Спрос на специалистов по безопасности в последние годы резко возрос, поскольку организации реагируют на постоянный поток громких инцидентов безопасности. Не говоря уже о новом законодательстве, таком как GDPR в сочетании с текущими проектами цифровой трансформации, компании начали переосмысливать свой подход к безопасности.
Таким образом, мы наблюдаем неуклонный рост количества сообщений о заданиях по безопасности в течение последних нескольких лет, особенно когда речь идет о профессионалах, которые могут улучшить и управлять осведомленностью о рисках безопасности (Security Awareness). Похоже, что организации учатся на нарушениях крупных компаний, таких как TalkTalk, где мы недавно увидели, что существует острая необходимость вкладывать больше средств в персонал службы безопасности, улучшать процессы и повышать уровень осведомленности пользователей в организации.
Тем не менее, стало очевидно, что для удовлетворения этого беспрецедентного спроса недостаточно опытных специалистов. Среди компаний, ищущих киберспециалистов, особенно высокопоставленных специалистов, усиливается конкуренция. Неизбежно, одним из самых больших последствий было резкое повышение зарплат.
Это стало очевидным в последнем ежегодном опросе, в котором было проанализировано 56 ключевых позиций в сфере кибербезопасности в Великобритании для определения типичных окладов. В ходе него было обнаружено, что средняя заработная плата в секторе безопасности выросла на 6,3 процента по сравнению с уровнем 2017 года, что более чем вдвое превышает средний рост заработной платы в Великобритании на 2,9 процента.
Как спрос на осведомленность затмевает другие роли безопасности
Даже в условиях впечатляющего роста заработной платы в индустрии безопасности менеджеры по обеспечению безопасности увидели действительно исключительный рост. Эта роль, отвечающая за надзор за безопасностью и управлением программами информирования пользователей в организации, позволила увеличить среднюю зарплату на 20 процентов всего за 12 месяцев. Ежегодная зарплата менеджеров по осведомленности в настоящее время составляет в среднем 60-90 тыс. фунтов стерлингов.
Для сравнения: зарплата аналитиков по безопасности, роль которой охватывает большую часть повседневной деятельности по обеспечению безопасности, необходимой для защиты организации, увеличилась на 13 процентов. Несмотря на то, что эти отраслевые лидеры все же получили впечатляющий рост, очевидно, что многие организации готовы платить гораздо больше, чтобы повысить уровень осведомленности пользователей.
Глядя на угрозы, исходящие от организаций как внутри, так и снаружи, легко понять, почему роли, связанные с осведомленностью, увидели такой всплеск ценности. Подавляющее большинство киберпреступников будут нацелены на персонал в первую очередь, рассчитывая на нехватку подкованных в безопасности сотрудников, чтобы обойти другие технологии и процессы, которые внедрила организация.
Например, злонамеренные электронные письма, использующие методы социальной инженерии, такие как Business Email Compromise, являются излюбленным подходом для злоумышленников, пытающихся обманным путем выведать конфиденциальные данные, перевести средства или загрузить вредоносные программы. Один щелчок сотрудника может легко привести к компрометации критических систем, поэтому уровень кибер-осведомленности в организации может существенно повлиять на его способность защищаться от этих атак. Наличие рабочей силы, которая была проинформирована о различных угрозах и обучена надлежащим политикам и процедурам, все больше рассматривается как такая же важная вещь, как наличие правильных инструментов и персонала службы безопасности.
Почему менеджеры по осведомленности ценятся так высоко?
Высокий уровень осведомленности пользователей при выявлении и реагировании на киберугрозы может сыграть важную роль в снижении ущерба от большинства кибератак. В то время как компании обычно добавляли деятельность по повышению осведомленности к обязанностям соответствующих ролей, таких как сотрудники по управлению рисками, все большее число в настоящее время устанавливает самостоятельную роль по информированию, поскольку они осознают разницу, которую может иметь хорошо информированная рабочая сила.
