В последнее время спрос на специалистов по информационной безопасности заметно возрос — они становятся востребованы уже не только в больших фирмах, но и гораздо меньших по размерам компаниях.
Потребность в Information Security Officer, как называется эта должность у «буржуев», усугубляется и сложными экономическими условиями в стране. Многие сотрудники чувствуют скорое увольнение, кто-то просто недоволен своей зарплатой, и в хаосе меняющегося люди ищут способы заработать, не брезгуя и незаконными методами, которые причиняют ущерб их работодателям. Например, «слить» немного данных своего работодателя.
К сожалению, хороших «безопасников» сегодня найти трудно, поэтому компании ищут тех, кто годен к обучению данной не самой простой профессии, в том числе студентов старших курсов и выпускников «чисто программистских» специальностей. Попробуем посмотреть, чем карьера в сфере ИБ может быть для них привлекательной, и с какими сложностями при смене рода деятельности придется столкнуться.
Немного иллюстраций: последствия «дыры» в ИБ
Чтобы объяснтить"на пальцах«, для чего бизнесу информационная безопасность, приведу один из свежих случаев. Собственник украинской фирмы, занимающейся торговлей, решил устроить проверку топ-менеджерам, которые работали с ним с самого основания компании. Впоследствии ему пришлось уволить финансового директора и главного бухгалтера, которые работали с ним более десяти лет. Оказалось, что в результате событий, происходящих в стране, эти сотрудники решили основать конкурирующее предприятие, а после, воспользовавшись своим служебным положением, нанесли убытки своей «родной» компании, ставшей их конкурентом.
Вспоминая «подвиги» топ-менеджмента HTC, можно абстрагироваться от многострадальной Украины, и признать, что проблема — глубже и шире, чем желание «наловить рыбки в мутной воде», а значит, как и в случае с разработкой кода, работа в сфере безопасности есть всегда и везде.
Портрет безопасника
Интересно, что далеко не каждый специалист по информбезопасности смог бы «распутать» приведенный выше случай. Работать в ИБ должен человек, которому интересны живые люди с их психологическими тонкостями и трудностями, но при этом обладающий складом ума логическим, и даже где-то немного параноидальным. Безопасники шутят, что это их профессиональная болезнь, и с ними трудно не согласиться.
При всём этом для ИБ нашего времени нужно понимание специальных технологий. Это не только (и не столько) криптография, сколько работа с данными, которые собираются о каждом пользователе множества внутрикорпоративных систем. И в больших компаниях это и есть big data, о которой столько пишутна DOU.
Зачем ИБ-работодателям студенты-программисты
Специалисты «старой школы» не успевают за трендами
Отставной военный или СБУшник может быть прекрасным психологом, который задействует в работе большое количество методов, позволяющих всегда находиться в курсе того, что происходит в коллективе. Но бурное развитие IT в «корпоративном мире» привело к тому, что полученных им на службе навыков зачастую оказывается недостаточно для полноценного проведения служебных расследований. При этом далеко не все специалисты по информационной безопасности «старой школы» имеют желание и возможности для изучения новых методов работы.
ИБ-выпускники недостаточно подготовлены
Далеко не все вузы в наше время могут предоставить специалистов, способных без предварительной подготовки заняться предотвращением и расследованием ИБ-инцидентов. По сути дела, программа таких специальностей в 95%случаев — это чудовищный гибрид любой инженерной специальности со странными спецкурсами, авторы которых в глаза не видели службу информационной безопасности более-менее серьезной компании.
Приведу пример. Типичный план обучения в вузе по специальностям, которые связаны с ИБ, включает такие курсы: безопасность сетей; теоретические основы компьютерной безопасности; безопасность баз данных; правовое обеспечение ИБ; основы ИБ; комплексное обеспечение ИБ автоматизированных систем; технические средства и методы защиты информации; криптографические методы защиты информации; организационное обеспечение ИБ; программно-аппаратные средства обеспечения ИБ. На словах это кажется очень впечатляющим, однако на деле всё не так хорошо. На все перечисленные выше дисциплины на самом деле отводится только от 900 до 1500 часов, тогда как на занятия, которые не относятся именно к профессиональной деятельности, в общей сложности выделяется аж 2200 часов. И сейчас речь идет лишь о теории — на практику в итоге времени вообще не остается. Впрочем, последнее применимо не только к ИБ, так что не будем о грустном.
Вузы в своих образовательных программах ориентируются на преподавание комплексных знаний, которые сильно расширяют кругозор студентов. И это очень хорошо, однако благодаря большому количеству гуманитарных дисциплин и предметов, которые не имеют непосредственного отношения к тематике ИБ, в учебной программе сегодня почти не остается времени на практику и обучение прикладной работе с конкретными решениями, а также знакомство с законодательством. А именно применение этих решений в рамках существующего правового поля и является задачей Information Security Officer.
И если для будущих программистов существуют десятки и сотни учебных курсов, где они могут выучить языки, технологии и фреймворки; если для них есть учебники и примеры кода, то всего этого в сфере ИБ в таком количестве нет. Да и попробуйте попрактиковаться дома с какой-нибудь IPC-системой, которая должна работать на предприятии с 500 рабочими станциями!
Потребности рынка
Поэтому очень часто в реальной жизни зарождающуюся службу ИБ в быстро растущей компании возглавляет какой-нибудь не хватающий звезд с неба сисадмин, которому за рабочие прегрешения спускают указание разбираться во всех этих системах. Но он в силу админских привычек часто не видит за деревьями леса, т.е. не в состоянии качественно проанализировать данные, которые льются на него из всех систем, разработать все необходимые политики безопасности и проследить за их реализацией в реальной жизни.
Именно поэтому важная задача для многих компаний — взращивать кадры, которые будут уникальным образом сочетать качества очень разных специалистов и возьмут на себя заботу об ИБ. И нет ничего удивительного в найме людей, склонных к такой работе, если они готовы развиваться в этой сфере, невзирая на опыт и прочие мелкие трудности.
Надо ли оно вам?
Сразу скажу, что обратной дороги нет. Видеть программистов, ставших безопасниками, мне приходилось, а вот наоброт — ни разу. Очень уж сильна профессиональная деформация в этой области. «Пылка любовь» со стороны бывших коллег «перебежчику» тоже обеспечена — примерно как к хулигану, ставшему вдруг милиционером, со стороны бывших приятелей по дворовой банде, уж извините за сравнение.
Бьют «безопасников» тоже много и больно, потому что любая их ошибка обходится компании очень дорого. Но зато и ногой дверь в кабинет любого сотрудника, включая гендиректора, офицер ИБ в случае чего сможет открыть в 99 компаниях из 100. Несомненный плюс также в том, что «безопасник» — специалист довольно редкого профиля, что хорошо отражается на его доходах.
Но, как я уже говорил выше, ИБ — это всегда работа с людьми и документами, мало похожая на написание кода. Поэтому если вас прет от отладки и изучения новых версий C#, вряд ли это для вас.
И в любом случае, нужно будет очень и очень много пахать. Еще раз отмечу, что сегодня студентам вузов недостает, в первую очередь, именно практических навыков. Учебное заведение способно предоставить только основу, которая необходима для усвоения остальных умений и знаний. Поэтому учиться придется много, и не всегда по книгам, но зато цена полученного опыта позволит вам стать уникальным специалистом на рынке труда.