На Хабре и других профильных ресурсах все чаще появляются шпаргалки по прохождению собеседования на должность специалиста по информационной безопасности. Из той же серии разборы резюме, отчеты со стажировок, построение индивидуальных планов развития и много чего ещё. А ведь стоит копнуть поглубже и обнаружим, что начать карьеру безопасника, прокачать теорию и попрактиковаться в сфере ИБ… проще всего в вузе. Должно быть проще.

По нашим наблюдениям, базовых университетских знаний для старта карьеры в ИБ недостаточно. Но не стоит сдаваться. А что ещё необходимо сделать студенту, который хочет в ИБ? Каковы реалии трудоустройства? В статье поделимся мнением о том, как может выглядеть путь выпускника-кибербезопасника и почему оффер — это только начало.

Как обстоят дела с образованием в сфере ИБ

Отправной точкой при найме остаются вопросы прикладного характера — рекрутер обязательно смотрит на диплом о профильном образовании, тем более если у кандидата ещё нет практического опыта. Это важно, потому что HR перед собеседованием может ознакомиться с пожеланиями руководителя ИБ-направления: над чем будет работать команда, какие профильные предметы обязательно должны быть. Иногда будущий тимлид дает вполне конкретные рекомендации по набору из определенных вузов, поскольку «держит руку на пульсе». В Бастионе, например, есть список дисциплин, зачеты по которым мы хотим видеть у кандидата. У нас даже есть статья о том, чем можно усилить резюме.

Далеко не каждый вуз может похвастаться реальной возможностью подготовить студента к тому уровню, который задают ИБ-компании, но мотивированный абитуриент найдет способ получить качественное образование. Например, можно:

  • Пойти учиться в вуз с ИБ-кафедрой. Руководство большинства таких учебных заведений старается ориентироваться на тенденции, которые задает рынок. Программы составляют с упором на практику и стажировки, студенты выезжают на независимые квалификационные экзамены и конференции, вуз организует партнерства с компаниями, которые заинтересованы в кадрах. 

  • Учиться и писать курсовую у преподавателей-практиков. Когда обучение проходит под руководством действующих сотрудников ИБ-компании, выигрывают все. Студент получает четкое видение «А как оно на самом происходит», преподаватель прокачивает свои soft skills, а компания первой узнает о талантливых выпускниках.

  • Получить приглашение на стажировку. Идеальный вариант, когда студент проходит стажировку в компании, которая потом его и наймет, но бывает по-разному: например, прямо сейчас нет вакансии, и человека не могут взять в штат. Здесь важен сам факт работы в реальной организации и опыт, который выпускник может получить: тот, кто готов расти и обучаться извлечет из стажировки много пользы. Мы и сами когда-то стажировались, а теперь развиваем такую программу внутри компании, так что знаем о чем говорим. Опыт нашей компании показал, что можно успешно привлекать студентов на такие программы.

В каждом случае абитуриенту придется потратить время и силы на самостоятельный ресерч: посмотреть на то, что заявлено на странице вуза, поискать отзывы бывших выпускников. Не лишним будет и проверить информацию на сайтах ИБ-компаний — некоторые вполне открыто рассказывают о том, как ведется работа со студентами.

С чего стоит начать учиться?

Если абитуриент решил выбрать профессию, связанную с защитой информации, его ждет хорошая новость: в вузах повышены квоты на бюджетные места, а на ИБ-профессиях сделан особый акцент. Перечислим несколько направлений с привязкой к конкретным вузам Москвы и подразделам по классификатору:

Специалитет

Бакалавриат*

Магистратура

10.05.01 Компьютерная безопасность

10.05.02 Информационная безопасность телекоммуникационных систем

10.05.03 Информационная безопасность автоматизированных систем

10.05.04 Информационно-аналитические системы безопасности

10.05.05 Безопасность информационных технологий в правоохранительной сфере

10.03.01 Информационная безопасность

10.04.01 Информационная безопасность

Поступить на эти направления на бюджетной основе можно в следующих вузах:

  • МГТУ имени Баумана работает только с программами специалитета. Студенты попадают на факультет «Информатика и системы управления».

  • МИРЭА, причём у абитуриентов есть выбор между Институтом кибербезопасности и цифровых технологий и Институтом искусственного интеллекта;

  • Губкинский университет, в котором работает учебно-тренировочный центр подготовки специалистов по противодействию компьютерным атакам на ТЭК. Также тут есть факультет комплексной безопасности топливно-энергетического комплекса.

  • МИФИ, в котором абитуриенты получают специализацию по распределению.

  • НИУ ВШЭ с обучением студентов в Московском институте электроники и математики по проектной практико-ориентированной программе.

  • Московский политехнический университет с зачислением по конкурсным спискам на факультет Информационных технологий по программам бакалавриата и магистратуры.

  • МИЭТ с практико-ориентированной программой обучения и стажировкой Научно-техническом центре «Техническая защита информации», на базе которого развернута аттестованная лаборатория «Специальных проверок и специальных исследований».

Итак, предположим, вы закончили один из выбранных вузов и получили заветный диплом. Время устраиваться на работу! Или нет? Зачастую так получается, что выпускнику чего-то, да и не хватает для оффера.

* С 2025 года бакалавриат в России планируют заменить на высшее и высшее специализированное образование, после которого можно будет перейти на магистратуру бесплатно. Для поступающих сразу на магистратуру сроки обучения тоже изменятся и составят от года до трех лет, в зависимости от направления подготовки и специальности.

Чего не хватает выпускникам

Дефицит кадров на рынке ИБ и рост специализации, количества направлений работы в отрасли, привели к повышению спроса и на опытных, и на начинающих сотрудников: за прошлый год число вакансий выросло на 27%. Вместе с тем растёт и количество возможностей повысить квалификацию или «зайти в ИБ». Увы, к качеству остаются вопросы — учебный материал может устареть даже там, где идет упор на мощную теоретическую базу.

Проблема не столько в нехватке специалистов, сколько в том, что у соискателей не хватает нужных компаниям знаний. На эту проблему можно взглянуть с двух сторон.

Завышенные ожидания у компаний

Если в штате нужны безопасники с узкой специализацией, их можно «взрастить» только внутри компании или переманить у конкурента. Редко какая команда сможет получить такие кадры, закинув невод в поток выпускающихся ребят: нужных соискателей среди выпускников с высокой долей вероятности попросту не будет. Когда программы обучения формально соответствуют нужным критериям, кажется, что все в порядке, но на практике выпускники часто сталкиваются с недостатком глубоких знаний и практического опыта. 

Информационная безопасность — это область, которая постоянно развивается, поэтому специалисты должны быть готовы к регулярному обучению и стажировкам, самосовершенствованию после окончания вуза. Важно, чтобы программы обучения в области информационной безопасности были ориентированы на реальные кейсы, а студенты имели мотивацию на практику вне учебного заведения.

Нехватка ресурсов в вузах

Даже если бизнес рассчитывает получить крепких «середнячков», он столкнется со студентами с устаревшим, практически оторванным от реальности взглядом на сферу ИБ. Почему так происходит? У вузов не хватает сил и ресурсов на нормальные СЗИ, приближенные к реальной инфраструктуре компаний. 

Нет стендов для тренировки навыков → нет практики → нет кейсов.

Недостаток ресурсов в университетах — серьезная проблема, которая влияет на качество подготовки специалистов в области ИБ. Без доступа к системам защиты информации и инфраструктуре, к современным технологиям и методикам защиты студенты лишаются опыта, который имеет большое значение в их будущей карьере. Выпускникам часто не хватает понимания современных технологий ИБ, знаний о техниках и тактиках злоумышленников, практики на полигонах. Силами вуза соблюдение этих условий обеспечить очень сложно.

История нашего коллеги из его студенческого прошлого: 

Фокус в обучении специалиста по информационной безопасности давно сместился с заполнения бесконечных журналов и изучения основ СТР-К. Но некоторые университеты по-прежнему акцентируют внимание студентов на ГОСТах, стандартах, базовых основах и так далее. При этом стороной обходят современные тенденции в виде SIEM, IPS/IDS, логировании, форензике. Обратная история возникает на курсах, когда преподают то, в чем разбираются набранные наскоро эксперты, а не то, что актуально на рынке. Например, безопаснику дают много программирования, C#, C++, python, но все задачи нацелены на выполнение математических лаб, а не автоматизацию в ИБ или анализ кода на наличие бэкдоров. 

Фото со времен учебы. Помните, что это?
Фото со времен учебы. Помните, что это?

Подводные камни курсов 

Кажется, что такой средой могли быть стать дополнительные курсы. Спикеры здесь не связаны жестким NDA с компанией, делятся наработками из собственной практики, да и студенты могут выбрать любое интересующее их направление. Однако есть несколько неочевидных проблем:

  1. Теоретический материал курса формируется под лектора: если спикер всю профессиональную жизнь занимался хакингом, он не сможет рассказать о практической стороне противодействия атакам.

  2. Не каждый методист понимает, кто такой ИБ-специалист, и кем должен стать слушатель курса по итогу.

  3. Большинство курсов по ИБ — это курсы по хакингу, компьютерным сетям или теоретическим основам информационной безопасности. Такие курсы довольно однобоки, дают мало практических навыков, и часто приводят к бессмысленной трате времени студента.

  4. На курсах могут пообещать, что студенты познакомятся с практическими инструментами и самостоятельно научатся решать реальные задачи ИБ-специалиста. Но вся практика сводится к дипломной работе под видом пет-проекта, который даже не всегда можно включить в резюме. 

Получается, что и здесь всё сводится к тому, насколько качественно проходят практические занятия, кто их ведёт. Подходы к обучению при этом могут быть разными, среди эффективных можно выделить метод «70-20-10». Он предполагает, что 70% времени обучения уделено практическим задачам, 20% времени — менторству и стажировкам, а оставшиеся 10% уходят на изучение теории. Но, кажется, вузы не могут себе позволить подобный подход, а организаторы курсов не очень-то мотивированы что-то менять. А бизнес?

Меняющиеся условия на рынке требуют от компаний оптимизации ресурсов. При этом необходимость переквалификации или дополнительного обучения текущих команд тоже никуда не делась. Нужны эффективные инструменты корпоративного обучения и компании — как раз та «среда», которая может экспериментировать с подходами, подстраиваться под условия, чтобы растить таланты.

Поинт для компаний: посильный вклад в образование 

Существует такая точка зрения: зачем вузу в целом тратить ресурсы на развитие описанных выше векторов обучения? Компании хотят получать более подготовленные кадры — вот пусть этим и занимаются. Количество атак на российские информационные системы растет год к году, и бизнесу некуда деваться: придется вкладываться в образовательный процесс, формировать тренды в обучении. Можно привлекать практикующих сотрудников к ведению лекций, стажировкам, менторству, оформлять квоты на целевое обучение. Такое дополнение классической программы обучения дает выпускникам преимущество при трудоустройстве по сравнению с теми, кто «грыз гранит теории» без подобных вкраплений. Однако получение оффера — это лишь начало: перспективному сотруднику придется совмещать работу и дальнейшее обучение, чтобы догнать коллег в знаниях и компетенциях.

Поскольку мы говорим о выпускниках вузов, сотрудничество с учебными заведениями — первоочередная задача бизнеса. Польза от нововведений, предложенных корпорациями, уже видна на примерах функционирующих кафедр ИБ: ИУ10 «Защита информации» в Бауманке, в МИРЭА, в МИФИ, в Губкинском университете. 

Многие кафедры этого направления создавались для нужд государства. Стране требовались специалисты с соответствующим допуском и знаниями. Как следствие, двадцать-тридцать лет назад в образовательном процессе никак не затрагивались темы защиты информации в коммерческом секторе. С развитием бизнеса вектор немного изменился: компаниям тоже стали требоваться специалисты подобного профиля, обладающие нужной квалификацией. Возникла патовая ситуация: студенты выпускались и уходили по целевому набору, но вузам не хватало понимания, в каком направлении нужно двигать образовательный процесс, чтобы выпускники были интересны еще и рынку. 

Коллаборация бизнеса и университетов в дополнительном обучении студентов привела к появлению «частных кафедр». В последние 3-4 года вузы чаще привлекают к преподаванию практикующих специалистов, организовывают для учащихся практико-ориентированные курсы. Нельзя сказать, что объем теоретической подготовки сильно уменьшился, но теперь во главе угла именно практика. Работодатель будет смотреть на реальные умения выпускника. Задача студента здесь и проста, и сложна в одно и то же время: смотреть, какие компании сотрудничают с вузами, и что они спрашивают у соискателей. 

Государство со своей стороны пытается контролировать процесс: до 2024 года абитуриент сам должен был найти заказчика обучения, заключить с ним типовой договор и прийти в приемную комиссию. С 1 мая 2024 года в силу вступил новый закон: теперь подписать бумаги можно будет только после зачисления. К тому же появилось ограничение в виде максимального срока отработки по целевому набору — 5 лет. Еще одно новшество касается прозрачности подачи заявок и поиска предложений от потенциальных работодателей: закон предусматривает публикацию предложений от всех заказчиков на единой платформе «Работа в России». Предполагается, что абитуриент будет знать, в каких вузах и на каких специальностях можно отучиться, какие требования к результатам учёбы будут предъявлены и как связаться с целевым заказчиком.

Реальные шаги работодателя, чтобы помочь образовательному процессу 

Основная задача рекрутера состоит в том, чтобы заполучить сотрудника, который готов расти и развиваться. Можно предоставить кандидату понятную дорожную карту развития навыков, но без его желания, сдвинуться с места в этом процессе не выйдет. Мотивацией могут выступать деньги, профессиональный престиж, желание наработать опыт и повысить грейд. А сейчас на выходе нередко получаем две категории выпускников: супер-мотивированные ребята, которые имеют несколько предложений от компаний и те, кто получил мощную теоретическую, но не профильную подготовку. И хорошо, если она не устарела. Как вы понимаете, за вторых нанимают с чуть меньшим рвением. 

Если бизнес все равно вынужден тратить ресурсы на обучение нового сотрудника, почему бы не попробовать взяться за это дело еще раньше? Попытка вплотную подойти к вопросу показывает, что смэтчить интересы компании и выпускника проще всего на 4-5 курсе. Начало производственной или преддипломной практики — старт «сезона охоты». Представьте, как все может повернуться:

  • Практические семинары и лабораторные работы под руководством практикующих безопасников дадут студенту понимание вектора, в котором можно двигаться;

  • Длительная стажировка и полученный практический опыт — расскажут о компании гораздо больше, чем безликое описание вакансии;

  • Неформальное общение с будущими коллегами позволит увидеть, чем живет компания, с какими задачами имеет дело — NDA не мешает обрисовать кейсы в общих чертах.

Ресурсы на «апгрейд» выпускников окупаются дважды. Компания вносит существенный вклад в скиллы новичков, а опытные сотрудники качают софты. Далеко не каждый специалист может стать хорошим ментором или наставником, но если уж компании повезло заполучить такого, стоит задействовать его на максимум.

Согласно отчету Future of Work Research:

  • 83% сотрудников чувствуют себя счастливее на работе, когда делятся знаниями и помогают другим.

  • 61% людей не могут легко найти информацию, необходимую для эффективного выполнения своих обязанностей.

  • 1 рабочий месяц в год уходит у сотрудников компании на поиск информации.

  • Более половины сотрудников уходят с работы из-за того, что у них нет доступа к знаниям, которые необходимы для работы.

Почему студенты должны стараться

С точки зрения кадров, войти в ИТ легче, чем войти в ИБ. В ИТ-сфере есть вполне понятные прикладные дисциплины, для которых достаточно даже общих технических навыков, а безопаснику без профильного образования никуда. Можно тянуть сети, подглядывая, как там у коллег, и даже спокойно кодить, наблюдая за практическим выхлопом на пет-проекте, но вплотную подойти к реальным СЗИ в коммерческой или государственной компании без соответствующего допуска и практики не выйдет. 

Базовое образование специалиста по информационной безопасности предполагает понимание того, как устроена сфера информационных технологий. Несмотря на дефицит ИБ-кадров, далеко не всех студентов расхватывают как горячие пирожки. Берут тех, кто готов развиваться и расти. И здесь как никогда актуален принцип lifelong learning. Вчерашние студенты просто не могут успеть за быстрым развитием киберугроз без менторства со стороны более опытных будущих коллег или преподавателей. Мир слишком быстро меняется и требует постоянного обновления навыков и знаний.

Кроме того, некоторые выпускники не до конца осознают, зачем им прикладывать такие усилия. Одна из стратегий — устроиться на работу и спустя год-два начать поиск нового места. Представление о том, что так можно прокачать свою экспертизу или насмотренность, обманчиво. На самом деле, это бег на короткую дистанцию. Да, поначалу зарплата может быть выше, потому что рынок зарплат растет быстрее, чем зарплаты индексируются в компаниях. Но с точки зрения квалификации, такой сотрудник меньше интересен бизнесу. Набегавшись по 3-5 компаниям он приобрел разве что опыт в том, как пережить онбординг.

Вот почему с получением оффера все только начинается: новички быстро понимают, что конкуренция за таланты на рынке — прямой путь к росту их востребованности. Если выпускник хочет быть интересен компаниям, он вынужден строить собственный путь обучения, работать со своей мотивацией и не бросать учебу на полпути, верно оценивая свои сильные стороны. В таком случае повышение квалификации будет восприниматься как нормальный этап развития карьеры. Для этого пригодятся несколько советов:

  1. Не ставьте слишком высокие ожидания от себя в процессе обучения, в противном случае это может привести к стрессу и даже к потере мотивации.

  2. Сосредоточьтесь на темах, которые вам действительно интересны, чтобы облегчить процесс понимания новой информации.

  3. Подходите к обучению плавно, без перегрузок, и обращайте внимание на свое эмоциональное состояние.

На финишной прямой

Симбиоз бизнеса и вузов приводит к хорошим результатам: создаются кафедры, происходит более «плотная» коммуникация между выпускниками и практикующими специалистами. Такой обмен опытом улучшает ситуацию на рынке труда, хотя до идеала еще далеко.

Лучше, чтобы и за пределами найма, еще до оффера, у кандидата было понимание того, как и куда он может двигаться. Если такого понимания нет, существуют хорошие практики в виде менторства и наставничества. 

  • Если хотите выбрать профессию специалиста по информационной безопасности, рассчитывайте не только на базу, которую дает вуз. 

  • Ищите программы стажировки в компаниях, которые задают тренды на рынке, проявляйте инициативу. Иногда в открытом доступе нет информации об открытых вакансиях, но можно попробовать написать на почту рекрутера и узнать о будущих мероприятиях, условиях стажировки.

  • Следите за блогами отдельных ИБ-компаний, или за профильным хабом. Читайте статьи практиков и отслеживайте информацию об отраслевых мероприятиях и конференциях.

Можно постучаться к нам. На момент публикации этой статьи Бастион как раз ведет набор на летнюю стажировку. Ищите подробности в новости на Хабре или группе VK.

Комментарии (2)


  1. kovalensky
    05.06.2024 04:51
    +1

    Все профессионалы самоучки, да ещё для ИБ эксперта это правило постоянно действует


  1. AlexUl
    05.06.2024 04:51
    +2

    Приятно видеть что появляется больше контента для привлечения "свежей крови" в ИБ.

    Не увидел в статье некоторых, на мой взгляд важных моментов:

    • Сфера информационной безопасности очень широкая. Набор знаний и навыков АИБа и Пентестера в прикладном применение мало в чем пересекается. А рядом еще есть специалисты по НПА и бумажной безопасности, аналитики и операторы в SOC, форензика, инженеры-настройщики и еще тележка разных направлений развития. Абитуриенту будет крайне полезно определиться куда он хочет двигаться дальше на самых первых курсах, еще не вовсе до поступления в ВУЗ.

    • Зарплаты в ИБ тоже крайне неоднородны. По личным ощущениям, надо бы где-то поискать релевантную статистику, первые года три работы лучше не рассчитывать на высокие зарплаты. "Прыгать" между работодателями в поисках вкусного оффера вряд ли даст такой же результат как в остальном IT, да и может привести к не самым приятным последствиям, о чем еще упомяну ниже.

    • Работа в сфере информационной безопасности связана с доступом к чувствительной информации. Даже если не брать зафиксированные NDA, в организации может присутствовать много процессов, ресурсов и данных, которые не регламентируются, но их разглашение за пределами может привести к негативным последствиям. Так что работодатели более пристально рассматривают "зеленых" кандидатов, оценивая на сколько его погружение в процесс может навредить, а те кто "прыгает" между работами, для поиска места поудобней, вызывают еще больше вопросов.

    • От предыдущего пункта и не самое большое кол-во стажировок у организаций. Мало того что на подготовку программы стажировки в ИБ нужны значительные ресурсы (временные/человеческие), так еще и нужно придумать как сделать так, чтобы стажер был полезен, но после окончания стажировки, если не будет принят в организацию, не ушел с какой-нибудь чувствительной информацией.

    • Сроки проектов в ИБ больше чем в разработке. По это причине работодатель, ищущий кандидатов в новообразованный отдел ИБ или строящийся SOC, рассчитывает на то что кандидат проработает хотя бы пару лет, так как менять людей "в процессе" будет сложно. Но и в уже уставившихся отделах ИБ онбординг сотрудников может занимать месяцы и выходить за пределы испытательного срока.

    • ИБ это часть ИТ. Не везде, тенденция меняется, но такая ситуация продолжает встречаться. При таком раскладе бюджет в организации распределяется на ИБ "по остаточному принципу", что сказывается на используемом инструментарии и зарплатах сотрудников отдела ИБ.

    • Начал с того, что ИБ широкая сфера, а завершу обратным тезисом: в большинстве направлений специалиста ИБ есть две дисциплины которые так или иначе будут необходимы - нормативка и сетевка. И если погружение в нормативку от направления к направлению может сильно меняться, то сетевка будет востребована везде. Так что если абитуриент рассматривает свой карьерный путь в ИБ, то стоит обращать внимание на ВУЗы где отдается много внимание сетевым технологиям.

    Ну и под конец, приятно что в статье были перечислены ВУЗы в которых есть стоящие внимание направления подготовки, но это же все Москва, где региональные ВУЗЫ? =)