Хотя огромный скачок в заработной плате может показаться необычно высоким по сравнению с более технически ориентированными ролями, важно помнить, что менеджеры по повышению осведомленности требуют очень специфического набора навыков и опыта. Тот факт, что человек является экспертом в вопросах безопасности, не обязательно означает, что он особенно хорош в отношениях с другими.
Awareness Manager должен не только обладать глубокими знаниями в области безопасности, но и иметь возможность создавать кампании, которые эффективно объясняют проблемы пользователям, которые часто являются неспециалистами с минимальным техническим опытом. Им также будет поручено контролировать работу по повышению осведомленности в рамках всей организации, включая планирование учебных занятий и других внутренних коммуникационных кампаний.
Такое сочетание технических ноу-хау и хороших навыков общения и управления людьми встречается редко, и в результате на рынке относительно мало квалифицированных специалистов. С резким увеличением спроса, опытные менеджеры по повышению осведомленности могут получить очень выгодную зарплату за свой опыт.
Подъем DPO
Наряду с Awareness Manager, еще одной из наиболее быстро растущих ролей в отрасли является сотрудник по защите данных (DPO). Эти лица несут ответственность за обеспечение соблюдения компанией своих нормативных обязательств по защите персональных данных, принадлежащих клиентам и сотрудникам.
Хотя роль сама по себе становится все более важной, GDPR установил DPO в качестве обязательного требования для многих организаций, для которых большинство будет помнить трудоемкий этап открытия и преобразования, чтобы обеспечить соответствие бизнеса стандартам. Все государственные органы (за исключением судов) должны назначать DPO, как и любые компании, чья деятельность включает крупномасштабный и систематический мониторинг отдельных лиц или крупномасштабную обработку определенных категорий конфиденциальных данных.
DPO должен быть экспертом в правовых и технических аспектах защиты данных, а также должен иметь возможность действовать независимо от компании и беспристрастно выполнять свою роль. Требуемый уровень квалификации в сочетании с необходимостью в независимом эксперте означает, что квалифицированных специалистов не хватает. Таким образом, мы увидели, что средняя заработная плата DPO увеличилась на 15 процентов как в государственном, так и в частном секторе, и составила от 75 до 95 тысяч фунтов стерлингов в год.
Здесь роль образования как важного элемента стратегии кибербезопасности делает программу повышения осведомленности еще более значимой.
Выходя за рамки зарплаты
Поскольку зарплаты менеджеров по осведомленности и других экспертов растут с неустойчивой скоростью, мы бы посоветовали организациям не смотреть в прошлое, пытаясь привлечь специалистов по безопасности только деньгами. Например, организации государственного сектора, исторически изо всех сил пытавшиеся конкурировать только с точки зрения заработной платы, все чаще разрабатывают успешные подходы, основанные на повышении квалификации выпускников и учеников изнутри, а не на найме более опытных специалистов напрямую. Аналогичным образом, мы видели несколько убедительных примеров создания лояльности среди персонала с такими преимуществами, как гибкая работа и высокий уровень карьерной мобильности.
Подход государственного сектора также часто имеет преимущество, рассматривая общие возможности департамента — фокусируясь на имеющихся навыках, а не на конкретных ролях. Возможность привлекать к работе нескольких специалистов с разными навыками в отделе может быть основным преимуществом, когда речь идет о составлении бюджета и решении вопросов, связанных с уходом сотрудников.
В условиях острой конкуренции, которая может привести к росту зарплат в сфере безопасности, организации частного сектора должны принять к сведению эти стратегии и принять аналогичные подходы. Вместо того, чтобы пытаться превзойти конкурентов с помощью все более высокой заработной платы, компании могут создавать более привлекательные возможности для привлечения профессионалов из жестко конкурентного рынка. Этот подход станет более важным, поскольку мы ждем текущих усилий в области образования и профессиональной подготовки, чтобы в будущем подготовить столь необходимых специалистов по безопасности.