Интервью с Анной Лучник про фриланс и предпринимательство в ИБ
Независимый эксперт Анна Лучник
Редакция CISOCLUB поговорила с независимым экспертом Анной Лучник о фрилансе и предпринимательстве в информационной безопасности. Мы обсудили ключевые преимущества и вызовы для фрилансеров, такие как независимость, гибкость работы и необходимость поддержания доверия клиентов. Анна также рассказала о том, как правильно определять стоимость услуг и какие проекты наиболее востребованы среди заказчиков.
Отдельное внимание было уделено юридическим аспектам, включая лицензирование и защиту данных, а также о том, как избегать ошибок в заключении договоров и оказании услуг.
Анна поделилась подходами к продвижению, рассказала, как выстраивать личный бренд, какие каналы наиболее эффективны для привлечения клиентов, и почему активное участие в профессиональных сообществах является важным фактором успеха. Помимо этого, она затронула множество других аспектов, которые будут полезны фрилансерам и предпринимателям в информационной безопасности.
Какие ключевые преимущества и вызовы существуют для фрилансеров в информационной безопасности на b2b-рынке в России?
Основное преимущество фрилансера в ИБ – независимость. Если ты работаешь в вендоре, то любое решение по безопасности, которое ты предлагаешь, должно базироваться на продуктах этого вендора. Если ты работаешь в интеграторе, то надо предлагать новые внедрения и интеграции, чтобы выполнить KPI по продажам. Даже если ты работаешь на стороне заказчика, то может быть конфликт интересов, например, между премией и честным описанием нереализованных за год рекомендаций внешнего аудитора. По сравнению со штатным специалистом на фрилансера меньше давление со стороны корпоративной политики и повышенная защита от заклинания-проклятия «у нас так принято».
Кроме этого, есть очевидные преимущества в виде выбора технически и финансово интересных проектов и удобного графика работы. Но самостоятельное управление этими преимуществами является одновременно и вызовом: планирование бюджета и графика работ, разрешение конфликтов и разработка новых предложений.
Ключевой вызов – это получение и сохранение доверия клиентов.
И не менее важный вызов – это требования ИБ-регуляторов, которые ограничивают возможный список услуг, которые могут быть оказаны фрилансером. Например, работы, для которых требуется лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации.
Какие услуги в информационной безопасности наиболее востребованы среди заказчиков при работе с фрилансерами?
Наиболее востребованные услуги можно разделить на две категории по типу заказчиков.
Первая — это корпоративные заказчики, которые нуждаются в независимой экспертизе или аудите. Фрилансеры часто привлекаются для оценки существующих решений, построения безопасной архитектуры, проведения внешних аудитов или оказания услуг vCISO. Сюда же относятся стартапы, которым требуется помощь в выборе функций безопасности, которые надо в первую очередь реализовать в продуктах, чтобы не закрыться после первой кибератаки, и быть конкурентноспособными на рынке крупных корпоративных заказчиков с учетом их повышенных требований к безопасности.
Также востребованы услуги по проведению тренингов, которые адаптированы под конкретный филиал или подразделение заказчика, и учитывают специфику инфраструктуры, внутренних политик и регламентов. Востребованы тренинги разного уровня, начиная от общего для всех сотрудников, заканчивая специализированными для разработчиков, архитекторов или руководства.
Вторая категория услуг — для топ-менеджмента и индивидуальных клиентов, которым важна защита личных данных и данных их семьи. Услуги, связанные с противодействием социальной инженерии, «семейные SOC» и индивидуальные консультации по кибербезопасности.
Как правильно определять стоимость своих услуг фрилансерам в информационной безопасности?
Существует два подхода для определения стоимости консалтинговых услуг, которые полностью применимы и в ИБ, это — Fixed Price (фиксированная цена) и Time&Material (время и материалы, т.е. почасовая или сдельная оплата).
Fixed Price — традиционный подход, при котором стоимость услуги фиксируется на этапе заключения договора. Для успешного применения этого подхода необходимо тщательно оценить объем работ на этапе заключения договора, учесть возможные риски и заложить время на непредвиденные обстоятельства. Он привычен для большинства заказчиков, но такой тип договора чаще приводит к тому, что сделаны работы, которые не были никому нужны, но они были прописаны в договоре. Или получилось не то, что ожидали, так как в процессе работы выяснились новые детали, которые не были учтены в договоре, а еще и исполнитель отработал в два раза больше, чем рассчитывал при оценке трудозатрат.
Time&Material подразумевает оплату за фактически отработанные часы. Этот подход широко используется в Европе и США, но в России не получил должного распространения. Этот подход экономически выгоден и для заказчика (не надо платить за риски, которые заложены в Fixed Price, но могут не реализоваться) и для исполнителя (не надо работать бесплатно или заново заключать договор, из-за того, что объем работ изменился в процессе выполнения договора). Главное заранее согласовать механизм учета времени, чтобы избежать возможных разногласий.
