Rynek kandydata i co z tym zrobić?

Tematem czerwcowego spotkanie CSO Council był rynek pracy, rekrutacja, edukacja i zarządzanie talentami w obszarze cybersecurity. Odbyło się ono 21 czerwca br. w restauracji Dawne Smaki, przy ul. Nowy Świat 49.

Rynek pracy dla specjalistów od cybersecurity to temat interesujący praktycznie każdego menedżera bezpieczeństwa. Ludzie, który potrzebuje do swojego zespołu, który mają zajmować się bezpieczeństwem w jego organizacji, są dzisiaj naprawdę trudno dostępni. Niełatwo znaleźć dobrego pracownika z odpowiednim doświadczeniem w tematyce cyberbezpieczeństwa, trudno go utrzymać w organizacji, bo jest kuszony wieloma innym propozycjami pracy.

Nie jest to tylko polski problem – podobna przewaga popytu nad podażą widoczna jest praktycznie we wszystkich krajach rozwiniętego świata – tam, gdzie gospodarka cyfrowa stanowi znaczącą część całości. Szacuje się, że do 2019 na całym świecie będzie brakować aż 2 milionów ekspertów cyberbezpieczeństwa! Już dzisiaj ponad połowa firmy notuje ponad 6 miesięczne okresy poszukiwań właściwych specjalistów. W latach 2010 – 2014 liczba stanowisk pracy dla profesjonalistów cyberbezpeczeństwa rosła aż 3 razy szybkiej niż w przypadku samego IT.

Mało nas do pieczenia …

To jest zdecydowanie rynek kandydata – przyznały Karolina Czemerys, Senior Consultant, Lider specjalizacji IT, oraz Agnieszka Giedyk, Consultant, Ekspert specjalizacji IT, przedstawicielki firmy Hays, obecne na czerwcowym spotkaniu CSO Council. Popyt zdecydowanie przewyższa podaż. Potocznie mówi się o tym, że o ile specjaliści IT dzisiaj się cenią, to zazwyczaj specjalista od bezpieczeństwa żąda (mają adekwatny staż doświadczenia i lat pracy) przynajmniej półtora razy większego wynagrodzenia, co informatyk.

O ile specjaliści IT dzisiaj się cenią, to zazwyczaj specjalista od cyberbezpieczeństwa
żąda (mają adekwatny staż doświadczenia i lat pracy)
przynajmniej półtora razy większego wynagrodzenia, co informatyk.

Hays w swoich badaniach dzieli cały rynek pracy cybersecurity na pięć obszarów – bezpieczeństwo sieciowe, pentesty i cyberbezpieczeństwo, bezpieczeństwo informacji, bezpieczeństwo aplikacji oraz audyt. Właściwie wszędzie jest duże zapotrzebowanie, trudno wskazać któryś z tych obszarów jako obszar większej niż w pozostałych walki o kandydata – mówiła Karolina Czemerys. W tej chwili w firmach Polsce powstaje wiele nowych stanowisk i komórek związanych z bezpieczeństwem IT i bezpieczeństwem informacji. Specjalistów od cybersecurity rekrutują praktycznie wszyscy! Tymczasem wiele wskazuje na to, że sytuacja będzie jeszcze bardziej niekorzystna dla pracodawców.

Kandydaci – doświadczenie eksperci w zakresie cybersecurity – mają do dyspozycji różne kierunki dalszej kariery. Są rozchwytywani z różnych stron. Mogą pracować w dziale bezpieczeństwa w przedsiębiorstwie czy instytucji finansowej, rozważając dalszy rozwój w stronę menedżera czy dyrektora bezpieczeństwa w takiej organizacji. Innym kierunkiem jest praca dla firmy IT czy firmy konsultingowo-doradczej wyspecjalizowanej w tematach cybersecurity. Mogą również pracować dla dużego zagranicznego koncernu, lokującego nad Wisłą swoje centra usługowe (jak zrobił to już np. Akamai i Cisco w Krakowie czy IBM we Wrocławiu), gdzie atutem jest b. dobre wynagrodzenie i możliwość wysokiej, wąskiej specjalizacji w środowisku światowej korporacji. Są potrzebni wszędzie i są atakowani na różne sposoby przez headhunterów. Coraz więcej ekspertów pracuje również zdalnie – fizycznie są w Polsce, ale świadczą pracę zdalnie na rzecz podmiotów znajdujących się w innych krajach.

Coraz więcej ekspertów pracuje również zdalnie – fizycznie
są w Polsce, ale świadczą pracę zdalnie na rzecz
podmiotów znajdujących się w innych krajach.

Duże sumy

Poziomy wynagrodzeń i oczekiwań kandydatów są nieskromne. Pod względem ich wysokości dominuje oczywiście Warszawa, ale takie ośrodki jak Kraków czy Wrocław wcale specjalnie nie odstają. Kwoty miesięcznych wynagrodzeń oscylują w granicach od 6 do 20 tysięcy w przypadku doświadczonych specjalistów, a już 2-3 letnie doświadczenie praktyczne pozwala na żądanie kwot na poziomie zbliżonym do 10 tysięcy miesięcznie.

