Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

О квалификации, об истинных знаниях, об умении быть профессионалом, а не казаться таковым

Аватар пользователя УЦ Информзащита
Автор: Учебный центр Информзащита, Учебный центр "Информзащита"
(3)
()
Опубликовано в:

Подписчики журнала "Защита информации. Инсайд" наверняка уже прочитали интервью с директором Учебного центра "Информзащита" Михаилом Савельевым. Захотелось поделиться текстом и здесь, несмотря на то, что уже много говорилось на тему квалификации специалистов по ИБ, но похоже, что тема - из вечных:-)

В кулуарных разговорах руководителей служб безопасности часто приходится слышать о снижающемся уровне знаний специалистов по информационной безопасности. Кроме этого, много разговоров о том, что, заканчивая профильный ВУЗ, специалист совершенно не готов к работе и его приходится «натаскивать» на решение простейших задач. 
Правда ли, что в информационной безопасности очень мало хороших специалистов и что ждет отрасль в будущем при недостатке квалифицированных кадров? – этот вопрос редакция "Защита информации. Инсайд" задала директору Учебного центра «Информзащита» Михаилу Савельеву. 

Михаил, вы, как руководитель организации, занимающейся повышением квалификации в области корпоративной безопасности, наверняка лучше многих знаете, что за специалисты сейчас работают? 
Вы знаете, как и в любом другом деле, самые разные люди работают. Кто-то при изначально посредственных знаниях много работает над собой и многому учится, соответственно многого добивается. А кому-то – все равно, и получается то, что получается. Вообще на нашем внутреннем методическом совете мы постоянно анализируем материалы различных профильных конференций, анализируем вопросы, которые задают из зала посетители. Мы анализируем не только спрос на курсы, но и как слушатели успевают, обучаясь на наших курсах. И в результате в последние годы картина вырисовывается, прямо скажем, не совсем радужная: реальных специалистов, способных самостоятельно выполнять типовые задачи, становится меньше - это правда. И от этого грустно. Правда, с одной стороны, можно сделать небольшую скидку на то, что область, в которой работают специалисты по информационной безопасности, расширилась, появились технологии, которые требуют узкой специализации, расширилась законодательная база... Кроме того, ИБэшники находятся под постоянным «прессингом» рынка, предлагающего все новые и новые решения и технологии, которые вроде бы надо использовать. Люди попадают в ситуацию, когда порой нужно объять необъятное. Но с другой стороны, этим же людям нужно понять и принять аксиому, что информационная безопасность - такая профессия, которой нужно постоянно учиться. Кто-то это сделать готов, кто-то - нет. Поэтом не буду говорить за всех, но подчеркну, что тенденция скатывания к дилетантизму имеет место быть. 

Почему, как вы думаете? 
- Наш опыт показывает, что у среднестатического специалиста есть две глобальные проблемы: нехватка базовых знаний и слабое владение технической стороной вопроса. Это и показывает наш внутренний сравнительный анализ того, чему люди мечтают поучиться – сетевая безопасность, анализ защищенности, методы проникновения в информационные системы, расследование инцидентов и криминалистика. А по факту приходят на базовые курсы и курсы по обоснованию решений и общению с бизнесом. 
Потом есть еще всевозможные конференции, подкасты , блоги и т.п., которые формально несут разумное, доброе, вечное, а по факту способствуют еще большей деградации. 

- И вот после этой фразы, я думаю, много гневных писем придет на ваш e- mail… J 
- Ну, дело в том, что все вышеперечисленное создает лишь иллюзию реальных знаний. На самом деле то, что получают люди в результате тридцатиминутного вебинара, например, - это называется осведомленностью, владением модной терминологией, благодаря которой можно поддержать разговор на тему в области ИБ, но не более того. Люди часто путают кругозор и знания с осведомленностью. Кроме этого формируется ложное чувство собственной значимости, наличия некой отдельной отрасли, самостоятельной бизнес-единицы, способной самостоятельно, отдельно от всех решать какие-то задачи. В реальности же – это миф. 

