Гендиректор ITG Security Зубриков: в России проблема выгорания специалистов по ИБ существует уже более 10 лет
изображение: grok
Александр Зубриков, генеральный директор ITG Security, прокомментировал для CISOCLUB результаты исследования ISSA и Omdia, согласно которым 68% специалистов по информационной безопасности считают, что работать в отрасли становится сложнее. По мнению эксперта, в российских условиях этот показатель мог бы быть значительно выше.
Он отметил, что полностью согласен с выводами исследования и считает их достаточно мягкими по сравнению с ситуацией, которая сложилась на отечественном рынке.
«Согласно исследованию, 68% специалистов по ИБ признали, что работать в отрасли становится сложнее. Полностью разделяю эту оценку — более того, в российских реалиях реальные цифры было бы заметно выше. Исследование проводила западная компания, и результаты, на мой взгляд, скорее сглажены», — заявил Александр Зубриков.
По словам эксперта, одной из главных причин профессионального выгорания остаётся отстранение специалистов по информационной безопасности от реальных технологических процессов. При этом в России такая проблема существует уже давно и носит системный характер.
«Авторы говорят об отстранении безопасников от технологических решений в собственных организациях как о свежем тренде. В России эта проблема системная и существует как минимум последнее десятилетие», — отметил он.
Александр Зубриков считает, что во многих организациях деятельность специалистов по ИБ по-прежнему сосредоточена вокруг выполнения регуляторных требований и прохождения различных проверок, тогда как вопросы реального управления рисками зачастую отходят на второй план.
«Что такое классический российский безопасник? Это 152-ФЗ, КИИ и может еще ГОСТ Р 57580 для тех, кому он нужен. О реальных рисках по большому счёту думает по остаточному принципу — бизнес не умеет и не хочет измерять ущерб в деньгах, до ближайшего инцидента ИБ. Вторая существенная часть работы — маркетинговый обвес: получили модный ISO, или аттестат соответствия по 117 приказу, отчитались, забыли. Именно от этого безопасники и выгорают», — подчеркнул эксперт.
Он также обратил внимание на постоянное увеличение объёма регуляторных требований. По его словам, специалисты вынуждены тратить значительную часть времени на изучение новых нормативных документов и формальное выполнение требований.
«Объем регуляторных требований стабильно растёт. Специалисты тратят колоссальное время на их изучение и формальное закрытие, либо на работу со штрафами за невыполнение. Но на фоне падения экономических показателей бизнес теряет интерес к построению реальной ИБ», — рассказал Александр Зубриков.
При этом эксперт отметил, что существуют компании, где специалисты по безопасности остаются полноценными участниками технологических процессов и имеют возможность развивать практические компетенции.
«Исключения конечно же есть — это технологические компании, чей бизнес напрямую зависит от ИТ-систем. У них процессы выстроены лучше, безопасник знает различные средства защиты информации и трогал руками SIEM, DLP, понимает архитектуру. Именно в такие компании стремится сильный кадр. Потому что попасть в условный банк или компанию, где никому ничего не надо, значит уйти на профессиональную пенсию», — заявил он.
По словам Александра Зубрикова, ITG Security регулярно наблюдает отток опытных специалистов в смежные направления, где они могут работать ближе к технологиям и практическим задачам.
«Мы, по ходу выполнения своих проектов в ITG Security, часто видим, как опытные специалисты уходят в DevOps, AppSec, исследовательскую работу и форензику. На их место приходят новые люди, и цикл запускается заново», — отметил эксперт.
Он считает, что для изменения ситуации необходимо вернуть специалистов по ИБ в технологические и бизнес-процессы компаний, а также сократить объём рутинной работы за счёт автоматизации.
«Изменить ситуацию могут две вещи. Первое — возвращение безопасников в технологические и бизнес-процессы на местах. Безопасники должны иметь возможность поддерживать свой профессиональный уровень, и в том числе с помощью работы с различными СЗИ. ИБ должна перестать быть в стороне от основных бизнес-процессов своей компании, и стать неотъемлемой функцией компании», — подчеркнул Александр Зубриков.
По мнению эксперта, автоматизация и применение искусственного интеллекта способны помочь специалистам сосредоточиться на более значимых задачах, но этого недостаточно без изменения отношения руководства к вопросам кибербезопасности.
«Второе — автоматизация рутины, в том числе с применением ИИ, чтобы высвободить ресурс на содержательные задачи. Но обе меры будут недостаточны без главного — без осознания руководством компаний культуры кибербезопасности как реального инструмента управления рисками, а не как набора бумаг для регулятора и маркетинга», — заключил Александр Зубриков.
