О проблемах в высшем образовании к данному моменту высказались бывший студент, школьник, преподаватель, работодатель и представитель ВУЗа (может быть к моменту публикации выскажется еще-кто). Но в большинстве статей говорилось о том, насколько тяжело получить студенту знания. Но положим студент получил их тем или иным способом — сам или с помощью ВУЗа. Вышел в свет — и вот тут начинается самое интересное. К той ли деятельности он готовился? Соответствует ли комплекс его навыков требованию успешной карьеры в ИТ?
По роду деятельности мне приходится выступать перед студентами и уже состоявшимися специалистами (в вузах и на конференциях), участвовать во встречах с потенциальными заказчиками, на которых обсуждаются вопросы внедрения систем защиты. Большинство с кем приходится встречаться — состоявшиеся технические специалисты, как правило хорошо разбирающиеся в ПО (хотя конечно бывает всякое). И при этом постоянные жалобы на то, что они не могут продвинуть проект — или в компании несмотря на установленную защиту происходят некие инциденты.
Начнем с диалога с бизнесом.
Готовы ли скажем недавние выпускники вузов провести презентацию перед директорами компании или сотрудниками? Могут ли они представить выигрышные стороны проекта?
Так получается, что учась в вузе будущий системный администратор постигает основы работы с ПО и железом. Но устроившись на работу он становится в большинстве случаев ответственным за все, происходящее в компании. Закупка всего и вся, участие в переговорах, консультации руководства и отстаивание перед ни же необходимости модернизаций и внедрений. Деятельность во многом менеджера, руководителя проектов. А готов ли вчерашний студент к тому, что он будет не только администратором или безопасником, но и менеджером? Возможно даже — в первую очередь менеджером, организующим самые разные стороны деятельности, связанные с ИТ?
Необходимость обучения пользователей, основы работы в команде, основы переговоров и тд и тп — знают ли это бывшие студенты? Руководители отрасли много говорят о том, что стране необходимы легионы программистов. Но почему-то очень редко говорят, что необходимы самые разные менеджеры — руководители проектов. Да, естественно статей и книг на эту тему достаточно — но насколько эта тема востребована тем, кто обучается на программиста или безопасника?
В итоге мы имеем стон Ярославны на тему «бизнес не понимает». Естественно не понимает. Ему говорят на птичьем языке технаря.
И тут пожалуй место для цитаты:
Как правило верного ответа не дают никогда.
К чему я привел данный пример? ВУЗ должен учить думать. Выпускник института или университета должен не просто применять шаблон, а понимать почему он делает так, а не иначе.
Цитата из одной публикации:
Еще одна проблема — процедуры. Мне часто приходится читать введения в анализ инцидентов безопасности. Поэтому еще один типичный пример:
Обычно в зале установили процедуры порядка двух человек. Иногда никто. То есть несмотря на пропаганду всяких ИТИЛов и наличие отличных стандартов по анализу инцидентов — процедуры не налаживаются. Проблемы решаются по мере возникновения. Правильно ли это? Вряд-ли
Ну и в завершении о ВУЗах и бизнесе. Очень много говорится о том, что бизнес должен помогать обучению. Очень часто после завершения выступления ко мне подходят представители различных ВУЗов, благодарят за интересные сведения и интересуются возможность сотрудничества. Как вы думаете — сколько ВУЗов связались по данному вопросу сами, не ожидая запросов со стороны вендора и сколько из них не пропали после первого письма?
По роду деятельности мне приходится выступать перед студентами и уже состоявшимися специалистами (в вузах и на конференциях), участвовать во встречах с потенциальными заказчиками, на которых обсуждаются вопросы внедрения систем защиты. Большинство с кем приходится встречаться — состоявшиеся технические специалисты, как правило хорошо разбирающиеся в ПО (хотя конечно бывает всякое). И при этом постоянные жалобы на то, что они не могут продвинуть проект — или в компании несмотря на установленную защиту происходят некие инциденты.
Начнем с диалога с бизнесом.
Готовы ли скажем недавние выпускники вузов провести презентацию перед директорами компании или сотрудниками? Могут ли они представить выигрышные стороны проекта?
