На прошлой неделе у меня закончилось обучение в МГУ. Нет, я не вернулся на институтскую скамью спустя 20 с лишним лет после окончания своей альма-матер. Просто я преподавал в Высшей школе бизнеса МГУ, куда меня пригласили прочитать курс "Управление информационной безопасностью" для студентов 2 курса магистратуры, то есть 6-го курса (в прежней, дореформенной версии), учащихся по специальности " ИТ-менеджмент".
Мне было выделено 24 академических часа, то есть 6 лекций (18 астрономических часов), которые я разделил следующим образом:
С одной стороны - преподавать в МГУ было моей мечтой еще с давних времен, когда я "опозорился" на ВМК рассказывая о технологиях обнаружения атак, а студенты меня "валили" вопросами теории вероятностей, матстатом и ошибками первого и второго рода :-) И вот пришел мой черед "глумиться" :-) Шучу. По сути это оказался мой первый опыт обучения не матерых дяденек и тетенек, которые уже не первый год работают по направлению ИБ и которые повышают свою квалификацию. Студенты, молодые юноши и девушки, которые в свои 20 с небольшим лет пытаются изучать то, что может быть им никогда и не пригодится в жизни (из моих однокурсников мало кто пошел по специальности работать). Интересный опыт оказался. Я преклоняю голову перед преподавателями, которые делают это на постоянной основе!
Учить тех, кому возможно все равно, - это тяжело. Я преподавал после работы, с 7-ми до 10-ти вечера, и могу сказать, что те, кто делает это постоянно - просто герои, энтузиасты своего дела. Одно дело читать тем, кто осознанно идет на обучение в учебные центры, и совсем другое дело пытаться заинтересовать студентов. И хотя в обоих случаях обучение идет не на свои (либо на деньги работодателя, либо на деньги родителей), разница все-таки ощутима.
Еще я был в шоке от бюрократии :-) Подготовить учебный план - это тот еще квест. Хорошо что я попал в госпиталь и был лишен этого счасться, сразу перейдя к обучению после выхода из больничной палаты. Учитывая не самую высокую зарплату (преподавателям же платят почасовую ставку и время подготовки, которое может быть на порядок длиннее самой лекции, не засчитывается), я преподавателей ВУЗов стал ценить еще больше (разумеется, если они не рассматривают свою работу как провинность и не просиживают просто штаны). Кстати, когда я читал лекции по программе MBA (тоже вечерами или в выходные дни) в РАНХиГС меня удивляло, почему преподаватель получает так мало денег. Люди платят по 150-300 тысяч, а зарплата преподавателя невысока. А тут, посетив Cyber Day в Сколково, я вспомнил Илью Пономарева, который за 10 лекций в Сколково получил 750 тысяч долларов. Почему он может получать такие деньги, а преподаватель по ИБ - нет? Странно, очень странно :-)
Но вернемся к обучению в МГУ (хотя некоторые мои коллеги считают, что это профанация и настоящей ИБ учат только 2-3 ВУЗа в стране, а в МГУ только 2-3 факультета и ВШБ МГУ в их списке не числится и не может, так как это детский сад). Когда я узнал о зачете, я на некоторео время впал в ступор. То ли поставить зачет всем автоматом, следуя принципу "чем меньше студент знает, тем больше у меня перспектив, как у специалиста", то ли поглумиться над студентами, как они надо мной 20 лет назад? В любом случае вопрос о том, как принимать зачет, ставил меня в тупик. Я даже старших товарищей об этом спрашивал. Потом мне пришла в голову банальная идея - дам бизнес-кейс и пусть решают. В качестве примера взял сам факультет, который проводит обучение по программам бакалавриата и магистратуры, MBA и Executive MBA, и предложил 18-ти своим студентам билеты с 18-тью вопросами:
Мне было выделено 24 академических часа, то есть 6 лекций (18 астрономических часов), которые я разделил следующим образом:
- Лекция 1. Что такое ИБ? История ИБ в России. Кто должен заниматься ИБ? Структура службы ИБ на предприятии. Экономика - как один из драйверов развития ИБ.
- Лекция 2. Угрозы ИБ. Психология восприятия риска. Kill Chain. Модель угроз и нарушителя.
- Лекция 3. Технологии ИБ. Международные и российские подходы. Архитектура ИБ.
- Лекция 4. Законодательство по ИБ в России.
- Лекция 5. Процессы и управление ИБ. ISO 27xxx. Цикл Бойда. Cyber Security Governance. Подход Банка России.
- Лекция 6. Измерение ИБ. Психология ИБ. Внутренний маркетинг. Теория организации и ИБ.
С одной стороны - преподавать в МГУ было моей мечтой еще с давних времен, когда я "опозорился" на ВМК рассказывая о технологиях обнаружения атак, а студенты меня "валили" вопросами теории вероятностей, матстатом и ошибками первого и второго рода :-) И вот пришел мой черед "глумиться" :-) Шучу. По сути это оказался мой первый опыт обучения не матерых дяденек и тетенек, которые уже не первый год работают по направлению ИБ и которые повышают свою квалификацию. Студенты, молодые юноши и девушки, которые в свои 20 с небольшим лет пытаются изучать то, что может быть им никогда и не пригодится в жизни (из моих однокурсников мало кто пошел по специальности работать). Интересный опыт оказался. Я преклоняю голову перед преподавателями, которые делают это на постоянной основе!
