Есть мнение, что в современных программах обучения не хватает практики, а теория бесконечно устарела. Так ли это? В этом материале поговорим о том, какую роль в обучении будущих ИБ-специалистов играют образовательные программы по кибербезопасности и формируют ли они квалифицированные кадры для компаний.
В информационной безопасности актуальность и практическая направленность обучения играют первостепенную роль. С одной стороны, возможностей у студентов с каждым годом все больше: вебинары, конференции, курсы, колледжи и вузы дают огромное количество вариантов, как прокачать свои скиллы. С другой, не каждая программа обучения может подготовить студента к требованиям современных ИБ-компаний. И здесь важно найти баланс.
Тренды в образовании
Что является движущей силой, которая уже сейчас определяет тренды в образовании ИБ-кадров? Генеративный ИИ, культура безопасного поведения (SBCP), растущие риски киберугроз и необходимость в практических навыках у студентов — вот тенденции, которые задает рынок. Чем отвечают вузы?
В топовые институты, где дают много практики, могут поступить не все. В большинстве случаев образовательные программы «старой школы» строятся на мощной теоретической подготовке студентов по устаревшим лекалам. Возникает ситуация, когда студентам недостаточно базовых знаний для начала работы, в то время как мотивированные выпускники отдельных технических университетов быстро получают возможность претендовать на должность в ИБ-компании за счет нескольких факторов, а иногда и их совокупности. Попробуем перечислить основные формы работы со студентами и проследить, какое влияние они оказывают на образовательный процесс.
Кафедры ИБ
Идеальный кластер обучения в вузе по ИБ-специальности может выглядеть как кафедра, на которой преподаватели-практики ведут лекции и семинары. У студента много практической работы, которая организована на стендах, приближенных к реальной инфраструктуре компаний. Обучающиеся не предоставлены самим себе, у них есть дорожная карта и ясное понимание траектории движения по ней. Но текущее положение дел часто отличается серьезным несоответствием теоретических знаний практическим задачам. К чему это приводит?
- Теория не применяется на практике, и работодателям приходится доучивать кадры после окончания обучения. Или же студенты сами вынуждены идти на платные курсы.
- Нет понимания потребностей между работодателями, образовательными организациями и кадрами. Потребность у всех одна, а договориться между собой не получается.
Цифровые кафедры
Еще один тренд — создание цифровых кафедр. Они функционируют в 114 университетах России в рамках программы «Приоритет 2030». В переподготовке или повышении квалификации задействованы более 200 тыс. студентов. Отличие цифровой кафедры от кафедры по ИБ в том, что здесь большую роль играет основная специализация студента. То есть готовят не полноценного безопасника, а сотрудника, который в течение нескольких лет будет погружен в вопросы информационной безопасности внутри своей специальности. Это можно назвать первым шагом к внедрению такой дисциплины, как культура безопасного поведения в ИБ для будущих специалистов. Согласно исследованию Gartner, обучение культуре ИБ в некоторой мере необходимо сотрудникам любых компаний независимо от их специализации.
Примером такой бесплатной адаптации образовательной программы под специфику ИБ можно назвать сценарий, в котором обучающихся по специальности «Экономика и финансы» задействуют на цифровой кафедре по специализации «Кибербезопасность в финансовой сфере». Выпускники этой программы смогут заниматься разработкой и реализацией систем безопасности для финансовых институтов, анализировать и предотвращать киберугрозы в финансовом секторе, а также консультировать компании по вопросам кибербезопасности в контексте финансовых операций.
На цифровых кафедрах студенты не просто получают теоретическую подготовку, а изучают и используют в работе различный инструментарий: языки программирования, ИИ, навыки по распознаванию киберугроз и т. д. Кажется, что такой подход не позволяет подготовить квалифицированного специалиста: не хватит времени и практической базы. Но на самом деле цифровая кафедра позиционируется в качестве дополнения к основной профессии, а не ее замены. Если нужно обеспечить приоритетные отрасли экономики выпускниками, которые разбираются в современных цифровых инструментах — это достойная инициатива.
Преподаватели-практики
Важно сделать фокус на практической части в преподавании. Если в университет приходит реальный представитель ИБ, чтобы делиться опытом и знаниями, от этого выигрывают все. С точки зрения выгоды для выпускников, университета и самих компаний это отличная возможность вырастить ценные кадры.
Во-первых, рынок вакансий серьезно дифференцирован: есть компании-интеграторы, вендоры, дистрибьюторы и другие коммерческие организации, которые нуждаются в защите информации и квалифицированных специалистах. Любой из них, являясь практиком, прямо сейчас может работать в сфере, одновременно передавая свой опыт и набирая команду (или формируя ее с нуля) из вчерашних студентов.
Во-вторых, нужно проводить работу с большим разрывом между количеством студентов, которые обучаются по ИБ-специальностям, и числом сотрудников, которые требуются компаниям. С приходом практиков интерес к специальности возрастает, поскольку студенту напрямую говорят: «здесь будет реально интересно».
Например, изучение фундаментальных предметов не должно заменять профильные курсы. Ситуаций, когда с будущего безопасника требуют высокий балл по физике, но не учат логированию или компьютерной криминалистике, ведет к негативным последствиям. Акцент на преподавании устаревших ГОСТов и стандартов должен сместиться на современные тенденции в области изучения SIEM, IPS/IDS. Как только это произойдет, преподаватели получат карт-бланш: изменится программа обучения, появятся часы на новые актуальные предметы, например, защиту веб-приложений, защиту ОС, сетевую безопасность).
