Рынок труда в ИБ отличается от других сегментов рынка ИБ своей динамичностью, открытостью и мобильностью. На рынке труда на данный момент относительно мало требований к образованию, квалификации и опыту, а существующие требования часто можно закрыть услугами внешних провайдеров, предоставляющих сервисы лицензирования под ключ и имеющих базы с ранее одобренными в процессе лицензирования организации ФСТЭК и ФСБ специалистами.

Описывая ситуацию на рынке труда, затронем следующие вопросы:

  • определение специалиста в сфере ИБ;
  • cпрос и компенсации;
  • предложение компетенций;
  • альтернативные стратегии для компаний и сотрудников.

Определение специалиста в сфере ИБ

Для целей статьи специалистом в сфере ИБ будем считать специалиста со знанием и опытом в предметной области ИБ — идентификации и управления рисками ИБ, управления портфелем мер по снижению и сдерживанию рисков ИБ как в целом, так и конкретных технологий или процессов.

Специалистом в сфере ИБ может быть как обладающий широким набором компетенций мастер на все руки, так и специалист в узкой области, впадающий в панику от словосочетания «защита персональных данных» или при необходимости оценки защищенности бизнес-приложения.

Спрос и компенсации

На рынке существует несколько групп спроса:

  • профильные организации (вендоры и консультанты), в которых специалисты в сфере ИБ напрямую влияют на P&L (прибыли и убытки);
  • непрофильные организации (отраслевые и госуправление), где специалисты влияют на P&L через обеспечение защищенности и устойчивости бизнес-продуктов, бизнес-услуг и процессов;
  • экспорт компетенций — организации, где специалисты предоставляют сервисы ИБ для зарубежных клиентов или штаб-квартир;
  • рекрутинговые агентства и зарубежные компании, предлагающие релокацию за рубеж.

Профильные организации

Прошедшие в конце 2014 г. сокращения уменьшили спрос на специалистов, даже в организациях, реализующих ИБ-проекты. В течение 2015-го ситуация несколько усугубилось — закрылся один из известных ИБ-интеграторов, был подан ряд исков о банкротстве к интегратору «Микротекст», прошел целый ряд сокращений в NVision.

С другой стороны, «Лаборатория Касперского» открыла сервисное бизнес- направление и активно принимала специалистов по техническому аудиту. Такие специалисты были востребованы и Positive Technologies, из которой и перешел костяк сотрудников вновь созданного сервисного дивизиона «Лаборатории Касперского». Также активность проявляла Solar Security, выделившаяся из компании «Инфосистемы Джет». Себестоимость содержания полноценного конкурентоспособного Security Operations Center высока по любым меркам, поэтому для выхода на точку безубыточности Solar Security активно масштабировалась в коммерческом и техническом блоках.

В целом набор специалистов вендорами компенсировал падение спроса на них у интеграторов и сегмент ИБ-позиций в профильных компаниях не пострадал в 2015 г.

В 2016 г. «Лаборатория Касперского» разместила в LinkedIn вакансии разработчиков и продакт-менеджера в Ирландии. Учитывая курсовую разницу, такой шаг казался нелогичным, поэтому у пресс-службы компании был запрошен комментарий. «Стратегия компании на ближайшие несколько лет подразумевает активное развитие новых решений и сервисов, направленных не столько на защиту конечных устройств, сколько на своевременное обнаружение, реагирование и прогнозирование кибератак. Мы рассчитываем, что это будет основным фактором нашего роста в будущем. Для развития этих направлений „Лаборатория Касперского“, в частности, планирует расширить штат сотрудников и создать порядка 400 дополнительных рабочих мест в R&D в 2016 г. Подавляющая часть департамента исследований и разработки по-прежнему находится в Москве, и основной набор специалистов (около 300 рабочих мест) будет проходить именно на российском рынке труда», — ответила пресс-служба.

Позиции в профильных компаниях (глобальные вендоры, ведущие консультанты, интеграторы и дистрибьюторы) А-брендов (ТОП-20 по версии рейтингов от CNews Analytics, РА Эксперт) в Москве можно оценить следующим образом.

