрывать эти оценки уже нет смысла. К тому же, в некоторых случаях величина расходов на ИБ может рассматриваться банком как серьезное маркетинговое преимущество. Доля расходов на безопасность в банках традиционно оказалась достаточно высокой. Финансовые организации всегда активно внедряли самые современные технологии, вкладывая в них существенные средства. Участники опроса В процессе исследования было опрошено 105 банков. При этом компании в регионах РФ составили 41,3% , московские банки (вне зависимости от филиалов в регионах) - 38,5%, международные - 20,2%. 89,4% респондентов - сравнительно небольшие организации (до 5000 рабочих станций). По данным CNews Analytics, по доле затрат на ИБ банковский сектор делит первое место в России с вертикальным рынком телекоммуникаций. При этом процент расходов на ИБ во всех секторах российской экономики редко превышает 1,5% от всех ИТ-затрат. Здесь же мы видим, что почти половина (49,5%) организаций тратит на безопасность более 5% от общего ИТ-бюджета. Отметим, что ответы респондентов однозначно указывают, что российский банковский сектор по своим расходам на ИБ не отстает от кредитно-финансового сектора стран с развитой экономикой. Например, согласно исследованию 2007 Global Security Survey, в ходе которого Deloitte опросила 169 международных финансовых компаний, 1-3% от ИТ-бюджета на ИБ тратят 44% организаций, а 4-6% - 36%. Доля бюджета ИБ от общего ИТ-бюджета Источник: Perimetrix, 2008 Казалось бы, существенную часть ИБ-расходов должны составлять затраты на персонал, которого, как будет показано далее, очень не хватает. Однако результаты исследования опровергают эту гипотезу. Средняя зарплата сотрудников ИБ подразделений Источник: Perimetrix, 2008
Оказывается, в большей части банков (61,8%) сотрудники отделов ИБ не получают в среднем и полутора тысяч долларов, а еще в четверти финансовых организаций имеют доход от полутора до двух тысяч долларов. Подобный уровень зарплат можно смело назвать низким - ведь мы говорим о банковской сфере и имеем довольно "сильную" выборку респондентов (38,5% участников опроса работают на Московский регион и еще 20% присутствуют на международной арене). С учетом "кадрового голода", о котором речь пойдет дальше, можно смело утверждать, что в ближайшее время зарплаты специалистов по ИБ в банковской сфере должны существенно возрасти. Безопасность и стандарты Как уже отмечалось, одной из ключевых особенностей обеспечения ИБ в финансовой сфере является сравнительно жесткое регулирование. Российские банки могут подпадать под действие целого ряда законов и стандартов, однако наибольшее влияние на отрасль оказывают рекомендации Банка России. Использование стандартов Банка России по ИБ Источник: Perimetrix, 2008
Несмотря на рекомендательный характер данных стандартов, обеспечение ИБ в банке без их использования уже практически невозможно. Абсолютное большинство (более 80%) респондентов изучили положения стандарта ЦБ по ИБ и планируют внедрять их на практике. Как следствие, происходит активный рост рынка в целом, сопровождающийся закупкой оборудования, программного обеспечения, а также сопутствующих услуг. Тем не менее, по мнению опрошенных, относительно высокие величины ИБ-бюджетов в банковской сфере вызваны не финансовыми потребностями стандартизации, а той критической ролью, которую ИБ играют в банках. Как заметил один из респондентов: "Банковская информация - это деньги". Этим, пожалуй, все сказано. По данным опроса, российские банки в большинстве своем (69,9%) имеют выделенные отделы ИБ. Судя по всему, это продиктовано тем, что стандарт Банка России по ИБ четко требует от кредитных организаций иметь именно выделенную службу ИБ. Наличие выделенного отдела ИБ Источник: Perimetrix, 2008
Анализ базы респондентов в соответствии с полученными ответами позволил выявить корреляцию между размером компании и наличием выделенной службы ИБ. Легко догадаться, что места для отдельного ИБ-отдела не нашлось только в самых маленьких банках. По словам представителей таких организаций, столь дорогостоящее "удовольствие" им не по карману, и "безопасностью там занимается ИТ-подразделение или весь персонал целиком". Средние и крупные банки, напротив, отдают ИБ на откуп специалистов, создавая выделенные службы ИБ. Трудности при обеспечении ИБ Несмотря на относительно хорошее материальное обеспечение, сложностей у банков хоть отбавляй. Давно известно, что одной из наиболее острых проблем ИТ-отрасли в целом является катастрофическая нехватка специалистов. По данным исследования, сегодня кадровый голод испытывают почти 80% банков, причем об острой потребности в специалистах заявили 35% респондентов. Анализ показывает, что региональные банки испытывают недостаток людей, прежде всего, из-за их оттока в обе столицы. Организации федерального масштаба "голодают" по другой причине - они предъявляют весьма жесткие требования, под которые подходят только единичные кандидаты. Дефицит квалифицированных ИБ-кадров Источник: Perimetrix, 2008
