Важная тема в сфере информационной безопасности — образование и повышение квалификации. Давайте узнаем, как повысить свою ценность и зарплату на рынке, какие навыки наиболее востребованы, какие курсы существуют и как выбрать из них оптимальный.
- Введение
- Какие навыки наиболее востребованы на рынке информационной безопасности?
- Какие есть программы обучения с упором на практические навыки?
- Как должно быть организовано обучение в компании?
- Выводы
Введение
Увеличение числа кибератак, утечек информации и других угроз требует от организаций постоянного внимания к вопросам защиты своих информационных систем. Поэтому повышение квалификации специалистов по информационной безопасности становится неотъемлемой частью стратегического управления рисками. Специалисты в области ИБ должны не только обладать глубокими техническими знаниями, но и быть в курсе последних тенденций, технологий и методов защиты. Быстрые изменения в цифровом ландшафте и развитие новых угроз ставят перед ними новые задачи, требуют постоянного обучения и адаптации.
Рисунок 1. Участники эфира
Участники эфира:
- Фёдор Цыганов, руководитель направления разработки контента, UserGate.
- Вячеслав Максимов, технический директор, «Информзащита».
- Олег Игнатов, руководитель отдела взаимодействия с вузами, Positive Technologies.
- Нина Шипкова, руководитель спецпроектов, департамент развития образовательной деятельности ГК «Солар».
- Сергей Зеленин, руководитель учебного центра Security Vision.
- Александр Пушкин, заместитель генерального директора, «Перспективный мониторинг».
Модератор и ведущий эфира — Илья Шабанов, генеральный директор «АМ Медиа».
Какие навыки наиболее востребованы на рынке информационной безопасности?
Вячеслав Максимов объяснил, что в первую очередь нужно смотреть на тренды — импортозамещение, рост числа и сложности кибератак, ужесточение регуляторных требований, массовая цифровизация. Исходя из этих трендов можно определить, что больше всего нужно на рынке.
На фоне импортозамещения требуются навыки работы с отечественными средствами защиты и другими продуктами. Рост числа и сложности кибератак приводит к востребованности экспертов по SIEM, IRP, SOAR, аналитиков SOC, специалистов по расследованию инцидентов. Ускорение разработки программного обеспечения тоже требует включения ИБ на ранних этапах, нужны специалисты по DevSecOps, AppSec — их очень не хватает. Требования регулятора не несут особых изменений, но из-за увеличения нагрузки может потребоваться больше сотрудников.
Массовая цифровизация ведет к повышению требований к основной компетенции, которая должна быть у всех на рынке ИБ: постоянно и непрерывно учиться, сделать изучение новых технологий хорошей привычкой.
Вячеслав Максимов, технический директор, «Информзащита»
Нина Шипкова считает, что рынку не нужны специалисты с точечными, направленными навыками. Нужны люди, которые умеют широко мыслить, строить причинно-следственные связи, понимать, как сущности в ИБ взаимодействуют между собой.
Олег Игнатов, напротив, считает, что основной тренд — это разделение на специализации. К этому должен быть готов рынок повышения квалификации. Не нужно, по его мнению, готовить универсальных сотрудников, которые должны уметь делать всё. Сейчас важны отдельные конкретные специализации и роли.
Сергей Зеленин:
«Быстрыми темпами развиваются сами средства защиты и программное обеспечение. Появляется новая функциональность, расширяются возможности, повышается эффективность. Специалисты должны иметь актуальные знания о средствах защиты, регулярно проходить обучение».
Сергей Зеленин, руководитель учебного центра Security Vision
Александр Пушкин дополнил сказанное мыслью, что фундамент знаний для специалиста по ИБ не изменился с течением времени: это операционные системы, сети, протоколы, криптография, типовые средства защиты информации. Если человек знает базу, то адаптироваться под новую угрозу или функции СЗИ для него будет просто.