  1. Пресейл-инженеры/инженеры внедрения по сетевой безопасности (российские решения): 50–80 тыс. руб. (здесь и далее — чистыми).
  2. Инженеры по сетевой безопасности (западные решения): 75–110 тыс. руб.
  3. Инженеры по прикладным системам безопасности (DLP, WAF, DAM): 90–130 тыс. руб.
  4. Инженеры редких специализаций (IDM, application security, cloud security): 100–160 тыс. руб.
  5. Архитекторы проектов/ГИПы: 120–200 тыс. руб.
  6. Консультанты по управлению ИБ: 70–180 тыс. руб.
  7. Технические аудиторы: 50–120 тыс. руб.
  8. Специалисты SOC: 60–100 тыс. руб.
  9. Аналитики и эксперты SOC: 100–180 тыс. руб.
  10. Руководители проектов и программ: 90–200 тыс. руб.
  11. Продакт-менеджеры: 100–180 тыс. руб.
  12. Управленцы: +20–30% к компенсации прямых подчиненных (например, инженеров).

Позиции в других профильных компаниях:

  1. Пресейл-инженеры/инженеры внедрения по сетевой безопасности (российские решения): 50–80 тыс. руб.
  2. Инженеры по сетевой безопасности (западные решения): 60–90 тыс. руб..
  3. Инженеры по прикладным системам безопасности (DLP, WAF, DAM и т. д.): 80–110 тыс. руб.
  4. Архитекторы проектов/ГИПы: 100–130 тыс. руб.
  5. Консультанты: 50-—120 тыс. руб.
  6. Управленцы: +25-35% к компенсации подчиненных специалистов (например, инженеров).

Индустриальные особенности:

  1. Специалисты на проектах поддержки получают меньше на 10–20%.
  2. Выступления на конференциях, статьи в прессе, найденные уязвимости повышают компенсации продакт-менеджеров и технических аудиторов.
  3. Фокус на откровенном commodity (например, аттестации, ПЭМИН) снижает компенсацию на 40–60%.
  4. Компенсации у западных вендоров могут быть больше на 10–25% (требуется знание английского).
  5. Специализированные ИБ-компании сопоставимого размера ИБ-бизнеса платят больше верхнему диапазону (архитекторы, консультанты, продакт-менеджеры).
  6. Наличие сертификатов «большой тройки» (CISA, CISSP, CISM) открывает путь в «большую четверку» (четыре крупнейшие в мире компании, предоставляющие аудиторские и консалтинговые услуги: PWC, Deloitte, Ernst & Young, KPMG) и добавляет 10–15% компенсации для должностей консультантов.
  7. Наличие проектов в «голубых фишках» (ТОП-20 коммерческих компаний российской экономики, представительствах компаний Fortune 500) добавляет 10–15% к компенсациям в международных компаниях.
  8. Наличие проектов в «голубых фишках» госорганов (ФНС, ПФР, Казначейство и другие крупнейшие держатели ИТ-бюджетов со сложным ИТ-ландшафтом) добавляет 10–15% к компенсациям подсегмента проектов в госсекторе.
  9. Большая горизонтальная зона ответственности (например, единственный технический специалист в стране у вендора с дополнительными обязанностями по продвижению) может добавлять 20–30% к компенсации.
  10. Верхний диапазон компенсаций для руководителей направлений и проектов возможен только при солидном бюджете под управлением — в федеральных проектах либо при выведении новых продуктов на рынок.

Бонусные программы могут достигать 40% годового оклада для специалистов, ключевыми факторами размера бонуса являются:

  • степень близости к ключевой функции — формальному центру доходов (продажам), R&D или управлению продуктами;
  • размер проекта/продукта в управлении либо важность операционной работы эксперта для стратегически значимого продукта/проекта;
  • возможность и стоимость замены сотрудника;
  • узнаваемость и авторитет сотрудника среди бизнес-руководителей.

Непрофильные организации

Из-за падения экономики спрос на специалистов по ИБ консолидировался в организациях, демонстрирующих эффективность бизнес-модели даже в новых экономических условиях. Рынок «делают» гиганты — Сбербанк, Роснефть, Сибур, структуры Газпрома. Особенной активностью отличается Сбербанк (видимо в рамках создания операционных центров ИБ, тендер на проектирование операционной модели которых был объявлен в феврале), который разместил десятки вакансий в крупнейшей профильной группе ИБ-ваканский в Facebook.

