19.12.2016

Как я преподавал в МГУ

На прошлой неделе у меня закончилось обучение в МГУ. Нет, я не вернулся на институтскую скамью спустя 20 с лишним лет после окончания своей альма-матер. Просто я преподавал в Высшей школе бизнеса МГУ, куда меня пригласили прочитать курс "Управление информационной безопасностью" для студентов 2 курса магистратуры, то есть 6-го курса (в прежней, дореформенной версии), учащихся по специальности "ИТ-менеджмент".

Мне было выделено 24 академических часа, то есть 6 лекций (18 астрономических часов), которые я разделил следующим образом:
  • Лекция 1. Что такое ИБ? История ИБ в России. Кто должен заниматься ИБ? Структура службы ИБ на предприятии. Экономика - как один из драйверов развития ИБ.
  • Лекция 2. Угрозы ИБ. Психология восприятия риска. Kill Chain. Модель угроз и нарушителя.
  • Лекция 3. Технологии ИБ. Международные и российские подходы. Архитектура ИБ.
  • Лекция 4. Законодательство по ИБ в России.
  • Лекция 5. Процессы и управление ИБ. ISO 27xxx. Цикл Бойда. Cyber Security Governance. Подход Банка России. 
  • Лекция 6. Измерение ИБ. Психология ИБ. Внутренний маркетинг. Теория организации и ИБ.
Потом оказалось, что последняя лекция должна была быть выделена под зачет и программу пришлось ужимать в 5 лекций, что я и сделал. Учитывая направленность программы ВШБ МГУ, я отказался от того, чтобы читать "чистую технику" - защитные меры ФСТЭК, требования ФСБ, положения ЦБ. Я ограничился их обзором, а сконцентрировался именно на менеджерских темах, которые должны заложить основу понимания ИБ именно с точки зрения бизнеса, не забывая при этом и про традиционный взгляд на ИБ с точки зрения угроз и нормативки.

С одной стороны - преподавать в МГУ было моей мечтой еще с давних времен, когда я "опозорился" на ВМК рассказывая о технологиях обнаружения атак, а студенты меня "валили" вопросами теории вероятностей, матстатом и ошибками первого и второго рода :-) И вот пришел мой черед "глумиться" :-) Шучу. По сути это оказался мой первый опыт обучения не матерых дяденек и тетенек, которые уже не первый год работают по направлению ИБ и которые повышают свою квалификацию. Студенты, молодые юноши и девушки, которые в свои 20 с небольшим лет пытаются изучать то, что может быть им никогда и не пригодится в жизни (из моих однокурсников мало кто пошел по специальности работать). Интересный опыт оказался. Я преклоняю голову перед преподавателями, которые делают это на постоянной основе!

Учить тех, кому возможно все равно, - это тяжело. Я преподавал после работы, с 7-ми до 10-ти вечера, и могу сказать, что те, кто делает это постоянно - просто герои, энтузиасты своего дела. Одно дело читать тем, кто осознанно идет на обучение в учебные центры, и совсем другое дело пытаться заинтересовать студентов. И хотя в обоих случаях обучение идет не на свои (либо на деньги работодателя, либо на деньги родителей), разница все-таки ощутима.

Еще я был в шоке от бюрократии :-) Подготовить учебный план - это тот еще квест. Хорошо что я попал в госпиталь и был лишен этого счасться, сразу перейдя к обучению после выхода из больничной палаты. Учитывая не самую высокую зарплату (преподавателям же платят почасовую ставку и время подготовки, которое может быть на порядок длиннее самой лекции, не засчитывается), я преподавателей ВУЗов стал ценить еще больше (разумеется, если они не рассматривают свою работу как провинность и не просиживают просто штаны). Кстати, когда я читал лекции по программе MBA (тоже вечерами или в выходные дни) в РАНХиГС меня удивляло, почему преподаватель получает так мало денег. Люди платят по 150-300 тысяч, а зарплата преподавателя невысока. А тут, посетив Cyber Day в Сколково, я вспомнил Илью Пономарева, который за 10 лекций в Сколково получил 750 тысяч долларов. Почему он может получать такие деньги, а преподаватель по ИБ - нет? Странно, очень странно :-)

Но вернемся к обучению в МГУ (хотя некоторые мои коллеги считают, что это профанация и настоящей ИБ учат только 2-3 ВУЗа в стране, а в МГУ только 2-3 факультета и ВШБ МГУ в их списке не числится и не может, так как это детский сад). Когда я узнал о зачете, я на некоторео время впал в ступор. То ли поставить зачет всем автоматом, следуя принципу "чем меньше студент знает, тем больше у меня перспектив, как у специалиста", то ли поглумиться над студентами, как они надо мной 20 лет назад? В любом случае вопрос о том, как принимать зачет, ставил меня в тупик. Я даже старших товарищей об этом спрашивал. Потом мне пришла в голову банальная идея - дам бизнес-кейс и пусть решают. В качестве примера взял сам факультет, который проводит обучение по программам бакалавриата и магистратуры, MBA и Executive MBA, и предложил 18-ти своим студентам билеты с 18-тью вопросами:

  1. Перечислите стейкхолдеров ИБ для ВШБ МГУ?
  2. Перечислите угрозы ИБ для сайта ВШБ МГУ
  3. Что является объектом защиты в ВШБ МГУ?
  4. Какие особенности ИБ в ВШБ МГУ по сравнению с предприятием, на котором вы работаете (если работаете)?
  5. Кто представляет угрозу для ВШБ МГУ?
  6. Каковы могут быть бизнес-последствия в результате взлома сайта ВШБ МГУ?
  7. Какое законодательство по ИБ может распространяться на ВШБ МГУ?
  8. Ректор ВШБ МГУ отказывается инвестировать в ИБ. Что вы ему возразите?
  9. Какие доводы вы будете использовать, чтобы заручиться поддержкой руководителя международных программ ВШБ МГУ при получении инвестиций на ИБ?
  10. Как вы думаете, легко ли будет в ВШБ МГУ внедрить процессный, формализованный подход по ИБ? Обоснуйте
  11. Какие потребности в ИБ могут быть у ВШБ МГУ?
  12. В какой ИБ заинтересованы студенты ВШБ МГУ?
  13. Служба ИБ ВШБ МГУ не смогла защитить персональные данные студентов и они утекли в Интернет. Какие действия надо предпринять в первую очередь и почему?
  14. Проведите SWOT-экспресс-анализ ИБ в ВШБ МГУ.
  15. Что проще, посчитать отдачу от инвестиций в ИБ в ВШБ МГУ или оценить удовлетворенность студентов от уровня ИБ в ВШБ МГУ? Обоснуйте свой вывод.
  16. Вы встретили декана ВШБ МГУ в лифте главного корпуса МГУ. У вас есть 1 минута, чтобы объяснить ему, почему ему важно подумать об ИБ в ВШБ МГУ.
  17. Сайт ВШБ МГУ взломали. Ваши действия?
  18. Каковы могут быть бизнес-последствия в результате утечки списка студентов и выпускников ВШБ МГУ?
Никакой техники (почти) - все в рамках рассмотренных в курсе тем. Получил в итоге очень интересные письменные ответы, которые все вместе и после небольшой доработки представляют собой полную картину ИБ в ВШБ МГУ с точки зрения бизнеса. Если бы я устраивался на работу в ВШБ МГУ в качестве CISO, то у меня была бы уже готовая программа выстраивания взаимоотношений с бизнесом и обоснования перед ним необходимости инвестиций в ИБ.

Надо признать, что студенты, если не считать некоторой безалаберности, нежелания думать и надежды проскочить на халяву, справились со своими заданиями. Хотелось бы думать, что это моя заслуга :-) Могу предположить, что если студенты, плохо знакомые с ИБ и бизнесом, смогли ответить на поставленные вопросы, то и матерые безопасники смогли бы. И это в пух и прах разбивает тезис о том, что ИБ нельзя рассматривать как бизнес-функцию, а только как торговлю страхом.

Вот такой интересный эксперимент, который позволил мне не только получить новый опыт, но и привел к обновлению материалов по описанной выше тематике, сжатых в небольшие презентации (200 слайдов на лекцию - это же немного :-)

7 коммент.:

Igor Muzal комментирует...

вот еще бы сами презентации в открытый доступ :-)

Алексей Лукацкий комментирует...

В той или иной степени они уже выкладывались :-)

Target комментирует...

Советы "бывалого преподавателя":
1. Самая простая и действенная форма зачета - "покажи лекции". Писал, значит что-то запомнил.
2. Поэтому презентации и готовые лекции ни в коем случае нельзя давать студентам, за исключением инициативных, которые действительно хотят получить знания и могут сами все прочитать и понять. Им собственно и аудиторные занятия не нужны. Только ответы на дополнительные вопросы. Но в моей практике их было не много: 1 группа и отдельные личности (например, Сергей Борисов, почти вся группа была активной и многие в ИБ работают).
3. Проверить знания на полиграфе. Шутка, но работает. Сам не знает, что знает.

Алексей Лукацкий комментирует...

Мне не нужны их лекции, мне нужны их понимание услышанного :-) И презентации я не вижу смысла держать в секрете - записывать за мной и так тяжкий труд :-)

p.a.kulikov комментирует...

"Записывать за мной и так тяжкий труд" - О, да!!!

SSTU IBS комментирует...

Последний вопрос "Каковы могут быть бизнес-последствия в результате утечки списка студентов и выпускников ВШБ МГУ?" не совсем корректен. Дело в том, что вузы и так выкладывают на сайт списки зачисленных студентов, и приказ о зачислении.

Алексей Лукацкий комментирует...

Список студентов включает в себя не только ФИО и год рождения, но и другую информацию, включая платежеспособность. Кроме того, есть еще списки выпускников в вопросе, а у ВШБ МГУ они достаточно состоятельные люди