Ответственность и стрессы достигают критической точки. Стоит ли игра свеч?
Заработная плата главных специалистов по информационной безопасности (CISO) продолжает расти, но нагрузка и ответственность на них также увеличиваются. По данным отчёта IANS Research за 2024 год, средний уровень вознаграждения для CISO составляет 403 000 долларов в год, включая зарплату, различные бонусы и корпоративные предложения. Несмотря на рост доходов на 6,4% за последний год, угрозы безопасности постоянно меняются, что увеличивает ответственность CISO за защиту бизнеса.
Кроме того, новые требования, например от Комиссии по ценным бумагам и биржам США (SEC), вынуждают CISO определять значимость инцидента в течение четырёх дней после его обнаружения, что часто приводит к юридическим рискам. Однако многие специалисты не имеют достаточных ресурсов для выполнения этих задач, что усиливает напряжение.
Как отмечает вице-президент и CISO Университета ДеВри Фред Квонг, успешное предотвращение угроз приводит к сокращению бюджета, поскольку руководство задаётся вопросом, нужны ли дополнительные ресурсы, если текущие меры кажутся достаточно эффективными.
В период с 2021 по 2022 годы спрос на CISO вырос на фоне удалённой работы и активизации киберпреступников, распространявших программы-вымогатели. Однако сейчас этот спрос снижается. По словам Ника Каколовски из IANS Research, только 11% CISO в 2024 году сменили работу или получили бонус за лояльность, в то время как в 2022 году таких было 44%.
Специалисты по кибербезопасности в государственных учреждениях, как правило, менее подвержены смене работы, хотя почти половина штатов в США наняла новых CISO за последний год. Средний срок пребывания CISO на одной должности сократился с 30 месяцев в 2022 году до 23 месяцев в 2024 году. По прогнозам аналитиков, давление на этих специалистов будет лишь продолжать расти, ведь атаки становятся сложнее, бюджеты меньше, а кадровый дефицит только увеличивается.
Заработная плата CISO в образовательных учреждениях на текущий момент является одной из самых низких — в среднем 243 000 долларов в год. Например, бывший специалист по кибербезопасности Университета Вашингтона Дэниел Швальбе отмечает, что нагрузка на безопасность в образовательных учреждениях была огромной — на защищаемой сети находилось около полумиллиона устройств, и ежедневно около тысячи из них могли быть скомпрометированы. Тем не менее, Швальбе сменил работу не из-за зарплаты, а из-за отсутствия карьерных перспектив.
Растущая роль искусственного интеллекта также добавляет напряжения. Как подчёркивает Каколовски, CISO часто оказываются ответственными за риски, связанные с ИИ, хотя не всегда обладают достаточными знаниями в этой области. Это может стать дополнительной проблемой для компаний, где риск ИИ ещё не полностью контролируется.
Таким образом, будущее CISO как профессии выглядит весьма неопределённым. С одной стороны, спрос на высококвалифицированных специалистов в области кибербезопасности продолжает увеличиваться. С другой стороны, растущая сложность угроз, нехватка кадров и ограниченные бюджеты создают серьёзные вызовы для этой профессии.