По мнению Фёдора Цыганова, процесс обучения должен быть постоянным. От этого зависят востребованность и уровень дохода. Для молодых специалистов лучше идти в конкретную специализацию, в том числе среди новых направлений, которые можно освоить даже самостоятельно с помощью онлайн-курсов.
По результатам первого опроса в прямом эфире AM Live, больше всего специалистам по ИБ не хватает «жёстких» навыков (глубокого понимания технологий ИТ и ИБ), так ответили 44% зрителей. За базовые знания в ИТ и ИБ проголосовало 18%, на третьем месте — знания техник и тактик злоумышленников (13%).
Рисунок 2. Каких навыков не хватает специалистам по ИБ (сравнение с 2024 годом)
Насколько важны гибкие навыки для службы ИБ?
Олег Игнатов считает, что нужно знать меру и не пытаться вложить в инженеров или специалистов SOC огромную базу гибких навыков. Сергей Зеленин добавил, что в soft skills входят не только навыки переговоров или публичных выступлений, но и тайм-менеджмент, который напрямую влияет на эффективность работы инженера. Также подразумеваются умение работать в команде и способность к наставничеству.
С комментарием от заказчика по теме гибких навыков выступил Александр Лимонов. Он считает, что специалисты по ИБ не в состоянии самостоятельно обезопасить компанию от внутренних и внешних угроз. Для этого нужно вовлечение коллег из смежных подразделений, а чтобы оно было эффективным, важно иметь хорошо развитые soft skills — навыки коммуникации, умение работать в команде, говорить понятно о сложных вещах. Контекст ИБ и ИТ изменился — необходимо участвовать в процессах компании, не быть в стороне. Чтобы эффективно интегрироваться в происходящее в компании, soft skills не менее важны, чем hard skills.
Александр Лимонов, директор по информационной безопасности “Ле Монлид”
Как определить направление для обучения?
Какие сейчас есть варианты повышения квалификации и как выбрать из множества учебных программ и инструментов? Олег Игнатов считает, что нужно отталкиваться от цели того, кто выбирает программу обучения. Лучше выбирать курсы от компаний, которые занимаются кибербезопасностью на практике и дают реальные знания и hard skills. Сотруднику важно определиться, что он будет делать, в каком направлении двигаться. По сути, нужно построить карьерный трек. Шаги по выбору обучения: разбить область на специализации, выбрать подходящую, узнать, что для её освоения нужно, найти лидеров в этом направлении и идти учиться к ним.
Олег Игнатов, руководитель отдела взаимодействия с вузами, Positive Technologies
Александр Пушкин добавил, что для определения направления обучения удобно использовать матрицу компетенций, в которой для каждой специальности собраны необходимые навыки. Нина Шипкова считает, что необходима система, состоящая из матрицы компетенций и карьерного трека, которая поможет сотруднику легко определить, на каком уровне он находится сейчас и в каком направлении ему следует обучаться, чтобы двигаться дальше. Эта система должна накладываться на программы обучения, существующие на рынке.
Второй опрос показал, что при выборе программы повышения квалификации в ИБ большинство ответивших в первую очередь ориентируется на соотношение «теория / практика» — 39%. Также для многих важны рекомендации коллег (17%), репутация учебного центра (16%), согласование программы со ФСТЭК России (14%). На стоимость обучения в первую очередь обращают внимание 10% зрителей.
Рисунок 3. На что вы ориентируетесь при выборе программы повышения квалификации в ИБ?
Какие есть программы обучения с упором на практические навыки?
Александр Пушкин рассказал, что есть классические курсы от производителей средств защиты. Когда идёт внедрение нового типа СЗИ в организации, нужно отправить группу сотрудников для прохождения курсов — это даст быстрый результат. Хорошо набирают темпы и имеют государственную поддержку киберучения и киберполигоны. Для этого есть подготовленные платформы под различные уровни подготовки и запросы по отраслям. Они ограничены по времени, месту, целям, задачам и обеспечивают практическую отработку навыков.
Александр Пушкин, заместитель генерального директора, «Перспективный мониторинг»
Олег Игнатов добавил, что актуальные и нужные знания должны передаваться только от эксперта к эксперту. Нина Шипкова считает, что нужно искать новые комплексные форматы практики для специалистов.
