Источник: Cnews/
Расходы банков на ИБ с каждым годом продолжают расти. Пытаясь защитить информацию разными средствами, банки тем не менее экономят на сотрудниках - более половины платят им меньше 1,5 тыс. долл. Это выходит компаниям "боком": они имеют открытые ИБ-вакансии, в то время как профессионалы ищут работу. Почему же так происходит?
Проведенное компанией Perimetrix и сообществом ABISS исследование показало, что банки готовы не только вкладывать деньги в ИБ, но и говорить о ней публично. Из комментариев респондентов, в частности, следует, что сейчас безопасность является неотъемлемой частью риск–менеджмента организации. Она стала таким же точно элементом бизнес-процессов банка, как и все остальные. В связи с этим, для управления процессом ИБ требуются уже количественные, а не качественные оценки. Более того, скрывать эти оценки уже нет смысла. К тому же, в некоторых случаях величина расходов на ИБ может рассматриваться банком как серьезное маркетинговое преимущество.
Доля расходов на безопасность в банках традиционно оказалась достаточно высокой. Финансовые организации всегда активно внедряли самые современные технологии, вкладывая в них существенные средства.
Участники опроса
В процессе исследования было опрошено 105 банков. При этом компании в регионах РФ составили 41,3% , московские банки (вне зависимости от филиалов в регионах) – 38,5%, международные – 20,2%. 89,4% респондентов - сравнительно небольшие организации (до 5000 рабочих станций).
По данным CNews Analytics, по доле затрат на ИБ банковский сектор делит первое место в России с вертикальным рынком телекоммуникаций. При этом процент расходов на ИБ во всех секторах российской экономики редко превышает 1,5% от всех ИТ-затрат. Здесь же мы видим, что почти половина (49,5%) организаций тратит на безопасность более 5% от общего ИТ-бюджета.
Отметим, что ответы респондентов однозначно указывают, что российский банковский сектор по своим расходам на ИБ не отстает от кредитно-финансового сектора стран с развитой экономикой. Например, согласно исследованию 2007 Global Security Survey, в ходе которого Deloitte опросила 169 международных финансовых компаний, 1-3% от ИТ-бюджета на ИБ тратят 44% организаций, а 4-6% - 36%.
Доля бюджета ИБ от общего ИТ-бюджета
![](http://pics.rbc.ru/img/cnews/2008/04/10/abiss_sch2.gif)
Источник: Perimetrix, 2008
Казалось бы, существенную часть ИБ-расходов должны составлять затраты на персонал, которого, как будет показано далее, очень не хватает. Однако результаты исследования опровергают эту гипотезу.
Средняя зарплата сотрудников ИБ подразделений
Источник: Perimetrix, 2008
Оказывается, в большей части банков (61,8%) сотрудники отделов ИБ не получают в среднем и полутора тысяч долларов, а еще в четверти финансовых организаций имеют доход от полутора до двух тысяч долларов. Подобный уровень зарплат можно смело назвать низким – ведь мы говорим о банковской сфере и имеем довольно "сильную" выборку респондентов (38,5% участников опроса работают на Московский регион и еще 20% присутствуют на международной арене). С учетом "кадрового голода", о котором речь пойдет дальше, можно смело утверждать, что в ближайшее время зарплаты специалистов по ИБ в банковской сфере должны существенно возрасти.
Безопасность и стандарты
Как уже отмечалось, одной из ключевых особенностей обеспечения ИБ в финансовой сфере является сравнительно жесткое регулирование. Российские банки могут подпадать под действие целого ряда законов и стандартов, однако наибольшее влияние на отрасль оказывают рекомендации Банка России.
Использование стандартов Банка России по ИБ
Источник: Perimetrix, 2008
Несмотря на рекомендательный характер данных стандартов, обеспечение ИБ в банке без их использования уже практически невозможно. Абсолютное большинство (более 80%) респондентов изучили положения стандарта ЦБ по ИБ и планируют внедрять их на практике. Как следствие, происходит активный рост рынка в целом, сопровождающийся закупкой оборудования, программного обеспечения, а также сопутствующих услуг. Тем не менее, по мнению опрошенных, относительно высокие величины ИБ-бюджетов в банковской сфере вызваны не финансовыми потребностями стандартизации, а той критической ролью, которую ИБ играют в банках. Как заметил один из респондентов: "Банковская информация - это деньги". Этим, пожалуй, все сказано.
По данным опроса, российские банки в большинстве своем (69,9%) имеют выделенные отделы ИБ. Судя по всему, это продиктовано тем, что стандарт Банка России по ИБ четко требует от кредитных организаций иметь именно выделенную службу ИБ.
Наличие выделенного отдела ИБ
![](http://pics.rbc.ru/img/cnews/2008/04/10/abiss_sch1.gif)
Источник: Perimetrix, 2008
Анализ базы респондентов в соответствии с полученными ответами позволил выявить корреляцию между размером компании и наличием выделенной службы ИБ. Легко догадаться, что места для отдельного ИБ-отдела не нашлось только в самых маленьких банках. По словам представителей таких организаций, столь дорогостоящее "удовольствие" им не по карману, и "безопасностью там занимается ИТ-подразделение или весь персонал целиком". Средние и крупные банки, напротив, отдают ИБ на откуп специалистов, создавая выделенные службы ИБ.
Трудности при обеспечении ИБ
Несмотря на относительно хорошее материальное обеспечение, сложностей у банков хоть отбавляй. Давно известно, что одной из наиболее острых проблем ИТ-отрасли в целом является катастрофическая нехватка специалистов.
