Кто такой Алексей Лукацкий и зачем ИБ-компании нанимают бизнес-консультантов
Активное развитие технологий и кратный рост проектов по цифровизации все чаще формируют запрос на услуги бизнес-консультантов по информационной безопасности. Их главная задача — стать связующим звеном между специалистами по ИБ и бизнесом, переводя технические риски на язык коммерции. SecPost разбирался, как устроена работа бизнес-консультантов по ИБ, какие KPI перед ними ставятся и сколько денег им платят.
Путь консультанта
Бизнес-консультант по информационной безопасности Positive Technologies Алексей Лукацкий — один из самых известных специалистов такого рода в России. Свой путь он начинал как разработчик средств защиты, потом — как специалист по ИБ, постепенно углубляясь не только в технологии, но и в вопросы управления, регуляторики и стратегии.
«Я работал в консалтинге, участвовал в проектах по проектированию и внедрению систем защиты, в аудитах и расследованиях. Со временем я понял, что компаниям не хватает связующего звена между специалистами ИБ и бизнесом», — говорит Алексей Лукацкий в беседе с SecPost.
Именно эта роль — бизнес-консультанта по ИБ — стала для Лукацкого естественной эволюцией. Прежде чем перейти в 2022 году в Positive Technologies он много лет работал на аналогичной позиции в Cisco Sistems.
Ключевая особенность работы Лукацкого состоит в том, что он соединяет техническую экспертизу в области кибербезопасности с бизнес-мышлением. Это означает не только понимание уязвимостей, стандартов и технологий, но и умение переводить это на язык бизнеса: говорить о недопустимых событиях, рисках, финансах, операционной эффективности и стратегических целях компании.
«Моя компетенция — объяснять топ-менеджменту, какие угрозы ИБ реально значимы для того или иного направления, как они повлияют на бизнес, и какие инвестиции дадут наибольший эффект», — отмечает Алексей Лукацкий.
Пространство задач
Влияние кибер-рисков на операционную деятельность компании и бизнес организации в широком смысле — именно это является зоной компетенций современного консультанта по ИБ, говорит в беседе с SecPost консультант по кибербезопасности компании F6 Сергей Золотухин. По словам эксперта, одно из главных направлений работы консультантов по ИБ — это решение задачи оценки инвестиций в построение систем противодействия угрозам и обеспечение непрерывности деятельности компании в условиях динамично меняющихся угроз.
«Вторая задача — участие в формировании стека технологий, необходимых для защиты конкретной компании. Как правило, рассматриваются сценарии защиты как в моменте, так и на среднесрочную перспективу с учетом прогнозирования изменений ландшафта угроз», — рассказывает специалист.
Третьей задачей (по списку, но не по значимости) Сергей Золотухин называет статус проводника современной парадигмы противостояния в киберпространстве, актуальных знаний о киберпреступности и технологий, которые способны обеспечить реальную защиту в XXI веке. Консультант по ИБ играет важную роль, начиная с этапа формирования у бизнеса понимания, какие именно технологии могут быть использованы и какую конкретную пользу они принесут организации.
«Киберразведка — один из основных инструментов консультанта по кибербезопасности, вкупе с опытом консультанта это позволяет выстраивать действительно эффективные и безопасные процессы», — отмечает Сергей Золотухин.
К бизнес-консультантам компании могут обращаться за помощью в обосновании инвестиций в ресурсы сферы кибербезопасности, для проведения стратегической оценки недопустимых событий, имеющих катастрофические последствия для бизнеса, и определения приоритетных направлений защиты, а также определения вариантов реализации — от развития собственной экспертизы до аутсорсинга, дополняет Алексей Лукацкий.
Кроме того, такие специалисты сопровождают цифровую трансформацию и внедрение новых технологий с учетом требований безопасности, готовят компании к выполнению регуляторных требований, проводят обучение и стратегические сессии для топ-менеджмента. Собеседник SecPost подчеркивает, что такие запросы носят регулярный характер, но в последнее время их интенсивность возросла.
Механизмы исполнения
Функции бизнес-консультанта по ИБ могут выполнять специалисты, чьи должности могут называться иначе. К примеру, в T.Hunter чаще всего эти функции выполняют ведущие и старшие специалисты в рамках сервисов по управленческому консалтингу и аудиту ИБ, говорит в беседе с SecPost директор департамента расследований компании Игорь Бедеров.
«Это эксперты, которые выступают в роли бизнес-консультантов для наших клиентов, помогая им выстраивать ИБ-процессы, тесно связанные с бизнес-целями», — объясняет Бедеров.
