25 марта 2019
Сдвиг фундамента в ИБ образовании
Любой работодатель чувствует на себе изменения в системе образования, но происходит это иначе, чем в академических кругах. Если преподаватели могут оценить процесс, то работодатели — только результат. Основная цель образования — это подготовка обучающихся к будущей работе. Соответственно, основная цель реформ в системе образования — это улучшение результатов будущей работы обучающихся, а в глобальном контексте — всей экономики. Поэтому процесс создания качественной системы образования невозможен без обратной связи со стороны работодателей. Такое же требование содержится в стандарте ISO 9001.
В понимании работодателя качество образования отражается в несколько этапов:
- Сначала виден уровень приходящих на собеседование или стажировку кандидатов начального уровня. Здесь мы отслеживаем изменения в скорости закрытия вакансий.
- Следующим этапом можно видеть, какие результаты новые сотрудники показывают в процессе работы. Важным фактором для наблюдения при этом является скорость роста.
- По прошествии некоторого времени молодые сотрудники набираются опыта и начинают играть все более важную роль в развитии компании, поэтому в конечном итоге глобальные результаты компании не в последнюю очередь зависят от системы образования.
С точки зрения управления лучше выявлять изменения на первом этапе, чем на втором или, тем более, третьем. Результаты собеседований последних лет как раз позволяют их увидеть. Впрочем, меняется не только система образования, но и потребности компаний. Работодатели реагируют на изменения рынка, а некоторые и сами задают такие изменения. Логично предположить, что эти два глобальных вектора развития должны быть синхронизированы. После такой фразы очень хочется с некоторой долей сарказма сказать что-то вроде: «Практика показывает, что теория отличается от практики». Это верно лишь отчасти. Система образования развивается в ответ на изменения IT-индустрии, однако не всегда в сторону, нужную работодателям.
Для начала стоит учесть «фон», который оказывает влияние на происходящие процессы. Недостаток IT-специалистов в мире прогнозировали давно. Специалисты по информационной безопасности не являются исключением. В тех же прогнозах улучшение ситуации предвещали только в двадцатых годах. Похоже, что эти прогнозы близки к реальности. Судя по всему, высшие учебные заведения адаптируются к данным изменениям и начинают выпускать больше IT-специалистов, чем раньше. Так, количество кафедр по информационной безопасности в вузах (по крайней мере, в Санкт-Петербурге) значительно возросло, а набор на некоторые из них существенно вырос.
Однако преподаватели говорят, что увеличение количества поступающих привело к падению среднего уровня подготовки, что логично. Но при этом существуют строгие ограничения на отчисления, т. е. кафедре иначе «срежут» набор, а, следовательно, финансирование. Звучит печально. Если все так, то возникающие в связи с этим вопросы очевидны. Вспоминается рассказ коллеги о том, что на физическом факультете из 75 человек выпустилось в итоге пять, которые теперь работают в CERN и подобных местах. В еще одной подобной истории преподаватель вспоминал случай из своего обучения. Шел второй или третий день экзамена, с которого студенты уезжали около 22:00. Студент отвечает на все вопросы. Преподаватель обращается к своему ассистенту: «Подкинь-ка ему задачку, которую мы с тобой вчера не решили».
Примеры, конечно, утрированные. Очевидно, рынку не нужны только высокоуровневые специалисты. Однако, когда встречаются кандидаты, у которых был выпуск несколько человек из группы, с ними обычно приятно иметь дело. Такой уровень знаний очень даже востребован.
Вторая «палка о двух концах» — образование становится более прикладным. Пояснить это лучше с помощью описания видения современного образования с точки зрения работодателя. Точнее, видения современного выпускника. Рассмотрим, что он должен знать и уметь делать, а что нет. Конечно, работодателю хочется видеть идеального кандидата, который все знает, все умеет и готов с первого дня решать сложные задачи. Учебные заведения стараются приблизить выпускников к «идеальному кандидату», давая больше практических навыков. Тем самым они стремятся уменьшить время на адаптацию нового сотрудника у потенциального работодателя. Разумеется, описанный образ невозможен, поэтому встает вопрос: чем жертвовать? Логичнее всего пожертвовать тем, что быстрее всего осваивается в процессе работы. Какие же знания и умения лучше выбрать в условиях необходимости оптимизации? Ниже приведены несколько примеров.
- Знать функционал некоторого конкретного межсетевого экрана или иметь хорошие знания сетей?