В обоих подходах необходимо четко определять конечные результаты работы, чтобы обеспечить прозрачность оценки и избежать проблем на этапе подписания акта выполненных работ.
Какие каналы наиболее эффективны для привлечения клиентов в информационной безопасности для фрилансеров?
Самым эффективным каналом остается личное знакомство и рекомендации. Информационная безопасность — это сфера, где доверие играет ключевую роль. Клиенты, обращаясь к фрилансеру, должны быть уверены, как в его компетентности, так и в благонадежности, особенно когда речь идет о доступе к конфиденциальным данным или выявлении критических уязвимостей. Клиенты должны быть уверены, что фрилансер не продаст выявленные уязвимости третьим лицам.
Отзывы, написанные на сайте или в благодарственном письме, важны, но доверие, переданное «из уст в уста» среди экспертов, имеет гораздо больший вес.
Как фрилансерам в информационной безопасности строить и поддерживать личный бренд на российском b2b-рынке?
В связи с профессиональной деформацией специалистам по ИБ сложно идти в публичность. Это можно легко заметить даже по количеству фотографий на аватарках в телеграмме в группах, связанных с ИБ и нет. А так как без определенного уровня открытости личный бренд не выстроить, то надо быть готовым к раскрытию персональных данных и другой конфиденциальной информации.
То есть первый шаг это – понять и принять, что личный бренд действительно необходим. Стоит учесть, что личный бренд – это не только профессиональные статьи и списки лучших рекомендаций, но и какое-то количество личных историй, личное мнение и недовольство подписчиков из-за него. Нельзя смешивать личный бренд с маркетингом продуктов, так как продукты могут меняться, а личный бренд остается. И он должен быть выстроен не под конкретную идеальную аудиторию, а наоборот быть проявлением себя и «магнитом» для своей аудитории.
А второй, более простой для ИБшника, шаг, просто взять и построить личный бренд. Можно изучить методы продвижения, используемые в маркетинге и даже какие-то трюки из «инфоцыганства». Но быстрее и дешевле найти специалиста по построению личного бренда, чем пытаться сделать это самому, если не было предыдущего опыта бороться за внимание в современной высококонкурентной среде.
Как требования регуляторов по информационной безопасности влияют на работу фрилансеров в этой сфере?
Во-первых, это вопросы лицензирования. Многие виды деятельности в сфере ИБ требуют обязательного наличия лицензии регуляторов, которые могут быть выданы только на организации и помещения, соответствующие определенным требованиям. Во-вторых, часть нормативных актов содержит требования о наличии сотрудников, связанных с ИБ, в штате компании.
Фрилансерам не стоит оказывать лицензируемые услуги или соглашаться на реализацию требований, которые предполагают зачисление в штат. Попытки изобрести хитрые схемы для реализации таких требований, скорее всего приведут к судебным разбирательствам или штрафам.
Какие еще юридические сложности могут возникнуть при оформлении договоров на оказание услуг по информационной безопасности?
Основные сложности связаны с определением и оценкой результатов работ. Гарантировать 100% безопасность невозможно, а любые обещания такого рода должны вызывать подозрения. Вместо этого в договорах важно четко прописывать результаты, которые могут быть оценены количественно и объективно.
Другая сложность — это обеспечение конфиденциальности данных клиента и соблюдение законодательства, связанного с обработкой персональных данных. Важно, чтобы договоры включали положения о защите данных, и кроме ответственности сторон за их утечку были бы прописаны необходимые и достаточные требования для их защиты. Стоит рассмотреть варианты работы с любыми данными заказчика только на его оборудовании, например, на выдаваемом ноутбуке или хоты бы через защищенные удалённые подключения.
Формат и вид оказываемой услуги влияет на выбор заключаемого договора. Это может быть, как договор ГПХ, так и договор оказания услуг. Что в свою очередь влияет на выбор налогового режима и конечную стоимость оказываемой услуги.
Какие метрики и показатели наиболее важны для оценки эффективности работы фрилансера в информационной безопасности?
К сожалению, при выборе метрик часто оценивается то, что легко посчитать, а не то, что действительно отражает качество работы. Мой самый ненавистный пример, когда качество услуги пытаются оценить через количество страниц ТЗ или другого документа.
Подбор правильных KPI — это отдельное искусство, которое позволяет действительно оценить работу, но может требовать долгих согласований и последующих сложных расчётов. Не существует универсальных метрик для услуг фрилансера. В зависимости от конкретной услуги и типа заключенного договора, могут оцениваться как конкретные материальные артефакты (количество найденных уязвимостей и рекомендаций по их устранению, количество обученных сотрудников или архитектурная диаграмма), так и просто сам факт оказания консультации.
