Есть ли жизнь после увольнения?

В один теплый осенний день, когда стало понятно, что моим оптимистичным оценкам по поводу скорого отказа от стратегии государства российского на импортозамещение не суждено было сбыться, я задумался над классическим вопросом, который время от времени настигает почти каждого: "А что, если завтра уволят?" На самом деле этим вопросом я задался достаточно давно, подготовив план действий на так называемый worst case, то есть худший сценарий развития событий. А так как в последнее время многие из моих коллег и друзей столкнулось с этим вопросом воочию, то решил я выложить некоторые размышлизмы на эту тему. Авось, кому-то и будет полезно.

Итак, сначала я выделил дюжину основных направлений, куда может (не факт, что должен, и не факт, что пойдет) пойти специалист по информационной безопасности. Сразу надо сказать, что все это достаточно условно и возможность уйти в одно из этих направлений очень сильно зависит от множества условий (менталитет, возраст, амбиции и т.п.). Врядли человек, 10 или 20 лет, отработавший руководителем ИБ, пойдет эксплуатировать средства защиты (хотя все возможно). Да и с молодежью тоже не все просто - очень часто приходится сталкиваться с тем, что человек поруководивший около года одним человеком уже претендует на роль руководителя департамента ИБ (а уж если человек еще и MBA прошел, то это вообще труба - невовремя пройденный MBA только вредит). Итак, вот моя дюжина:

1. Разработка. Не секрет, что многие специалисты по ИБ в бытность свою начинали программистами (я тоже так начинал в одном из московских ящиков, программируя на ассемблере средство криптографической защиты). Если бытность эта была не так давно или в процессе основной работы навыки кодера утрачены не были, то можно попробовать вернуться к истокам и второй раз войти в ту же реку (кто вообще придумал глупость, что дважды в одну реку войти нельзя?). 
2. Консалтинг / интеграция. Это одно из самых очевидных и зачастую популярных направлений. В него можно идти отовсюду - от заказчика, от вендора, от другого интегратора. Но и консалтинг/интеграция тоже бывают разные. Тут вам и разработка архитектуры, и проведения аудита, и пентесты, и разработка бумажек, и юридические (околоюридические) консультации, и мониторинг ИБ. 
3. Продажи. Можно пойти в продавцы. Не знаю, не пробовал. Это особый склад характера, но многие открывают себя заново именно в этой сфере. 
4. Обучение. Обучать, конечно, нужно уметь, но... дело это наживное и приходит с опытом. Чем больше опыта ИБ за спиной у человека, ищущего работу, тем более интересным он может быть докладчиком/преподавателем. И в отличие от 5-10-летней давности, сегодня ситуация с возможностью учить на порядок лучше. Есть учебные центры, которые готовы брать интересные (это ключевое слово) курсы. Есть тот же Интуит  или иные онлайн-площадки, где можно предложить уже разработанные или будущие курсы.
5. Писатель. С писателем ситуация аналогичная преподаванию. Возможно это даже две стороны одной медали. Мне можно возразить, что много на этом не заработаешь, но я склонен подисскутировать на эту тему. Можно писать статьи, можно целые книги. Ценник разный, время подготовки публикации разное. Но это одна из возможностей, которой не стоит пренебрегать в отдельных случаях. Опять же по-моему опыту скажу, что писать научиться можно. Можно научиться писать быстро и хорошо. Первые мои статьи я вымучивал неделями; сейчас на материал по известной мне теме уходит часа 3-4 (на 10-12 тысяч знаков). При знании английского языка горизонты расширяются еще больше. 
6. Юридическая поддержка. Как бы не спорили и не ругали тему "бумажной" ИБ, но она по-прежнему в цене. И чем больше наши законодатели и регуляторы выпускают нормативных актов, тем больше потребности в грамотной юридической поддержке ИБ. Немногие безопасники будут самостоятельно вникать во все хитросплетения нашего законодательства, а вот заплатить человеку сведущему вполне готовы.
7. Аналитики ИБ. Это специфический вектор для продолжения своей карьеры. Таких людей сегодня катастрофически не хватает, но и не каждый безопасник готов сходу пойти на эту работу. Тут нужно уметь наблюдать и подмечать то, что не лежит на поверхности. Расследовать инциденты, анализировать вредоносное ПО, анализировать атаки... Нужно повышение квалификации, чтобы свой опыт трансформировать в эту сферу. Но учитывая рост интереса к таким специалистам, можно успеть занять нишу, в которой будут скоро толкаться все (или почти все).
8. Эксплуатация СЗИ. Эта работа востребована как никогда, но желающих пойти на такие должности немного. Оставлю это направление без комментариев.
9. Регулятор. Да-да, можно попробовать пойти к регулятору - в ФСТЭК, ЦБ, РКН, ФСБ... Сам не пробовал и не знаю, насколько это легко и насколько это возможно. Очевидно, что для молодежи этот путь гораздо менее тернист, чем для поколения более зрелого. Но учитывая все возрастающую роль органов исполнительной власти и все большую информатизацию, проверяющих, регулирующих и обеспечивающих национальную безопасность будет не хватать.
10. Организатор мероприятий. Хороший тамада для свадьбы или конферансье для концерта всегда был на вес золота. В области информационной безопасности ситуация аналогичная - не хватает хороших специалистов, способных сформировать хорошую программу мероприятия, найти для него какие-нибудь фишки, найти спикеров и заставить их делать что-то в правильном направлении, а еще и промодерировать мероприятие. Такие люди могут быть востребованы на рынке, емкость которого, правда, не очень большая. Сюда же попадают и те, кто проводит мероприятия, находя правильных спикеров и правильную аудиторию и сводя их вместе.
11. Та сторона баррикад. Без комментариев, но примеры, когда человек официально работает и пентестером ("белой шляпой"), и взломщиком ("черной шляпой") в нашей отрасли не так уж и редки. Разумеется, это удел молодежи, у которой границы этического поведения немного сдвинуты или вовсе размыты, но бывает, что и у более старшего поколения ориентиры пошатываются.
12. Стартап. Помню, на эту тему хороший доклад делал  Рустем Хайретдинов на Уральском форуме в Магнитогорске. Поэтому не буду повторять его тезисы относительно разработки нового продукта. Поверну по другому. Продукт бывает не только средством защиты информации, о чем рассказывал Рустем. Это может быть интересный курс, онлайн-площадка для проведения мероприятий или курсов, аналитика, сайт, социальная сеть для безопасников, игра и т.п. Я уже писал про геймификацию  в ИБ и могу еще раз повторить - в России катастрофически не хватает хороших игр по ИБ. А за них, я уверен, будут платить корпоративные заказчики или организаторы мероприятий. Пример той же Лаборатории Касперского, которая продает лицензии на свою игру  по промышленной ИБ, только подтверждает это.