Илья Шабанов поинтересовался, по какой причине не заканчивается кадровый голод, когда есть большое количество согласованных со ФСТЭК России курсов от разных компаний. Что не так с программами обучения? Олег Игнатов объяснил, что в программах должна быть обязательная часть, без которой не будет сертификации от контролирующих органов. Это увеличивает их объём. По поводу эффективности — они закрывают именно ту задачу, на которую направлены. Есть требования, которым они соответствуют. Александр Пушкин добавил, что 512 часов — это профессиональная переподготовка, а программы повышения квалификации начинаются от 16 часов.
Илья Шабанов, генеральный директор «АМ Медиа»
Ведущий также задал экспертам вопрос, насколько качественными являются курсы по ИБ на популярных образовательных платформах. Стоит ли с них начинать обучение, или это деньги на ветер?
Александр Пушкин считает, что пользоваться ими можно. Есть много площадок с доступными ценами, с хорошей программой курса. Предлагаются 1–2 пробных занятия, чтобы оценить формат и преподавателей. Сергей Зеленин уверен, что для молодых специалистов будет плюсом любой курс, какой бы они ни прошли. Лучше начать с вендорских, а продолжить сертифицированными курсами.
Вячеслав Максимов считает, что если у сотрудника есть желание и тяга к знаниям, неважно, где он будет проходить курсы. На образовательных площадках есть грамотные преподаватели с хорошей технической экспертизой.
Комментарий от Артёма Куличкина:
«На практике показывают эффективность стандартные игры Red Team и Blue Team. Проводятся упражнения, в которых одна группа пытается атаковать, другая защищается. Потом команды меняются ролями. Оценка успешности защиты и время реакции — ключевые показатели таких игр. Другая важная активность — CTF-соревнования, где команда должна защищать свой периметр и прокачивать свои навыки на практике».
Артём Куличкин, и. о. управляющий директор по ИБ дочерних компаний страховой группы “СОГАЗ”
Как должно быть организовано обучение в компании?
Нина Шипкова:
«Наставничество — это отдельный навык, который тоже нужно прокачивать. Это востребовано: никто кроме наставника не научит, как применять знания на практике. Руководителям нужно учиться навыкам наставничества, чтобы правильно передавать знания, получать и давать обратную связь, корректировать трек движения. В компании должна быть система мотивации и бонусов для наставников. Кроме этого ментор получает плюсы в виде формирования личного бренда, повышения ценности как специалиста».
Также Нина рассказала о западной практике «shadowing», когда сотрудник смотрит за работой своего более опытного коллеги, везде за ним следует и набирается знаний.
Нина Шипкова, руководитель спецпроектов, департамент развития образовательной деятельности ГК «Солар»
Александр Пушкин считает, что можно настроить систему наставничества внутри компании, но для этого нужна база знаний, в которой содержится теория. Обучение не может строиться на одном лишь взаимодействии людей.
Вячеслав Максимов утверждает, что наставничество или его элементы есть в любой крупной компании. Задачи руководителя — постоянная обратная связь с сотрудниками, указание на ошибки и оказание помощи в их исправлении.
По итогам третьего опроса выяснилось, что самой большой ошибкой при планировании и проведении обучения зрители считают слишком теоретическое или формальное обучение — 32%. Чуть меньше голосов — за недостаток времени на обучение при постоянной загрузке: 26%. Неправильное определение целей обучения (руководством или HR) выделили 14% зрителей.
Рисунок 4. Какова наибольшая ошибка при планировании и проведении обучения сотрудников ИБ?
Основные ошибки при планировании и проведении обучения
Александр Пушкин:
«Поставщик курса может скомпилировать теорию, а подготовить инфраструктуру для практики гораздо сложнее, поэтому такой большой процент голосов зрители отдали за слишком теоретическое и формальное обучение».