Для всяких абстрактных метрик (например, повышение защищенности или снижение поверхности атаки) в договоре должен быть четко прописан алгоритм их вычисления. И важно указывать, какие работы не выполняются в рамках проекта, и учитывать это при выборе метрик.
В чем особенности продаж услуг по информационной безопасности для фрилансеров по сравнении с компаниями?
Основное отличие — в ответственности и равноправии сторон. Компании имеют больше ресурсов, четкие механизмы урегулирования споров и штат юристов для досудебных и судебных разбирательств. Однако фрилансеры могут предложить более гибкие и выгодные условия, что делает их привлекательными для небольших компаний. В отличие от крупных интеграторов, у фрилансеров нет накладных расходов на управление, что позволяет снизить стоимость услуг.
Какие маркетинговые стратегии наиболее эффективны для продвижения услуг фрилансера в ИБ?
Понимание потребностей заказчика, а также ясное и четкое позиционирование своих услуг. Для каждой услуги должен быть свой проработанный «elevator pitch», который фрилансер всегда готов рассказать. А также описание услуги, которое можно отправить в виде файла или ссылки на сайт, где описано: какую проблему она решает, какие конкретные работы выполняются, какие будут сроки и результаты выполнения услуги, какие есть ограничения на объем оказываемой услуги, и какие действия, данные и специалисты со стороны заказчика требуются для ее успешного оказания.
Можно заниматься продвижением своих услуг через участие в конференциях, вебинарах и подкастах или публикации статей. Главное, чтобы каждое касание с потенциальным заказчиком давало ему пользу и возможность что-то применить на практике, а не превращалось в проходной рекламный доклад или агрессивную попытку продажи.
Какие типичные ошибки допускают фрилансеры в информационной безопасности при взаимодействии с заказчиками?
Одна из самых частых ошибок фрилансеров — это нечеткое позиционирование своих услуг и непонимание ожиданий заказчика. При отсутствии четкого описания состава работы и результатов могут возникать разногласия с заказчиком относительно объема выполненных работ и полученного результата, а также значительно меняться сроки оказания услуг. Чтобы избежать таких ситуаций, надо проговаривать все детали на этапе согласования и четко фиксировать их в договоре.
Фрилансеры должны быть готовы совмещать в себе как технические навыки, так и навыки управления ожиданиями заказчика, проектами и продажами.
Какую роль играют личные рекомендации и отзывы в привлечении новых клиентов для фрилансеров в ИБ?
Фрилансеры, в отличие от крупных компаний, не могут полагаться на громкие бренды или масштабные маркетинговые кампании. И личные рекомендации и отзывы играют ключевую роль в привлечении клиентов.
И рекомендации, переданные от одного специалиста другому, оказываются более ценными, чем формальные отзывы на сайтах. Активное участие в закрытых сообществах и построение профессиональных связей могут значительно повысить шансы на успех при заключении договора, в рамках которого требуется доступ к конфиденциальной информации или чувствительным данным о защищенности компании.
Какие PR-активности могут помочь фрилансерам в сфере информационной безопасности укрепить свои позиции на рынке?
Один из ключевых инструментов — ведение блога, канала или подкаста, где можно делиться опытом, анализировать атаки и успешные кейсы.
Эксперт не должен бояться делиться информацией (на раскрывая, конечно, при этом конфиденциальные данные). Делясь знаниями, ты не только поднимаешь средний уровень знаний заказчиков и конкурентов, но и сам растешь намного быстрее. Когда человек начинает открыто делиться информацией, создавали вокруг себя комьюнити, то это не только помогает развитию отрасли, но и облегчает последующий поиск заказов и повышает узнаваемость на рынке.
А участие в конференциях и других оффлайн мероприятиях помогает фрилансеру установить личный контакт с потенциальными клиентами и партнерами.
Какие тенденции на российском рынке информационной безопасности открывают новые возможности для фрилансеров?
Я не вижу тенденций специфичных именно для фрилансеров на российском рынке, так как они в целом совпадают с мировыми трендами в ИБ – увеличение количества атак, повышение приоритета и бюджетов на ИБ, и все это на фоне серьезной нехватки специалистов, которых пока еще массово не заменил ИИ.
Всё больше средних и небольших компаний попадают под регулярно появляющиеся требования регуляторов. Такие компании — это потенциальные новые клиенты для фрилансеров. Им требуется кибербезопасность, но у них нет бюджета на проекты крупных интеграторов, на СISO или корпоративного архитектора по безопасности на полную ставку, на лицензии на ИБ-продукты, которые нацелены на крупных корпоративных заказчиков. При этом требования соблюдать надо, особенно когда несоблюдение требований грозит отзывом лицензии (например, для кредитных и некредитных финансовых организаций).
