О проблемах в высшем образовании к данному моменту высказались бывший студент, школьник, преподаватель, работодатель и представитель ВУЗа (может быть к моменту публикации выскажется еще-кто). Но в большинстве статей говорилось о том, насколько тяжело получить студенту знания. Но положим студент получил их тем или иным способом — сам или с помощью ВУЗа. Вышел в свет — и вот тут начинается самое интересное. К той ли деятельности он готовился? Соответствует ли комплекс его навыков требованию успешной карьеры в ИТ?
По роду деятельности мне приходится выступать перед студентами и уже состоявшимися специалистами (в вузах и на конференциях), участвовать во встречах с потенциальными заказчиками, на которых обсуждаются вопросы внедрения систем защиты. Большинство с кем приходится встречаться — состоявшиеся технические специалисты, как правило хорошо разбирающиеся в ПО (хотя конечно бывает всякое). И при этом постоянные жалобы на то, что они не могут продвинуть проект — или в компании несмотря на установленную защиту происходят некие инциденты.
Начнем с диалога с бизнесом.
Готовы ли скажем недавние выпускники вузов провести презентацию перед директорами компании или сотрудниками? Могут ли они представить выигрышные стороны проекта?
Так получается, что учась в вузе будущий системный администратор постигает основы работы с ПО и железом. Но устроившись на работу он становится в большинстве случаев ответственным за все, происходящее в компании. Закупка всего и вся, участие в переговорах, консультации руководства и отстаивание перед ни же необходимости модернизаций и внедрений. Деятельность во многом менеджера, руководителя проектов. А готов ли вчерашний студент к тому, что он будет не только администратором или безопасником, но и менеджером? Возможно даже — в первую очередь менеджером, организующим самые разные стороны деятельности, связанные с ИТ?
Необходимость обучения пользователей, основы работы в команде, основы переговоров и тд и тп — знают ли это бывшие студенты? Руководители отрасли много говорят о том, что стране необходимы легионы программистов. Но почему-то очень редко говорят, что необходимы самые разные менеджеры — руководители проектов. Да, естественно статей и книг на эту тему достаточно — но насколько эта тема востребована тем, кто обучается на программиста или безопасника?
В итоге мы имеем стон Ярославны на тему «бизнес не понимает». Естественно не понимает. Ему говорят на птичьем языке технаря.
И тут пожалуй место для цитаты:
Как правило верного ответа не дают никогда.
К чему я привел данный пример? ВУЗ должен учить думать. Выпускник института или университета должен не просто применять шаблон, а понимать почему он делает так, а не иначе.
Цитата из одной публикации:
Еще одна проблема — процедуры. Мне часто приходится читать введения в анализ инцидентов безопасности. Поэтому еще один типичный пример:
Обычно в зале установили процедуры порядка двух человек. Иногда никто. То есть несмотря на пропаганду всяких ИТИЛов и наличие отличных стандартов по анализу инцидентов — процедуры не налаживаются. Проблемы решаются по мере возникновения. Правильно ли это? Вряд-ли
Ну и в завершении о ВУЗах и бизнесе. Очень много говорится о том, что бизнес должен помогать обучению. Очень часто после завершения выступления ко мне подходят представители различных ВУЗов, благодарят за интересные сведения и интересуются возможность сотрудничества. Как вы думаете — сколько ВУЗов связались по данному вопросу сами, не ожидая запросов со стороны вендора и сколько из них не пропали после первого письма?
По роду деятельности мне приходится выступать перед студентами и уже состоявшимися специалистами (в вузах и на конференциях), участвовать во встречах с потенциальными заказчиками, на которых обсуждаются вопросы внедрения систем защиты. Большинство с кем приходится встречаться — состоявшиеся технические специалисты, как правило хорошо разбирающиеся в ПО (хотя конечно бывает всякое). И при этом постоянные жалобы на то, что они не могут продвинуть проект — или в компании несмотря на установленную защиту происходят некие инциденты.
Начнем с диалога с бизнесом.
Готовы ли скажем недавние выпускники вузов провести презентацию перед директорами компании или сотрудниками? Могут ли они представить выигрышные стороны проекта?
Так получается, что учась в вузе будущий системный администратор постигает основы работы с ПО и железом. Но устроившись на работу он становится в большинстве случаев ответственным за все, происходящее в компании. Закупка всего и вся, участие в переговорах, консультации руководства и отстаивание перед ни же необходимости модернизаций и внедрений. Деятельность во многом менеджера, руководителя проектов. А готов ли вчерашний студент к тому, что он будет не только администратором или безопасником, но и менеджером? Возможно даже — в первую очередь менеджером, организующим самые разные стороны деятельности, связанные с ИТ?
Необходимость обучения пользователей, основы работы в команде, основы переговоров и тд и тп — знают ли это бывшие студенты? Руководители отрасли много говорят о том, что стране необходимы легионы программистов. Но почему-то очень редко говорят, что необходимы самые разные менеджеры — руководители проектов. Да, естественно статей и книг на эту тему достаточно — но насколько эта тема востребована тем, кто обучается на программиста или безопасника?
В итоге мы имеем стон Ярославны на тему «бизнес не понимает». Естественно не понимает. Ему говорят на птичьем языке технаря.
