Пирамида без вершины. Как выглядит основная кадровая проблема в российской ИБ
Гендиректор ITGLOBAL.COM Security Александр Зубриков анализирует, чего не хватает российской «пирамиде компетенций», и как правильное обучение высших ИБ-руководителей может инициировать позитивные изменения для отрасли в целом.
Тема компетенций ИБ-специалистов и руководителей — пожалуй, одна из самых обсуждаемых в кулуарах каждого крупного форума по кибербезопасности. Высокие начальники со стороны заказчиков сетуют на крайне неравномерную квалификацию соискателей практически в каждой предметной области ИБ. И, кажется, немного жалеют, что в период бешеного спроса на кадры невидимая рука рынка не спешит приземлить подчас завышенные ожидания соискателей на уровень их реальных компетенций.
В отвязавшихся от реальности зарплатных «хотелках» кандидатов в какой-то степени виноваты иностранные вендоры. Покинув российской рынок, они унесли с собой систему сертификации. Она выступала очень удобным входным фильтром на воронку кандидатов. Укажи вендора и отметь желаемый уровень компетенций специалиста в вендорской табели о рангах — и ты с очень высокой степенью вероятности не только получишь специалиста по конкретному стеку технологий и с искомыми компетенциями, но и точно будешь знать его зарплатную вилку.
Сертификат без смысла
Общеотраслевые сертификаты международного образца — такие как CISSP (Certified information systems security professional — сертифицированный профессионал по безопасности информационных систем) — также стали менее доступны специалистам из России из-за количества усилий, связанных с получением такого документа в новых условиях. Если ранее за «ачивку» почти всегда платил работодатель, то сейчас профессионалу необходимо самому отправиться на прохождение проверки знаний в другую страну — например, в Казахстан. Но это полбеды. Хуже, что наличие CISSP больше не подчеркивает правильное позиционирование кандидата среди работодателей и не конвертируется в более высокую зарплату. А значит, фактически не имеет смысла.
По всему выходит, России наряду с суверенными технологиями нужна не менее суверенная система сертификации и подтверждения знаний ИБ-специалистов. О необходимости создания такой системы задумывались в середине нулевых. Однако отечественная отрасль не успела прийти к реализации потребности в национальной сертификации. На рынок ворвались вендоры с собственными программами, а также отраслевые консорциумы типа того же CISSP со своими подходами к обучению и оценке. Но через много лет жизнь внесла коррективы.
Снова в школу
Весной 2022 года о необходимости национальной системы сертификации заговорили снова — но уже в контексте 250-го указа Президента. На новую должность заместителя генерального директора по информационной безопасности могут быть назначены специалисты только подтвержденной квалификации — то есть прошедшие профессиональную переподготовку в объеме 540 часов.
Учебные центры практически мгновенно отреагировали релизами соответствующих образовательных программ и предлагают полный цикл профессиональной переподготовки — и собственно обучение, и проверку знаний. Но системе подготовки управленцев для таких ответственных должностей все равно не хватает некоего «третейского судьи — сторонней организации, которая по образу и подобию CISSP будет проверять если не качество знаний выпускников «в моменте», то по крайней мере возьмет на себя их регулярную сертификацию через определенные промежутки времени. Такой подход позволил бы выпускникам «приземлить» программу курса на повседневные задачи замов по ИБ, погрузиться в тонкости проблематики и тем самым уйти от поверхностности знаний, которую выпускники называют общим слабым местом даже сертифицированных программ.
Ярусы пирамиды
Итого с формированием компетенций получается следующая картина. У подножия пирамиды — онлайн-университеты. Они дают минимальный набор знаний и навыков для вхождения в профессию.
Вузы располагаются этажом выше. Они проигрывают онлайн-образованию в скорости адаптации программ под рыночные реалии и в сроках time-to-market для выпускников (четыре года вместо 12-24 месяцев), но берут свое фундаментальным подходом к образованию и наличием кафедр при ИБ-компаниях, откуда можно стартовать карьеру чуть ли не со второго курса.
