Специалист «старой школы», отставной военный или ФСБшник,
может являться прекрасным психологом, который задействует в работе большое
количество методов, позволяющих всегда находиться в курсе того, что происходит
в коллективе. Но развитие IT в «корпоративном мире», происходящее сейчас
бурными темпами последние десятилетия привело к тому, что навыков, полученных
на службе отечеству, зачастую недостаточно для полноценного проведения
служебных расследований. При этом далеко не все специалисты по информационной
безопасности «старой школы» имеют желание и возможности для изучения новых
методов работы.
Что касается выпускников ИБ-специальностей, далеко не все
вузы в наше время могут предоставить специалистов, которые способны без
предварительной подготовки заняться предотвращением и расследованием ИБ-инцидентов.
По сути дела, программа таких специальностей в 95% случаев – это чудовищный гибрид любой
инженерной специальности со странными спецкурсами, авторы которых в глаза не
видели службу информационной безопасности более-менее серьезной компании.
Приведем один пример. Типичный план обучения в вузе по
специальностям, которые связаны с информационной безопасностью, включает такие
курсы, как безопасность сетей; теоретические основы компьютерной безопасности; безопасность
баз данных; правовое обеспечение информационной безопасности; основы
информационной безопасности; комплексное обеспечение информационной безопасности
автоматизированных систем; технические средства и методы защиты информации; криптографические
методы защиты информации; организационное обеспечение информационной
безопасности; программно-аппаратные средства обеспечения информационной
безопасности. На словах это кажется очень впечатляющим, однако на деле все не
так хорошо. На все перечисленные выше дисциплины на самом деле отводится только
от 900 до 1500 часов, тогда как на занятия, которые не относятся именно к
профессиональной деятельности, в общей сложности выделяется аж 2200 часов. И речь
идет сейчас лишь о теории, на практику в итоге времени вообще не остается. Впрочем,
последнее применимо не только к ИБ, так что не будем о грустном.
Специфика образования, получаемого в вузах, заключается в предоставлении
комплексных знаний, которые сильно расширяют кругозор студентов. И это очень
хорошо, однако, благодаря большому количеству гуманитарных дисциплин и
предметов, которые не имеют непосредственного отношения к тематике информационной
безопасности, в учебной программе сегодня почти не остается времени на практику
и обучение прикладной работе с конкретными решениями, а также знакомство с
законодательством. А именно применение этих решений в рамках существующего
правового поля и является задачей Information Security Officer.
И если для будущих программистов есть десятки и сотни
учебных курсов, где они могут выучить языки, технологии и фреймворки; если для
них есть учебники и примеры кода, то всего этого в сфере ИБ в таком количестве
нет. Да и попробуйте попрактиковаться дома с какой-нибудь IPC-системой, которая
должна работать на предприятии с 500 рабочими станциями!
Поэтому очень часто в реальной жизни зарождающуюся службу ИБ
в быстро растущей компании возглавляет какой-нибудь не хватающий звезд с неба
сисадмин, которому за его рабочие прегрешения спускают указание разбираться во
всех этих системах. Но он в силу админских привычек не видит часто за деревьями
леса, т.е. не в состоянии качественно проанализировать данные, которые льются
на него из всех систем, разработать все необходимые политики и проследить за их
реализацией в реальной жизни.
Именно поэтому взращивание кадров, которые будут уникальным
образом сочетать в себе качества очень разных специалистов, и возьмут на себя
заботу об информационной безопасности, является важной задачей для многих
компаний. И нет ничего удивительного в том, что брать к себе людей, склонных к
такой работе, они готовы, невзирая на опыт и прочие мелкие трудности.
Комментариев нет:
Отправить комментарий