Какой крест по ИБ вам нести на своих плечах?..

Кадры
Тупил я вчера в пробке и родилась у меня интересная аналогия с тем, что сейчас происходит в области нехватки хороших специалистов по ИБ. Ну и отчасти вчерашняя заметка про кругозор безопасника тоже добавила парочку идей, которые я и решил выплеснуть на страницы блога.

Итак, выпускник по специальности ИБ, пришедший на реальную работу, схематически выглядит так. Желтым показаны его знания и навыки по ИБ, которые пока мало помогают ему в работе, мешая развиваться и мешая делать что-то полезное для нанявшего его бизнеса.

С течением времени специалист по ИБ накапливает новые знания в своей области, которые он использует в работе или которые лежат в пассиве, но могут быть применены по мере необходимости.

Обратите внимание. Этот специалист крутится в своем соку и не выходит за рамки текущих потребностей. Он не смотрит вперед и не смотрит назад — его заела рутина и на решение творческих задач он почти не способен. Зато он неплохой исполнитель чужих поручений. Иногда, даже дойдя до позиции руководителя того или иного уровня, безопасник остается на том же уровне знаний, что и в начале своего пути.

Если специалист, накапливая знания, нужные в текущей работе, обращается еще и к истории, которая открывает глаза на причины многих событий в нашей отрасли, то схематично его можно нарисовать так. Длина оранжевой стрелки означает глубину погружения в историю ИБ. В зависимости от роли безопасника эта стрелка может быть очень длинной или не очень, но она должна быть в любом случае. Жизнь «здесь и сейчас» интересна, но недолговечна 🙁

Многие безопасники старой закалки, кстати, выглядят именно так. Неплохие знания текущей ситуации и багаж исторических знаний. Но полное отсутствие перспективы и понимания тенденций, которые сейчас очень активно влияют на ИБ. А вот молодежь выглядит иначе — неплохое понимание новомодных трендов и технологий, но полное отсутствие знания истории ИБ в России и, как следствие, непонимание происходящих процессов, их причин и следствий. Классический конфликт пиджаков и джинсов (или, как модно, худи 🙂

Есть безопасники, находящиеся в центре креста, где их текущие знания ИБ дополняются знанием истории и пониманием тенденций. Надо признать, что таких безопасников немного, — предыдущий вариант встречается чаще — отрасль молодеет.

На самом деле многие молодые безопасники, особенно имеющие опыт программирования, а то и вовсе пришедшие из ИТ, схематично выглядят так (желтым по-прежнему показаны знания по ИБ, а коричневым — по ИТ):

Идеальный же безопасник выглядит так:

Он не только обладает широким кругозором в области ИБ, смотрит в будущее и не забывает оглядываться назад, но и имеет знания в широком круге смежных дисциплин — не только ИТ, но и психологии, социологии, экономике, финансах, маркетинге, юриспруденции и т.п.). Да, это непросто, но по-другому сегодня оставаться профессионалом и развиваться нельзя. Узкие знания нужны для специалистов, занимающихся администрированием средств защиты, но чем выше такой специалист метит, тем шире кругозор надо иметь.

Вот такая аллюзия родилась в пробке… Иногда это полезно; постоять, подумать… 🙂
Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. (С) Александр from Sec-Arch

    Все правильно. Только в реальной жизни идеальные безопасники никому не нужны. Постоянно хожу по собеседованиям, но или нужны еще одни руки для ИТ подразделения (т.н. АИБ) или узкоспециализированные специалисты по какому-либо средству.

    Ответить
  2. arkanoid

    да как же не нужны. не там смотрите.

    Ответить
  3. (С) Александр from Sec-Arch

    Видимо просто не умею искать.

    Ответить
  4. Unknown

    Александр, в зависимости от организации и её цели, нужны специалисты различного рода. У нас в организации существует задумка создания ультрабойцов, которые "и жрец, и жнец…". Вся беда в том, что далеко не все ультрабойцы согласны работать за зарплату обычных специалистов. К тому же, чем больше кругозор, тем меньше погруженность в каждую из областей. Все тонкости каждого направления не охватить.

    Ответить
  5. Алексей Лукацкий

    Mikhail: бОльший кругозор нужен на более высоких позициях.

    Ответить
  6. (С) Александр from Sec-Arch

    К сожалению, по опыту, более высокие позиции как раз таки и занимают совершенно некомпетентные специалисты, которые занимают должности по блату. За 18 лет моей карьеры в ИБ встречались исключения — единицы.

    Ответить
  7. Алексей Лукацкий

    Shit happens, как говорилось в фильме "Форрест Гамп"

    Ответить
  8. Ржавский Константин

    Алексей, думаю в Ваших раздумиях и иллюстрациях допущена очень важная методическая ошибка, стрелочки на определенных рисунках должны быть в обе стороны, иначе рецессия и профсмерть! Важна не "С течением времени специалист по ИБ накапливает новые знания в своей области…", а постоянное самообразование и дружба со здравым смыслом. Многие забываю об этом и останавливаются в развитии + переход на безусловное выполнение инструкций (порой лишенных, как научного обоснования, так и логики) и отсюда все беды!

    Ответить
  9. Алексей Лукацкий

    Не совсем понятно, почему без стрелок внутрь начинается рецессия

    Ответить
  10. Unknown

    Алексей, браво, отличная утилизация времени в дороге, сам постоянно пытаюсь не терять его зря.Теперь, по сути, в начале 90-х когда начинался процесс автоматизации, в нынешнем понимании ее смысла, у многих было представление, что придет ИТ специалист с хорошей программой и научит бухгалтеров бухгалтерии, диспетчеров управлению, плановиков планированию. Потребовалось достаточно много времени и такта, чтобы объяснить, ИТ только инструмент, "бардак" автоматизировать невозможно, сначала процессы, потом автоматизация, неважно о чем идет речь. Занимаясь ИТ в энергетике больше 20-ти лет, меня готовы были взять зам. главного бухгалтера, зам. главного диспетчера, был опыт работы главным инженером энергосбыта и директором по договорной работе. То же самое, в принципе, сейчас происходит со специалистами по информационной безопасности, ИБ, как ИТ это сервис, в отличии от основной деятельности, надо осознать, что те кто хотят заниматься "чистой" информационной безопасностью, должны идти не на предприятия, а в надзорные органы или компании сфокусированные на расследованиях киберинцидентов. Остальным надо изучать процессы, которые предполагается защищать, формировать реальные модели угроз, в разрезе этих процессов и исходя из этого формировать технические решения, которые будут полезны как с точки зрения ИБ, так и с точки зрения надежности прикладного процесса. Из этих людей надо выделять стратегически мыслящих специалистов, которые смогут отслеживать общемировые тренды и их применимость для конкретной области. Технологии меняются так быстро, что рецессия начнется на следующий день, после того, как запустится проект по внедрению н
    на следующий день после внедрения новомодной прикладной фичи, еще не осмысленной специалистом по ИБ, гарантировано возникнут новые вектора угроз и система ИБ к ним будет не готова.

    Ответить