Так получается, что учась в вузе будущий системный администратор постигает основы работы с ПО и железом. Но устроившись на работу он становится в большинстве случаев ответственным за все, происходящее в компании. Закупка всего и вся, участие в переговорах, консультации руководства и отстаивание перед ни же необходимости модернизаций и внедрений. Деятельность во многом менеджера, руководителя проектов. А готов ли вчерашний студент к тому, что он будет не только администратором или безопасником, но и менеджером? Возможно даже — в первую очередь менеджером, организующим самые разные стороны деятельности, связанные с ИТ?
Необходимость обучения пользователей, основы работы в команде, основы переговоров и тд и тп — знают ли это бывшие студенты? Руководители отрасли много говорят о том, что стране необходимы легионы программистов. Но почему-то очень редко говорят, что необходимы самые разные менеджеры — руководители проектов. Да, естественно статей и книг на эту тему достаточно — но насколько эта тема востребована тем, кто обучается на программиста или безопасника?
В итоге мы имеем стон Ярославны на тему «бизнес не понимает». Естественно не понимает. Ему говорят на птичьем языке технаря.
И тут пожалуй место для цитаты:
Вот тут дыра, тут дыра, а тут просто дырища; поэтому надо проводить регулярные пентесты, нанять Red Team, купить сканер безопасности и анализатор кода, ну и до кучи внедрить WAF с машинным обучением. При этом данные размышления никак не связаны с безопасностью, как ни странно. Отсутствует анализ причин (root cause analysis), которые приводят к плохим последствиям, которые затыкаются различными затычками в виде бездумного применения best practices или покупкой пентестов и WAF.Я не согласен с противопоставлением безопасников и админов, которое описано в статье из которой я взял цитату, но ситуацию она характеризует точно. Типичный пример — конференция или встреча с клиентом. Вопрос — «А зачем в вашей компании используется антивирус?». Ответ может быть от «Вы издеваетесь?» до шквала вариантов. За среднее возьмем вариант:
- Потому что все так делают;
- Потому что требуют регуляторы.
Как правило верного ответа не дают никогда.
К чему я привел данный пример? ВУЗ должен учить думать. Выпускник института или университета должен не просто применять шаблон, а понимать почему он делает так, а не иначе.
Цитата из одной публикации:
Да, там (в ВУЗе) можно познакомиться с людьми… и переконтоваться 5-6 лет. Все. Он не учит деловой этике или нетворкингу… Он не учит учиться, потому что зубрежка — не изучение информации. Он не учит искать информацию/гуглитьНа практике же ладно, что практически никто не читает нормативку и законы, но плохо то, что действия по защиты выполняются шаблонные. Нужна защита от вирусов? Ставим антивирус! Пропустил? Меняем на его конкурента! Да что далеко ходить — звонки по типу «а какие у вас системные требования?» — регулярны. Или времена массовой защиты ПДн. Туча звонков на тему «А ваш продукт сертифицирован на соответствие 152-ФЗ?».
Еще одна проблема — процедуры. Мне часто приходится читать введения в анализ инцидентов безопасности. Поэтому еще один типичный пример:
- У кого в зале за прошедший год были случаи заражения? (обычно процентов 30)
- Готовы ли вы к тому, что у вас будут попытки заражения, в том числе вредоносными программами, которые неизвестны вашей системе защиты? (как правило, согласие)
- Знает ли ваша дежурная смена/секретари, по какому телефону звонить и что делать в случае заражения?
Обычно в зале установили процедуры порядка двух человек. Иногда никто. То есть несмотря на пропаганду всяких ИТИЛов и наличие отличных стандартов по анализу инцидентов — процедуры не налаживаются. Проблемы решаются по мере возникновения. Правильно ли это? Вряд-ли
Ну и в завершении о ВУЗах и бизнесе. Очень много говорится о том, что бизнес должен помогать обучению. Очень часто после завершения выступления ко мне подходят представители различных ВУЗов, благодарят за интересные сведения и интересуются возможность сотрудничества. Как вы думаете — сколько ВУЗов связались по данному вопросу сами, не ожидая запросов со стороны вендора и сколько из них не пропали после первого письма?