На волне импортозамещения продолжают появляться новые ИТ и ИБ стартапы. У стартапов не бывает бюджета на ИБ (даже у ИБшных). А владельцы продуктов сосредоточены на функциях продукта и на красивом интерфейсе, закрывая глаза на требования безопасности, что в свою очередь закрывает им двери на проекты в компаниях, где есть ПДн или объекты КИИ. При этом стартапам может быть достаточно нескольких часов консультаций с архитектором-фрилансером, который подсветит, какие функции безопасности надо внедрить или какие функции слишком дорого или даже невозможно реализовать безопасно.
Уже привычные проблемы с дефицитом специалистов побуждают компании искать новые варианты сотрудничества. Когда нанять специалистов в штат очень дорого или невозможно в связи с отсутствием специалиста на рынке, то привлекается фрилансер, который работает с несколькими заказчиками.
Как фрилансеры в ИБ могут эффективно управлять своей загруженностью и качеством оказания услуг?
В планировании важно закладывать время на непредвиденные обстоятельства и получение данных от заказчика. В договоре должны быть указаны не только работы исполнителя, но и обязанности заказчика. Лучше всего указывать не абсолютные сроки оказания услуг, а относительные, привязывая их к получению необходимых для ведения проекта данных или доступов. Чтобы не оказываться в ситуации, когда заказчик на несколько недель или даже месяцев затянул сроки предоставления данных или доступов, а потом вернулся с требованием срочно предоставить результаты и уложиться в минимальные сроки.
Для управления качеством услуг стоит использовать личную базу знаний и опросы удовлетворенности клиентов. Ведение личной базы знаний может быть и публичным, например, разбирать в блоге интересные кейсы. Можно рассказывать даже про ошибки или провалы, если потом разбирать, как их можно предотвратить. Второе особенно хорошо для личного бренда, так как интересно следить не только за успешным успехом, но и за умением человека вставать и восстанавливаться после ошибок.
Для анализа свой работы важно получать обратную связь от клиентов. Лучше это делать через стандартизованные опросы, чтобы потом можно было сравнивать отзывы и не забывать вносить необходимые корректировки процесс оказывания услуги.
Какие сложности возникают при работе с международными клиентами у фрилансеров в информационной безопасности?
Во-первых, это сложности с оплатой и необходимость становится специалистом еще и по налогообложению.
Во-вторых, это вопрос доверия. Клиенты из стран НАТО, особенно из организаций относящиеся к критической инфраструктуре или государственному сектору, имеют формальные и не формальные ограничения при выборе подрядчиков из стран, не входящих в альянс. И сложно работать с опасениями любых Заказчиков, что выявленные уязвимости, информация о которых находится на территории России, могут быть использованы против них. Начиная от изъятия документов при обысках и заканчивая репутацией «всемогущих русских хакерах».
Каковы перспективы развития фриланса в информационной безопасности в России на ближайшие годы?
Фриланс будет развиваться там, где нужны гибкие условия и быстрый практический результат.
В среднем стоимость услуг фрилансеров ниже, по сравнению с консалтингом от вендоров или интеграторов. Но еще один важный фактор — это скорость и гибкость заключения договора. И если требуется разовая консультация на несколько часов, то несколько недель на согласование и заключения договора с крупной компанией с формальными сложными процессами, оплата скрытых расходов на аккаунт менеджера, руководителя проекта и весь бэкофис, делает такую консультацию слишком дорогой или запоздавшей. Т. е. фриланс будет развиваться там, где появляются вопросы, связанные с ИБ и требующие оперативного ответа. Например, запуск новой фичи в продукте или реагирование на кибер-инцидент в небольшой компании, у которой нет рамочного договора по реагированию на инциденты от лидеров рынка.
И еще одно важное направление развития — это частные, индивидуальные консультации. Серьезные последствия кибератак испытывают не только компании, но и частные лица. И перевод всё новых сфер жизни в цифровой вид делает успешные кибератаки слишком неприятными и очень личными. До этого мы говорили про личный бренд. Стоимость его потери или компрометации аккаунта для популярного блогера или любого другого инфлюенсера может быть сопоставима с ущербом от атаки на средний бизнес. Поэтому вопросы безопасной настройки личных устройств и Wi-fi сетей, правильное реагирование на атаки (фишинговые и социоинженерные), восстановление украденных доступов и расследование инцидентов будут заказывать не только компании, но и частные лица.
Конечно, будут развиваться массовые сервисы и услуги. Кто-то пользуется услугами персонального менеджера в банке, который каждый месяц новый и начинает заново зачитывать тебе «выгодные» предложения от банка или брокера. Но те, кому действительно нужен индивидуальный подход и консультант, которые действует в первую очередь в интересах клиента, а не корпоративных KPI, будут выбирать себе личного консультанта по кибербезопасности, как выбирают семейного терапевта, который понимает с полуслова и знает всю историю болезни.