Таким образом, лекции от специалистов-практиков в университетах — это важный шаг к росту престижа специальности и ее востребованности, симбиозу теории и практики в области ИБ. С одной стороны, вузы смогут формировать более адаптивные программы обучения, которые будут отвечать вызовам рынка, с другой — студенты получат полезный опыт и практику.
Стажировка
Поиск студентов, готовых пройти стажировку открывается еще на этапе производственной практики, то есть на 3-4 курсе. Те, кто готов расти и обучаться, сами ищут возможность попасть на стажировку в компанию, чтобы получить максимум полезной информации в короткий срок. Здесь же студенты знакомятся с тем, какие подходы в работе используются, как выглядит та или иная компания изнутри, с какими задачами придется сталкиваться после выпуска. Очевидный бонус этой истории в том, что стажировка, как правило, заканчивается практической работой. Результаты защиты могут стать «трамплином», за счет которого вчерашний студент сегодня превратится в сотрудника.
То же самое касается стажировки на этапе преддипломной практики. Если у руководства вуза есть договоренность с несколькими компаниями, перспективные выпускники получат максимум пользы или даже оффер.
Зачем бизнесу включаться в обучение
О нехватке кадров в области ИБ говорят уже давно. Только по данным на 2023 год существовал большой разрыв между потребностями бизнеса и реальным количеством подготовленных специалистов. Нацпроект «Цифровая экономика» позволил вузам увеличить число обучающихся по ИТ-специальностям до 120 тыс. человек в год, чтобы сократить эту нехватку, но не исключить полностью.
В прошлом году количество атак на российские ИС выросло на 65%. Вчерашние студенты не успевают за быстрым развитием киберугроз. Компаниям приходится включаться в образовательный процесс и формировать новые тренды в обучении, поскольку это единственный способ получить кадры, обладающие практическим опытом в области ИБ. И здесь не стоит сбрасывать со счетов квоты на целевое обучение. Выпускник вуза получает диплом и должен отработать около трех лет в компании, которая запрашивала квоту по определенному направлению. В этом случае компании нужно нести ответственность за то, чем «наполнена» образовательная программа, выделять ресурсы, чтобы опытные сотрудники компании сопровождали и контролировали практику студента, организовывать стажировки. Зато окупаемость подхода высокая — выпускник приходит, готовый расти и развиваться, понимая вектор своего дальнейшего движения.
Как компании работают с кадрами
Образование и практические навыки — это не формальность. Существует исследование, в котором 58% российских компаний отметили важность наличия диплома при найме сотрудников. Поэтому бизнесу интересен найм специалистов с практическим опытом и разработка внутренних учебных программ.
Руководство дополняет классические программы обучения разными активностями: семинары, конференции, стажировка, тестовые полигоны, менторство. Все это начинается еще на этапе производственной/преддипломной практики студента. Перспективному выпускнику или сотруднику приходится совмещать работу и обучение, чтобы «догнать» коллег.
Ключевая особенность здесь в том, что потенциальный работник сам должен понимать, что рост навыков важен, должен быть заинтересован в lifelong learning и в том, чтобы его квалификация постоянно росла.
Ситуация в обучении изменилась: сместился фокус с бумажной волокиты на информационные ресурсы. Современный подход — комплекс мероприятий по предотвращению, своевременному выявлению и реагированию на инциденты. Поскольку такому в вузах почти не учат, компаниям приходится формировать новый взгляд на вопросы обучения в ИБ, создавать тренды на то, какими должны быть кадры.
Новый взгляд на ИБ
Образовательные программы, их состав, спикеры и цели имеют прямое отношение к квалификации выпускаемых специалистов. Симбиоз бизнеса и учебных организаций должен привести к росту количества квалифицированных кадров. Практико-ориентированный подход к обучению, основанный на передаче опыта и знаний, а также активное взаимодействие университетов с бизнес-сообществом позволят адаптировать существующие программы обучения к современным требования рынка. Это станет возможным за счет таких факторов, как:
- передачи студентам реального опыта, необходимого для успешного старта карьеры;
- стажировок и практических задач, позволяющих выпускникам погрузиться в реалии профессиональной среды;
- наличие современных стендов на базе университета. Качество средств защиты информации напрямую влияет на успех реагирования на инциденты;
- разработки и внедрению новых подходов к обучению, отражающих современные требования к компетенциям кадров в области кибербезопасности.
Кажется, что в перечисленных выше практиках нет ничего сверхъестественного, но система образования остро нуждается в их более широком, повсеместном внедрении. Только совместные усилия компаний и образовательных учреждений позволят обеспечить качественную подготовку кадров.
Спикеры:
Альбина Семушкина, руководитель рекрутинга системного интегратора по ИБ «Бастион».
Яна Ксендзовская, менеджер образовательных программ системного интегратора по ИБ «Бастион».
Оригинал публикации на сайте CISOCLUB: "Почему студентов разбирают как горячие пирожки: роль образовательных программ по кибербезопасности в формировании квалифицированных кадров".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.