Хорошо быть CISO! Какие зарплаты можно ожидать на руководящей должности?

Способный руководитель службы безопасности — бесценен. Это факт, который организации в последнее время признают всё чаще. Зарплаты CISO, как правило, очень высокие, но и диапазон компенсаций тоже весьма широкий. Так компании пытаются удержать грамотных специалистов. В этой статье обсудим любые денежные выплаты, на который может рассчитывать CISO в зарубежной компании.

Общая статистика

За рубежом очень популярно понятие «компенсационный пакет», под которым понимают совокупность базовой зарплаты, различных премий, разовых выплат, пособий, оплачиваемый отпуск, льготы, страховку сотрудника и т.д. Большинство компенсаций, так или иначе, обычно конвертируются в валюту.

Согласно опросу руководителей отдела информационной безопасности, проведенному в 2022 году компанией по поиску руководителей Heidrick & Struggles, средняя зарплата CISO в США составляет 584 тысячи долларов в год (около 4 млн рублей в месяц). Или 971 тысяча долларов в год (около 6,5 млн рублей в месяц), если считать всевозможные дополнительные выплаты.

Все эти цифры, конечно, кажутся настоящим воплощением «американской мечты», однако они справедливы скорее для очень крупных компаний и опытных квалифицированных CISO. В компаниях среднего размера даже генеральные директора зачастую не видят таких зарплат.

Согласно статистике Salary.com, если исходить из данных опросов работодателей и сторонних консалтинговых фирм по компенсациям, большинство CISO могут рассчитывать на базовую зарплату в размере от 175 тысяч долларов (чуть больше миллиона рублей в месяц) до 300 тысяч долларов в год (около 2 млн рублей в месяц).

Конвертация на «наши» зарплаты раз в месяц в данном случае не совсем корректна, потому что в зарубежных компаниях в конце года приходят крупные выплаты, которые часто называют «тринадцатой зарплатой», хотя и в российских государственных учреждениях обычно применяется такая схема выплат.

Факторы, влияющие на доход CISO

Заработная плата, на которую может рассчитывать CISO, существенно варьируется и может сильно зависеть от следующих факторов:

• Местоположение

Географическое положение оказывает прямое и существенное влияние на доход CISO. Руководители в таких американских городах, как Нью-Йорк или Сан-Франциско, могут получать значительно большие премии по сравнению с руководителями в других регионах страны. Понятное дело, что, в любом отличном от США государстве уровень зарплат и прочих денежных выплат, скорее всего, будет существенно ниже.

• Опыт и мобильность

Больший опыт обычно коррелирует с большой зарплатой. Однако есть существенная разница, где этот опыт был получен. Статусность предыдущего места работы, а в идеале, нескольких мест работы, в большей степени определяет, оценит ли такой опыт новый работодатель.

Специалисты, которые надолго остаются на своих местах в одной компании, как правило, фиксируют рост своей зарплаты на 3-5% в год. Однако, когда они меняют компанию, заработная плата вырастает уже на 10-15%. Печальная реальность такова, что продвижение по карьерной лестнице в рамках одной организации обычно менее прибыльно, чем смена компании. К тому же, как было сказано выше, непродолжительная работа в нескольких разных компаниях ценится работодателями больше, чем очень долгий опыт работы, но в одной единственной организации.

• Образования и сертификаты

Руководители безопасности с более высоким профильным образованием (например, с оконченной магистратурой по специальности) обычно получают немного более высокую зарплату, чем те сотрудники, у которых нет такого диплома. Однако, как показывает статистика, гораздо больше ценятся не дипломы от высших учебных заведений, а общепризнанные сертификаты кибербезопасности.

CISSP (ISC) 2 и Certified Chief Information Security Officer (CCISO) являются наиболее прибыльными сертификатами для CISO. Это связано с их высокой репутацией, а также с тем фактом, что там уделяется особое внимание развитию лидерства в области кибербезопасности.

• Эффективность и результаты

На зарплаты и премии CISO, конечно, также влияет эффективность, включающая конкретные результаты и достижения. Например, CISO, которые помогли компаниям с серьезными проблемами безопасности или которые могут доказать, что в своё время предотвратили в фирме, где работали, своего рода катастрофу, связанную с кибербезопасностью, могут «сконвертировать» свой успех в более высокую заработную плату.

• Сфера ответственности

Объем обязанностей руководителя по безопасности, вероятно, является самым очевидным показателем его заработной платы. Следующие факторы напрямую влияют на финансовое положение CISO:

• размер компании;
• сфера деятельности;
• чувствительность к киберрискам;
• размер бюджета на безопасность;
• количество сотрудников, подотчётных CISO;

Крупнейшие компании, которые больше всего могут потерять в случае серьёзного киберинцидента, готовы платить гораздо больше, чтобы привлечь в свой штат наиболее квалифицированных специалистов.

Советы по ведению переговоров о заработной плате CISO

Руководители безопасности могут значительно увеличить общий размер своего «компенсационного пакета» с помощью нескольких простых уловок.

1. Можно привязать премии к результатам работы

В дополнение к базовым окладам, CISO должны договариваться с руководством компании о дополнительных компенсациях, зависящих от конкретных результатов работы. В то время как годовой бонус обычно составляет фиксированный процент от зарплаты, CISO может предложить работодателю рассчитывать его поощрения как пропорцию измеримых результатов работы. Например, если общие затраты компании на безопасность снизились или удалось избежать ненужных штрафов, можно включать в годовую премию определённый процент от сэкономленных средств.

2. Не гнаться за большой зарплатой, добирать прочими «плюшками»

Хотя большая базовая зарплата — это очень хорошо, существует и множество других видов льгот, которые суммарно могут увеличить качество жизни CISO не хуже высокой зарплаты. Например:

• дополнительный оплачиваемый отпуск;
• покрытие расходов на образование, включая подготовку к получению профильных сертификаций;
• служебный автомобиль;
• плата за участие в конференциях и т.д.

Такие статьи расходов часто уже заложены в бюджет должности, а многие руководители и советы директоров всегда готовы найти креативные способы привлечь и удержать талантливых лидеров в области кибербезопасности.

Кроме того, стоит рассмотреть возможность удалённой работы с нечастыми визитами в главный офис компании. Так можно существенно сэкономить на аренде жилья, если снимать его в соседнем городе, где цены на недвижимость гораздо ниже.

3. Соблюдать профессионализм

Даже если зарплата и прочие денежные выплаты далеки от желаемых, не стоит шантажировать руководство своим уходом или прочими неприятными вещами, способными испортить трудовые отношения, а что ещё важнее — репутацию. Всегда лучше вести любые переговоры позитивно и профессионально. Лучше позиционировать себя как командного игрока, работающего с компанией, а не только на себя.

4. Время от времени стоит изучать рынок труда

Мониторить вакансии в других компаниях необходимо, чтобы знать реальное положение дел на рынке труда, и трезво оценивать оплату за свои знания и опыт. Спрос на выдающихся специалистов в области безопасности крайне высок, поэтому если есть ощущение, что заработная плата в компании не соответствует рыночной, можно осторожно намекнуть об этом работодателю или сразу попытаться пройти собеседование в новую компанию.

Заключение

Как видно из информации выше, CISO — очень финансово прибыльная должность, особенно за рубежом. Решив построить свою карьеру в этой области, можно рассчитывать на высокие зарплаты, способные обеспечить достойный уровень жизни как самому специалисту CISO, так и всему его близкому окружению.