Главное отличие таких специалистов — это сочетание «двух культур» в одном лице. Они говорят на языке бизнес-рисков, а не на языке технических угроз. При этом, они бладают фундаментальными знаниями в области стандартов (ISO 27001, NIST, ФСТЭК), управления уязвимостями, управления инцидентами, а также понимают, как технические меры защиты влияют на достижение бизнес-целей.
Если говорить о внутренней потребности, то такие специалисты вовлекаются на постоянной основе для решения стратегических задач, рассказывает Игорь Бедеров. Для клиентов T.Hunter взаимодействие с ними, как правило, носит проектный характер — по мере необходимости запуска крупных инициатив, таких как построение ИБ с нуля, или на регулярной основе в рамках аутсорсинга функции CISO, когда консультант становится частью управленческой команды заказчика.
«У нас в компании нет бизнес-консультантов по ИБ, потому что системный интегратор — это и есть такой коллективный консультант для бизнеса. Но зачастую бизнес-консультанты являются связующим звеном между потребителями и поставщиками всевозможных услуг, и ИБ тут не исключение», — дополняет руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис» Сергей Полунин.
Финансовый аспект
По данным SuperJob, средние зарплаты консультантов по кибербезопасности за год выросли в Москве на 10%. Средний размер рыночного вознаграждения сегодня составляет 220 тысяч рублей в месяц, максимальный — 400 тысяч. Консультантов по защите информации сегодня чаще всего нанимают компании сферы информационных технологий, банки и услуги В2В (ИТ-консалтинг).
Вот суммы, которые ИТ-компании сегодня готовы платить консультантам по ИБ и другим специалистам по кибербезопасности в Москве при условии занятости в формате полного рабочего дня на территории работодателя.
| Позиция | Рыночная заработная плата, Net, fix, рублей в месяц | Прирост медианной зарплаты за год, % | |
| средняя (медиана) | максимальная | ||
| Директор по информационной безопасности | 500 000 | 1 000 000 | +11% |
| Руководитель отдела информационной безопасности | 350 000 | 600 000 | +6% |
| Специалист по информационной безопасности | 230 000 | 400 000 | +10% |
| Консультант по информационной безопасности | 220 000 | 400 000 | +10% |
| Pentester | 220 000 | 400 000 | +10% |
Тонкости KPI
В сфере бизнес-консультантов по ИБ KPI — скорее качественные и стратегические, говорит в беседе с SecPost Алексей Лукацкий. Примерами таких показателей может быть улучшение понимания руководством компании собственных недопустимых событий и роли ИБ, степень поддержки бизнес-целей решениями по ИБ, а также снижение вероятности или потенциального ущерба от инцидентов.
«Консультанты по кибербезопасности работают в команде и вместе с командой отвечают за успешность проекта на всех этапах стадиях проектирования, пилотного проекта и внедрения», — отмечает Сергей Золотухин.
В свою очередь Игорь Бедеров указывает на то, что KPI консультантов по ИБ привязаны к бизнес-целям. Это может быть снижение финансовых потерь от инцидентов ИБ, повышение уровня зрелости процессов ИБ, прохождение внешних аудитов и проверок регуляторов, количество и качество проведенных обучающих сессий для топ-менеджмента по управлению киберрисками, а также степень интеграции практик ИБ в ключевые бизнес-процессы компании.
Сегодня мир уходит от «технической безопасности ради безопасности» к интеграции ИБ в стратегию компаний, отмечает Алексей Лукацкий. Бизнес-консультанты становятся связующим звеном между CISO, CIO, CDTO и CEO. По мере развития ИИ, цифровых платформ и усиления регуляторики потребность в специалистах, которые умеют переводить технические риски на язык бизнеса, будет только расти.
«Сегодня происходит пересмотр роли консультанта по кибербезопасности. Принципиально новый характер угроз в мире «цифры» требует новых подходов к защите, смены парадигмы противостояния и перехода к активному противодействию», — говорит Сергей Золотухин.
По словам эксперта, практически каждая компания сегодня сталкивается с совершенно новыми вызовами при реализации задач по цифровизации, поэтому перспективы значения и роли консультантов в этой области очень велики. В будущем такие специалисты станут обязательным звеном между советом директоров и техническими командами ИБ, а их роль будет эволюционировать в сторону полноценных архитекторов киберустойчивости бизнеса, заключает Игорь Бедеров.