По данным исследования, сегодня кадровый голод испытывают почти 80% банков, причем об острой потребности в специалистах заявили 35% респондентов. Анализ показывает, что региональные банки испытывают недостаток людей, прежде всего, из-за их оттока в обе столицы. Организации федерального масштаба "голодают" по другой причине – они предъявляют весьма жесткие требования, под которые подходят только единичные кандидаты.
Дефицит квалифицированных ИБ-кадров
Источник: Perimetrix, 2008
Прямым подтверждением дефицита кадров является большое количество открытых позиций в области ИБ. Легко заметить, что подавляющее большинство банков (86,1%) имеют хотя бы одну ИБ-ваканскию. 4-6 специалистов сейчас нужны в 17,7% банков, а о наличии 7-10 вакансий заявлено в 3,8% случаях. Есть и чемпионы по неукомплектованности – около 8% организаций имеют более 10 открытых инженерных вакансий. Но есть и те, у кого проблем нет.
Вакансии технических ИБ–специалистов
![](https://blogs.klerk.ru/images/attach/27204.jpg)
Источник: Perimetrix, 2008
Ситуация с менеджерами по безопасности может показаться не столь печальной – вакансии в этой области имеют "только" 75,7% организаций. На практике же кадровый дефицит ИБ-менеджеров проявляется гораздо ярче, поскольку вакансий подобного типа меньше, а специалистов в отдельно взятом городе и вовсе можно пересчитать по пальцам одной руки.
Вакансии в области менеджмента ИБ
Источник: Perimetrix, 2008
В целом, полученное распределение отражает ситуацию c планами по внедрению стандарта ЦБ в области ИБ. У 24,3% респондентов нет вакансий для специалистов в области менеджмента ИБ, поскольку планов по внедрению стандарта тоже нет.
Учитывая репрезентативность имеющейся выборки, легко оценить общее количество вакансий по ИБ в российских банках. Из данных исследования вытекает, что средний российский банк имеет 3,4 открытых вакансии технических специалистов по ИБ и 1,8 открытых вакансий ИБ-менеджеров (оба значения получены как средние взвешенные оценки). Умножаем полученные результаты на 1135 (именно столько кредитных организаций действовало в России в феврале 2008 года), и получаем, что банкам необходимы почти 4 тысячи инженеров и более 2 тысяч менеджеров в сфере информационной безопасности. В общей сложности, 6 тысяч человек.
Причины "кадрового голода", полученные в результате исследования, подтвердили предположения о низком уровне предлагаемых зарплат. Такое мнение высказала практически половина (49,0%) участвовавших респондентов. Претензии к вузам предъявляют 16,3% опрошенных, и только 11,5% респондентов полагают, что "кадровый голод" является всего лишь мифом, придуманным авторами исследования.
Причины "кадрового голода"
![](https://blogs.klerk.ru/images/attach/27206.jpg)
Источник: Perimetrix, 2008
Отметим, что 23,1% опрошенных специалистов затруднились ответить на вопрос о причинах голода. Другими словами, почти четверть участников исследования осознает проблему, но не может понять – в чем именно она заключается. А решать ее придется уже в ближайшем будущем, иначе она может перерасти в жесткую конкуренцию на кадровом рынке с многочисленными консультантами и прочими сервис-провайдерами.
А что в итоге?
Высший менеджмент кредитных организаций крайне заинтересован во внедрении комплексных систем ИБ и создании непротиворечивой базы для оценки состояния системы управления организацией в целом. Это, в свою очередь, позволяет оптимизировать величину ИБ-бюджета, а также сбалансировать фонд оплаты труда сотрудников в соответствии с реалиями рынка и требованиями к квалификации. Вдобавок, решается вопрос доверия к информации из конкретных компаний как со стороны регуляторов рынка, так партнеров и клиентов.
Как следствие, бюджеты на ИБ в финансовом секторе в разы превышают аналогичные показатели российского бизнеса в целом. К чему это приводит? Во-первых, к грамотному выбору методологии построения систем управления ИБ, во-вторых - к набору и мотивации персонала, и, в-третьих - к поиску и организации доступа к информации о лучших практиках в отрасли.
Что касается первого пункта, то, благодаря усилиям Банка России, финансовое сообщество все меньше и меньше ощущает дефицит адаптированных для российских реалий документов. Не являясь обязательным для исполнения, стандарт ЦБ свободно конкурирует с другими стандатами в сфере ИБ. Результаты исследования показывают, что усилия регулятора не пропали даром.
Проблемы с персоналом и доступом к информации являются наиболее острыми на сегодняшний день. На самом деле, они тесно взаимосвязаны друг с другом. Россия – страна с сильно выраженной дифференциацией доходов служащих, в том числе, и финансовой сферы. Отток квалифицированной рабочей силы в Москву и Санкт–Петербург приводит, во-первых, к проблемам в регионах, а, во-вторых, к переизбытку кадров, имеющих недостаточный практический опыт, в обеих столицах.
Отчасти "кадровый голод" объясняется и проблемами самих работодателей, которые не могут сформулировать четкие требования для набора, как инженеров, так и менеджеров в области ИБ. В целом, новые люди нужны 88,5% участвовавшим в опросе банкам. На практике же получается, что в центре отсутствуют квалифицированные кадры, а в регионах специалистов по ИБ нет вообще.
Можно утверждать, что дефицит кадров приводит к снижению темпов отрасли в целом. Региональные банки, в первую очередь, "закрывают" часть наиболее критичных процессов, что допускается стандартами. В Москве же, проблема решается путем проведения мастер-классов с гуру отечественного ИБ-менеджмента, практических семинаров и изучению лучших практик на примере успешно сертифицированных банков.
Начать дискуссию