Как не завалить забор

Юлия Шикова, директор «Сетевой Академии ЛАНИТ»

Информационные технологии меняются быстро, и приходится, как кэрролловской Алисе, бежать со всех ног, стараясь хотя бы не утерять завоеванные позиции. В российской отрасли ИБ к этому добавляется не менее быстро меняющееся законодательство, без знания которого создавать стартапы не просто рискованно, но и смертельно опасно. А угнаться за такими изменениями весьма непросто!

Со всех ног

Сфера ИБ намного разнообразнее информационно-технологической, поскольку включает в себя не только программно-аппаратные и архитектурные решения, но и организационные и юридические аспекты. Вполне возможно представить себе стартап, оказывающий консультационные услуги по поводу хитрых способов составления документов, удовлетворяющих всем требованиям отечественного законодательства. Разумеется, «все» можно удовлетворить лишь условно, поскольку наши законы порой противоречат друг другу, и составление подобных документов – задача нетривиальная. Не менее вероятен и стартап, помогающий сформировать и реализовать пул организационных мероприятий при внедрении каких-либо технологий или продуктов. Например, не определив процедуру допуска персонала, невозможно внедрять межсетевые экраны или системы DLP.

Соответственно, и спектр компетенций, которыми должны владеть стартаперы в сфере ИБ, гораздо шире, чем в ИТ-области. Необходимый набор таких компетенций в значительной мере зависит от специфики работы и занимаемой компанией ниши. Впрочем, ряд соображений все же высказать можно.

1. Любому стартапу необходимы коммерческие компетенции – финансы, бухгалтерия, документооборот, маркетинг… Конечно, большинство из них можно отдать на аутсорсинг, но, например, без общего представления о той же бухгалтерии вряд ли удастся оценить компетентность нанимаемого персонала, а в результате бизнес окажется под угрозой.

2. Компании из ИБ-сферы находятся под пристальным вниманием государства, и любая ошибка, связанная с незнанием законов, может стать фатальной. Скажем, многие ли из тех, кто разворачивают свой бизнес, знают, что документы системы учета кадров на бумажных носителях в обязательном порядке следует хранить в сейфе? А то, что при их хранении в электронном виде необходимо разворачивать подсистему защиты персональных данных (ФЗ-152) – вне зависимости от того, сколько в компании сотрудников (пусть даже всего один)?

Знать законодательную базу, регулирующую деятельность в сфере ИБ, такому стартаперу не просто желательно, а обязательно. Например, для проведения тестов на проникновение стартап зачастую приглашает специалистов со стороны, и они пытаются найти уязвимости в развернутых системах. В свою очередь, специалисты по ИБ или системные администраторы компании-клиента активно противодействуют им в режиме реального времени. С учетом того, что абсолютно неуязвимых систем не существует, успешное проникновение является лишь вопросом усилий и времени. Однако любое неосторожное действие при таких тестах, далеко не всегда оформляемых документально, подпадает под действие статей 272–274 УК РФ.

3. «Чайников» среди ИБ-стартаперов не бывает по определению. Команда, замыслившая создать свой бизнес, как правило, имеет солидные опыт и знания в одной из областей информационной безопасности. Именно на основе этого фундамента идет поиск решения какой-либо проблемы, которое можно будет превратить в рыночный продукт.

«Можно превратить» чаще всего и становится камнем преткновения для тех, кто прекрасно ориентируется в своей нише, но не обладает компетенциями в смежных областях. Рыночный продукт – не «вещь в себе», и он не будет востребован, если окажется неработоспособным в сочетании с уже предлагаемыми на рынке решениями. Скажем, что произойдет, если стартаперу, создающему новый антивирусный алгоритм, не хватит знаний о файерволлах или об анализе событий в операционных системах? А если те, кто планируют заниматься DLP, будут иметь ощутимые пробелы в знаниях, связанных с функциями межсетевого экранирования или VPN-соединениями?

Само рыночное окружение тоже имеет свои особенности. Например, согласно законодательству, в России должна использоваться только отечественная криптография, но наши средства криптозащиты не взаимодействуют друг с другом. Если стартап использует такие средства и заинтересован в привлечении к себе многочисленных пользователей, у которых установлены и ViPNet, и S-terra, то ему волей-неволей придется иметь все эти инструменты у себя. Добавьте сюда и то, что российские средства криптографии никак не взаимодействуют на уровне протоколов ни со средствами межсетевого экранирования зарубежных производителей, ни с системами идентификации пользователей. И без таких знаний путь стартапа будет весьма тернистым и затратным.

Учиться, учиться и учиться…

А как определить, какие именно смежные области нужно знать стартаперу, насколько глубоко в них погружаться, а главное, где и как все это изучить? Если, опять-таки, первые два вопроса связаны со спецификой самого стартапа, то ответов на вопросы «где и как» можно дать два: самостоятельно и глубоко, нарабатывая собственный серьезный опыт, но тратя значительное время, или на курсах – существенно быстрее, но с соответствующими «минусами».

Главное – понимать, что и зачем необходимо изучать. Известно: для того чтобы получить исчерпывающий ответ, надо заранее знать большую его часть. Тогда будет легче сориентироваться в огромном разнообразии учебных курсов на рынке и выбрать из них те, которые дадут знания, больше всего подходящие для решаемой задачи.

К примеру, стартап занимается встраиванием антивируса в межсетевой экран, т.е. его решение находится на стыке принципиально разных областей. И каждую из них необходимо въедливо изучать. Навскидку: ему понадобятся знания, связанные и с операционными системами, и с сетевыми протоколами, и со всеми файерволлами, которые предлагаются на рынке. Ни в одном учебном заведении не учат всему этому комплексно, да еще и с детальным разъяснением вопросов взаимодействия. Придется самостоятельно собирать пул отдельных курсов.

При этом следует учесть, что если вам необходимо освоить уровень операционных систем межсетевого экрана, то бесполезно идти на авторизованные курсы по администрированию межсетевых экранов. Нужного уровня глубины они не дадут. А вот если нужно просто ознакомиться с принципами работы и областью применения межсетевых экранов, можно прослушать любой авторизованный курс любого производителя – в общем и целом этого будет достаточно.

Еще раз подчеркнем: при выборе способа изучения смежных дисциплин  стартаперу необходимо заранее четко сформулировать свои цели, проработать список вопросов, на которые он хочет получить ответы, и пройти несколько разных курсов, вкупе дающих ответы на максимальное количество таких вопросов. При этом формат обучения важен только в том случае, если вам требуется лицензия. В таком случае придется проходить строго определенные, согласованные и сертифицированные курсы. Во всех остальных ситуациях главное – выбрать то, что подходит именно вам, из громадного спектра возможностей. Например, сейчас электронное обучение достигло такой степени эффективности, что вполне может составить конкуренцию традиционному очному, а уж если вспомнить о сокращении расходов на дорогу в учебный центр и о гибком графике занятий – и подавно. Для стартапа все это может оказаться решающими факторами.

Тэги: 
Оцените материал:
Total votes: 30

Другие статьи
Поделиться:
 
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.