В современном цифровом мире, когда киберугрозы становятся все более распространенными и сложными, ИБ-специалисты имеют ключевое значение для компаний. В этой статье мы поговорим про кадровый голод в области информационной безопасности и рассмотрим плюсы и минусы подготовки квалифицированных сотрудников в университетах и на онлайн-курсах.
Какие специалисты нужны рынку
ИБ-специалисты защищают цифровые активы компании от хакерских атак, кражи данных и конфиденциальной информации. Задачи экспертов отличаются в зависимости от конкретной профессии и потребностей компании. Рассмотрим несколько популярных специальностей:
- Аналитик IT-безопасности. Занимается сбором, анализом и оценкой данных о возможных угрозах и нарушениях ИБ в организации. Специалист использует различные методы и инструменты для мониторинга и анализа событий, чтобы выявить потенциальные уязвимости и риски, которым может быть подвержена информационная система
- Архитектор информационной безопасности. Изучает существующие уязвимости и риски, проводит аудит систем безопасности, а затем разрабатывает план для защиты информационных активов
- Пентестер. Занимается тестированием на проникновение, то есть оценивает безопасность информационных систем. Основная цель пентестинга — выявление уязвимостей в системе перед тем, как кто-то другой сможет их использовать в злонамеренных целях
- Администратор систем безопасности. Отвечает за установку, настройку и поддержку систем безопасности, а также за мониторинг и реагирование на возможные угрозы и инциденты
- DevSecOps-инженер. Занимается внедрением ИБ-инструментов в инфраструктуру организации, построением CI/CD-пайплайнов безопасной разработки и автоматизацией процессов обеспечения защищенности ПО. Также DevSecOps-инженер участвует в создании проектной документации, подготовке пользовательских инструкций и формировании базы знаний
Кадровый голод
Спрос на ИБ-специалистов продолжает расти. Согласно оценке hh.ru, количество объявлений о вакансиях в сфере ИБ в третьем квартале 2023 года выросло на 26% по сравнению с аналогичным периодом прошлого года. Дефицит кадров является серьезной проблемой, с которой сегодня сталкиваются многие организации. У этого есть ряд веских причин:
Активность киберпреступников. Последние два года хакеры обращают повышенное внимание и ресурсы на российские организации, появляются новые угрозы, а атаки становятся более сложными. От этого страдает как крупный бизнес, так и МСБ.
Усиление контроля государства. Ужесточаются требования законодательства по информационной защите. В 2022 году был издан президентский указ № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации», согласно которому компании должны иметь полноценный ИБ-отдел к 2025 году.
Уход вендоров и специалистов. Многие зарубежные вендоры ушли с российского рынка, появилась острая необходимость импортозамещения иностранных ИБ-решений. Некоторые сотрудники также уехали за границу.
Проблемы с обучением. Хотя многие университеты и колледжи обучают специалистов в области ИБ, их методы не всегда могут соответствовать быстро изменяющейся природе угроз и требований отрасли. Компании стремятся заполучить хорошего ИБ-эксперта, который ориентируется во всех тенденциях сферы. Ему, в свою очередь, приходится постоянно обновлять знания в этой области, проходить дополнительное обучение и курсы повышения квалификации.
Конкуренция за опытных сотрудников остается высокой. Крупные игроки рынка предлагают сотрудникам высокие зарплаты и привлекательные условия труда, что сильно усложняет удержание талантливых кадров для малого и среднего бизнеса. Для решения этой проблемы необходимо улучшать образовательные программы, повышать осведомленность о кибербезопасности и создавать стимулы для того, чтобы талантливые эксперты оставались и развивались в ИБ-отрасли.
Среднее и высшее образование
Классическое образование в кибербезопасности дает студентам фундаментальные знания и предоставляет возможность получить профессиональную аккредитацию.
Плюсы:
- Сертификаты и дипломы от признанных учебных заведений создают доверие у потенциальных работодателей и повышают шансы на успешную карьеру
- Некоторые компании проводят стажировки для студентов 3 и 4 курсов. Специалисты берут менторство над практикантами и знакомят их с практической частью профессии
- Возможность создать профессиональную сеть контактов. Студенты могут устанавливать связи с преподавателями, выпускниками и другими экспертами
Минусы:
- Вузы и колледжи не успевают за тенденциями индустрии. Время, необходимое для разработки и обновления образовательных программ, обычно превышает сроки внедрения новых технологий, из-за этого выпускники могут выходить на рынок с устаревшими знаниями. Например, уже несколько лет набирает популярность и спрос безопасная разработка, однако в вузах до сих пор не готовят специалистов в этой области
- Преподавали — в основном, теоретики, которые находятся в отрыве от практической деятельности в сфере ИБ. Эта отрасль требует непрерывного «набивания руки», поэтому без стажировки и дополнительного обучения студентам будет трудно освоить профессию
В подавляющем большинстве компаний наличие диплома об образовании является обязательным условием для приема на работу. В России существует более 500 учебных программ по направлению «Информационная безопасность» в вузах и около 300 – в колледжах. Будущих ИБ-экспертов готовят в 150 университетах, среди которых МГТУ им. Баумана, МФТИ, НИУ ВШЭ и много других ведущих университетов.
В целом, выпускать сразу уверенных практиков и успевать за появлением новых трендов, инструментов и уязвимостей – непростая задача для вузов и колледжей. Поэтому возрастает роль онлайн-образования и профессиональной переподготовки в области информационной безопасности.
