Вопрос экспертам: "90 000 рублей за CISO это много или мало?"

Аватар пользователя Sedov
Автор: Седов Олег, главный редактор BISA

Не так давно на станицах социальной сети Facebook всплыл вопрос, который вызвал к жизни активные споры Большинство голосов было уверено что 90 000 рублей это очень мало для позиции руководителя службы ИБ и компания "специалиста не ценит". Так ли это?

Ниже развернутый комментарий Дмитрия Мананникова. директор по информационной безопасности «СПСР-Экспресс», эксперта BISA. Его точка зрения также предполагает комментарии и является скорее поводом для откровений и дискуссии.

Ок, давайте посмотрим на это со стороны компании. Возьмем среднюю компанию на 500 пользователей ИС в которой существует отдел из 3 человек во главе с упомянутым начальником. Его зарплата 90 000, сотрудники по 65 000 (зарплаты кстати средние по рынку) итого 210 000 нет и 273 000 гросс. С отчислениями– (в среднем +30%) 355 000 плюс отпуска\больничные (10%) – 390 000. Итого в год – 4 680 000. Плюс премия в год ну допустим и корпоративные пряники типа страховки или обедов ну допустим 15% (820 000 - год). Итого около 5 500 000 в год. Добавим сюда кабинет на три рабочих места (15 кв метров, в среднем бц, пусть будет 250 000 в год и 1,5 (один в два года) компьютера это +100 000, ну и накинем 50 000 на канцелярку. Есть еще кадровое ведение, но не будем "мельчить". Итого ИБ съест 6 000 000 в год. Плюс еще 1 000 000 на обязательные игрушки антивирус/антиспам. В общем 7 миллионов в год - это стоимость голой структуры с контрольно-методологической функцией в компании на 500 пользователей.

Компания принимает решение о финансировании именно функции, а не конкретных людей. Менеджмент оперирует годовым бюджетом. Сразу возникает вопрос, что менеджмент получает взамен от такого отдела? Соответствие требованиям закона для проверки Роскомнадзором? Отправку отчетов в ЦБ? Сохранность ком.тайны? Ну давайте на чистоту - нет. В лучшем случае повышение шанса с Роскомнадзором, с ком тайной     при таком бюджете без гарантий вообще. Но зато в компании появляются проблемы с согласованием доступа, странные правила и прочие "веселые" новшества. Ну и в годовом отчете службы ИБ будет гордо звучать что наши риски были 8 а теперь 6. Приятно но сами понимаете бессмысленно.

Теперь давайте зададим вопрос еще раз, так ли это что компания не ценит начальника отдела ИБ предлагая ему 90 000 рублей в месяц? Давайте посчитаем бюджет ИБ с купленной DLP, IDM, SIEM? А теперь попытаемся монетизировать бенефиты которые компания получила от функции ИБ? В ноль хотя бы сходится?

Я не хочу сказать что ситуация всегда именно такая, но давайте будем честными она такая в подавляющем большинстве случаев. А большинство формирует рынок. И пока рынок такой 90 000 рублей хорошая средняя цена учитывая переизбыток свободных людей в профессии.

Те кто умеют показывать увеличение прибыли компании в результате своей деятельность буду получать больше, пусть не в виде зарплат так в виде годовых бонусов за доказанные бенефиты, остальным же на мой взгляд грех жаловаться

(цифры понятное дело очень примерные, считал из головы, не придирайтесь сильно. но погрешность в общем вряд ли большая)

Ваши версии, коллеги!

Напоминаю, что если вы эксперт, то у нас никогда не закончатся для вас вопросы. А если у вас есть вопросы, то мы найдем для них достойных экспертов !

Оцените материал:
Total votes: 513
 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя riskmn

1. В тех компаниях, в которых НУЖНА РЕАЛЬНО ИБ и   ДОЛЖНА БЫТЬ РАЕЛЬНАЯ должность (реального CISO) со всеми вытекающими - это не зарплата и этого просто нет. Таких компаний в РФ по пальцам.
2. Во всех остальных - она не нужна просто. Там решается вопрос ЗИ и основную работу ведут ИТ-ки. К ним в помощь пару чаловек из отдела ИБ и все. Отдел, а не CISO - не стоит раздувать вспомогательные функции!!!
3. Про расчет затрат в статье. Он понятно примерный и "скромный" - это расчет на выполнение частичных задач по ЗИ, но никак не по ИБ. Могу сказать, что примерный бюджет приличной службы ИБ будет начинаться от 5 млн. евро в год. Это так - выполнение базовых функций и без особых изящных решений. Вот и считайте сами при таком бюджете сколько стоит тот, кто будет руководить грамотным его (бюджета) использованием на благо безопасности компании? Остальное - детские игры.
 

up
2 users have voted.
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.