Сергей Зеленин согласен с проблемой нехватки времени. Совет руководителям: если отправляете сотрудника на обучение, минимизируйте его рабочие активности.
Нина Шипкова:
«Ошибкой было бы отдать выбор обучения в отдел HR».
Олег Игнатов:
«Тот, кто выбирает программу обучения, может не разбираться в потребностях. Также важно определить, кто этим занимается — HR или CISA».
Вячеслав Максимов:
«Самая большая ошибка — отсутствие обратной связи».
Фёдор Цыганов:
«Основные ошибки — внутренние, допущенные HR, руководителем или сотрудником, — это недостаточный анализ, неправильное определение целей и выбор программы».
Фёдор Цыганов, руководитель направления разработки контента, UserGate
Какие есть возможности самообучения?
Сергей Зеленин объяснил, как организовать самообразование. Если речь о молодом специалисте или студенте, то необходимо развивать hard skills, изучать СЗИ, с которыми работаешь и которые есть в компании. Для вертикального роста — обратить внимание на soft skills: навыки переговоров, наставничество. Для сотрудников уровня «senior» и «middle» необходимы понимание процессов, развитие навыков лидерства, работы с конфликтами, тайм-менеджмента. Нужно чётко понимать в каждый момент времени, что нужно для эффективного выполнения своей работы, а также чему учиться и что делать для движения вперёд.
Олег Игнатов считает, что комьюнити — это лучший способ эффективно и бесплатно оптимизировать обучение в сфере ИБ. Нина Шипкова уверена, что компания должна выделять рабочее время на самообучение. Вячеслав Максимов считает, что самообразование важно для получения знаний, но без учителя сложно применить их на практике и увидеть свои ошибки. Александр Пушкин добавил, что самообучение помогает подготовиться перед работой с экспертом, даёт базу знаний и понимание, что в этой теме ясно, а что — нет.
Четвёртый опрос показал, чего больше всего не хватает компаниям для идеальной организации обучения команды ИБ: бюджета (51%), понимания потребностей (24%) и времени (7%). Всего хватает 23% ответивших.
Рисунок 5. Чего не хватает вашей компании для идеальной организации обучения команды ИБ?
Как оценить эффективность обучения
Олег Игнатов считает, что оценить качество обучения сотрудников и их возможности по применению полученных знаний можно только в ситуациях, приближенных к реальности. В этом помогают киберучения на полигонах. Также учитывается киберустойчивость бизнеса — ненаступление недопустимых событий.
Нина Шипкова:
«После обучения нужно получить от сотрудника обратную связь. Он должен понимать, как он может применить на практике новые знания».
В эфире прослушали вторую часть комментария от Артёма Куличкина по вопросу эффективности образования. Эксперт рассказал про метрики для измерения качества Red Team и Blue Team, выделив основные: реакцию на инциденты, измерение скорости обнаружения и реагирования до и после обучения, а также количество предотвращенных инцидентов.
Последний опрос показал отношение к повышению квалификации после эфира: 26% решили внедрять то, о чём говорили эксперты, 23% убедились в правильности своих действий, 22% считают, что для такой сложной темы нужен ещё один эфир.
Рисунок 6. Каково ваше мнение о повышении квалификации в ИБ после эфира?
Выводы
Постоянно меняющийся ландшафт киберугроз требует от специалистов актуальных знаний и навыков. Регулярное обучение и сертификация помогают держать руку на пульсе новейших технологий и методов защиты. Повышение квалификации непосредственно влияет на способность сотрудников выявлять, предотвращать и отрабатывать инциденты. Чем более подготовлен персонал, тем меньше вероятность успешных атак. Организации, инвестирующие в обучение своих сотрудников, формируют культуру безопасности, что способствует повышению общей осведомленности о рисках и ответственности за защиту информации на всех уровнях компании.
Телепроект AM Live еженедельно приглашает экспертов отрасли в студию, чтобы обсудить актуальные темы российского рынка ИБ и ИТ. Будьте в курсе трендов и важных событий. Для этого подпишитесь на наш YouTube-канал. До новых встреч!
