УправлениеИТ Директор

Кадровые проблемы ИБ

Виталий Малкин | 22.12.2015

Кадровые проблемы ИБ

Для того чтобы хорошо вести все курсы, непосредственное относящиеся к практическим аспектам ИБ, необходим преподаватель, регулярно применяющий свои знания на практике.

Уже долгое время в России в области информационной безопасности наблюдается острый дефицит квалифицированных кадров. Ежегодно открывается огромное количество факультетов и кафедр данного профиля, выпускаются тысячи специалистов, но дефицит не уменьшается, а наоборот только растет. С чем он связан?

Безусловно, серьезную роль играет рост потребностей бизнеса в сфере ИБ, но это не ключевой фактор. Ключевым фактором является то, что наше образование не готовит специалистов, нужных бизнесу. Типичный выпускник факультета информационной безопасности обладает огромным количеством знаний — это и криптография, и стеганография, и обеспечение физической безопасности, и разработка на нескольких языках программирования, и безопасность баз данных и технологии банковских карт. По результатам опроса, проведенного в НИЯУ МИФИ среди студентов, которые станут выпускниками в 2016–17 г., за свои знания они рассчитывают получать от 100 до 140 тыс. рублей, причем сразу после выпуска. Бизнес платить такие деньги не готов, средний ценник на выпускника без опыта работы колеблется в пределах 50–80 тыс.рублей.

Почему же ожидания будущих инженеров и желания работодателей отличаются в два раза? Причин тут несколько, но самая главная в том, что работодатель понимает, если он возьмет сотрудника, только что окончившего вуз, ему сначала придется вкладывать в него деньги, ничего не получая взамен. Нынешние выпускники в большинстве своем не обладают знаниями, необходимыми для работы в качестве специалиста по информационной безопасности. Почему? Как исправить ситуацию? На эти вопросы я постараюсь ответить в данной статье.

Ни для кого не секрет, что наше образование сейчас переживает не лучшие времена. Немного затянувшийся переход от «советского» образования к современному, закрытие множества вузов, упадок научной деятельности в НИИ — все это сильно сказывается на качестве образования. Для того чтобы понять, как именно, я выделил три основные причины, влияющие на качество образования ИБ-специалистов, — федеральный стандарт обучения «Информационная безопасность автоматизированных систем»; качество преподавания курсов, относящихся непосредственно к ИБ; морально устаревшая программа некоторых дисциплин.

1. Что не так с федеральным стандартом?

В настоящее время существует несколько специальностей по информационной безопасности, наиболее популярные: 100301, 090901 и 090903. Их мы и рассмотрим.

Предметы и курсы, преподаваемые в рамках данных специальностей, строго ограничены федеральными стандартами. Несмотря на то, что в целом эти стандарты составлены весьма грамотно, у них есть одна небольшая особенность. Они очень слабо соотносятся с тем, с чем на практике встречается среднестатистический специалист по информационной безопасности. Например, в них отсутствуют такие понятия, как «бизнес-процесс», «управление рисками», к тому же времени на теоретические аспекты средств защиты информации выделяется втрое больше, чем на практические.

Область информационных технологий и информационной безопасности развивается чрезвычайно быстро, и возникает ощущение, будто данный документ очень сильно отстает от современных тенденций.

Кроме того, необходимо отметить, что стандарт фактически запрещает преподавание предметов любому человеку, не имеющему научной степени. Плохо это или хорошо? Обсудим в пункте 2.

2. Качество преподавания курсов, относящихся непосредственно к ИБ

Как уже отмечалось, область информационной безопасности — одна из самых быстроразвивающихся, и это предполагает определенные особенности ее изучения. На мой взгляд, для того чтобы хорошо вести все курсы, непосредственное относящиеся к практическим аспектам ИБ, необходим преподаватель, регулярно применяющий свои знания на практике.

Но что может показать и рассказать теоретик о тестировании на проникновение и об аудите информационной безопасности? Как донесет смысл некоторых правовых аспектов информационной безопасности человек, ни разу не применявший их на практике? Какую инфраструктуру ИБ способен научить построить человек, не занимавшийся этим более десяти лет и не знает сегодняшних решений?

Безусловно, в классических теоретических дисциплинах опыт решает очень многое. Но в предметах, которые находятся на передовой, которые развиваются очень активно, нужны профессионалы, использующие самые современные решения. Работающие в сфере ИБ и на практике занятые тем, о чем они рассказывают на теоретических и практических занятиях.

Таким образом, второй причиной низкого качества преподавания информационной безопасности является тот факт, что в большинстве вузов предметы сугубо практические преподаются теоретиками. Почему? Здесь я вижу две основные причины.

Во-первых, уже упомянутые нормы министерства образования, создающие жесткие рамки, которые, по сути, не дают возможности нанимать для преподавания специалистов, не имеющих ученых степеней и определенного количества публикаций за последний год.

Во-вторых, многие вузы, возможно, и рады бы пригласить такого профессионала, но ведь преподавание тоже целая наука. Далеко не каждый специалист по ИБ сможет прийти и хорошо объяснить то, чем он занимается каждый день. Особенно это касается сугубо технических специалистов, зачастую предпочитающих общаться с компьютером, а не с живыми людьми.