Ciekawych informacji dostarczają dane dotyczące preferencji (co prawda nie tylko ludzi od security, ale w ogóle IT) dotyczących wyboru pracodawcy. Wśród benefitów związanych z pracą – pozapłacowych – numer 1 to ruchome godziny pracy i możliwość pracy zdalnej, prywatna służba zdrowia, czy szanse na uzyskanie premii. O przejściu do konkurencji decydują przede wszystkim pieniądze, ale poza tym również możliwość edukacji i rozwoju, uczestnictwo w rozwiazywaniu ciekawych wyzwań i problemów, poczucie bycia docenionym i wywierania pozytywnego wpływu na organizację (czyli o odejściu może często decydować jej brak).

W badaniach nakreślony został także obraz idealnego pracodawcy. To taka firma, która po pierwsze dba o to, żeby jej pracownik zajmował stanowisko odpowiednie do poziomu jego kompetencji, dostawał godne wynagrodzenie i mógł wykorzystywać możliwości kształcenia. Inne czynniki, jak rozwój w środowisku międzynarodowym, szybki rozwój, nakreślona ścieżka kariery, lokalizacja biura czy kultura organizacyjna firmy znaczą już znacznie mniej. Te wskazania to oczywiście ważne wskazówki dla szefów – co liczy się dla ich ludzi w zespole.

Problem stanowi brak gotowości firm do prowadzenia szkoleń. Firmy szukają ludzi z doświadczeniem, ale nie chcą w nich potem zbytnio inwestować, bojąc się ich utraty na rzecz konkurencji – dodaje Haysowa. Wśród cenionych przymiotów kandydatów można wymienić (oprócz rzecz jasna twardej wiedzy) dociekliwość, ciekawość, analityczne myślenie, wyprzedzanie trendów i chęć do podnoszenia poziomu wiedzy.

Nowe źródła

Tutaj rodzi się kluczowe pytanie, czy społeczność profesjonalistów cybersecurity może coś zrobić, żeby nie inkrementalnie, ale skokowo zwiększyć podać specjalistów cyberbezpieczeństwa w Polsce? W tym przypadku mamy problemy te same co w ogóle z poszukiwanymi specjalistami IT. Wg. badań rynku pracy prowadzonych przez Sedlak&Sedlak pomimo powszechnej wiedzy, że w IT to praca czeka na ludzi, młodzież wcale się tak bardzo nie garnie na studia technologiczne. Liczba absolwentów studiów informatycznych wcale nie rośnie! Przede wszystkim dlatego, że wymagają one dobrego przygotowania matematycznego i są po prostu trudne.

Wśród benefitów związanych z pracą – pozapłacowych – numer 1 to
ruchome godziny pracy i możliwość pracy zdalnej,
prywatna służba zdrowia, czy szanse na uzyskanie premii.

Uczelnie wyższe w czasach narastającej konkurencji na rynku edukacyjnym starają się dość szybko reagować na potrzeby rynku, elastycznie dopasowują ofertę szkoleniową. W temacie cybersecurity tego oddolnego zapotrzebowania niestety aż tak bardzo wcale nie widać. To stanowi bardzo poważny problem na przyszłość i każe w ogóle kwestionować wizje, że jedną z inteligentnych specjalizacji Polski mogłyby by być właśnie usługi i rozwiązania związane z cybersecurity (czego chcieliby niektórzy).

Lepiej wygląda sytuacja pod względem możliwości rozwoju dla kadry menedżerskiej. Kolejne uczelnie wyższe otwierają bowiem studia podyplomowe w obszarze cybersecurity. Długi dorobek tutaj ma Wrocławki Uniwersytet Ekonomiczny. Już od kilku lat prowadzi od takie studia, otwarte dla kilkudziesięciu osób rocznie. Na spotkaniu o swoich doświadczeniach, osiągnięciach i planach opowiadali dr Ryszard Zygała i dr Maja Leszczyńska z Katedry Systemów Informacyjnych Uniwersytetu Ekonomicznego we Wrocławiu z kierownictwa studiów podyplomowych „Cyber Security Management”.

Studia realizujemy w dość ścisłej współpracy z wrocławskim ośrodkiem IBM – mówiła Maja Leszczyńska. IBM zapewnia możliwość ćwiczeń praktycznych i funkcjonowania w warunkach placówki zajmującej się tematem cybersecurity na światowym poziomie (Wrocław do miejsce lokalizacji jednego z centrów kompetencyjnych i Security Operation Center IBM obsługującego klientów z całego świata).

To zapewne przyszłościowy model – wiązania nauczania akademickiego z dobrą praktyką biznesową. Pomiędzy ośrodkami akademickimi proponującymi edukację podyplomową dla menedżerów cybersecurity widać już mocną konkurencją – z pożytkiem dla oferty i poziomu merytorycznego studiów.

Wydaje się, że idealną sytuacją byłaby możliwość przeniesienia modelu „wrocławskiego” także na poziom studiów regularnych, tak aby edukacja w Polsce była realizowana w tym swoistym modelu partnerstwa publiczno-prywatnego. Do tego trzeba oczywiście otwartości i gotowości wszystkich stron. Od tego jednak zależy przyszła dostępność specjalistów cybersecurity w Polsce, a więc tak naprawdę to, czy będziemy w cyberprzestrzeni bezpieczni – jako państwo, jego instytucje, firmy – w efekcie jako obywatele. To zadanie, któremu na pewno warto poświęcić więcej uwagi niż do tej pory to robiliśmy.