Учить тех, кому возможно все равно, - это тяжело. Я преподавал после работы, с 7-ми до 10-ти вечера, и могу сказать, что те, кто делает это постоянно - просто герои, энтузиасты своего дела. Одно дело читать тем, кто осознанно идет на обучение в учебные центры, и совсем другое дело пытаться заинтересовать студентов. И хотя в обоих случаях обучение идет не на свои (либо на деньги работодателя, либо на деньги родителей), разница все-таки ощутима.
Еще я был в шоке от бюрократии :-) Подготовить учебный план - это тот еще квест. Хорошо что я попал в госпиталь и был лишен этого счасться, сразу перейдя к обучению после выхода из больничной палаты. Учитывая не самую высокую зарплату (преподавателям же платят почасовую ставку и время подготовки, которое может быть на порядок длиннее самой лекции, не засчитывается), я преподавателей ВУЗов стал ценить еще больше (разумеется, если они не рассматривают свою работу как провинность и не просиживают просто штаны). Кстати, когда я читал лекции по программе MBA (тоже вечерами или в выходные дни) в РАНХиГС меня удивляло, почему преподаватель получает так мало денег. Люди платят по 150-300 тысяч, а зарплата преподавателя невысока. А тут, посетив Cyber Day в Сколково, я вспомнил Илью Пономарева, который за 10 лекций в Сколково получил 750 тысяч долларов. Почему он может получать такие деньги, а преподаватель по ИБ - нет? Странно, очень странно :-)
Но вернемся к обучению в МГУ (хотя некоторые мои коллеги считают, что это профанация и настоящей ИБ учат только 2-3 ВУЗа в стране, а в МГУ только 2-3 факультета и ВШБ МГУ в их списке не числится и не может, так как это детский сад). Когда я узнал о зачете, я на некоторео время впал в ступор. То ли поставить зачет всем автоматом, следуя принципу "чем меньше студент знает, тем больше у меня перспектив, как у специалиста", то ли поглумиться над студентами, как они надо мной 20 лет назад? В любом случае вопрос о том, как принимать зачет, ставил меня в тупик. Я даже старших товарищей об этом спрашивал. Потом мне пришла в голову банальная идея - дам бизнес-кейс и пусть решают. В качестве примера взял сам факультет, который проводит обучение по программам бакалавриата и магистратуры, MBA и Executive MBA, и предложил 18-ти своим студентам билеты с 18-тью вопросами:
- Перечислите стейкхолдеров ИБ для ВШБ МГУ?
- Перечислите угрозы ИБ для сайта ВШБ МГУ
- Что является объектом защиты в ВШБ МГУ?
- Какие особенности ИБ в ВШБ МГУ по сравнению с предприятием, на котором вы работаете (если работаете)?
- Кто представляет угрозу для ВШБ МГУ?
- Каковы могут быть бизнес-последствия в результате взлома сайта ВШБ МГУ?
- Какое законодательство по ИБ может распространяться на ВШБ МГУ?
- Ректор ВШБ МГУ отказывается инвестировать в ИБ. Что вы ему возразите?
- Какие доводы вы будете использовать, чтобы заручиться поддержкой руководителя международных программ ВШБ МГУ при получении инвестиций на ИБ?
- Как вы думаете, легко ли будет в ВШБ МГУ внедрить процессный, формализованный подход по ИБ? Обоснуйте
- Какие потребности в ИБ могут быть у ВШБ МГУ?
- В какой ИБ заинтересованы студенты ВШБ МГУ?
- Служба ИБ ВШБ МГУ не смогла защитить персональные данные студентов и они утекли в Интернет. Какие действия надо предпринять в первую очередь и почему?
- Проведите SWOT-экспресс-анализ ИБ в ВШБ МГУ.
- Что проще, посчитать отдачу от инвестиций в ИБ в ВШБ МГУ или оценить удовлетворенность студентов от уровня ИБ в ВШБ МГУ? Обоснуйте свой вывод.
- Вы встретили декана ВШБ МГУ в лифте главного корпуса МГУ. У вас есть 1 минута, чтобы объяснить ему, почему ему важно подумать об ИБ в ВШБ МГУ.
- Сайт ВШБ МГУ взломали. Ваши действия?
- Каковы могут быть бизнес-последствия в результате утечки списка студентов и выпускников ВШБ МГУ?
Никакой техники (почти) - все в рамках рассмотренных в курсе тем. Получил в итоге очень интересные письменные ответы, которые все вместе и после небольшой доработки представляют собой полную картину ИБ в ВШБ МГУ с точки зрения бизнеса. Если бы я устраивался на работу в ВШБ МГУ в качестве CISO, то у меня была бы уже готовая программа выстраивания взаимоотношений с бизнесом и обоснования перед ним необходимости инвестиций в ИБ.
Надо признать, что студенты, если не считать некоторой безалаберности, нежелания думать и надежды проскочить на халяву, справились со своими заданиями. Хотелось бы думать, что это моя заслуга :-) Могу предположить, что если студенты, плохо знакомые с ИБ и бизнесом, смогли ответить на поставленные вопросы, то и матерые безопасники смогли бы. И это в пух и прах разбивает тезис о том, что ИБ нельзя рассматривать как бизнес-функцию, а только как торговлю страхом.
Вот такой интересный эксперимент, который позволил мне не только получить новый опыт, но и привел к обновлению материалов по описанной выше тематике, сжатых в небольшие презентации (200 слайдов на лекцию - это же немного :-)