На следующем уровне — вендорское обучение, позволяющее специалистам углублять экспертизу в конкретной предметной области. К этому уровню формирования компетенций вопросов меньше всего: сертификация и проверка знаний российскими разработчиками ПО развивается полным ходом и зачастую не уступает тому, как учили ИБ-персонал иностранные вендоры.
На уровне, где учат CISO и замов по ИБ, все не так однозначно. Скажем, специализированные программы MBA фокусируются в большей степени на менеджменте, на финансовом аспекте готовой ИБ-функции для управления ее себестоимостью, а также на взаимодействии с другими топами компании. А программы профессиональной переподготовки держат в центре внимания только способы защиты информации.
Подвох в том, что технологическая часть игнорируется в обоих типах программ. То есть ИБ-функция реализуется в некоем идеальном мире, где в составе ИБ-команд есть специалисты по каждому из применяемых средств защиты информации, сетевики, и эксперты инфраструктуры открытых ключей, и, конечно высоколобые ИТ-архитекторы, которые на радость акционерам и в рамках повышения капитализации воплощают модный нынче подход DevSecOps.
В жизни все совсем не так. Команды недоукомплектованы. Реальных экспертов приходится искать днем с огнем или покупать экспертизу у консультантов. Да и проверка скиллов по конкретному технологическому стеку нередко превращается в непосильную задачу: ни CISO, ни зам по ИБ во время обучения не имели возможности погрузиться в предметную область оцениваемого. Они прекрасно это понимают. И именно поэтому обсуждение компетенций — вот уже который год любимая кулуарная тема на любой мало-мальски крупной ИБ-конференции. И отсюда же — неприкаянность ИБ с точки зрения формирования стоимости продукта и компании, а также множащиеся киберинциденты самой разной природы.
Аналог CISSP?
По всему выходит, отечественному кибербезу без суверенного аналога CISSP не обойтись. Его создание может быть осуществлено двумя способами. Первый — перенять иностранные архитектуру программ сертификации и подходы к проверке знаний, и при этом не допускать уж слишком значительного отхода от них. Преимущество подхода — в том, что рано или поздно Россия вернется в глобальное ИТ-сообщество, и при возвращении ей будет проще интегрироваться в общемировой контекст, потому что фактически она далеко из него и не выпрыгивала.
Кому можно доверить создание такого центра сертификации (или кто возьмет эту задачу на себя), пока неясно. У некоммерческих объединений участников рынка ИТ и ИБ под это не так много ресурсов. Остаются крупные вендоры со значительным GR-потенциалом — называть их не стану, всем они прекрасно известны. Но они должны увидеть в таком проекте свою выгоду и пользу.
Второй путь — создавать собственные стандарты ИБ с нуля. Это очень затратный способ — и по ресурсам, и по времени, и организационно. При таком раскладе разработка стандарта, скорее всего, консолидируется в руках регуляторов. Но даже в этом случае будущим авторам стандартов имеет смысл изучить международный опыт — хотя бы потому, чтобы сертифицированные специалисты не испытывали проблем, связанных с пробелами в технологических аспектах функций, которыми они управляют.
Грейдинг на максималках
С моей точки зрения, создание отечественного института сертификации топовых ИБ-профессионалов станет той самой лучшей практикой, которую уместно будет «раскатать» на уровни ниже. Это каскадирование трансформируется в систему профессиональных стандартов. Она поможет лучше понимать, какой набор компетенций (в том числе подтвержденных сертификатами и удостоверениями) необходим для специалистов конкретного профессионального уровня, а также сделает более понятным ценообразование на рынке труда. Соискатели станут лучше понимать вектор своего карьерного трека и соизмерять скорость роста экспертизы с повышением зарплаты. А работодатель перестанет наконец воспринимать каждого кандидата как черный ящик с набором скиллов непонятной стоимости.
Словом, грейдинг, который начнется с самой верхушки корпоративной ИБ, — очередной довод в нормализации ИБ-рынка в целом. И если кадровый вопрос в результате этих действий перестанет быть самым обсуждаемым на конференциях, на наш взгляд, минусом для отрасли это точно не станет.