Образованная молодежь. О шаблонах и процессах

    О проблемах в высшем образовании к данному моменту высказались бывший студент, школьник, преподаватель, работодатель и представитель ВУЗа (может быть к моменту публикации выскажется еще-кто). Но в большинстве статей говорилось о том, насколько тяжело получить студенту знания. Но положим студент получил их тем или иным способом — сам или с помощью ВУЗа. Вышел в свет — и вот тут начинается самое интересное. К той ли деятельности он готовился? Соответствует ли комплекс его навыков требованию успешной карьеры в ИТ?

    По роду деятельности мне приходится выступать перед студентами и уже состоявшимися специалистами (в вузах и на конференциях), участвовать во встречах с потенциальными заказчиками, на которых обсуждаются вопросы внедрения систем защиты. Большинство с кем приходится встречаться — состоявшиеся технические специалисты, как правило хорошо разбирающиеся в ПО (хотя конечно бывает всякое). И при этом постоянные жалобы на то, что они не могут продвинуть проект — или в компании несмотря на установленную защиту происходят некие инциденты.

    Начнем с диалога с бизнесом.

    Готовы ли скажем недавние выпускники вузов провести презентацию перед директорами компании или сотрудниками? Могут ли они представить выигрышные стороны проекта?
    Так получается, что учась в вузе будущий системный администратор постигает основы работы с ПО и железом. Но устроившись на работу он становится в большинстве случаев ответственным за все, происходящее в компании. Закупка всего и вся, участие в переговорах, консультации руководства и отстаивание перед ни же необходимости модернизаций и внедрений. Деятельность во многом менеджера, руководителя проектов. А готов ли вчерашний студент к тому, что он будет не только администратором или безопасником, но и менеджером? Возможно даже — в первую очередь менеджером, организующим самые разные стороны деятельности, связанные с ИТ?

    Необходимость обучения пользователей, основы работы в команде, основы переговоров и тд и тп — знают ли это бывшие студенты? Руководители отрасли много говорят о том, что стране необходимы легионы программистов. Но почему-то очень редко говорят, что необходимы самые разные менеджеры — руководители проектов. Да, естественно статей и книг на эту тему достаточно — но насколько эта тема востребована тем, кто обучается на программиста или безопасника?

    В итоге мы имеем стон Ярославны на тему «бизнес не понимает». Естественно не понимает. Ему говорят на птичьем языке технаря.

    И тут пожалуй место для цитаты:
    Вот тут дыра, тут дыра, а тут просто дырища; поэтому надо проводить регулярные пентесты, нанять Red Team, купить сканер безопасности и анализатор кода, ну и до кучи внедрить WAF с машинным обучением. При этом данные размышления никак не связаны с безопасностью, как ни странно. Отсутствует анализ причин (root cause analysis), которые приводят к плохим последствиям, которые затыкаются различными затычками в виде бездумного применения best practices или покупкой пентестов и WAF.
    Я не согласен с противопоставлением безопасников и админов, которое описано в статье из которой я взял цитату, но ситуацию она характеризует точно. Типичный пример — конференция или встреча с клиентом. Вопрос — «А зачем в вашей компании используется антивирус?». Ответ может быть от «Вы издеваетесь?» до шквала вариантов. За среднее возьмем вариант:

    1. Потому что все так делают;
    2. Потому что требуют регуляторы.

    Как правило верного ответа не дают никогда.

    К чему я привел данный пример? ВУЗ должен учить думать. Выпускник института или университета должен не просто применять шаблон, а понимать почему он делает так, а не иначе.

    Цитата из одной публикации:
    Да, там (в ВУЗе) можно познакомиться с людьми… и переконтоваться 5-6 лет. Все. Он не учит деловой этике или нетворкингу… Он не учит учиться, потому что зубрежка — не изучение информации. Он не учит искать информацию/гуглить
    На практике же ладно, что практически никто не читает нормативку и законы, но плохо то, что действия по защиты выполняются шаблонные. Нужна защита от вирусов? Ставим антивирус! Пропустил? Меняем на его конкурента! Да что далеко ходить — звонки по типу «а какие у вас системные требования?» — регулярны. Или времена массовой защиты ПДн. Туча звонков на тему «А ваш продукт сертифицирован на соответствие 152-ФЗ?».