И тут пожалуй место для цитаты:
Вот тут дыра, тут дыра, а тут просто дырища; поэтому надо проводить регулярные пентесты, нанять Red Team, купить сканер безопасности и анализатор кода, ну и до кучи внедрить WAF с машинным обучением. При этом данные размышления никак не связаны с безопасностью, как ни странно. Отсутствует анализ причин (root cause analysis), которые приводят к плохим последствиям, которые затыкаются различными затычками в виде бездумного применения best practices или покупкой пентестов и WAF.Я не согласен с противопоставлением безопасников и админов, которое описано в статье из которой я взял цитату, но ситуацию она характеризует точно. Типичный пример — конференция или встреча с клиентом. Вопрос — «А зачем в вашей компании используется антивирус?». Ответ может быть от «Вы издеваетесь?» до шквала вариантов. За среднее возьмем вариант:
- Потому что все так делают;
- Потому что требуют регуляторы.
Как правило верного ответа не дают никогда.
К чему я привел данный пример? ВУЗ должен учить думать. Выпускник института или университета должен не просто применять шаблон, а понимать почему он делает так, а не иначе.
Цитата из одной публикации:
Да, там (в ВУЗе) можно познакомиться с людьми… и переконтоваться 5-6 лет. Все. Он не учит деловой этике или нетворкингу… Он не учит учиться, потому что зубрежка — не изучение информации. Он не учит искать информацию/гуглитьНа практике же ладно, что практически никто не читает нормативку и законы, но плохо то, что действия по защиты выполняются шаблонные. Нужна защита от вирусов? Ставим антивирус! Пропустил? Меняем на его конкурента! Да что далеко ходить — звонки по типу «а какие у вас системные требования?» — регулярны. Или времена массовой защиты ПДн. Туча звонков на тему «А ваш продукт сертифицирован на соответствие 152-ФЗ?».
Еще одна проблема — процедуры. Мне часто приходится читать введения в анализ инцидентов безопасности. Поэтому еще один типичный пример:
- У кого в зале за прошедший год были случаи заражения? (обычно процентов 30)
- Готовы ли вы к тому, что у вас будут попытки заражения, в том числе вредоносными программами, которые неизвестны вашей системе защиты? (как правило, согласие)
- Знает ли ваша дежурная смена/секретари, по какому телефону звонить и что делать в случае заражения?
Обычно в зале установили процедуры порядка двух человек. Иногда никто. То есть несмотря на пропаганду всяких ИТИЛов и наличие отличных стандартов по анализу инцидентов — процедуры не налаживаются. Проблемы решаются по мере возникновения. Правильно ли это? Вряд-ли
Ну и в завершении о ВУЗах и бизнесе. Очень много говорится о том, что бизнес должен помогать обучению. Очень часто после завершения выступления ко мне подходят представители различных ВУЗов, благодарят за интересные сведения и интересуются возможность сотрудничества. Как вы думаете — сколько ВУЗов связались по данному вопросу сами, не ожидая запросов со стороны вендора и сколько из них не пропали после первого письма?
Комментарии (5)
third112
10.10.2017 13:13«А зачем в вашей компании используется антивирус?». Ответ может быть от «Вы издеваетесь?» до шквала вариантов. За среднее возьмем вариант:
А можно узнать верный (по мнению автора) ответ?
Потому что все так делают;
Потому что требуют регуляторы.
Как правило верного ответа не дают никогда.
Заранее спасибо.teecat Автор
10.10.2017 13:23Антивирус не может сам по себе гарантировать 100% защиты от вредоносных программ. Это понимают как бы все заказчики, поскольку это логично. Парадокс в том, что если спрашиваешь, что должен делать антивирус — должен ловить 100% вредоносных программ в момент проникновения. Заведомо невыполнимое требование.
Антивирус — часть антивирусной защиты. В системе защиты антивирус может выполнять функции защиты от проникновения известных типов вредоносных программ, выявления еще не поступивших на анализ вредоносных программ по их поведению, а также удаления ранее неизвестных вредоносных программ после поступления обновления
При этом часть данных функций может быть переложена на иные средства защиты. Плюс естественно можно вполне не использовать антивирус — если используются иные средства защиты, компенсирующие его отсутствие
В общем любая защита — это оценка рисков, понимание ограничений и возможностей продукта — и ни не в коей мере не шаблон
sshmakov
10.10.2017 18:04ИБ стала такой отдельной специальностью, лишь косвенно связанной с программированием, системным и сетевым администрированием. И учат ИБ несколько иначе, как правило лучше, чем программированию.
nzeshka
Проблема в том, что сегодня ни ВУЗу, ни бизнесу не нужен разноплановый студент и сотрудник. Им нужен потребитель образовательных услуг и человек приносящий прибыль. ВУЗы борющиеся за попадание в рейтинги штампуют различные акселераторы и стартап инкубаторы не ради реальных проектов, а ради отбивание бюджетов и статистики. Может есть примеры, которые нарушают эти тезисы, но то, что я лично наблюдая последние годы никак иначе не описать.
arch1tect0r
Бизнесу то как раз нужен, но бизнес-бизнесу рознь. Есть две позиции бизнеса:
Вот как раз второй вариант и даёт возможность апгрейдить софт/железо, проводить правильную политику в плане безопасности, как раз они ищут адекватных специалистов.