Когда в какой-либо индустрии происходит технологический скачок, мы быстро к этому привыкаем и уже с удивлением и легким ужасом вспоминаем “как оно было раньше”.
Рынки развиваются в сторону максимального упрощения бизнес-процессов и автоматизации.
Еще буквально 10-15 лет назад рутинные действия, выглядели совсем иначе:
- Заказ еды домой. Необычная задача, найти работающий на доставку ресторан, позвонить им по телефону, продиктовать заказ, обязательно приготовить наличные без сдачи.
- Оплатить коммунальные услуги, придется идти на почту или в банк, а как иначе?
- Открыть в банке счет. Простоять очередь в отделении в рабочие часы, без этого никак!
- Получить государственную услугу? По этому писались целые гайды, где и какую бумагу надо получить, куда и когда нужно идти.
Примеров может быть множество.
IT кардинально меняло правила игры на рынках, двигало и двигает отрасли вперед. Но за этот период, один из самых близких к IT рынков не изменился! Услуги по информационной безопасности — самый консервативный/отсталый рынок связанный с IT.
- Как безопасность может поспевать за отраслями, если не меняется сама?
- Причем тут кадровый голод и в нем ли дело?
- Что с этим нужно делать и причем тут такси?
Это Манифест нового рынка информационной безопасности.
Если вам важна безопасность, добро пожаловать под кат!
Прошлое
Давайте вспомним рынок такси 10-15 лет назад. Типичный заказ:
- Звоним по известному нам номеру таксопарка.
- Ищем ориентир/вывеску с адресом, сообщаем оператору и сообщаем адрес куда нам ехать.
- Узнаем примерное время подачи машины и стоимость, НО они могут измениться.
- Какая приедет машина? С детским ли креслом? Комфортная ли? Неизвестно, можно сказать оператору, но не факт что это будет учтено.
- Когда машина найдена и приехала, нам об этом сообщают, но где именно она стоит? Нужно звонить водителю, через оператора и уточнить, ведь только он может объяснить где он.
- Кто за рулем? Его рейтинг? Ничего подобного не узнаем.
- Тревожная кнопка? Если что-то идет не так? Отсутствует.
- Мы выезжаем по маршруту. Сколько нам ехать? Непонятно. Везут ли нас по оптимальному маршруту или возят кругами, чтобы накрутить стоимость поездки по счетчику? Тяжело понять
, может в лес. - Финальная цена может сильно удивить. Спор? Никакой техподдержки, только мы и водитель.
- Оплата только наличными, если проблемы со сдачей, придется заехать и разменять где-нибудь, купив ненужную жвачку.
- А привезли именно туда, куда просили? Водитель знает куда подъехать, где финальная точка?
Дорогу покажешь?Придется объяснять или искать вместе. - Перенести пункт назначения? Об этом лучше и не думать!
Вот такая череда неопределенностей и неудобств, я постарался расписать их все. Сейчас же вспоминать это немного дико, правда? Хотя в глухих районах весь этот алгоритм единственный возможный до сих пор.
Настоящее
А ваша информационная безопасность (ИБ) не такси из прошлого? Рынок услуг по ИБ по всей стране работает точно также в 2022 году! Да на уровне деревни далекого от цивилизации района. Вот смотрите, со стороны Заказчика:
- Заказчики чаще всего обращаются к “знакомым” компаниям, если собственных контактов нет, то спрашивают у друзей, а те у своих. Выбор из многих? Практически всегда вслепую.
- Написание ТЗ — отдельная задача для которой нужен специалист. Донести, что именно вам нужно — бывает крайне сложно, ведь чаще всего вы говорите с посредником (аналог оператора в такси), а не с Исполнителем. Правило испорченного телефона работает тут на “ура”, учтут ли ваши пожелания к
машинеработе? - Кто именно будет выполнять вашу работу? Субподрядчик известной фирмы? Или субподрядчик субподрядчика, о котором вам предпочтут не говорить вовсе? Внештатник субсубподрядчика субподрядчика, которого представят сотрудником первой фирмы, или вовсе вы его не увидите? Такие цепочки могут быть очень длинными, я лично встречал аж 5 звеньев — посредников.
- Опыт работы финального Исполнителя? Будет отлично “смешан” с опытом компаний посредников. Профессиональные сертификаты — аналогично, что именно за квалификация у того, кто делает работы, вы не узнаете.
- Любые согласования, например, об окончании одного этапа работ и старте следующего занимают кучу времени, ведь идут по всей цепочке.
- А, если недовольны качеством работы, с кого спросить? Каждый посредник будет максимально защищать “своего” Исполнителя в цепочке. Расскажет о своем опыте выполнения схожих контрактов, умолчав о другой команде Исполнителей. И закончит общими словами про “лучшие рыночные практики” и что по ТЗ формально выполнено все.
- А если обратиться ко второму подрядчику? Да, придется заплатить дважды, но на разнице результатов-то можно сделать выводы о реальной ситуации. Да, если не случится так, что субподрядчики у них совпадают, или обращаются они к одним финальным Исполнителям. Тогда получится два разно оформленных, одинаковых по содержанию отчета, возможно, с минимальными изменениями для отвода глаз. Независимой оценкой качества работ даже и не пахнет.
- Стоимость? Почему она значительно отличается у подрядчиков, если в результате услугу делает один и тот же специалист? А тут плата
по счетчикуза путь, а не за результат. Да и тарифы у всех разные.
С точки зрения Исполнителя — ситуация не менее неопределенная.
- Что нужно Заказчику, порой понять бывает сложно. ТЗ же написано на свой лад кем-то из посредников. Связаться напрямую — не всегда возможно.
- А заказ точно легальный? Имеет ли фирма “А”, с которой у Исполнителя договор, право выполнять эти работы у Заказчика, или дело тут темное? Нужно как-то проверить, ведь всю цепочку договоров, скорее всего, не покажут, по экономическим причинам.
- Точно ли заплатят оговоренную сумму? А если посредника не устроит результат? Дальше только суд, независимую оценку не получить.
- Заказчик просит обосновать стоимость проекта и называет какую-то большую сумму? Сложная задача, если весь проект делает один человек и получит за это гораздо меньше, возможно даже ежемесячную зарплату.
- Согласовать какие-то потенциально рисковые, но важные проверки? Сделать что-то за рамками работ, но что может быть полезно Заказчику? Это столько согласований по пути, что лучше даже не пытаться.
- В найме зарплаты в одном отделе с равной квалификацией отличаются на порядок, почему? Таков рынок, как договоришься. То что внештатник получает за такой же недельный проект, сумму зарплаты штатных сотрудников за месяц — бывает, так договорился.
В итоге и Заказчик и Исполнитель получают сервис и неопределенность на уровне заказа такси 10-15 лет назад. О какой эффективной работе индустрии может идти речь?
Также в доковидные времена в ИБ было очень сложно найти удаленную работу. Почему? Все “так привыкли”, даже на вакансиях, способных весь объем работы выполнять удаленно. Консерватизм, в отличии от остального около IT.
Немалую роль играет то, что преимущественно на руководящих позициях находятся люди с “силовым” прошлым, их менталитет и привычки сопротивляются инновациям. Часто люди из этой среды видят в любых изменениях лишь риски, значительно их завышая.
Будущее
Uber — изменил рынок такси, совершил технологический рывок. Монополизировал его в ряде стран, автоматизировал его, но, к сожалению, снизил планку навыков для водителей. Про индусов-водителей в Нью-Йорке знают все.
С услугами по безопасности именно так нельзя, новому рынку нужны только профессионалы. Хотя аналитики пишут, что специалистов по безопасности в стране недостаточно. Но может, дело в неэффективных бизнес-процессах?
Рынку нужен технологический рывок, нужны гарантии для всех сторон, прозрачность и сервис уровня Uber Elite.
Нужна доверенная третья сторона — гарант. Площадка-агрегатор услуг, которая сможет создать конкурентный, надежный и прозрачный рынок услуг по информационной безопасности.
