Банки економлять на ІБ-фахівцях?

Проведене компанією Perimetrix і співтовариством ABISS дослідження показало, що банки готові не тільки вкладати гроші в ІБ, а й говорити про неї публічно. З коментарів респондентів, зокрема, випливає, що зараз безпека є невід'ємною частиною ризик-менеджменту організації. Вона стала таким же точно елементом бізнес-процесів банку, як і всі інші. У зв'язку з цим, для управління процесом ІБ потрібні вже кількісні, а не якісні оцінки. Більш того, приховувати ці оцінки вже немає сенсу. До того ж, в деяких випадках величина витрат на ІБ може розглядатися банком як серйозне маркетингове перевагу.


Частка витрат на безпеку в банках традиційно виявилася досить високою. Фінансові організації завжди активно впроваджували найсучасніші технології, вкладаючи в них суттєві кошти.

Учасники опитування

У процесі дослідження було опитано 105 банків. При цьому компанії в регіонах РФ склали 41,3%, московські банки (незалежно від філій в регіонах) – 38,5%, міжнародні – 20,2%. 89,4% респондентів – Порівняно невеликі організації (до 5000 робочих станцій).


За даними CNews Analytics, за часткою витрат на ІБ банківський сектор ділить перше місце в Росії з вертикальним ринком телекомунікацій. При цьому відсоток витрат на ІБ у всіх секторах російської економіки рідко перевищує 1,5% від всіх ІТ-витрат. Тут же ми бачимо, що майже половина (49,5%) організацій витрачає на безпеку більше 5% від загального ІТ-бюджету.


Зазначимо, що відповіді респондентів однозначно вказують, що російський банківський сектор по своїх витратах на ІБ не відстає від кредитно-фінансового сектору країн з розвиненою економікою. Наприклад, згідно дослідженню 2007 Global Security Survey, в ході якого Deloitte опитала 169 міжнародних фінансових компаній, 1-3% від ІТ-бюджету на ІБ витрачають 44% організацій, а 4-6% – 36%.

Частка бюджету ІБ від загального ІТ-бюджету


Джерело: Perimetrix, 2008


Здавалося б, істотну частину ІБ-витрат повинні складати витрати на персонал, якого, як буде показано далі, дуже не вистачає. Проте результати дослідження спростовують цю гіпотезу.

Середня зарплата співробітників ІБ підрозділів


Джерело: Perimetrix, 2008



Виявляється, в більшій частині банків (61,8%) співробітники відділів ІБ не отримують у середньому і півтори тисячі доларів, а ще у чверті фінансових організацій мають прибуток від півтора до двох тисяч доларів. Подібний рівень зарплат можна сміливо назвати низьким – адже ми говоримо про банківську сферу і маємо досить "сильну" вибірку респондентів (38,5% учасників опитування працюють на Московський регіон і ще 20% присутні на міжнародній арені). З урахуванням "кадрового голоду", про який мова піде далі, можна сміливо стверджувати, що найближчим часом зарплати фахівців з ІБ в банківській сфері повинні істотно зрости.


Безпека і стандарти


Як вже зазначалося, однією з ключових особливостей забезпечення ІБ у фінансовій сфері є порівняно жорстке регулювання. Російські банки можуть підпадати під дію цілого ряду законів і стандартів, проте найбільший вплив на галузь надають рекомендації Банку Росії.

Використання стандартів Банку Росії з ІБ


Джерело: Perimetrix, 2008



Незважаючи на рекомендаційний характер даних стандартів, забезпечення ІБ в банку без їх використання вже практично неможливо. Абсолютна більшість (понад 80%) респондентів вивчили положення стандарту ЦБ з ІБ і планують впроваджувати їх на практиці. Як наслідок, відбувається активне зростання ринку в цілому, що супроводжується закупівлею обладнання, програмного забезпечення, а також супутніх послуг. Тим не Проте, на думку опитаних, відносно високі величини ІБ-бюджетів у банківській сфері викликані не фінансовими потребами стандартизації, а тієї критичної роллю, яку ІБ грають у банках. Як зауважив один з респондентів: "Банківська інформація – це гроші". Цим, мабуть, усе сказано.


За даними опитування, російські банки в більшості своїй (69,9%) мають виділені відділи ІБ. Судячи з усього, це продиктовано тим, що стандарт Банку Росії з ІБ чітко вимагає від кредитних організацій мати саме виділену службу ІБ.

Наявність виділеного відділу ІБ


Джерело: Perimetrix, 2008



Аналіз бази респондентів відповідно до отриманих відповідями дозволив виявити кореляцію між розміром компанії та наявністю виділеної служби ІБ. Легко здогадатися, що місця для окремого ІБ-відділу не знайшлося лише в самих маленьких банках. За словами представників таких організацій, настільки дороге "задоволення" їм не по кишені, і "безпекою там займається ІТ-підрозділ або весь персонал цілком ". Середні і великі банки, навпаки, віддають ІБ на відкуп фахівців, створюючи виділені служби ІБ.


Труднощі при забезпеченні ІБ


Незважаючи на відносно хороше матеріальне забезпечення, труднощів у банків хоч відбавляй. Давно відомо, що однією з найбільш гострих проблем ІТ-галузі в цілому є катастрофічна нестача фахівців.


За даними дослідження, сьогодні кадровий голод відчувають майже 80% банків, причому про гостру потребу в фахівцях заявили 35% респондентів. Аналіз показує, що регіональні банки відчувають нестачу людей, перш за все, через їх відтоку в обидві столиці. Організації федерального масштабу "голодують" з іншої причини – вони пред'являють досить жорсткі вимоги, під які підходять тільки поодинокі кандидати.