Позиции в службах ИБ А-брендов (ТОП-50 рейтинга РА Эксперт) в Москве:

  1. Базовые сервисы безопасности (контроль доступа, операторы SOC): 50–90 тыс. руб.
  2. Инженеры (классические технологии — AV, CA, FW, IDS): 60–110 тыс. руб.
  3. Эксперты по СЗИ (продвинутые технологии — SIEM, DLP, WAF): 70–140 тыс. руб.
  4. Эксперты SOC: 90–170 тыс. руб.
  5. Внутренние консультанты и архитекторы ИБ: 90–200 тыс. руб.
  6. Линейные руководители: 100–150 тыс. руб.

Позиции в службах ИБ Б-брендов (ТОП-200 РА Эксперт):

  1. Базовые сервисы безопасности (контроль доступа, мониторинг событий, поддержка систем безопасности): 50–90 тыс. руб.
  2. Аналитики: 60–110 тыс. руб.
  3. Управленцы: 80–200 тыс. руб.

Позиции в службах ИБ В-брендов:

  1. Технические эксперты: 50–80 тыс. руб.
  2. Аналитики: 50–90 тыс. руб.
  3. Универсалы: 70–100 тыс. руб.
  4. Линейные руководители: 60–120 тыс. руб.

Индустриальные особенности:

  1. Нефтегаз и промышленность отлично платят в корпоративных центрах, неплохо в ИТ-дочках и весьма по-разному на предприятиях в регионах.
  2. Если бренд компании принципиально больше ее размера (например, ИТ-компании B2C), вероятно попадание диапазоном ниже.
  3. Иностранные компании платят на 20–40% больше (в зависимости от масштаба требований к английскому).
  4. Под управленческой позицией диапазонов Б и В иногда скрыты позиции универсалов.

Порядка 10% компаний выплачивают годовые бонусы (10–20% годового дохода), люди участвующие в/управляющие проектами имеют шанс получить еще 10-—0% (20 — при участии в стратегических для компании проектах: значимых для акционеров лично, выход на новые рынки и т. п.).

Экспорт компетенций

Экспорт компетенций происходит двумя классическими путями:

  • производство и продвижение средств защиты;
  • внутренние сервисы глобальных корпораций.

Производство и продвижение средств защиты, а с некоторого времени и услуг традиционно реализовывалось «Лабораторией Касперского», а также компаниями Positive Technologies, Dr. Web, Zecurion, SmartLine и Infowatch.

Однако масштабы экспорта компетенций именно специалистов в области ИБ были относительно невелики, ведь для разработки и экспорта продуктов нужно очень много разработчиков и специалистов коммерческого блока.

Не оставляя надежды на активное развитие вышеупомянутого сервисного дивизиона «Лаборатории Касперского», упомяну возросшую активность компаний по заказной разработке на рынке услуг по информационной безопасности. Такие компании, как Luxoft, EPAM, Atos, IBM, начинают серьезно работать на этом рынке, например, открывая десятки вакансий в Польше, Венгрии и Румынии. В том числе предлагая переезд в Польшу из соседних стран — как минимум России и Украины. Известных автору успешных релокаций специалистов по кибербезопасности больше десятка только за последние несколько лет.

А это значит что, например, в Польше пул специалистов уже близок к исчерпанию. Часть задач вполне может быть перенесена в Россию, тем более что это теперь очень выгодно из-за падения курса рубля, а у всех упомянутых компаний уже есть представительства в России.

Внутренние сервисы глобальных организаций только начинают разворачиваться. Пока мне не удалось обнаружить крупных центров оказания внутренних услуг ИБ на глобальном уровне, но это может быстро измениться сразу после стабилизации политической обстановки и отмены санкций. Снижение курса рубля делает затраты на российских специалистов сравнимыми с затратами на специалистов в Польше, где открыты сотни центров обслуживания глобальных корпораций, в том числе по кибербезопасности топовых мировых банков UBS, Credit Suisse, Goldman Sachs, BNY Mellon, ING и др. А ведь предложение специалистов даже в Польше — самой большой и населенной страны Восточной Европы — принципиально слабее, чем в России: их и меньше, и в Польше очень мало действительно крупных компаний, а значит, негде выращивать большое количество компетенций по защите ИТ-ландшафтов корпоративного класса.

Для уже существующего небольшого пула вакансий по таким проектам можно рассчитывать на компенсацию до +50% к обычным ставкам.

