Образование в сфере информационной безопасности: нюансы и проблемы

В каких учебных заведениях Украины готовят "безопасников"?

На самом деле университетов таких достаточно, и за последние два года многие вузы обратили внимание на эту специальность и захотели иметь ее в своем "портфеле". Если брать тех, с кем мы сотрудничаем, то "безопасников" готовят в Национальном техническом университете Украины КПИ, в Национальном авиационном Университете, в Университете телекоммуникаций и даже в Университете культуры. Кроме того, в КНУБЕ, в Львовском политехнике и в Одесской национальной академии пищевых технологий.

Какие проблемы в сфере информационной безопасности актуальны сегодня для украинского бизнеса и нужны ли ему студенты?

Сложившаяся ситуация повлияла на бизнес не лучшим образом. Свежий пример. Собственник украинской компании, которая занимается продажей лакокрасочных материалов, решил проверить топ-менеджеров, которые работали вместе с ним с момента основания. После проверки он был вынужден уволить главного бухгалтера и финансового директора, с которыми работал более 10 лет, потому что на волне событий в стране они решили открыть предприятие-конкурент и воспользоваться служебным положением для нанесения убытков "родному" предприятию.

Кризис — это хорошая проверка на верность, лояльность сотрудников. Но, к сожалению, порой слишком дорогая. В условиях финансовой нестабильности работники предпочитают руководствоваться принципом "после нас хоть потоп", стремясь обеспечить свое в меру безоблачное существование, невзирая на последствия для компании. Учащаются "сливы" конфиденциальной информации конкурентам, попавшие под сокращения сотрудники обижаются и начинают мстить. Если смотреть на картину в целом, бизнес не сталкивается с принципиально новыми проблемами. Скорее обостряются "старые болячки". Их становится больше, и реагировать на них нужно быстрее. Кризис — хорошее время для отдела информационной безопасности, чтобы проявить себя. И здесь, на мой взгляд, у выпускников есть шанс.

Почему?

Информационные технологии плотно вошли в нашу жизнь и бизнес. Все больше коммуникаций перетекает в сеть. Телефонные разговоры заменили IP-телефонией, совещания — видеоконференциями, бумаги — электронным документооборотом. Изменилось практически все, а методы защиты остались старыми. Текущие руководители отделов безопасности наверняка отличные оперативники, хорошие психологи. Они способны развернуть "агентурную сеть" в компании и быть в курсе всего. Но по части IT далеко не все могут показать тот же уровень мастерства. Не все способны экстраполировать знания на новые технологии. Нужна "свежая кровь". Потенциальные работодатели считают, что дать кадры должен вуз. Но их там нет.

Вы хотите сказать, что соискателям недостаточно университетского образования для успешной работы по специальности?

Дело в том, что в вузах, скорее, дают костяк знаний, основы, не углубляясь при этом в конкретные решения и практику. Мешает этому инерционность самой учебной программы. Поверьте, не так просто внести в нее изменения. В вузах учат криптографии, высшей математике и т.п. Но там не готовят профессиональных пользователей, потребителей. А ведь на рабочем месте совсем не обязательно постоянно "изобретать велосипед". Не менее важно иметь представление об уже существующих решениях. Когда мы обращаемся в вузы с предложением прочитать курс лекций по аналитике в системах предотвращения утечек информации, иногда нам отвечают, что студентам важнее научиться самим создавать подобные системы. Вот только преподаватели забывают о том, что потребность в сотрудниках такого уровня намного ниже, чем в обычных толковых специалистах по информационной безопасности, которым необходимо уметь работать с тем, что сегодня представлено на рынке ИБ.

Давайте взглянем на цифры. Среднестатистическая учебная программа технических ВУЗов для будущих "безопасников" выглядит впечатляюще:

• безопасность сетей;
• безопасность баз данных;
• основы информационной безопасности;
• теоретические основы компьютерной безопасности;
• организационное обеспечение информационной безопасности;
• правовое обеспечение информационной безопасности;
• криптографические методы защиты информации;
• технические средства и методы защиты информации;
• программно-аппаратные средства обеспечения информационной безопасности;
• комплексное обеспечение информационной безопасности автоматизированных систем.

На первый взгляд, набор дисциплин впечатляет, однако при детальном изучении программы оказывается, что предметы профессиональной направленности составляют всего от 900 до 1 500 часов при общей сумме гуманитарных дисциплин, превышающих планку в 2 200 часов. И это всего лишь для теории. На практику вовсе не остается времени.

Можно ли изменить ситуацию?

Можно, если вы готовы вкладывать средства, знания и время. Ситуацию нельзя изменить за год или два. Мы начинали пять лет назад. Тогда в арсенале было всего шесть лабораторных работ, обучающих основам аналитики в DLP-системах на примере нашего продукта. Сегодня мы сотрудничаем с более 40 вузами Украины, Беларуси и России, а работа со студентами организована на принципиально ином уровне. Шесть лабораторных превратились в полноценный учебно-методический комплекс, а вместо скучных обзорных лекций мы проводим деловые игры и практические семинары. Обучение студентов ведется как в стенах вуза, так и дистанционно. При этом материалы не дублируют, а дополняют друг друга. В стенах "alma mater" закладывают основы. Те ребята, которым интересно развиваться в этой области далее, приглашаются к участию в нашей программе сертификации, итогом которой может стать трудоустройство у одного из наших клиентов.

Зачем это вашей компании?

Наша выгода очевидна. Придя после вуза работать в ту или иную компанию, бывшие студенты уже будут хорошо знакомы с нашими решениями. Здесь есть важный момент. Во время обучения мы не "рекламируем" нашу компанию и ее продукты, не выставляем в выгодном свете относительно конкурентов. Наоборот, сравнения и объективность приветствуются.

На что сегодня может рассчитывать студент после окончания вуза?

Часто молодые специалисты, не имеющие опыта работы, рассчитывают на высокие зарплаты, которые им никто не хочет предлагать. С этим, пожалуй, связано главное разочарование за стенами родного вуза. На мой взгляд, узнать реальную ситуацию сегодня проще всего из сообществ и на тематических конференциях. К примеру, в Киеве каждый год проводится конференция Ukrainian Information Security Group Conference, а в соцсетях есть одноименные сообщества. Там они могут пообщаться с представителями крупных компаний — потенциальных работодателей, спросить, какие именно знания и навыки потребуются им для работы в той или иной сфере. К сожалению, таких полезных мероприятий не так уж и много.