Но даже когда вуз находит преподавателя с необходимыми компетенциями и опытом, это не всегда приносит качественный результат.

3. Морально устаревшая программа некоторых курсов?

Что если я скажу вам следующее: из пяти ведущих вузов, где есть направление ИБ, основным преподаваемым языком программирования является Pascal? А x64 Assembler не изучается ни в одном из них!

Это лишь один пример, и таких примеров очень много. Курсы, которые сейчас читаются на ведущих кафедрах ИБ, безнадежно устарели. Они описывают и учат работать с технологиями, широко распространенными лет десять назад. Неудивительно, что выпускник, приходящий работать специалистом по ИБ, не знает механизмов информационной безопасности Windows, ведь на курсах «Безопасность операционных систем» ему читают и учат работать с Linux. Я лишь оценил ситуацию в ведущих вузах Москвы, что творится в регионах — и подумать страшно. Почему так происходит?

Я предполагаю, на это есть несколько причин.

Первую из этих причин мы уже обсудили, и она кроется в том, что преподаватели досконально знают именно эту область предмета, с ней они работали десятилетие назад и с ней им комфортно. Человек не может объяснить то, чего он не знает, а ИБ развивается настолько быстро, что если ты выпал из рабочего процесса на год, твои знания утрачивают актуальность.

Вторая причина в том, что на создание и обновление курса уходит много усилий — и человека, читающего сам курс, и кафедры. Преподавателю необходимо обновить все материалы, составить новые контрольные и лабораторные работы и согласовать их. Кафедре требуется утвердить эти изменения на ученом совете, подготовить все нужные документы. А ведь иногда обновление курса предполагает и совершенствование материальной базы.

В итоге получается, что преподаватель, быть может, и хочет обновить материал, но понимает, с какими сложностями столкнется и отказывается от подобной мысли. А студенты даже не подозревают, что им дают устаревшую информацию, которая на практике им никогда не пригодится.

Есть ли выход из сложившейся ситуации? Я считаю, что есть.

Во-первых, кафедрам, желающим поднять ценность своих выпускников, нужно теснее сотрудничать с бизнесом. Ну а бизнесу, если он хочет получить качественных сотрудников, следует плотнее общаться с кафедрами. Для этого институтские кафедры должны привлекать бизнес еще на этапе становления специалистов. Придумывать совместные НИРы и УИРы, заниматься совместными разработками и вместе регулярно актуализировать учебные курсы.

Так же интенсивнее должны сотрудничать кафедры и вендоры продуктов ИБ. На мой взгляд, гораздо лучше, когда выпускник знает и имеет опыт работы хотя бы с одним конкретным продуктом по каждому направлению, чем то, что мы имеем на данный момент. А производители продукта будут рады научить студентов работе с ними — ведь это возможность популяризировать свой продукт, а иногда и набрать себе перспективных специалистов.

Во-вторых, необходимо самим растить себе будущих преподавателей. Я считаю отличной практикой, если научный руководитель привлекает своего студента к проведению лабораторных работ на младших курсах. Таким образом преподаватель может найти перспективных учеников не только с точки зрения развития науки, но и с точки зрения ее продвижения. С одной стороны, при помощи таких шагов кафедра ищет людей, которые в дальнейшем могут стать преподавателями (ведь далеко не всем это дано), а с другой — учит студентов технических институтов общаться друг с другом и грамотно доносить свои мысли.

Эти шаги, безусловно, сблизят желания бизнеса и умения выпускников. И, возможно, тогда молодые специалисты больше не услышат фразу: «Забудьте все, чему вас учили в университете».

Безопасность

Журнал: Журнал IT-Manager [№ 12/2015], Подписка на журналы


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Также по теме

Другие материалы рубрики

Мысли вслух

Десять лет назад мы говорили о будущем цифры и управления с Пеккой Вильякайненом - технологическим предпринимателем и опытным инноватором. То будущее, о котором мы говорили тогда, наступило. День за днем, со скоростью времени.
Согласно прогнозам Gartner, к 2022 г. 75% организаций, использующих инфраструктуру как сервис (IaaS), будут реализовывать продуманную мультиоблачную стратегию, в то время как в 2017 г. доля таких компаний составляла 49%.
Все жалуются на нехватку времени. Особенно обидно, что его не хватает на самые важные вещи. Совещания, созвоны, подготовка внутренних отчетов, непонятно, насколько нужных, но которые начальство требует так, как будто это именно то, ради чего мы работаем.

Компании сообщают

Мероприятия

Международная конференция по информационной безопасности ZeroNights
Санкт-Петербург, Кожевенная линия, 40, «Севкабель Порт»
3 490 руб
25.08.2021
09:00–23:00
Конференция «Кадровый ЭДО: цифровизация на практике»
Москва, отель Метрополь, Театральный проезд, 2
25.08.2021
09:30–17:00
Форум «Цифровое предприятие»
Москва, отель Метрополь, Театральный проезд, 2
26.08.2021 — 27.08.2021
09:30–17:00