Релокация

Релокация пока остается экзотикой на российском рынке специалистов по кибербезопасности. Перевозят кадры за рубеж единичные компании, но активные соискатели смогли найти спрос в Ирландии, Чехии, Польше, Германии, Норвегии, Казахстане, Беларуси, Латвии, ЮАР, Австралии, Японии, ОАЭ и Катаре. Более закрыты рынки труда США, Канады, Швейцарии и Великобритании, хотя именно там находится львиная доля вакансий по кибербезопасности.

Одобренная в апреле 2016 г. Еврокомиссией и Европарламентом инициатива по защите персональных данных (General Data Protection Regulation) может изменить баланс и создать реальное давление на рынок труда специалистов по кибербезопасности в России. Ведь минимальный штраф за нарушение правил GDPR — 20 млн. евро или 4% от глобальных доходов, в зависимости от того, какая величина больше. А в числе правил — создание института офицера по защите персональных данных, внутреннего мини-регулятора защиты персональных данных граждан ЕС. Чтобы создать эффективный институт защиты до даты вступления GDPR в силу (25 мая 2018 г.), крупные компании могут начать искать кадры уже осенью 2016-го, что бы войти в 2017-й с сильной командой.

Аналогичное давление вероятно в случае краха Шенгена, когда интересные российским соискателям высокооплачиваемые рабочие места в Западной Европе уже не будут заполняться специалистами из Восточной Европы.

Структура спроса смещена в сторону технических навыков (как минимум 66% всех вакансий содержат требования к техническим навыкам), так как технические навыки менее зависят от языкового и культурного контекста. Впрочем, в недавнем глобальном исследовании State of Cybersecurity 2016 авторитетной международной ассоциации ISACA самыми дефицитными навыками были названы не технические, а способность найти общий язык с бизнесом. Равно как и в недавнем плане по развитию кибербезопасности США (представленном администрацией Обамы в начале года) была отдельно подчеркнута необходимость развития у специалистов по кибербезопасности коммуникационных навыков и знаний бизнес-среды.

Можно выделить и конкретные востребованные позиции:

  • Технические аудиторы;
  • аудиторы системы управления ИБ (ISO 27001);
  • эксперты SOC;
  • консультанты по рискам кибербезопасности;
  • инженеры поддержки систем кибербезопасности;
  • менеджеры по управлению ИБ.

Предложение

Начинающие специалисты (13 года)

Предложение начинающих специалистов превышает спрос, вакансий для них единицы, а выпускаются десятки и сотни специалистов.

Организации в целом не расположены инвестировать в подготовку молодых специалистов и студентов в сфере ИБ. Казалось бы, складывается парадоксальная ситуация — откуда возьмутся квалифицированные специалисты, если вакансий для начинающих единицы? На практике карьерный путь специалиста по ИБ часто проходит через ИТ. Должности сетевых администраторов, администраторов серверной инфраструктуры, разработчиков, должности в государственном секторе и силовых ведомствах становятся выходом для вчерашних студентов. Отдельной, но небольшой в масштабах страны возможностью является практика и вакансии базового уровня в консалтинговых компаниях («большая четверка», системные интеграторы, внутренние ИТ-компании крупнейших предприятий страны).

Квалифицированные специалисты (35 лет)

Из-за продолжающегося «банкопада», начавшегося в декабре 2014-го сезона высоких процентных ставок (с последующим сокращением штатов, в том числе специалистов по кибербезопасности) и проблемной финансовой ситуации у многих малых и средних системных интеграторов на рынке наблюдается небольшой избыток квалифицированных специалистов. Он мог быть существенно больше, но у компаний мало выбора: инвестировать в начинающих — это долгий проект, в текущих экономических условиях горизонт планирования компаний снижен, а вкладывать в высококвалифицированных специалистов многие руководители считают избыточным, ведь перед ними стоит выбор: сохранять квалифицированных бизнес-специалистов или сотрудников сервисных подразделений, таких как отделы кибербезопасности.

Особый избыток можно увидеть в следующих областях:

  • специалисты по кибербезопасности банков;
  • специалисты по соответствию государственным требованиям (аттестация и пр.);
  • консультанты по информационной безопасности без опыта работы на «голубые фишки» и международных сертификатов;
  • специалисты без знания английского языка и редких компетенций.

