Олег

В порядке приоритета:
Лимитировать количество запросов на один номер телефона по времени.
Лимитировать количество запросов с одного айпи на разные номера по времени.
Ограничить целевую аудиторию (по геоайпи отсеять пользователей из Китая, Индии, и пр. - если конечно они не являются вашей целевой аудиторией)
Ограничить общее количество запросов СМС в единицу времени (сутки, час).

Надежных сотрудников.

> участвую в конкурсе по защите информации
> ИБ не читается в школьном курсе
> достаточно серьезно относятся к вопросу научной новизны
> Никак не могу определится с темой работы
Лолшто? Подойди к преподу и спроси:"Какого хера ты старый хрыщ тут втираешь мне схемы из СССР, про какую-то научную ценность, когда нам ничего такого не читают? Быстра меня устроил на стажировку по распознованию вирусов с помощью нейронных сетей к касперскому или drweb. И может лет через 10 я тебе выдам что-нибудь научно-ценное". Если ответит "нет" - можешь харкнуть ему в рожу.

Про практическую безопасность, если обобщить и не распыляться, то можно выделить следующие направления.
1. Ресерч, исследования.
2. Настройка/внедрение средств защиты информации.
3. Анализ защищенности/пентест.
4. Разработка средств защиты информации.

Каждое из направлений под собой подразумевает определенный (огромный) пласт необходимых знаний. Выбери что интересно и изучай.

Для начала неплохо было бы научиться правильно писать наименование специальности по правилам русского языка :)
Вообще специалисты по IT-безопасности в РФ обычно делятся на две категории. Первые - пишут всякие бумажки, регламенты, карты доступа и прочее. То есть занимаются обычной бюрократией. И вторые - как правило специалисты высокой категории - будь то программисты или администраторы, хорошо разбирающиеся в стеке технологий на техническом уровне, уязвимости в которых они собираются закрывать.
Поэтому сперва подумайте - нужно ли оно вам. Если склоняетесь к первой категории - то идите в профильный ВУЗ, потом через знакомых пробивайте себе место. С определенным везением вам найдут место для того чтобы в офисе бумажки разгребать.
Если склоняетесь ко второй - то сперва хорошо разберитесь в стеке технологий - будь то веб, или мобильные приложения или еще что. Как минимум до уровня понимания глубинных процессов и основ. А там сами определитесь - будет ли желание вам после этого идти в специалисты по ИБ...

Никуда.
Эти специалисты не нужны в таком числе, а уж тем более в том качестве на котором их готовят.

Программисту высшее образование полезно. Но не нужно.
Имеет значение для более легкого получения рабочих виз в Европу, имеет значение при работе на гос. предприятиях.

По факту не нужно.

Я свой диплом никому и не показывал ни разу.

Знания, в ВУЗе полученные, применялись крайне редко. 95% тех знаний вообще никогда за 20 лет не пригодились.

Отрасль развивается очень быстро. То, что лет 3 назад только-только подавало первые надежды сегодня уже во всю мейнстрим. Ну как, скажите на милость, вам смогут эти знания преподать (я не говорю на нужно уровне) а как их вообще могу преподать, если преподу еще самому нужно их как-то освоить успеть.

Самое полезное в ВУЗЕ - это атмосфера. Эта атмосфера - это чудо.

Но не сами знания. Кроме небольшого объема базовых знаний, которые можно получить за 1-2 года больше никакой пользы нет.

ВУЗ должен подтолкнуть вас читать "лучшие практики" - это лучшее, что может сделать ВУЗ.

Как правило веб-приложения, участвующие в программах бб, не принимают репорты от автоматических средств анализа защищенности, но использовать их для поиска и последующей интерпретации результатов можно.
Что касается сканирования ресурсов, которые нигде не заявили о своем участи в бб программах, ну тут все довольно просто - мне нравится такая аналогия:
Представьте группу людей, которая ходит по подъезду и дергает за ручки входные двери в квартиры, осматривает замки, пытается засунуть туда отмычки - грабить они никого не хотят, просто проверяют замки на надежность! :)

системное администрирование, информационная безопасность и создание-поддержка-продвижение сайта

Запросто: наняться в какую-нибудь небольшую конторку, которая недавно решила, что без собственного сайта ну никак вообще, однако выделить бюджеты на целую команду (сисадмин, безопасник, верстак, разработчик, СЕОшник и т.п.) не хочет или не может. Таким конторам как раз ко двору придется "человек-оркестр", который и сервак подымет, и сайтик на него выложит, и продвигать его потом станет. Англосаксы про таких говорят "Jack of all trades, master of none".

Далее "оркестр", скорее всего, определит для себя одну-две по-настоящему интересные области и будет развиваться уже в этих направлениях, задвинув остальное. Ну или сопьется от неспособности объять необъятное :)

Вопрос этот уже раз наверное в четвертый всплывает - и всегда одно и то же.
Вот, почитайте ответ от nirvimel здесь - Законность предоставления провайдером данных о пользователе правоохранительным органам, после отзыва обработки персональных данных? Для России по крайней мере все эти пространные рассуждения ни о чем. У провайдера всегда есть один конец цепочки - абонентские данные. Да, это можете быть не Вы. Но человек, данные которого у провайдера, очень быстро пойдет на сотрудничество.
Вся проблема тех, кто пытается решить этот вопрос в одном - Вы пытаетесь играть по неким правилам, почему-то считая, что и противник их придерживается. Если Вы никому не нужны - Вами никто и не заинтересуется, достаточно стандартных мер защиты от спамеров-ламеров-рекламщиков. Если же Вы заинтересовали серьезные организации - ни два, ни три ни десять VPN не спасут. Паяльник - он решает многое...

В России данную проблему совершенно невыгодно решать методами патентования, закреплением авторских прав, заявлениями в суд. Это слишком ресурсозатратно, плюс к тому же от всего вы не защититесь никогда.
Судя по информации в тексте вы слишком многое доверяете тем людям, кого недостаточно хорошо знаете. Интересуйтесь не только проф.качествами сотрудника, но и его образом жизни, как он проводит время вне работы, задавайте наводящие вопросы.
Очень многие факты из биографии человека могут косвенно намекнуть на его надёжность. Наводите справки. Прежде, чем делегировать задачу, оценивайте возможные риски.

Даже если у сотрудника высокий заработок, то это вовсе не значит, что он вас не кинет.
Особенно если он умнее вас.
Особенно, если он очётливо понимает как развивать тот бизнес, в котором он работает в качестве наёмного сотрудника.
Особенно, если он знает ответ на вопрос: нужна ли ему ваша компетенция в этом деле
Особенно в РФ в нынешней экономической ситуацией

На счёт "уведённых" клиентов: если клиент так легко ушёл к конкуренту и забыл о вас, то это был пока не ваш клиент.
На этапе стартапа слишком рано оперировать фразой "постоянный клиент". Скорее всего у вас сейчас недостаточно ресурсов, чтобы создать постоянных клиентов.

P.S.
На хабре есть хорошая статья с хорошими же комментариями. Черпните полезного оттуда
habrahabr.ru/company/scrumtrek/blog/185334

"Спрашивающий решает домашнюю работу"