    Еще одна проблема — процедуры. Мне часто приходится читать введения в анализ инцидентов безопасности. Поэтому еще один типичный пример:

    • У кого в зале за прошедший год были случаи заражения? (обычно процентов 30)
    • Готовы ли вы к тому, что у вас будут попытки заражения, в том числе вредоносными программами, которые неизвестны вашей системе защиты? (как правило, согласие)
    • Знает ли ваша дежурная смена/секретари, по какому телефону звонить и что делать в случае заражения?

    Обычно в зале установили процедуры порядка двух человек. Иногда никто. То есть несмотря на пропаганду всяких ИТИЛов и наличие отличных стандартов по анализу инцидентов — процедуры не налаживаются. Проблемы решаются по мере возникновения. Правильно ли это? Вряд-ли

    Ну и в завершении о ВУЗах и бизнесе. Очень много говорится о том, что бизнес должен помогать обучению. Очень часто после завершения выступления ко мне подходят представители различных ВУЗов, благодарят за интересные сведения и интересуются возможность сотрудничества. Как вы думаете — сколько ВУЗов связались по данному вопросу сами, не ожидая запросов со стороны вендора и сколько из них не пропали после первого письма?
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 5

      +2
      Проблема в том, что сегодня ни ВУЗу, ни бизнесу не нужен разноплановый студент и сотрудник. Им нужен потребитель образовательных услуг и человек приносящий прибыль. ВУЗы борющиеся за попадание в рейтинги штампуют различные акселераторы и стартап инкубаторы не ради реальных проектов, а ради отбивание бюджетов и статистики. Может есть примеры, которые нарушают эти тезисы, но то, что я лично наблюдая последние годы никак иначе не описать.
        0
        Бизнесу то как раз нужен, но бизнес-бизнесу рознь. Есть две позиции бизнеса:
        1. ИТ-специалист — это статья расходов и всё что с этим связано тоже дикие расходы, которые надо минимизировать
        2. ИТ-специалист — это статья доходов или тот человек, который минимизирует наши потери

        Вот как раз второй вариант и даёт возможность апгрейдить софт/железо, проводить правильную политику в плане безопасности, как раз они ищут адекватных специалистов.
        0
        «А зачем в вашей компании используется антивирус?». Ответ может быть от «Вы издеваетесь?» до шквала вариантов. За среднее возьмем вариант:

        Потому что все так делают;
        Потому что требуют регуляторы.

        Как правило верного ответа не дают никогда.
        А можно узнать верный (по мнению автора) ответ?
        Заранее спасибо.
          0
          Антивирус не может сам по себе гарантировать 100% защиты от вредоносных программ. Это понимают как бы все заказчики, поскольку это логично. Парадокс в том, что если спрашиваешь, что должен делать антивирус — должен ловить 100% вредоносных программ в момент проникновения. Заведомо невыполнимое требование.
          Антивирус — часть антивирусной защиты. В системе защиты антивирус может выполнять функции защиты от проникновения известных типов вредоносных программ, выявления еще не поступивших на анализ вредоносных программ по их поведению, а также удаления ранее неизвестных вредоносных программ после поступления обновления
          При этом часть данных функций может быть переложена на иные средства защиты. Плюс естественно можно вполне не использовать антивирус — если используются иные средства защиты, компенсирующие его отсутствие
          В общем любая защита — это оценка рисков, понимание ограничений и возможностей продукта — и ни не в коей мере не шаблон
          0
          ИБ стала такой отдельной специальностью, лишь косвенно связанной с программированием, системным и сетевым администрированием. И учат ИБ несколько иначе, как правило лучше, чем программированию.

          Only users with full accounts can post comments. Log in, please.