Почему специалисты по ИБ получают так мало?

Добрый день, дорогие читатели! Очень часто мне приходят вопросы по поводу зарплаты и трудоустройства специалистов. Причем спрашивают в основном недавние выпускники, студенты, а иногда и люди, которые только задумались над тем, чтобы построить карьеру в сфере информационной безопасности. Всех возмущает одно и то же: мало вакансий, низкая зарплата. А программисты сколько получают?! ООО, АААА! Хотим столько же! Это понятно и это нормально. Но давайте подумаем, почему же так происходит. Почему специалисту по защите информации в регионе часто предлагают зарплату в 25-30 тысяч? Нельзя экономить на безопасности! Или можно?

Когда находишься внутри отрасли, то начинает казаться, что все вокруг связано с твоей профессией. Я думаю, что любой нормальный специалист считает свою работу очень важной и нужной. Если бы не мы, то не было бы ничего! Поэтому чтобы оценить стоимость своих услуг нужно абстрагироваться.

Мне кажется, для небольших предприятий можно провести следующую аналогию.

Хозяин кулинарии хочет, чтобы повар пек булочки и пироги. 
Повар: "Хорошо! Только нам нужен человек, который будет следить, чтобы мои руки были чистыми и волосы не торчали из шапочки." 
Хозяин: "Ты что сам не можешь следить за своими руками?! Если наймем еще одного человека, придется повысить цены, мы потеряем покупателей!"
Итог: никого не наймут. 

Как Вы понимаете, повар - это айтишник, на которого навешивают некоторые функции по информационной безопасности. Максимум, чего он сможет добиться - это получить доплату за совмещение. И это нормально. Надо признать, что специалист по защите информации, а уж тем более целый отдел - это роскошь, часто непозволительная. Когда небольшая организация переживает сытые времена, она может нанять такого специалиста просто чтобы было. Но в итоге человека смывает первая же волна сокращений.

Повар: "Давайте все-таки наймем человека! Я постоянно забываю помыть руки и надеть шапку!"
Хозяин: "Хорошо, но пусть он еще полы моет и одежду стирает".
Итог: наймут многостаночника.

Сто лет назад я работала единственным специалистом по защите информации в одной организации краевого масштаба. Ставка появилась, потому что было круто иметь такого специалиста в штате. Потом в организацию пришел кризис и она стала отказываться от служебного автобуса, пресс-секретаря, собственного учебного центра. Конечно, меня тоже взяли на карандаш. Удалось остаться лишь благодаря тому, что я совмещала ИБ и много чего еще: видеонаблюдение, бюро пропусков, ИТ-сопровождение закупок, ведение корпоративного сайта и т.д. и т.п. Мне кажется, что единственно возможный путь к успеху в небольшой организации - не ограничиваться узкой специализацией. Если вы приносите пользу в тех областях, которые руководство понимает, то и мало-мальский бюджет на ИБ получите. По-крайней мере не уволят.

Если небольшую зарплату в небольших организациях можно понять, то почему она часто такая же невысокая в организациях средних и крупных? 
Руководство воспринимает информационную безопасность как нечто само собой разумеющееся. Корпоративная сеть должна работать как часы.

Хозяин: "Почему в булочках попадаются волосы?! На вас жалуются!"
Повар 1: "Я надевал шапку".
Повар 2: "И я надеваю шапку. Кажется".
Повар 3: "Я свою шапку не нашел".
Итог: нанимают человека, который будет следить за мытьем рук и надеванием шапок.

Понятно, что зарплата у такого "смотрящего" будет невысокая. Потому что для хозяина самое важное - это производство булочек, а не присмотр за поварами.

А где же тогда высокие зарплаты? Это очевидно. Там где информация стоит дорого или последствия утечек могут быть фатальными. 

Хозяин: "Наши булочки лучше, чем у конкурентов. Я хочу, чтобы вы сохранили наш рецепт в секрете. Мне кажется, некоторые повара хотят открыть собственные кулинарии и использовать наши наработки". 
Специалист по ИБ: "Я столько лет следил за поварами и их шапками. Вы можете мне доверять".

Happy end
Источник
Подписывайтесь на страницу ВК: https://vk.com/kshudrova

Ксения Шудрова

эксперт по информационной безопасности, аспирант Сибирского государственного аэрокосмического университета