ИБ-кадры в FinTech: в чем специфика и как их привлечь

Специалисты по информационной безопасности (ИБ) стабильно пользуются повышенным спросом последние несколько лет и сейчас находятся в дефиците. Так, по данным HeadHunter, с января по ноябрь 2023 г. на территории РФ число количество соответствующих вакансий выросло на 27% по сравнению с аналогичным периодом 2022 г.

Кадровый голод сотрудников данного профиля сегодня ощущает и финтех-индустрия. О специфике работы в ней и о том, как эффективно конкурировать за компетентных специалистов, рассказывает Алексей Ахмеев, руководитель управления информационной безопасности и цифровизации Moneyman.

В чем ценность такого специалиста?

Учитывая высокий уровень цифровизации большинства процессов в финтехе, специалисты по ИБ становятся неотъемлемым элементом компании. Они обеспечивают защиту данных и систем от различных угроз в виде хакерских атак, вирусов, взломов и т. д. Особенно ценятся профессионалы, способные действовать не реактивно, когда уже все случилось, а проактивно. Глубоко ориентируясь в профильном законодательстве, они координируют развитие компании определенным образом — таким, чтобы она не стала заложником ситуации, когда бизнес-процессы окажутся выстроены вразрез с требованиями регуляторов. Также они умеют прогнозировать векторы и тренды атак злоумышленников, работая на их упреждение и тем самым существенно минимизируя риски получения ущерба.

В чем специфика работы?

Одна из главных особенностей — необходимость тесного сотрудничества с множеством других подразделений. Прежде всего, с отделом разработки, как с ключевым подразделением, обеспечивающим работу бизнеса в целом. Также нужно тесно взаимодействовать с командами, занимающимися обработкой платежей и управлением рисками. 

Работа специалистов по ИБ в финтехе всегда будет находиться на стыке ряда факторов, которые надо учитывать — безопасность данных клиентов, защита от мошенничества, соблюдение регуляторных требований и стандартов безопасности. Кроме того, они должны быть готовы к быстрому развитию технологий и постоянному обновлению систем безопасности.

При подборе сотрудников можно отметить три фундаментальных требования к ним — наличие знаний основных принципов и подходов к обеспечению ИБ именно в финтех-индустрии, опыт работы с российскими системами защиты, умение работать в больших командах со сложными проектами.

Как получить преимущество в наборе ИБ-кадров?

Уровень заработной платы и условия труда — очевидные вещи, на которых нет смысла подробно останавливаться. Гораздо интереснее узнать, какая нематериальная мотивация привлекает специалистов по ИБ. Мы опросили порядка 50 сотрудников из числа заказчиков и интеграторов ИБ разных возрастов и стажей. 

Так, 70% опрошенных отметили наличие в работе интересных и сложных проектов, а также необходимость наличия команды. Другими словами, им важно иметь возможность коллективно обсуждать решения, имея в команде специалистов разной направленности. 

Еще 20% выделили необходимость признания их успехов, то есть наличие возможности расти по карьере вертикально. Наличие удаленной работы и обучения указали 10%. Самое важное, что следует из вышеуказанных ответов — вне зависимости от возраста, стажа и места работы люди понимают, что «один в поле не воин». Огромное значение имеет наличие команды. Если брать минимальный набор, то это: 

• методолог (регуляторные требования, внутренняя нормативная документация); 
• специалист по настройке и контролю систем защиты, выявления уязвимостей;
• специалист по защите от утечек информации.

При этом 85% опрошенных считают, что специалист с фокусом на горизонтальный рост — это очень ценный и важный член команды. Особенно учитывая, что 80% опрошенных на вопрос: «Какой совет вы могли бы дать начинающим специалистам ИБ?», ответили — постоянно развиваться. Это говорит о том, что возможности горизонтального роста в сфере ИБ не менее важны. Технологии совершенствуются с огромной скоростью. Эффективнее всех за ними будут поспевать те, кто благодаря горизонтальному росту не знает себе равных в отдельно взятой узкой области.

После ухода с рынка многих иностранных вендоров для отечественных игроков открылись ранее недоступные ниши. Это стимулирует разработку собственных решений по защите и контролю, и здесь горизонтальный опыт применения различных средств становится бесценным для заказчика и производителя. При этом 85% респондентов полагают, что самая эффективная методика обучения — самостоятельная практика в работе. Это говорит о том, что «правильный» специалист по ИБ будет сам стремиться к изучению своей области и достижению в ней определенных высот.

Почему наблюдается кадровый голод? 

Государство уделяет все больше внимания сферам, где востребованы навыки и компетенции ИБ-специалистов. Значимую роль здесь сыграли № 187-ФЗ «О безопасности критической информационной инфраструктуры РФ» и Указы Президента РФ №166 и №250, обозначившие курс на импортозамещение и технологическую независимость.

Также сказалось усиление контроля государственных регуляторов в сфере сбора, обработки и защиты персональных данных. Речь идет об изменениях в №152-ФЗ «О персональных данных», касающихся необходимости информирования Роскомнадзора и ФСБ РФ об инцидентах ИБ и связанных с ними утечках персональных данных. Сюда же можно отнести активное обсуждение планов по введению оборотных штрафов для операторов за сокрытие фактов утечек персональных данных.

Применительно к финтех-индустрии в дополнение в вышеперечисленным факторам добавляются утвержденный в 2022 году профессиональный стандарт Специалиста по ИБ в кредитно-финансовой сфере и усиление требований ЦБ РФ к некредитным финансовым организациям.

Какие тренды в ИБ ожидаются на горизонте ближайших лет?

Здесь прежде всего можно отметить автоматизацию рутинных процессов в обеспечении ИБ при помощи искусственного интеллекта, так называемый «ИБ-автопилот». Также можно ожидать трендов, связанных с легализацией «белых» хакеров и последующим получением бизнесом официального права пользоваться их услугами, и дальнейшим развитием Bug Bounty-платформ (тестирование ПО на уязвимости за вознаграждение). В глобальном плане сохранится общий курс на усиление технологического суверенитета и регуляторной политики в части ИБ.