Специалист по управлению уязвимостями

Ранее я уже писал про разрыв между профстандартами и реальным рынком кибербеза. Повторяться не хочется. Остается главный вопрос: что с этим делать? 🤔

1️⃣ У меня получилось сопоставить NICE Framework со схемой развития кибербез-специалиста (на рисунке).

2️⃣ В терминах NICE на основе отечественных вакансий с HH подготовил черновик описания рабочей роли Специалист по управлению уязвимостями. Оно получилось более детальное, чем у NICE 😎

На основе предложенного описания рабочей роли теперь можно:
📎 создавать актуальные учебные курсы (элективы в вузе, ДПО)
📎 сравнивать учебные курсы между собой (по знаниям и умениям, которые приобретает ученик)
📎 подбирать кадры на смежные должности
📎 повышать квалификацию сотрудников компании итд итп

Данный кейс показывает, что идею NICE Framework можно адаптировать к реалиям отечественного рынка 👍

#nice_framework #модель_компетенций

Сингапурская модель развития карьеры в области промышленного кибербеза

Карьерный путь, карта навыков и описание компетенций для каждой из ролей по ссылке 🤔

#модель_компетенций #OTCCF

Области компетенций в NICE Framework

Обучение и работа — это разные типы деятельности 👨‍🏫

На работе мы ежедневно выполняем рабочие задачи, а во время обучения приобретем новые знания и навыки, чтобы по окончании решать более сложные и интересные рабочие задачи 👨‍💻

Ранее уже писал, что NICE Framework позволяет разграничить работу (рабочие роли) и области компетенций (на рисунке 1).

В новой редакции NICE предлагает добавить следующие области компетенций (== учебные дисциплины).

1. Управление доступом
2. ИИ в кибербезе 🔥
3. Управление активами
4. Облачная безопасность
5. Сетевая безопасность
6. Криптография
7. Основы кибербеза
8. Лидерство в кибербезе
9. Защита данных
10. DevSecOps
11. Киберустойчивость/надежность
12. Безопасность и администрирование ОС
13. Промышленная безопасность
14. Безопасная разработка
15. Безопасность цепочки поставок

Чувствую, что пора уже готовить отдельную лекцию про адаптацию NICE Framework к отечественному рынку кибербеза 🤔

Поставьте 👍 если интересно послушать такую лекцию.

#nice_framework #модель_компетенций

Cвод знаний по кибербезу CyBOK

Американцы разрабатывают фреймворки, а британцы — энциклопедии

Какую проблему решает CyBOK? 🤔

Представим ситуацию: в каждом вузе страны читается дисциплина по основам ИБ и каждый преподаватель с нуля 😱 готовит подобный курс, на это тратятся силы и время, а в итоге "первый блин — комом"...

Идея проекта CyBOK простая и понятная — консолидировать усилия сообщества, собрать экспертов, которые создадут путеводитель (карту) по миру кибербеза, сделают базовые презентации, запишут подкасты. Все материалы в открытом доступе. Остается только развивать и улучшать. Например, создавая книги для малышей по кибербезу 👼

Национальный центр кибербезопасности Великобритании (NCSC) использует CyBOK в качестве основы для сертификации программ бакалавриата и магистратуры 👨‍🏫

CyBOK разделен на 21 область верхнего уровня, сгруппированную в пять категорий, как показано на рисунке 1. Материалы по всем категориям доступны для свободного скачивания 👍

#cybok

Карта карьеры в кибербезе на основе CyBOK

В Великобритании разработкой и продвижением системы карьерного роста в области кибербеза занимается Совет по кибербезопасности (UK Cyber Security Council): он пишет профстандарты (дорожная карта), этическую декларацию и продвигает карьерные пути 🤔

Рассмотрим некоторые карьерные инструменты UK Cyber Security Council:
📎 карьерное картирование в кибербезе, какая специализация лучше всего подойдет (анкета);
📎 карта киберкарьеры, 16 специализаций в области кибербеза, основанные на CyBOK. Например, специалист по управлению уязвимостями;
📎 список курсов и сертификаций.