- Уметь настраивать PGP или понимать, что хэш — необратимая функция (без учета коллизий) и иметь возможность удивляться красоте протокола Диффи-Хеллмана?
- Уметь запускать сканеры в Kali linux или разбираться в разработке ПО, понимая, какие ошибки совершают разработчики и как их эксплуатировать?
- Знать, что для защиты ОС необходимо поставить средство защиты от НСД и выполнить определенные настройки, или понимать устройство ОС и внутренние механизмы защиты?
- Уметь работать с УЦ или понимать, почему математики не играют в баскетбол?
Стоит оговориться, что работодатели бывают разные. Для кого-то ответы на перечисленные выше вопросы могут склоняться в практическую сторону. Есть такие области вроде защиты ГТ и аттестации, где обширные знания теории не нужны. Однако существует мнение, что узкие практические навыки скорее для колледжей, чем для университетов.
Для остальных работодателей, скорее всего, большая часть ответов будет «за» теорию, т.к. на практике возникает много нестандартных задач из разных областей, которые нужно решать. Хочется видеть не человека, который знает ISO 27000x или пару-тройку NIST, а того, кто способен их прочитать, понять и быстро научиться применять. Поэтому от человека с высшим образованием работодатель хочет видеть следующее:
- Глубокие фундаментальные знания. Сети, ОС, криптография, атаки, разработка ПО и т. д.
- Способность решать нетривиальные задачи. Некоторые в качестве лабораторной работы «пишут» свою небольшую ОС.
- Представление, но не опыт, о современных подходах к защите информации (и не только к защите).
На первый взгляд в перечисленных требованиях нет ничего нового. Тем же сетям учили и 5, и 10 лет назад. Но меняются алгоритмы и подходы, механизмы атак и защиты, тренды, вычислительные мощности, в целом технологии; и здорово, если все это находит отражение в образовании. Когда-то 3DES был популярен, о квантовых компьютерах еще не слышали, вопросы корреляции событий и поиска аномалий не были такими актуальными, и с бэкдорами в криптографических алгоритмах еще не сталкивались. Все это может повлиять на анализ рисков компании и на выстраивание защиты от нарушителей. При этом сложно заниматься высокоуровневым анализом рисков, не зная, что такое DNS-туннель. Более того, начинающий специалист скорее начнет изучать международные стандарты и методики анализа, чем решит подтянуть знания по сетям.
Таким образом, для современного образования необходимо (но, возможно, не достаточно):
- Давать глубокие фундаментальные знания, адаптированные с учетом современного развития информационной безопасности. При оптимизации нагрузки на студентов важно больше выбирать фундаментальные знания, чем прикладные.
- Спрашивать эти фундаментальные знания. Хорошо, чтобы университеты проводили «отсев», а не компании.
- Давать простор для творчества и развития в плане постановки задач, требующих нетривиальных решений.
Конечно, важны такие вещи, как наличие современных лабораторий или участие студентов в реальных проектах, но они должны базироваться на вышеперечисленных пунктах для получения необходимого эффекта. Немаловажную роль здесь играет взаимодействие бизнеса и образовательных учреждений. Однако последнее время компании вынуждены брать на себя еще больше.
Кроме тех кандидатов, которых научили, есть и те, которые проделали большую работу по саморазвитию, предвидя выход на рынок труда. Этим они пытаются уменьшить разрыв между требованиями бизнеса и уровнем полученных знаний. Такие случаи достаточно редки. Несмотря на наличие различных онлайн-платформ и курсов, этого оказывается недостаточно. Поэтому в последнее время начали встречаться идеи обучения компаниями студентов последних курсов. В отличие от разнообразных форм дополнительного образования, таким образом IT-организации стараются заполнить пробелы в фундаментальных знаниях.
Логика и мотивация действий бизнеса может быть различна. В нашем случае она достаточна проста и прозрачна: нам нужно конкурировать, нам нужно быть лучше, мы хотим делать крутые вещи, менять мир и двигать его в будущее. Если мы видим проблему, мы ее решаем. Странно надеяться, что ее решит кто-то еще. Поэтому, кто знает, возможно, это естественное развитие современной системы образования, когда компании не только дополняют, но и сами формируют ее облик. По крайней мере, в прикладных областях.
Сергей Иванов
Генеральный директор, Акрибия
Генеральный директор, Акрибия
Другие публикации по теме