Высококвалифицированные специалисты (5+ лет)

Высококвалифицированных специалистов возможно разделить на три категории:

  • руководители;
  • эксперты широкого и узкого профиля;
  • эксперты по новым направлениям.

Руководителей в 2015-м был существенный избыток, службы ИБ сокращались и реформировались, банкопад продолжался, роли директоров по ИБ переходили к директорам по ИТ.

Ощущается небольшая нехватка экспертов по новым направлениям — кибербезопасности SAP, IDM, SIEM, кибербезопасности АСУ ТП, а также технических аудиторов для проведения тестов на проникновение.

Существенной была нехватка проектировщиков и архитекторов по кибербезопасности — в силу продолжения большого количества проектов в государственном секторе.

Из-за сокращений в регионах высококвалифицированные специалисты из регионов стали рассматривать варианты в Москве.

Комментарий эксперта

Ситуацию на рынке ИБ-труда мы попросили прокомментировать Андрея Дроздова, вице-президента российского отделения международной ассоциации ISACA, обьединяющей десятки тысяч специалистом по управлению ИТ и ИБ по всему миру.

Каких специалистов не хватает компаниям?

В приведенном ISACA на конференции RSA в начале 2016 г. отчете по результатам опроса 461 менеджера и директора по ИБ отмечено, что в 60% компаний руководители служб ИБ не верят, что их персонал способен на что-то большее, чем реагирование на простые инциденты по ИБ (видимо, передача паролей коллегам, нарушение политики «чистого стола» и т. п. — Прим. автора) и отмечают нехватку высококвалифицированных экспертов.

Каких специалистов сейчас на рынке избыток?

Менеджеров общего плана без конкретных навыков в идентификации и оценке рисков, выборе и внедрении мер защиты.

Нужны ли профессиональные сертификаты по кибербезопасности?

В международных компаниях, например «большой четверке», невозможно сделать карьеру в области ИТ-аудита, не обладая сертификатом CISA. В целом наличие сертификата свидетельствует о стремлении специалиста повышать свой профессиональный уровень и непрерывно развиваться, ведь серьезные сертификаты (например, CISA, CISM, CRISC, CGEIT) требуют постоянного обучения для подтверждения баллов непрерывного профессионального образования (CPE).

Нужно ли знание английского языка профессионалам?

Сложно получить специализированные и современные профессиональные навыки без знания языка, на котором в основном публикуются международные стандарты и методологии. Специалистом мирового класса без знания английского уже не стать.

Альтернативные стратегии

Стратегии для компаний

Компании, которые сталкиваются с серьезными проблемами при поиске и найме специалистов по кибербезопасности, могут прибегнуть к альтернативным стратегиям, в том числе пяти нижеописанным.

Бизнес-кейсы. Поиск и наем сотрудников остаются во многом основаны на интуиции, редкие компании имеют модели расчета необходимого количества сотрудников, детальные исследования рынков и руководствуются этими данными при принятии кадровых решений в сфере кибербезопасности. Среди глобальных примеров можно упомянуть швейцарский инвестиционный банк UBS, разместивший в открытых источниках вакансии так называемых Reward Advisors, ставящих на системные рельсы изучение рынка и определение целевой компенсации.

Переходя к практике — наем каждого сотрудника должен быть обоснован. Желательно не «на пальцах», а с указанием под какие задачи и какой объем задач нужен сотрудник, как соотносятся требуемые компетенции с задачами, прорабатывались ли альтернативные стратегии — повышение квалификации имеющихся сотрудников, автоматизация процессов ИБ, перераспределение обязанностей, принятие соответствующего риска ИБ, аутсорсинг и т. д. Нужно понимать, что каждый новый сотрудник это не только финансовые затраты, но и в конечном итоге затраты времени менеджеров компании.

При наличии на руках формального бизнес-кейса будет гораздо легче вести с руководством диалог о необходимости расширения зоны поиска на регионы или другие страны, повышения компенсации и других стратегиях поиска.

Страхование рисков. Альтернативной стратегией является страхование информационных рисков. На Западе эта стратегия давно работает, страхуются риски с потенциальным возмещением в сотни миллионов долларов. В наших условиях стратегия ограничена небольшим предложением страховых услуг такого рода (хотя вариантов не менее трех), привычкой руководства делать виноватым во всех инцидентах ИБ руководителя службы ИБ и отсутствием такой деловой практики.