Главные задачи Площадки-агрегатора:
- Избавить от цепочек посредников, организовать работу Заказчиков и Исполнителей напрямую под контролем Площадки.
- Предоставить экспертное независимое мнение, решение всех спорных вопросов.
- Гарантировать качество предоставляемых услуг.
- Гарантировать легальность предлагаемых заказов.
- Снизить среднюю стоимость работ для Заказчиков, максимизировать вознаграждение Исполнителю.
- Поднять эффективность коммуникаций, снизить простои.
- Предоставить возможность любому профессионалу в ИБ работать на себя.
Созданный новый рынок услуг по информационной безопасности должен сломать, наконец, порочную схему “делают 1000, а их продают 10 000” (Спасибо за цитату Луке Сафонову LukaSafonov ). Это снизит среднюю стоимость услуг по ИБ, сделает их доступнее для малого бизнеса, а значит, повысит уровень защищенности коммерческого сектора в целом.
Почему это возможно?
Стоимость проекта системного-интегратора или ИБ-компании, как правило, на один порядок превышает размер заработной платы специалиста, непосредственно выполняющего данные работы. И все, что ему для этого нужно, это его
Пример:
Александр — Penetration Tester с хорошим бекграундом, он получает заработную плату в 200 тысяч рублей, и за месяц делает 2-3 проекта в уважаемой компании. Сама же компания продает эти проекты по 1,2-1,5 миллиона для крупных Заказчиков. Стоят ли проектные расходы эту разницу? Захотел бы Александр дополнительно работать на себя и выполнять такие же проекты по более низкой цене, но за 80% стоимости на Площадке-агрегаторе? Мой опрос широкого круга безопасников показал, что все хотели бы.
Стоимость услуг Площадки должна быть минимальна, а значит, и расходы.
- без отдела продаж;
- максимум автоматизации бизнес-процессов.
Утопия? Нет, подобные площадки уже начинают появляться во многих отраслях, например:
- Финуслуги и Банки.ру (финансы).
- Booking и travelata (туризм).
- OZON и Амазон (покупки).
- Авто.ру и Дром.ру (Автомобили).
- Фриланс-платформы (IT, но не ИБ).
И многое другое.
Лучше, чем такси
Что же хочет Заказчик в 2022 году | |
Если заказывает такси? | Если заказывает услуги по безопасности? |
Выбрать модель машины и уровень сервиса из нескольких вариантов. | Выбрать конечного Исполнителя из нескольких вариантов. |
Увидеть репутацию, рейтинг водителя и информацию о нем. | Увидеть рейтинг, достижения и резюме Исполнителя. |
Понятное и прозрачное формирование цены за поездку. | Понятное и прозрачное формирование цены на услуги. |
Поставить точку старта и окончания поездки на карте. | Легко сформировать тз и описание проекта. |
Быть уверенным в мастерстве водителя и состоянии автомобиля. | Быть уверенным в добросовестности и квалифицированности Исполнителя. |
Иметь возможность легко связаться с водителем напрямую. | иметь возможность прямой коммуникации с Исполнителем напрямую. |
Гибко настроить заказ, например:
|
Гибко собрать проект под себя, например:
|
Легко получить документы для бухгалтерии или отдела командировок, вне зависимости от конкретного водителя. | Полное документационное сопровождение проекта, вне зависимости от количества Исполнителей и участников проекта. |
Решить любую спорную ситуацию без обращения в суд. | Решить любую спорную ситуацию без обращения в суд. |
Для взлета Площадки-агрегатора и качественного изменения рынка нужна значительная информационная поддержка ИБ-комьюнити, а также значительный кредит доверия на первых этапах. Опытные Исполнители и прогрессивные Заказчики.
Уверен, в России все это есть. Время для изменений пришло, рынок должен начать меняться, иначе стагнация и неизбежное фатальное отставание.
Неизбежно окончание эры хаотичного рынка услуг по ИБ, грядет эра порядка.
Автор: Бочкарев Антон