Лидеры кибербезопасности: чего от них ждут в 2021

14 сен 2021

Лидеры кибербезопасности: чего от них ждут в 2021

О том, как меняется портрет топ-менеджера в этой сфере, рассказывает партнер Odgers Berndtson, руководитель практики TIMES (Technology, Information, Media, Entertainment, Sport) Ирина Милехина.

В последние два года компании стали чаще искать специалистов по кибербезопасности. Нанимать их сложно: на рынке дефицит и конкуренция. По данным PwC, на фоне пандемии и тренда на удаленную работу значительная часть компаний (в России - 42%) планируют увеличивать штат сотрудников в области кибербезопасности, что приведет к их нехватке в 2021 году. Недостаток кадров есть и на российском рынке. 

В разгар пандемии вопрос информационной безопасности стал актуальным не только для digital-компаний и финансового сектора, где внимание и регуляторов, и бизнеса традиционно приковано к безопасности операций клиентов и их персональным данным. С развитием облачных технологий, IoT и онлайна кибербезопасностью заинтересовались ретейлеры и e-commerce, производственные и сами ИТ-компании - те, кто раньше не задумывался о подобной защите.

Безопасная разработка ИТ-продуктов - как внутренних, так и клиентских - становится одним из важных направлений информационной безопасности. При этом грамотно выстроенными процессами не могут похвастаться и многие компании, которые принято считать digital native. Закономерно, что такой опыт есть в банках и некоторых крупных B2C-сервисах. Для того чтобы "секьюрные" процессы сразу зашивались внутрь продукта, нужна связка информационной безопасности с разработкой.

На рынке пока нет достаточной экспертизы и успешных кейсов, поэтому даже частичный опыт может оказаться ценным для работодателя: например, когда человек занимался application security или вел проект по обновлению части ИТ-инфраструктуры или переходу в облако, прорабатывая вопросы безопасности.

Компаниям, которые только начинают работать с кибербезопасностью, нужно быть готовыми, что нанять специалиста со всесторонним опытом выстраивания функции - того, кто знает, как правильно, - почти невозможно. Скорее всего, у кандидата есть 20% опыта, а еще 80% он будет получать внутри компании. Также нужно быть готовым к инвестициям, отдача от которых может быть небыстрой. Кроме этого, высокий спрос на специалистов по кибербезопасности приводит к тому, что рынок труда перегрет, а кандидатов крайне сложно заинтересовать.

Для эффективной работы важно внимание руководства на уровне стратегии компании, где кибербезопасность - важный элемент. Ошибочный путь - когда компания развивает информационную безопасность, "следуя за модой", или подходит к этому формально, а топ-менеджмент не оценивает риски от киберугроз. 

Умение адаптироваться к новым процессам становится важнее опыта и возраста

Одна из особенностей специалистов по кибербезопасности на современном рынке - возраст. В ИТ топ-менеджеры всегда были моложе, чем в других сферах, таких как финансы, инвестиции или промышленность.

В кибербезопасности можно встретить специалистов еще моложе - тех, кто в 2013-2015 годах окончил университет и успел сделать что-то заметное. Они могут стать лидерами проектов в крупных компаниях, даже не обладая многолетним опытом. Такие кандидаты могут быть в курсе последних трендов, в отличие от тех, кто "вырос" в информационной безопасности и сейчас перестраивается на новый процесс - медленнее, чем недавние выпускники.

Готового рынка кандидатов еще нет, поэтому если вы ищете руководителя по направлению кибербезопасности, обратите внимание на молодые таланты внутри компании, прежде чем искать вовне. Возможно, достаточно поддержать их в кросс-командном взаимодействии и дать необходимые ресурсы.

Вторая особенность - карьерный трек тех, кто приходит в безопасную разработку, может быть разным. Это могут быть люди с опытом работы на позиции аналитика по информационной безопасности или разработчики, заинтересованные в создании безопасных продуктов. Среди них могут быть те, кто работал над проектами, связанными с инфраструктурной трансформацией, которая также предполагает безопасный контур. Имея такой опыт, специалисты потом могут возглавить направление кибербезопасности. Тех, кто прошел процесс трансформации от и до и знает все подводные камни, - нет. Кандидаты находятся в равных позициях, с разницей в год-два. С одной стороны, это вызывает ожесточенную конкуренцию: кажется, даже у тех, кто на полгода впереди, можно перекупить экспертизу, чтобы предотвратить ошибки. С другой стороны, это создает возможности для специалистов, у которых нет прямого опыта, но при этом есть интерес и проекты в смежных областях, связанных с информационной безопасностью. Кроме того, такая конкуренция на рынке - дополнительная возможность для кандидатов со стороны ИТ-компаний, которые реализуют проекты, связанные с информационной безопасностью для заказчиков.

Основная задача топ-менеджера - выстроить взаимодействие между командами

От руководителя не всегда ждут очень глубоких знаний. Ему нужна способность видеть широкую перспективу, строить процессы, вовлекать разных стейкхолдеров для достижения общего результата. Чаще всего с запросом на поиск топ-менеджмента к нам приходят зрелые компании. Чтобы построить какое-то направление с нуля, им приходится столкнуться с большим количеством изменений, которые затрагивают работу сразу нескольких подразделений. В случае с кибербезопасностью и безопасной разработкой - это ИТ и безопасность: менять нужно работу каждого из этих подразделений, сохранив при этом их первоначальные цели.

Кандидат на эту роль должен обладать эмоциональным интеллектом и управленческой зрелостью - чтобы договориться с разными, часто конфликтующими департаментами. Основной возраст кандидатов - 25-30 лет, и бывает сложно говорить об этих компетенциях: многие специалисты находятся в это время на этапе личностного и профессионального взросления. Поэтому руководству компании важно быть готовым к тому, чтобы оказать поддержку при необходимости.

Искусственный интеллект будет развиваться, но не заменит людей в сфере кибербезопасности

Учитывая, какой большой объем работы можно будет автоматизировать, возникает вопрос: чем будут заниматься люди, отвечающие за кибербезопасность?

Функция кибербезопасности не будет полностью отдана искусственному интеллекту: останутся те, кто развивает новые подходы и инструменты. Алгоритм не сможет примирить конфликтующие стороны, согласовать новые идеи и выстроить работу команды. Компаниям по-прежнему будет нужен не робот, а человек-управленец, который сможет выслушать и понять, а если нужно - отрезвить и направить в нужное русло, найти общие точки и создать что-то новое и эффективное.

Зарплаты будут расти, нужны дополнительные источники мотивации

Развитие этого направления и рынка кандидатов в России только началось. Капитализация специалистов и топ-менеджеров в области кибербезопасности растет по мере завершения проектов или внедрения новых процессов. Поэтому переходить в другую компанию, чтобы начинать процесс сначала, эти кандидаты готовы только при условии значительного роста своего дохода.

Однако заинтересовать кандидатов можно также решением совершенно новых задач - тем, чем никто раньше не занимался, или, например, дать ресурсы и облегченный формат для принятия решений.