- Согласен. А вот вы в Учебном центре сделали тестирование, благодаря которому можно оценить реальные знания специалистов по информационной безопасности. Расскажите, как возникла идея? 
- Идея теста – дать специалистам самим оценить свой кругозор, уровень понимания различных областей, в которых приходится решать задачи. Дать возможность понять, есть ли пробелы в знаниях, и заставить задуматься о том, не стоит ли их устранить. Мы постарались уйти от «заточки» под конкретный подход и задавали исключительно «житейские» вопросы. Ответить на них можно, если понимаешь суть соответствующей области информационной безопасности. 

- А сколько специалистов прошло тест? 
Более 4 000 человек. 

- Немало. 
- Да, немало. Я считаю, что это показывает интерес людей к оценке собственных знаний. Скажу больше, были обращения о разрешении использовать наш тест в качестве вступительного тестирования кандидатов, были люди, которые звонили и консультировались по поводу постановки вопросов. Кто-то пытался любой ценой набрать максимальный балл, сдавая тест по 200 раз, и это не шутка, а реальный факт. Были и положительные, и отрицательные отзывы. Но главное, что тест не стал «проходным», типа посмотрел-потыкал-забросил. 

- А как и кто составлял вопросы? 
Вопросы составляли методисты и преподаватели. За основу они взяли вопросы, которые задаются во время итогового тестирования, которое проходят по окончанию наших курсов. Вообще на следующем этапе развития этого тестирования мы планируем привлекать коллег из отрасли, и задача это непростая. Потому как требует много времени. Нужно сформулировать некоторое абсолютно истинное утверждение без неоднозначностей, немного его завуалировать, потом придумать к нему вопросы, которые бы уточняли, раскрывали или конкретизировали утверждение. Причем вариантов ответов на эти вопросы должно быть несколько, и все они должны походить на верный. 

- А что по результатам тестирования специалисты знают хуже, а что лучше? 
- Анализ «проблемных» вопросов показал, что есть две основные слабые точки: зачем и как нужно что-либо делать. Для меня каждый раз удивительно, когда «безопасники» не владеют философией безопасности и прикладным анализом рисков, хотя в безопасности все держится именно на управлении рисками. Незнание же прикладных вопросов беспокойства как раз не вызывает – научиться нажимать определенную последовательность кнопок можно легко, главное – понимать, зачем ты это делаешь и что должно получиться в результате манипуляций. А вот понимать, ЧТО ты защищаешь, и сколько стоит реальный актив – это удается не всем. Скажу больше – этого не было в нашем тесте – многими упускается из виду то, что необходимо понимать не только безопасность, но и бизнес, ту отрасль, которую ты защищаешь. Без понимания этой специфики безопасник – «белая ворона», говорящая на птичьем языке хакеров-персональных данных-SIEM-еще какой-то технической ерунды. И начинаются конфликты и проблемы непонимания бизнесом вопросов безопасности. 

- В описании к тесту говорилось о том, что знания тестировавшихся достаточно посредственные… 
- Результаты любого тестирования – это средняя температура по больнице. Но с другой стороны – результат вполне репрезентативен и лишь доказывает то, с чего мы с вами начали беседу – о снижающемся уровне профессионализма. И подчеркну еще раз, что цель проведенной, да и проводящейся еще акции – дать возможность признаться себе в том, что знания стоит освежать, как минимум. Вообще у меня складывается ощущение, что учиться профессии становится чем-то постыдным. Это вроде как признаться перед всеми, что вот я – некомпетентен. Лишь сильным доступно признать, что ты что-то не знаешь, поэтому мы считаем тех «более четырех тысяч человек» людьми сильными. 

- Михаил, а вот как Вы думаете, что можно и нужно сделать, чтобы поднять уровень профессионализма ИБэшников? И можно ли вообще что-то сделать? 
- Что-то сделать можно. Я не буду оригинален, но скажу – учиться надо. Не бояться признаваться себе в том, что, например, нужно что-то подтянуть в той или иной области. Это нормально. Плохо, если наоборот. Я приведу пример, когда спикера во время доклада ловят на неточности, а он пытается «заболтать» аудиторию. Себе он кажется находчивым и изобретательным, а людям в зале – смешным. Нужно быть, а не казаться. 
Мы же, как образовательный центр, будем идти на помощь. Будем делать удобные для обучения программы, уже делаем доступные по цене программы, например, для физических лиц. Это будут видео и аудио лекции, электронные курсы, виртуальные лаборатории. Только учитесь! 