Онлайн-обучение ИБ-специалистов
Онлайн-обучение активно развивается последние несколько лет. EdTech-платформы используют современные инструменты и новые подходы, чтобы сделать обучение еще интереснее и доступнее. И это приносит им большие деньги: за 2023 год доходы разработчиков ПО для EdTech-компаний выросли на 46%, обогнав сегмент бизнес-образования и курсов иностранных языков. Эксперты отмечают колоссальный спрос на обучение разработчиков, вместе с этим более востребованными становятся профессии в области ИБ.
Плюсы:
- Онлайн-курсы позволяют студентам гибко планировать свое обучение. Они могут выбирать удобное для себя время и место для получения знаний
- Доступ к экспертам и практикующим специалистам кибербезопасности дает возможность получать актуальные знания из первых рук
- В EdTech программы обучения своевременно актуализируются, чтобы отражать последние тенденции и требования отрасли
- Возможность развить практические навыки в реальных или симулированных средах помогает ученикам получить ценный опыт, в ИБ это – обход и предотвращение атак, обработка инцидентов и другие важные навыки
Минусы:
- Есть риск потерять мотивацию, так как отсутствует живой контакт с преподавателями
- В онлайне сложнее приобрести связи в ИБ-сообществе. Нужно прилагать больше усилий: создавать чаты и активно общаться с наставниками и сокурсниками
- Можно потратить деньги впустую, ошибившись в платформе или обучающей программе. При выборе курса в области ИБ советуем обратить внимание на IT-компании, в которых преподавателями выступают действующие эксперты
Несколько курсов по востребованным профессиям:
Специалист по кибербезопасности
Платформа: онлайн-школа Skillbox
Кому подойдет: тем, кто умеет администрировать Windows и Linux, работать с технологиями виртуализации, а также понимает устройство локальных сетей и доменов
Длительность: 6 месяцев
Описание: студентов учат работать с политиками безопасности и доступа, перехватывать и анализировать сетевой трафик, восстанавливать системы после кибератаки, определять потенциальные киберугрозы системам, находить и эксплуатировать уязвимости ОС и веб-приложений, а также автоматизировать рутинные процессы кибербезопасности
Белый хакер
Платформа: онлайн-школа Skillfactory
Кому подойдет: новичкам, действующим тестировщикам, системным администраторам
Длительность: 13 месяцев
Описание: на курсе студентов обучают выявлять слабые места веб-сайтов, проводить атаки на беспроводные сети, атаковать операционные и корпоративные системы. Программа предусматривает большую практическую часть (около 80%), участие в персональном и индивидуальном CTF и проведение тестирования “вслепую”
Построение DevSecOps
Учебное заведение: Академия Swordfish
Кому подойдет: ИТ-архитекторам, разработчикам приложений, DevOps-инженерам, тестировщикам приложений, специалистам по безопасности приложений, системным аналитикам, руководителям ИТ-проектов
Длительность: 5 ч. (интерактивный курс), 16 ак. ч. (тренинг с экспертом)
Описание: на занятиях подробно разбирается методология DevSecOps, ключевые практики безопасности, внедрение технологий и анализ результатов тестирований, а также модель взаимодействия между членами команды безопасной разработки. Студентов учат оценивать текущий уровень зрелости процессов ИБ в компании и разрабатывать стратегию для построения DevSecOps. Программа включает в себя интерактивный курс и тренинг с экспертом
Основы защиты информационных систем
Платформа: Платформа F.A.C.C.T.
Кому подойдет: начинающим аналитикам IT-безопасности, практикующим специалистам ИБ, командам SOC/CERT
Длительность: 3 дня
Описание: курс посвящен ключевым функциям аналитиков защиты информационных систем. Студентов учат детектировать ИБ-события и выявлять их признаки, а также поддерживать процессы киберразведки
Эффективность онлайн-курсов можно измерить различными показателями. Например, COR (доходимость) – это процент студентов, завершивших курс в сравнении с общим числом зарегистрированных. Универсального «хорошего» показателя для всех платформ нет, но принято считать от 30%. Важным критерием также является статистика по трудоустройству. Исследование ВШЭ и Яндекс.Практикума показало, что 76% выпускников IT-курсов, в которые входило обучение по информационной безопасности, получили оффер в течение трех месяцев после завершения занятий.
Заключение
Среднее и высшее образование по-прежнему играют важную роль в формировании базовых знаний и ключевых навыков ИБ-специалистов. Однако классическое обучение сегодня отстает от тенденций отрасли и не обеспечивает студентов всеми необходимыми знаниями и навыками для построения карьеры. Сочетание формального образования со стажировками, курсами повышения квалификации, онлайн-обучением от IT-компаний и активным участием в комьюнити может способствовать развитию уровня экспертов и индустрии в целом.
Проекты EdTech глубоко интегрированы в отрасль, они совершенствуют ее, формируют профильные сообщества и образовательные программы, которые удовлетворяют реальные запросы рынка. Несмотря на то, что онлайн-обучение дает возможность относительно быстро начать карьеру, не стоит забывать, что сама отрасль кибербезопасности требует высокого уровня вовлеченности, умственной нагрузки и непрерывного развития компетенций. Поэтому такой формат обучения отлично подойдет только искренне заинтересованным в ИБ-индустрии людям.