11.12.18

Какой крест по ИБ вам нести на своих плечах?..

Тупил я вчера в пробке и родилась у меня интересная аналогия с тем, что сейчас происходит в области нехватки хороших специалистов по ИБ. Ну и отчасти вчерашняя заметка про кругозор безопасника тоже добавила парочку идей, которые я и решил выплеснуть на страницы блога.

Итак, выпускник по специальности ИБ, пришедший на реальную работу, схематически выглядит так. Желтым показаны его знания и навыки по ИБ, которые пока мало помогают ему в работе, мешая развиваться и мешая делать что-то полезное для нанявшего его бизнеса.


С течением времени специалист по ИБ накапливает новые знания в своей области, которые он использует в работе или которые лежат в пассиве, но могут быть применены по мере необходимости.


Обратите внимание. Этот специалист крутится в своем соку и не выходит за рамки текущих потребностей. Он не смотрит вперед и не смотрит назад - его заела рутина и на решение творческих задач он почти не способен. Зато он неплохой исполнитель чужих поручений. Иногда, даже дойдя до позиции руководителя того или иного уровня, безопасник остается на том же уровне знаний, что и в начале своего пути.

Если специалист, накапливая знания, нужные в текущей работе, обращается еще и к истории, которая открывает глаза на причины многих событий в нашей отрасли, то схематично его можно нарисовать так. Длина оранжевой стрелки означает глубину погружения в историю ИБ. В зависимости от роли безопасника эта стрелка может быть очень длинной или не очень, но она должна быть в любом случае. Жизнь "здесь и сейчас" интересна, но недолговечна :-(


Многие безопасники старой закалки, кстати, выглядят именно так. Неплохие знания текущей ситуации и багаж исторических знаний. Но полное отсутствие перспективы и понимания тенденций, которые сейчас очень активно влияют на ИБ. А вот молодежь выглядит иначе - неплохое понимание новомодных трендов и технологий, но полное отсутствие знания истории ИБ в России и, как следствие, непонимание происходящих процессов, их причин и следствий. Классический конфликт пиджаков и джинсов (или, как модно, худи :-)


Есть безопасники, находящиеся в центре креста, где их текущие знания ИБ дополняются знанием истории и пониманием тенденций. Надо признать, что таких безопасников немного, - предыдущий вариант встречается чаще - отрасль молодеет.


На самом деле многие молодые безопасники, особенно имеющие опыт программирования, а то и вовсе пришедшие из ИТ, схематично выглядят так (желтым по-прежнему показаны знания по ИБ, а коричневым - по ИТ):


Идеальный же безопасник выглядит так:

Он не только обладает широким кругозором в области ИБ, смотрит в будущее и не забывает оглядываться назад, но и имеет знания в широком круге смежных дисциплин - не только ИТ, но и психологии, социологии, экономике, финансах, маркетинге, юриспруденции и т.п.). Да, это непросто, но по-другому сегодня оставаться профессионалом и развиваться нельзя. Узкие знания нужны для специалистов, занимающихся администрированием средств защиты, но чем выше такой специалист метит, тем шире кругозор надо иметь.

Вот такая аллюзия родилась в пробке... Иногда это полезно; постоять, подумать... :-)

10 коммент.:

(С) Александр from Sec-Arch комментирует...

Все правильно. Только в реальной жизни идеальные безопасники никому не нужны. Постоянно хожу по собеседованиям, но или нужны еще одни руки для ИТ подразделения (т.н. АИБ) или узкоспециализированные специалисты по какому-либо средству.

arkanoid комментирует...

да как же не нужны. не там смотрите.

(С) Александр from Sec-Arch комментирует...

Видимо просто не умею искать.

Unknown комментирует...

Александр, в зависимости от организации и её цели, нужны специалисты различного рода. У нас в организации существует задумка создания ультрабойцов, которые "и жрец, и жнец...". Вся беда в том, что далеко не все ультрабойцы согласны работать за зарплату обычных специалистов. К тому же, чем больше кругозор, тем меньше погруженность в каждую из областей. Все тонкости каждого направления не охватить.

Алексей Лукацкий комментирует...

Mikhail: бОльший кругозор нужен на более высоких позициях.

(С) Александр from Sec-Arch комментирует...

К сожалению, по опыту, более высокие позиции как раз таки и занимают совершенно некомпетентные специалисты, которые занимают должности по блату. За 18 лет моей карьеры в ИБ встречались исключения - единицы.

Алексей Лукацкий комментирует...

Shit happens, как говорилось в фильме "Форрест Гамп"

Ржавский Константин комментирует...

Алексей, думаю в Ваших раздумиях и иллюстрациях допущена очень важная методическая ошибка, стрелочки на определенных рисунках должны быть в обе стороны, иначе рецессия и профсмерть! Важна не "С течением времени специалист по ИБ накапливает новые знания в своей области...", а постоянное самообразование и дружба со здравым смыслом. Многие забываю об этом и останавливаются в развитии + переход на безусловное выполнение инструкций (порой лишенных, как научного обоснования, так и логики) и отсюда все беды!

Алексей Лукацкий комментирует...

Не совсем понятно, почему без стрелок внутрь начинается рецессия

Unknown комментирует...

Алексей, браво, отличная утилизация времени в дороге, сам постоянно пытаюсь не терять его зря.Теперь, по сути, в начале 90-х когда начинался процесс автоматизации, в нынешнем понимании ее смысла, у многих было представление, что придет ИТ специалист с хорошей программой и научит бухгалтеров бухгалтерии, диспетчеров управлению, плановиков планированию. Потребовалось достаточно много времени и такта, чтобы объяснить, ИТ только инструмент, "бардак" автоматизировать невозможно, сначала процессы, потом автоматизация, неважно о чем идет речь. Занимаясь ИТ в энергетике больше 20-ти лет, меня готовы были взять зам. главного бухгалтера, зам. главного диспетчера, был опыт работы главным инженером энергосбыта и директором по договорной работе. То же самое, в принципе, сейчас происходит со специалистами по информационной безопасности, ИБ, как ИТ это сервис, в отличии от основной деятельности, надо осознать, что те кто хотят заниматься "чистой" информационной безопасностью, должны идти не на предприятия, а в надзорные органы или компании сфокусированные на расследованиях киберинцидентов. Остальным надо изучать процессы, которые предполагается защищать, формировать реальные модели угроз, в разрезе этих процессов и исходя из этого формировать технические решения, которые будут полезны как с точки зрения ИБ, так и с точки зрения надежности прикладного процесса. Из этих людей надо выделять стратегически мыслящих специалистов, которые смогут отслеживать общемировые тренды и их применимость для конкретной области. Технологии меняются так быстро, что рецессия начнется на следующий день, после того, как запустится проект по внедрению н
на следующий день после внедрения новомодной прикладной фичи, еще не осмысленной специалистом по ИБ, гарантировано возникнут новые вектора угроз и система ИБ к ним будет не готова.