Да и самому интересно посмотреть, чем живет и мыслит современная молодежь, изучающая дисциплины ИБ. Когда я в начале века поступал в ВУЗ, у меня особо не было выбора: в Питере безопасностью более-менее прилично занималась только кафедра ИБКС в Политехе, туда я и поступил. Сейчас же на финал съехались представители ВУЗов со всей страны, и у всех ИБ -- профильная специальность.
Задание на финал было следующим: за отведенный час нужно было разработать программу повышения уровня осведомленности в области ИБ для сотрудников некоей вымышленной компании численностью в 3000 человек. Две команды из двенадцати пошли по правильному пути: не просто перечислили стандартные вещи вроде правил поведения в интернете или коммерческой тайны, но и аргументировали, каким департаментам в каком виде и в каком объеме надо преподносить материал. Эти две команды в итоге и заняли первое и второе место, с разницей в три сотых балла.
Однако подавляющее большинство участников увязло в догматах, которые, очевидно, им преподают в рамках институтского курса. Этот курс, судя по всему, включает в себя ISO 27001 и какие-то отечественные нормативные документы. Было очень показательно и интересно сделать выводы о качестве преподавания дисциплины: бумажные постулаты, ноль практики. Так, почти каждый из финалистов среди мер, которые надо внедрить в компании (и, соответственно, донести их до сотрудников) указал:
- Учет съемных носителей информации;
- Учет контроля рабочего времени сотрудников;
- Профилактические меры в виде наказания: депремирования, "досок позора" и т.п.;
- Контроль использования мобильных телефонов (отбирать айфоны на входе в офис).
Возникло ощущение, что дисциплина ИБ преподается современным студентам в расчете на то, что они пойдут работать в оборонку или иные госструктуры. Где кругом враги и шпионы. Да и в жюри нашлись люди, которые пытались научить студентов, что единственно верный способ построения процессов ИБ в организации -- это "запрещено все, что не разрешено". Пришлось прочитать небольшую лекцию на тему того, что ИБ -- это не про запреты, а про людей. И начинать свою карьеру ИБ-менеджера с непопулярных мер не стоит. А потом мы удивляемся, откуда у нас в стране столько "безопасников", которые искренне воспринимают свою работу ИБ-менеджера как человека, чья должность -- запрещать, ограничивать и говорить "нет".
Мероприятие оставило впечатление, что с образовательной программой по ИБ у нас в стране всё еще не очень хорошо. Тем полезней такие события вроде этого чемпионата.
Видеорепортаж с мероприятия:
