10.06.2024 03:58
andrettv 0 682 Источник

При всем уважении к недавно рассмотренной NIST NICE, в ней не хватает одного важного элемента — шкалы квалификации. NIST про нее не забыл, но в настоящее время уровни квалификации к компонентам TKS не привязаны. Документ с несколькими вариантами шкал был направлен в Конгресс, который по итогам рассмотрения решил, что в NICE должна быть шкала по образу и подобию уровней ответственности SFIA (Skills Framework for the Information Age), которая, как и NICE является моделью компетенций*.

Уровни ответственности в SFIA
Уровни ответственности в SFIA

SFIA не нуждается в особом представлении:

  • разрабатывалась с 1980-х гг. в Великобритании, официально появилась в 2000-м, в октябре этого года планируется 9-я версия

  • поддерживается энтузиастами из многих стран во главе с фондом SFIA

  • в ряде стран принята в качестве стандарта профессиональной квалификации для ИТ (например, в Австралии)

  • переведена на 13 языков, включая русский

  • бесплатна для некоммерческого использования.

Здесь о SFIA уже писали. Ей посвящены научные труды — вот наиболее фундаментальный от ВМК МГУ о применении в ИБ. Тем не менее, хочу представить вашему вниманию свой вариант перевода этой модели (в котором, надеюсь, немного сгладил шероховатости официального) и главное — недавно появилось сопоставление навыков и уровней SFIA с рабочими ролями ИБ в NICE.

Рабочие роли NICE сопоставлены с уровнями ответственности SFIA
Рабочие роли NICE сопоставлены с уровнями ответственности SFIA

Первое, что бросается в глаза в SFIA – 7 уровней ответственности, по которым можно оценить любого специалиста или руководителя. SFIA проецирует навыки и уровни ответственности на различные профессиональные области, связанные с ИТ, в частности есть следующие представления (views): Цифровая трансформация, Big Data и Data Science, DevOps, Agile, Корпоративные ИТ, Облачная архитектура, ИБ и кибербезопасность.

Представление SFIA для навыков ИБ
Представление SFIA для навыков ИБ

Определения каждого из уровней ёмко олицетворяют поведение, которое демонстрирует человек, чтобы считаться компетентным на этом уровне: следует, помогает, применяет, поддерживает, консультирует, вдохновляет, определяет стратегию. Огромным преимуществом SFIA являются сопоставления навыков с другими фреймворками и сводами знаний (например, NIST CSF, COBIT, ITIL и пр.).

В центре SFIA — опыт: человек обладает навыками или квалификацией на определенном уровне, потому что продемонстрировал их на данном уровне в реальной ситуации вместе с соответствующими личными качествами.

Контекст применения SFIA
Контекст применения SFIA

  • Опыт указывает на способность применять знания и добиваться результатов на практике.

  • Описание навыков в SFIA на разных уровнях связано с опытом, продемонстрированным на этом уровне

Опыт измеряется не временем пребывания в должности, а по факту, например, методом STAR, т. к. «период полураспада» знаний (когда с внедрением автоматизации и ИИ половина полученных знаний в профессии перестают быть актуальными) неуклонно сокращается.

SFIA определяет профессиональные навыки в соответствии с уровнями ответственности. Это наиболее узнаваемый элемент SFIA. Они предоставляют информацию, необходимую для выявления, оценки, внедрения и развития профессиональных навыков.

Поведение как важнейший элемент способностей человека также входит в модель SFIA и может называться по-разному, например, поведенческие или социальные навыки, работоспособность или soft skills. В SFIA принят термин «поведенческие факторы».

Знания являются основой для компетентности. В SFIA подчеркивается, что для эффективной демонстрации любого навыка необходимы знания. Чтобы быть компетентным и эффективным в любой роли, потребуется сочетание общих, специальных и отраслевых знаний.

Знания могут признаваться официальными квалификациями или сертификатами, и все большее число университетских курсов, тренингов, мероприятий и других механизмов для получения знаний сопоставляются с навыками SFIA, обеспечивая их соответствие требуемым профессиональным навыкам. Такой подход повышает возможности трудоустройства получающих эти квалификации.

Каждый уровень ответственности характеризуется в разрезе набора из нескольких т. н. общих характеристик (атрибутов): самостоятельность, влияние, сложность решаемых задач, деловая хватка и знания.

Общие атрибуты SFIA
Общие атрибуты SFIA

Обратите внимание, что общие атрибуты определены не для всех уровней, что логично, т. к. их состав с увеличением ответственности меняется.

По сравнению с другими моделями компетенций SFIA использует довольно гибкий и универсальный подход. Навыки не привязаны ни к отраслям, ни к технологиям и одинаково хорошо подходят как для небольших компаний, так и для крупных корпораций. Оценка уровня ответственности обычно начинается с поведенческих факторов, и только потом переходят к профессиональным навыкам (hard skills), которых в 8-й версии SFIA уже более 120. Описание каждого навыка включает в себя его определение, методические рекомендации по его использованию в рабочих задачах, и описание индикаторов достижения этого уровня.

Пример описания навыка Цифровая криминалистика на 4-м уровне SFIA
Пример описания навыка Цифровая криминалистика на 4-м уровне SFIA

В этих описаниях дается подробное определение того, что значит практиковать навык на каждом уровне. Не все навыки определены для всех семи уровней. Некоторые (например, тестирование, ИТ-инфраструктура, техподдержка) есть только с первого по пятый, — это хорошие кандидаты для старта карьеры в ИБ. Другие (например, защита ПДн или киберриски), наоборот, стартуют с 3-5 уровня, что позволяет гибко планировать дальнейшую траекторию карьеры, увязывая личные интересы с планами и целями компании.

Talent Supply Chain в SFIA
Talent Supply Chain в SFIA

Отправной точкой для использования SFIA может быть решение конкретной проблемы, например, повышения удовлетворенности сотрудников или развитие дефицитных навыков. Применение SFIA может быть распространено и на другие этапы по мере необходимости:

  • Разработка целевой операционной модели и организационной структуры ИБ. Стратегическое планирование персонала (7 ‘rights’: capability, size, location, time, cost, risk, shape). Создание должностных инструкций и ролевых профилей.

  • Подбор и наём с учётом нужных навыков.

  • Расстановка ресурсов в соответствии с навыками. Гибкое и динамическое определение рабочих ролей.

  • Инвентаризация навыков, прогнозирование потребностей в них.

  • Анализ эффективности работы (например, методом 360 градусов), выявление пробелов в навыках, потребностей в развитии смежных или переносимых навыков.

  • Планирование мер по развитию персонала для увеличения кадрового резерва и эффективности работы (7 ‚B’s: buy, build, borrow, bind, bounce, balance, bot), карьерные пути, возможности для роста (upskill, reskill, redeployment), правило 70:20:10, непрерывное обучение).

  • Вознаграждения и компенсации за освоенные навыки; повышение в должности (в связи с повышением профессиональной квалификации).

Работодатели, применяющие SFIA, в описании вакансий просто ссылаются на коды навыков, указывая их требуемые уровни. Учебные заведения в описании программы указывают «улучшение навыка X с уровня Y до уровня Z» (с подтверждением в виде свидетельства, подписанного независимой организацией). Так появляется возможность сравнивать между собой учебные программы ВУЗов — абитуриенты, кандидаты и работодатели могут точнее понимать сильные и слабые стороны и специализацию каждой учебной программы. «Оцифровывать» таким образом можно и резюме, цели и достигнутые результаты. Отсутствие единого языка приводит к тому, что приходится сравнивать кислое с мягким.

Примеры цифровых бейджей, подтверждающих уровень владения навыками
Примеры цифровых бейджей, подтверждающих уровень владения навыками

Напомню, модель компетенций нужна для того, чтобы оценить КТО у нас есть, и КТО нам нужен для достижения поставленных перед организацией целей. Для выравнивания приоритетов между личными целями сотрудников и целями организации часто используется матрица навыков.

Оценка по уровням ответственности и профессиональным навыкам SFIA. Источник: www.skillstx.com
Оценка по уровням ответственности и профессиональным навыкам SFIA. Источник: www.skillstx.com

Это таблица, в столбцах которой — требуемые навыки (которые мы ранее определили по NICE, SFIA или другой модели), в строках — ФИО сотрудников (или наоборот). На пересечении может быть уровень владения навыком; либо достигнутый (в случае самооценки и подтверждения руководителем), либо запланированный (в случае составления индивидуального плана развития). Уровни могут кодироваться цифрами, цветами или определениями (младший, старший, ведущий, главный, и т.п.). Также на пересечении могут проставляться признаки интереса к изучению и готовности делиться опытом, что позволяет определить наиболее мотивированную аудиторию для обучения и наставничества, выделяя экспертов в предметной области.

Шаблон матрицы навыков
Шаблон матрицы навыков

Помимо перечисленных функций матрица навыков — инструмент для стратегического планирования персонала:

  • оценки наиболее критичных и/или дефицитных навыков, на которых “держится» организация, обладателей которых надо постараться удержать;

  • выявления пула талантов, который может находиться не там, где они востребованы, и тогда им можно предложить перевод; или обладателей выходящего из употребления (из-за автоматизации или ИИ) навыка, которых выгоднее дообучить или предложить им пройти переподготовку по более востребованному навыку.

В заключении хочу привести несколько иллюстративных примеров составления ИБ-ролей из навыков SFIA:

Роли специалистов по реагированию на инциденты
Роли специалистов по реагированию на инциденты
Роли специалиста по киберзащите
Роли специалиста по киберзащите
Роли, отвечающие за руководство разработкой и реализацией стратегии в ИБ
Роли, отвечающие за руководство разработкой и реализацией стратегии в ИБ

* в публикациях на Хабр излагается моя личная точка зрения, которая может не совпадать с точкой зрения работодателя.

Комментарии (0)