Оцените материал:
Total votes: 651
 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя Атаманов Геннадий

1. Тест ваш смотрел. Он, практичеки, не имеет никакого отношения к информационной безопасности! Он про ТЗИ - техническую защиту информации.
2. Про уровень подготовки ТЗИшников согласен - всё хуже и хуже. И тут нет ничего удивительного: снижается общий уровень подготовки и школьников, и студентов, их мотивация и уровень интеллекта. "Средня температура" российского образования стремиться к абсолютному нулю и было бы странно, если бы в отдельной отрасли (не самой важной) было бы иначе.
3. Про "философию безопасности" - абсолютно правильно,но о какой "философии безопасности" вы говорите? Какой философии придерживаетесь? В чём она - ваша философия безопасности? Мне, как философу (по второму образованию) это очень интересно.
4.Первое, с чего нужно начинать, так это отделить мух от котлет: мухи, т.е. ТЗИшики, - отдельно, котлеты, т.е. ИБ - отдельно. Это - две разные вещи! И смешивать их ни в коем случае нельзя!

up
33 users have voted.
Аватар пользователя УЦ Информзащита

Геннадий, добрый день!
 1. Вообще ПД, анализ рисков и  сетевая безопасность все-таки относятся к общим ИБ компетенциям. Мы об одном тесте говорим?:-)
2. Меня смущает то, что впринципе вообще нет желания учиться. .
3. Давайте лучше встретимся и поговорим об этом. Приглашаю Вас на рюмку чая – это вопрос долгий. Перекосы заложены в самом начале: многие с  жаром начинают говорить о том, что суть ИБ – обеспечение ЦКД, ну еще авторство и неотказуемость… И при этом, даже после наводящих вопросов не говорят ничего  о субъекте…
4. Ну все общее дело делаем… и как раз смешивать надо, чтобы не было туннельного эффекта: мол я только вот тут, остальное не мое. Безопасник должен понимать, кого и от чего защищает и частью каких процессов является… А дальше уже что ТЗИ, что ИБ  - включай голову и действуй. 
С уважением,
Михаил Савельев
 

up
28 users have voted.
Аватар пользователя Атаманов Геннадий

Здравствуйте, Михаил!
1. Вы, конечно же, правы, если исходить из общепринятого понимания ИБ. Я же исхожу из того, что ИБ не тождественно БИ!
2. Согласен! У большинства, действительно, отсутствует желание учиться. И что, по-моему, ещё печальнее, не сформировано умение учиться. Сегодня главное - научиться учиться. А этому не учат ни в школе, ни в институте.
3. Приглашение принимаю! Но на какой территории? Вы - в Москве, я - в Волгограде. В таком случае самое удобное место для обсуждения - виртуальные площадки. Заходите на мой блог, АГАСОФИЯ называется. Там и про философию ИБ, и про методологию ИБ, и про БИ, и про ТКУИ, и даже про 152-ФЗ с точки зрения методологии науки статьи есть. Очная встреча, без всякого сомнения, предпочтительнее. Буду в Москве, Обязательно позвоню. Думаю, у нас есть о чём поговорить.
4. Опять согласен! Но чтобы объединить, сначала нужно разъединить! Но не на уровне онтологии (что и не возможно, и не целесообразно, т.к. приведёт к гибели живой системы), а на уровне гносеологии, т.е. знания о предмете. Полисемия - причина многих наших проблем. Это только Задорнову, Жванецкому и иже с ними от полисемии одни плюсы, а для всех остальных - "вилы". Полисемия ведёт к раздвоению (разтроению и т.д.) смвслов и, следовательно, является серьёзным вызовом для любой информационной систмы. А вызов, при неадекватной и несвоевременной реакции на него, превращается в угрозу.

up
25 users have voted.
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.