Дефіцит кваліфікованих ІБ-кадрів


Джерело: Perimetrix, 2008



Прямим підтвердженням дефіциту кадрів є велика кількість відкритих позицій в області ІБ. Легко помітити, що переважна більшість банків (86,1%) мають хоча б одну ІБ-ваканскію. 4-6 фахівців зараз потрібні в 17,7% банків, а про наявність 7-10 вакансій заявлено в 3,8% випадках. Є й чемпіони з неукомплектованість – близько 8% організацій мають більше 10 відкритих інженерних вакансій. Але є й ті, в кого проблем немає.

Вакансії технічних ІБ-фахівців


Джерело: Perimetrix, 2008



Ситуація з менеджерами з безпеки може здатися не настільки сумної – вакансії в цій області мають "тільки" 75,7% організацій. На практиці ж кадровий дефіцит ІБ-менеджерів проявляється набагато яскравіше, оскільки вакансій подібного типу менше, а фахівців в окремо взятому місті і зовсім можна перерахувати на пальцях однієї руки.

Вакансії в області менеджменту ІБ


Джерело: Perimetrix, 2008



У цілому, отримане розподіл відображає ситуацію c планами щодо впровадження стандарту ЦБ в області ІБ. У 24,3% респондентів немає вакансій для фахівців у галузі менеджменту ІБ, оскільки планів по впровадженню стандарту теж немає.


Враховуючи репрезентативність наявної вибірки, легко оцінити загальна кількість вакансій по ІБ в російських банках. З даних дослідження випливає, що середній російський банк має 3,4 відкритих вакансії технічних фахівців з ІБ і 1,8 відкритих вакансій ІБ-менеджерів (обидва значення отримані як середні зважені оцінки). Множимо отримані результати на 1135 (саме стільки кредитних організацій діяло в Росії в лютому 2008 року), і отримуємо, що банкам необхідні майже 4 тисячі інженерів і більше 2 тисяч менеджерів у сфері інформаційної безпеки. У загальній складності, 6 тисяч чоловік.


Причини "кадрового голоду", отримані в результаті дослідження, підтвердили припущення про низький рівень пропонованих зарплат. Таку думку висловила практично половина (49,0%) брали участь респондентів. Претензії до вузів пред'являють 16,3% опитаних, і тільки 11,5% респондентів вважають, що "кадровий голод" є всього лише міфом, придуманим авторами дослідження.

Причини "кадрового голоду"


Джерело: Perimetrix, 2008



Зазначимо, що 23,1% опитаних фахівців не змогли відповісти на питання про причини голоду. Іншими словами, майже чверть учасників дослідження усвідомлює проблему, але не може зрозуміти – в чому саме вона полягає. А вирішувати її доведеться вже в найближчому майбутньому, інакше вона може перерости в жорстку конкуренцію на кадровому ринку з численними консультантами та іншими сервіс-провайдерами.


А що в підсумку?


Вищий менеджмент кредитних організацій вкрай зацікавлений у впровадженні комплексних систем ІБ і створенні несуперечливої бази для оцінки стану системи управління організацією в цілому. Це, в свою чергу, дозволяє оптимізувати величину ІБ-бюджету, а також збалансувати фонд оплати праці співробітників відповідно до реалій ринку та вимогами до кваліфікації. До того ж, вирішується питання довіри до інформації з конкретних компаній як з боку регуляторів ринку, так партнерів і клієнтів.


Як наслідок, бюджети на ІБ у фінансовому секторі в рази перевищують аналогічні показники російського бізнесу в цілому. До чого це призводить? По-перше, до грамотного вибору методології побудови систем управління ІБ, по-друге – до набору і мотивації персоналу, і, по-третє – до пошуку та організації доступу до інформації про кращі практики в галузі.


Що стосується першого пункту, то, завдяки зусиллям Банку Росії, фінансове співтовариство все менше і менше відчуває дефіцит адаптованих для російських реалій документів. Не будучи обов'язковим для виконання, стандарт ЦБ вільно конкурує з іншими стандата у сфері ІБ. Результати дослідження показують, що зусилля регулятора не пропали даром.


Проблеми з персоналом і доступом до інформації є найбільш гострими на сьогоднішній день. Насправді, вони тісно взаємопов'язані один з одним. Росія – країна з сильно вираженою диференціацією доходів службовців, в тому числі, і фінансову сферу. Відтік кваліфікованої робочої сили в Москву і Санкт-Петербург приводить, по-перше, до проблем у регіонах, а, по-друге, до надлишку кадрів, які мають недостатній практичний досвід, в обох столицях.


Почасти "кадровий голод" пояснюється і проблемами самих роботодавців, які не можуть сформулювати чіткі вимоги для набору, як інженерів, так і менеджерів в області ІБ. У цілому, нові люди потрібні 88,5% брали участь в опитуванні банкам. На практиці ж виходить, що в центрі відсутні кваліфіковані кадри, а в регіонах фахівців з ІБ немає взагалі.


Можна стверджувати, що дефіцит кадрів призводить до зниження темпів галузі в цілому. Регіональні банки, в першу чергу, "закривають" частина найбільш критичних процесів, що допускається стандартами. У Москві ж, проблема вирішується шляхом проведення майстер-класів з гуру вітчизняного ІБ-менеджменту, практичних семінарів та вивчення кращих практик на прикладі успішно сертифікованих банків.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*