Прямым подтверждением дефицита кадров является большое количество открытых позиций в области ИБ. Легко заметить, что подавляющее большинство банков (86,1%) имеют хотя бы одну ИБ-ваканскию. 4-6 специалистов сейчас нужны в 17,7% банков, а о наличии 7-10 вакансий заявлено в 3,8% случаях. Есть и чемпионы по неукомплектованности - около 8% организаций имеют более 10 открытых инженерных вакансий. Но есть и те, у кого проблем нет. Вакансии технических ИБ-специалистов Источник: Perimetrix, 2008
Ситуация с менеджерами по безопасности может показаться не столь печальной - вакансии в этой области имеют "только" 75,7% организаций. На практике же кадровый дефицит ИБ-менеджеров проявляется гораздо ярче, поскольку вакансий подобного типа меньше, а специалистов в отдельно взятом городе и вовсе можно пересчитать по пальцам одной руки. Вакансии в области менеджмента ИБ Источник: Perimetrix, 2008
В целом, полученное распределение отражает ситуацию c планами по внедрению стандарта ЦБ в области ИБ. У 24,3% респондентов нет вакансий для специалистов в области менеджмента ИБ, поскольку планов по внедрению стандарта тоже нет. Учитывая репрезентативность имеющейся выборки, легко оценить общее количество вакансий по ИБ в российских банках. Из данных исследования вытекает, что средний российский банк имеет 3,4 открытых вакансии технических специалистов по ИБ и 1,8 открытых вакансий ИБ-менеджеров (оба значения получены как средние взвешенные оценки). Умножаем полученные результаты на 1135 (именно столько кредитных организаций действовало в России в феврале 2008 года), и получаем, что банкам необходимы почти 4 тысячи инженеров и более 2 тысяч менеджеров в сфере информационной безопасности. В общей сложности, 6 тысяч человек. Причины "кадрового голода", полученные в результате исследования, подтвердили предположения о низком уровне предлагаемых зарплат. Такое мнение высказала практически половина (49,0%) участвовавших респондентов. Претензии к вузам предъявляют 16,3% опрошенных, и только 11,5% респондентов полагают, что "кадровый голод" является всего лишь мифом, придуманным авторами исследования. Причины "кадрового голода" Источник: Perimetrix, 2008
Отметим, что 23,1% опрошенных специалистов затруднились ответить на вопрос о причинах голода. Другими словами, почти четверть участников исследования осознает проблему, но не может понять - в чем именно она заключается. А решать ее придется уже в ближайшем будущем, иначе она может перерасти в жесткую конкуренцию на кадровом рынке с многочисленными консультантами и прочими сервис-провайдерами. А что в итоге? Высший менеджмент кредитных организаций крайне заинтересован во внедрении комплексных систем ИБ и создании непротиворечивой базы для оценки состояния системы управления организацией в целом. Это, в свою очередь, позволяет оптимизировать величину ИБ-бюджета, а также сбалансировать фонд оплаты труда сотрудников в соответствии с реалиями рынка и требованиями к квалификации. Вдобавок, решается вопрос доверия к информации из конкретных компаний как со стороны регуляторов рынка, так партнеров и клиентов. Как следствие, бюджеты на ИБ в финансовом секторе в разы превышают аналогичные показатели российского бизнеса в целом. К чему это приводит? Во-первых, к грамотному выбору методологии построения систем управления ИБ, во-вторых - к набору и мотивации персонала, и, в-третьих - к поиску и организации доступа к информации о лучших практиках в отрасли. Что касается первого пункта, то, благодаря усилиям Банка России, финансовое сообщество все меньше и меньше ощущает дефицит адаптированных для российских реалий документов. Не являясь обязательным для исполнения, стандарт ЦБ свободно конкурирует с другими стандатами в сфере ИБ. Результаты исследования показывают, что усилия регулятора не пропали даром. Проблемы с персоналом и доступом к информации являются наиболее острыми на сегодняшний день. На самом деле, они тесно взаимосвязаны друг с другом. Россия - страна с сильно выраженной дифференциацией доходов служащих, в том числе, и финансовой сферы. Отток квалифицированной рабочей силы в Москву и Санкт-Петербург приводит, во-первых, к проблемам в регионах, а, во-вторых, к переизбытку кадров, имеющих недостаточный практический опыт, в обеих столицах. Отчасти "кадровый голод" объясняется и проблемами самих работодателей, которые не могут сформулировать четкие требования для набора, как инженеров, так и менеджеров в области ИБ. В целом, новые люди нужны 88,5% участвовавшим в опросе банкам. На практике же получается, что в центре отсутствуют квалифицированные кадры, а в регионах специалистов по ИБ нет вообще. Можно утверждать, что дефицит кадров приводит к снижению темпов отрасли в целом. Региональные банки, в первую очередь, "закрывают" часть наиболее критичных процессов, что допускается стандартами. В Москве же, проблема решается путем проведения мастер-классов с гуру отечественного ИБ-менеджмента, практических семинаров и изучению лучших практик на примере успешно сертифицированных банков. |