Аутсорсинг. Аутсорсинг ИБ в России развивается уже давно, первые проекты по аудиту ИБ, по поддержке средств безопасности силами внешних специалистов начались много лет назад. Однако чувствительные сервисы — управление доступом, внутренняя информационная безопасность, мониторинг инцидентов и управление уязвимостями организации — стремятся оставлять внутри, отдавая их наружу не от хорошей жизни: из-за невозможности расширить штат, предсказать скорость роста бизнеса и т. п. Аутсорсинг является эффективной стратегией и, скорее, даже частью концепции ИБ, когда организация готова последовательно описывать ИБ-сервисы, измерять их внутреннюю эффективность и сравнивать с рыночными предложениями.

Общие центры обслуживания. Общие центры обслуживания (ОЦО, SSC) уже десятки лет применяются в бизнесе как инструмент для снижения или сдерживания роста затрат при удержании или повышении качества. Механизм их работы прост — консолидация ресурсов позволяет воспользоваться экономией на масштабе. Общие центры обслуживания по ИБ уже работают у ведущих корпораций страны — Росатом, Ростех, Роснефть, СУЭК, Норникель.

Привлечение иностранных специалистов. В России уже много лет существуют законодательные льготы иностранным специалистам по ИБ. До формирования современной патентной системы специалист по ИБ входил в бесквотный список выдачи разрешения на работу, а сейчас такой специалист с трехлетним опытом работы в РФ может получить гражданство РФ по упрощенной процедуре.

Тем не менее в России немного «импортных» специалистов по ИБ. Те случаи, что есть, в основном относятся к постсоветским странам — Украина, Молдавия, Беларусь, Киргизия, Узбекистан и Казахстан.

После внедрения патентной системы (отказа от квот) данная стратегия стала довольно проста для организаций, но они пока морально не готовы в заметных количествах привлекать на постоянную работу иностранцев.

Стратегии для соискателей

В рамках рынка кибербезопасности в России соискателям придется резко повысить свою конкурентоспособность, одновременно наращивая свои компетенции и повышая свою заметность для работодателей.

Перечень необходимых компетенций рекомендую определять исходя из целевой позиции (например, на основе перечней позиций выше), рекомендации по повышению заметности универсальны: точное и детальное заполнение профилей в социальных сетях и job-сайтах, вступление в профильные группы (например, группы ИБ-вакансий в Facebook, RISSPA в LinkedIn, насчитывающие более 1000 членов каждая), рассылка резюме по базам кадровых агентств и аккуратное обсуждение заинтересованности в работе внутри собственной сети профессиональных контактов.

Решившим попробовать смежные кадровые рынки рекомендуется получить профильный сертификат. Это даст возможность «пощупать» предметную область, понять терминологию, а иногда и войти в закрытый круг профессиональной ассоциации.

Среди таких сертификаций можно упомянуть PMP — Project Management Professional (управление проектами), CFE — Certified Fraud Examiner (противодействие хищениям), CIA — Certified Internal Auditor (внутренний аудит), CISA — Certified Internal Systems Auditor (аудит ИТ) и CPP — Certified Protection Professional (общая безопасность бизнеса).

Заключение

Рынок компетенций кибербезопасности в России усложняется, первые ласточки уже уехали за рубеж, с другой стороны, развиваются общие центры услуг по кибербезопасности гигантов — Сбербанка, Роснефти, Газпрома, Росатома и Ростеха.

Рынок еще не достиг точки бифуркации, и дальнейшая его судьба неясна, но в любом случае региональным работодателям, органам государственного управления, среднему и даже крупному бизнесу будет сложно конкурировать за лучшие кадры с национальными чемпионами или транснациональными корпорациями. Поэтому рекомендую компаниям выращивать лояльные кадры со студенческой скамьи, вести постоянный мониторинг рынка и выстраивать гибкую стратегию обеспечения компетенциями службы кибербезопасности.

Соискателям разумно постоянно вести мониторинг требуемых компетенций, прогнозировать их востребованность в будущем (например, многие низкоуровневые аналитики вполне могут быть заменены искусственным интеллектом в ближайшие 10–15 лет), обучаться и постоянно совершенствовать как профильные компетенции, так и так называемые мягкие навыки.

Автор статьи — сертифицированный специалист по управлению информационной безопасностью корпоративных и облачных ландшафтов, член ISACA, ASIS, ACFE.