Мне было выделено 24 академических часа, то есть 6 лекций (18 астрономических часов), которые я разделил следующим образом:
- Лекция 1. Что такое ИБ? История ИБ в России. Кто должен заниматься ИБ? Структура службы ИБ на предприятии. Экономика — как один из драйверов развития ИБ.
- Лекция 2. Угрозы ИБ. Психология восприятия риска. Kill Chain. Модель угроз и нарушителя.
- Лекция 3. Технологии ИБ. Международные и российские подходы. Архитектура ИБ.
- Лекция 4. Законодательство по ИБ в России.
- Лекция 5. Процессы и управление ИБ. ISO 27xxx. Цикл Бойда. Cyber Security Governance. Подход Банка России.
- Лекция 6. Измерение ИБ. Психология ИБ. Внутренний маркетинг. Теория организации и ИБ.
Потом оказалось, что последняя лекция должна была быть выделена под зачет и программу пришлось ужимать в 5 лекций, что я и сделал. Учитывая направленность программы ВШБ МГУ, я отказался от того, чтобы читать «чистую технику» — защитные меры ФСТЭК, требования ФСБ, положения ЦБ. Я ограничился их обзором, а сконцентрировался именно на менеджерских темах, которые должны заложить основу понимания ИБ именно с точки зрения бизнеса, не забывая при этом и про традиционный взгляд на ИБ с точки зрения угроз и нормативки.
С одной стороны — преподавать в МГУ было моей мечтой еще с давних времен, когда я «опозорился» на ВМК рассказывая о технологиях обнаружения атак, а студенты меня «валили» вопросами теории вероятностей, матстатом и ошибками первого и второго рода 🙂 И вот пришел мой черед «глумиться» 🙂 Шучу. По сути это оказался мой первый опыт обучения не матерых дяденек и тетенек, которые уже не первый год работают по направлению ИБ и которые повышают свою квалификацию. Студенты, молодые юноши и девушки, которые в свои 20 с небольшим лет пытаются изучать то, что может быть им никогда и не пригодится в жизни (из моих однокурсников мало кто пошел по специальности работать). Интересный опыт оказался. Я преклоняю голову перед преподавателями, которые делают это на постоянной основе!
Учить тех, кому возможно все равно, — это тяжело. Я преподавал после работы, с 7-ми до 10-ти вечера, и могу сказать, что те, кто делает это постоянно — просто герои, энтузиасты своего дела. Одно дело читать тем, кто осознанно идет на обучение в учебные центры, и совсем другое дело пытаться заинтересовать студентов. И хотя в обоих случаях обучение идет не на свои (либо на деньги работодателя, либо на деньги родителей), разница все-таки ощутима.
Еще я был в шоке от бюрократии 🙂 Подготовить учебный план — это тот еще квест. Хорошо что я попал в госпиталь и был лишен этого счасться, сразу перейдя к обучению после выхода из больничной палаты. Учитывая не самую высокую зарплату (преподавателям же платят почасовую ставку и время подготовки, которое может быть на порядок длиннее самой лекции, не засчитывается), я преподавателей ВУЗов стал ценить еще больше (разумеется, если они не рассматривают свою работу как провинность и не просиживают просто штаны). Кстати, когда я читал лекции по программе MBA (тоже вечерами или в выходные дни) в РАНХиГС меня удивляло, почему преподаватель получает так мало денег. Люди платят по 150-300 тысяч, а зарплата преподавателя невысока. А тут, посетив Cyber Day в Сколково, я вспомнил Илью Пономарева, который за 10 лекций в Сколково получил 750 тысяч долларов. Почему он может получать такие деньги, а преподаватель по ИБ — нет? Странно, очень странно 🙂
Но вернемся к обучению в МГУ (хотя некоторые мои коллеги считают, что это профанация и настоящей ИБ учат только 2-3 ВУЗа в стране, а в МГУ только 2-3 факультета и ВШБ МГУ в их списке не числится и не может, так как это детский сад). Когда я узнал о зачете, я на некоторео время впал в ступор. То ли поставить зачет всем автоматом, следуя принципу «чем меньше студент знает, тем больше у меня перспектив, как у специалиста», то ли поглумиться над студентами, как они надо мной 20 лет назад? В любом случае вопрос о том, как принимать зачет, ставил меня в тупик. Я даже старших товарищей об этом спрашивал. Потом мне пришла в голову банальная идея — дам бизнес-кейс и пусть решают. В качестве примера взял сам факультет, который проводит обучение по программам бакалавриата и магистратуры, MBA и Executive MBA, и предложил 18-ти своим студентам билеты с 18-тью вопросами:
- Перечислите стейкхолдеров ИБ для ВШБ МГУ?
