В России более ста университетов, в которых обучают будущих специалистов по информационной безопасности. Не отстает и рынок коммерческих поствузовских курсов, где можно повысить квалификацию или даже получить новую специальность. Но количество не значит качество, и полученная «корочка» еще не гарантирует высокого уровня профессионализма. О том, как, где и какие знания приобретают отечественные ИБ-специалисты, рассказывает генеральный директор компании «ЭвриТег» Антон Самойлов.
Фундаментальная подготовка
В большинстве случаев детальное знакомство с информационной безопасностью будущие специалисты начинают уже в университете. Там, на кафедрах кибернетики, информационной безопасности и смежных, студентам, как правило, дают фундамент профессии и просто учат учиться. Таким образом, за 4-6 лет выпускник получит понимание, с чем ему в дальнейшем предстоит работать. Проблема, однако, заключается в том, что полученные сегодня знания устаревают быстрее, чем студент успевает перейти с одного курса на следующий.
А поскольку корректировать образовательную программу каждые несколько месяцев не представляется возможным по целому ряду причин, студентам остается довольствоваться фундаментальными знаниями об отрасли, которые в большей или меньшей степени – это уже зависит от их собственных желаний – позволят им развиваться в выбранном направлении. Но этого все равно недостаточно. И когда молодой специалист выйдет на рынок, ему придется столкнуться с легендарным «забудьте обо всем, чему вас учили в университете». Тогда ему заново придется постигать азы профессии, теперь уже на территории работодателя.
На мой взгляд, эти образовательные метания можно сократить, если на последних курсах, перед выпуском, проводить для студентов масштабное «погружение в реальность». Иначе говоря, знакомить их со свежими способами защиты от ИБ-угроз, а также совместно со студентами разбирать наиболее сложные кейсы (например, рассматривать организацию информационной безопасности на ). Причем было бы правильно, если бы к таким мастер-классам присоединились и потенциальные работодатели. Это не только позволит совместить университетскую базу с реальным положением дел на рынке, но и поможет молодым специалистам приступить к работе как можно более подготовленными.
На работе все только начинается
После окончания университета также не стоит забыть об образовании. Со временем ИБ угрозы становятся все более изощренными, и ни один специалист по информационной безопасности не сможет удержаться на рабочем месте, если будет игнорировать современные методы защиты. Очевидно, правда, что очень сложно непрерывно отслеживать все изменения на рынке ИБ, не задвигая при этом основную работу на второй план. И специалисты по кибербезопасности, и их руководители должны понимать, что каждый дополнительно рассмотренный кейс повышает компетентность сотрудников ИБ-службы. В связи с этим большую роль играет система мотивации, которую выстраивают топ-менеджеры для стимулирования постоянного развития корпоративных ИБ-специалистов.
Еще более эффективным дополнительное образование становится, если его инициирует сам работодатель. Частота подобных сессий зависит от целого ряда факторов: специализации компании, ИБ-рисков, с которыми она сталкивается, компетенции сотрудников. Но я считаю, что наиболее продуктивны двух-трехдневные семинары, которые организуются в компании примерно раз в полгода. Чуть чаще – ежеквартально – следует проводить короткие презентации со сводкой изменений в отрасли. Кроме того, повышение квалификации можно организовать и на онлайн-площадке (релевантные курсы есть на порталах или ). Для многих компаний такой подход станет ближе и проще, чем самостоятельная подготовка и проведение образовательных мероприятий. Все это позволит специалистам по кибербезопасности постоянно быть в курсе новостей, даже если ежедневно не получается отслеживать новости индустрии, а компании – поддерживать достойный уровень профессионализма своих сотрудников.
Привлекаем коллег
Тем не менее нужно понимать, что какими бы продвинутыми и заинтересованными в постоянном развитии ни были ИБ-специалисты и их руководители, этого мало, чтобы полностью защитить компанию от ИБ-угроз (к примеру, от утечек корпоративных документов). Пробелы в знаниях по информационной безопасности среди рядовых корпоративных пользователей, пренебрежение правилами порождают многочисленные проблемы. Чисто теоретически специалисты могут полностью закрыть периметр, введя жесткие правила работы с внутренней информацией. Но тогда компанию просто-напросто начнут покидать сотрудники: ведь нельзя будет проносить телефоны, пользоваться интернетом, или каждый день им придется проходить через досмотр. Поэтому комплексный подход к образованию, подразумевающий разъяснительную работу с сотрудниками и из других подразделений, становится основным инструментом в организации информационной безопасности компании.
При этом важность таких знаний персоналу будет проще уловить, если давать их будут не только в технических терминах офицеры информационной безопасности, но и профессионалы из смежных областей – юристы, экономисты и даже специалисты PR-службы. Нужно дать понять коллегам, что предписания в области информационной безопасности – это не злонамеренная попытка ограничить их свободу. Напротив – соблюдение требований гарантирует бесперебойную работу всей компании и стратегическую поддержку отдела информационной безопасности.
Огромные усилия требуются, чтобы подготовить квалифицированного ИБ-специалиста. Непросто и постоянно держать руку на пульсе и отслеживать все изменения в отрасли. Тем обиднее сталкиваться с нерешаемыми ИБ-проблемами. Именно поэтому большое значение приобретает непрерывное обучение и привлечение к этому процессу на всех его стадиях работодателей, коллег и рядовых пользователей корпоративных информационных систем.
