Согласно исследованиям Ponemone Institute, средняя стоимость одной утечки информации в мире составляет около $5,5 млн. «Стоимость» здесь следует понимать как размер ущерба для той компании, которая эту утечку допустила. Другие инциденты в сфере информационной безопасности – хакерские атаки на корпоративную сеть, утрата важной информации, заражение корпоративных информационных ресурсов вредоносным ПО – имеют сопоставимые значения. Поэтому действительно не каждая компания может себе позволить учить собственного специалиста по информационной безопасности в «боевых условиях».
Впрочем, есть проблемы и с подготовкой специалистов по информационной безопасности в вузах страны. Специальности «Системы информационной безопасности» и «Защита и безопасность информации» и для бакалавриата, и для магистратуры присутствуют в учебных программах сравнительно недавно: в большинстве вузов подготовка по ним началась лишь в 2011. Поэтому говорить о массовой подготовке специалистов по этим специальностям еще рано, несмотря на то, что рынок труда сигнализирует о высоком уровне неудовлетворенного спроса на них со стороны компаний и госорганов.
Есть у вузовских программ и существенный минус, присущий практически всему высшему образованию на постсоветском пространстве. Заключается он, по словам экспертов, в излишнем внимании к теоретической подготовке, в результате чего страдает практика. А ведь именно навыки реальной борьбы с утечками информации, хакерскими атаками и другими инцидентами являются ключевым фактором успешной работы специалиста по информбезопасности.
Конечно, в отличие от других специальностей в сфере ИТ (например, программирования), разработать лабораторные работы и смоделировать в учебном классе ситуации, с которыми сталкиваются реальные «безопасники» на предприятиях, достаточно сложно. Здесь сказывается и отсутствие опыта реальной работы с инцидентами у преподавателей, работающих в вузах, и отсутствие контакта практикующих специалистов с вузами. Поэтому, даже когда на рынке труда появится достаточно специалистов по информационной безопасности, нельзя будет говорить о том, что кадровый голод удовлетворен полностью, поскольку каждому из них потребуется еще 3-5 лет практики, чтобы полностью соответствовать требованиям компаний.
Поэтому, по оценке Дмитрия Стельченко, руководителя казахстанского офиса компании SearchInform, специализирующейся на информационной безопасности, большинство руководителей ИБ-подразделений в Казахстане сегодня – это переучившиеся «айтишники». Новую профессию они постигают уже в процессе работы, активно используя для этого интернет-форумы профессиональных ИБ-сообществ, посещая семинары, участвуя в отраслевых конференциях и тренингах. К сожалению, достаточной такую подготовку назвать сложно, поскольку она носит «лоскутный» характер: специалист получает информацию о решении отдельных существующих у компании проблем, но знаний о построении системной работы по обеспечению информационной безопасности компании, о прогнозировании рисков и превентивной борьбы с угрозами у него, как правило, нет.
Одним из решений проблемы, пусть и временным, могут стать авторизованные курсы компаний, работающих в сфере информационной безопасности. Такие курсы, с одной стороны, решают задачу экономии времени при подготовке специалиста, поскольку занимают, в отличие от вузовской подготовки или даже переподготовки, всего несколько недель. С другой стороны, они все же позволяют систематизировать обрывочные знания из других источников и получить практический опыт работы с реально используемыми в корпоративной практике инструментами. Важный «побочных эффект» таких курсов, крайне важный для начинающего ИБ-специалиста, ‑ профессиональные связи, получаемые во время работы в учебной группе. В отличие от многих других сфер, отрасль информационной безопасности остается достаточно закрытой для «человека с улицы», и получить консультацию, рекомендацию, совет от более опытного специалиста бывает весьма непросто.
Несмотря на то, что таких курсов пока в Казахстане все еще немного по сравнению, например, с Россией, тенденция к увеличению их числа, как говорят специалисты, налицо. Это положительным образом сказывается на уровне защищенности организаций от информационных угроз, а в конечном счете, и на безопасности данных партнеров и клиентов этих организаций.
Впрочем, одних курсов, как говорят практикующие «безопасники», все равно вряд ли будет достаточно. Оптимальным вариантом было бы их внедрение в учебные программы вузов: тогда студенты в процессе учебы имели бы возможность освоить не только теорию, но и практику обеспечения ИБ в организациях, а значит, на выходе получились бы более ценные и подготовленные к реальной жизни специалисты.