- Перечислите угрозы ИБ для сайта ВШБ МГУ
- Что является объектом защиты в ВШБ МГУ?
- Какие особенности ИБ в ВШБ МГУ по сравнению с предприятием, на котором вы работаете (если работаете)?
- Кто представляет угрозу для ВШБ МГУ?
- Каковы могут быть бизнес-последствия в результате взлома сайта ВШБ МГУ?
- Какое законодательство по ИБ может распространяться на ВШБ МГУ?
- Ректор ВШБ МГУ отказывается инвестировать в ИБ. Что вы ему возразите?
- Какие доводы вы будете использовать, чтобы заручиться поддержкой руководителя международных программ ВШБ МГУ при получении инвестиций на ИБ?
- Как вы думаете, легко ли будет в ВШБ МГУ внедрить процессный, формализованный подход по ИБ? Обоснуйте
- Какие потребности в ИБ могут быть у ВШБ МГУ?
- В какой ИБ заинтересованы студенты ВШБ МГУ?
- Служба ИБ ВШБ МГУ не смогла защитить персональные данные студентов и они утекли в Интернет. Какие действия надо предпринять в первую очередь и почему?
- Проведите SWOT-экспресс-анализ ИБ в ВШБ МГУ.
- Что проще, посчитать отдачу от инвестиций в ИБ в ВШБ МГУ или оценить удовлетворенность студентов от уровня ИБ в ВШБ МГУ? Обоснуйте свой вывод.
- Вы встретили декана ВШБ МГУ в лифте главного корпуса МГУ. У вас есть 1 минута, чтобы объяснить ему, почему ему важно подумать об ИБ в ВШБ МГУ.
- Сайт ВШБ МГУ взломали. Ваши действия?
- Каковы могут быть бизнес-последствия в результате утечки списка студентов и выпускников ВШБ МГУ?
вот еще бы сами презентации в открытый доступ 🙂
В той или иной степени они уже выкладывались 🙂
Советы "бывалого преподавателя":
1. Самая простая и действенная форма зачета — "покажи лекции". Писал, значит что-то запомнил.
2. Поэтому презентации и готовые лекции ни в коем случае нельзя давать студентам, за исключением инициативных, которые действительно хотят получить знания и могут сами все прочитать и понять. Им собственно и аудиторные занятия не нужны. Только ответы на дополнительные вопросы. Но в моей практике их было не много: 1 группа и отдельные личности (например, Сергей Борисов, почти вся группа была активной и многие в ИБ работают).
3. Проверить знания на полиграфе. Шутка, но работает. Сам не знает, что знает.
Мне не нужны их лекции, мне нужны их понимание услышанного 🙂 И презентации я не вижу смысла держать в секрете — записывать за мной и так тяжкий труд 🙂
"Записывать за мной и так тяжкий труд" — О, да!!!
Последний вопрос "Каковы могут быть бизнес-последствия в результате утечки списка студентов и выпускников ВШБ МГУ?" не совсем корректен. Дело в том, что вузы и так выкладывают на сайт списки зачисленных студентов, и приказ о зачислении.
Список студентов включает в себя не только ФИО и год рождения, но и другую информацию, включая платежеспособность. Кроме того, есть еще списки выпускников в вопросе, а у ВШБ МГУ они достаточно состоятельные люди