#CyBOK

Человеко-ориентированная кибербезопасность (Human-Centered Cybersecurity)

Как учил нас Кевин Митник: "самое слабое звено в безопасности - человеческое звено" 👨‍🏫

Национальный институт стандартов и технологий (NIST), следуя этой логике, запустил программу междисциплинарных исследований Человеко-ориентированная кибербезопасность (ранее "Usable Cybersecurity"), чтобы лучше понять и улучшить взаимодействие людей с системами, продуктами и услугами кибербезопасности 🤔

Области исследований программы: осведомленность и обучение кибербезопасности, Интернет вещей, фишинг, восприятие и поведение пользователей, голосование, понимание молодежью конфиденциальности и безопасности, аутентификация, криптография 🤔

#человеко_ориентированная_кибербезопасность #психология

Схематическое представление проблем на рынке труда в области кибербезопасности

Эту схему увидел в отчете Организации американских государств о развитии кадров в области кибербезопасности 👩‍💻🧑‍💻

На схеме показаны все участники процесса подготовки ИБ-кадров 🔥

Мой фокус внимания сейчас на 1️⃣ схеме развития карьеры в ИБ и описании рабочих ролей, затем 2️⃣ их соотнесении с образовательными компетенциями 👨‍🏫

#схема #модель_компетенций

Что должен знать преподаватель по кибербезу?

Перенесем структуру знаний учителя информатики (Framework for Teacher Knowledge) на область кибербеза 👨‍🏫

Структура знаний учителя описывается тремя пересекающимися областями знаний, которые нужны преподавателю: технологические знания, педагогические знания и знание содержания. Получается диаграмма Венна со множеством пересечений 📊

1️⃣ Знание содержания. Очевидно, что преподаватель по кибербезу должен знать и понимать предмет, который он преподает, включая знание основных фактов, концепций и теории.

2️⃣ Технологические знания: знание операционных систем и компьютерного оборудования, а также способность использовать стандартные наборы программных инструментов. Поскольку технологии постоянно меняются, природа технологических знаний также должна меняться со временем.

3️⃣ Педагогические знания: знания о техниках или методах, которые будут использоваться в аудитории. Преподаватель понимает, как формируются знания у учащихся, приобретаются навыки и развиваются способности.

4️⃣ Знание технологического содержания: знания о том, как технологии и содержание связаны друг с другом. Новые технологии предоставляют разнообразные способы представления содержания (mind map, онтологии и пр.).

5️⃣ Знание педагогического содержания: знание педагогики применительно к преподаванию конкретного содержания (кибербеза) 🤔

6️⃣ Технологические педагогические знания: знание инструментов для ведения записей занятий, посещаемости и оценок, а также знание общих технологических идей (доски обсуждений, чаты и пр.).

7️⃣ Знание технологического педагогического содержания: синергия, полученная в результате знаний п. 1-6 👨‍🔬 👩‍🔬

#педагогика

Развитие кибербез карьеры в Сингапуре

SkillsFuture Singapore подготовили интерактивную схему в формате PDF, где перечислены все треки развития ИТ-специалиста. Отдельно на стр. 222 представлена схема по кибербезу 🥷

📎 Понравилось, что на схеме показана единая точка входа в ИБ-профессии (стр. 224), перечислены навыки и уровень их владения 🤔

📎 Единый документ с ИТ-навыками позволяет показать перекрестные связи кибербеза с разработкой ПО (стр. 82), SysOps (стр. 61) 🔥

📎 Отдельно представлены карты компетенций с техническими (стр.293) и "мягкими" (стр. 444) навыками 🔥

#модель_компетенций #Сингапур

Точки роста для отечественного кибербез образования на 2024 год

🔥 Завершил перевод схемы из отчета Организации американских государств 🌎 о развитии кадров в области кибербезопасности.

После адаптации к отечественным реалиям 🇷🇺 можно обозначить точки роста для кибербез образования в стране 🧐

1️⃣ Построение образовательного маршрута в вузах по примеру УрФУ.
2️⃣ Формирование структуры карьерного пути в ИБ. Начало положено в виде схемы и описания первой рабочей роли.
3️⃣ Построение отечественной структуры профессиональной сертификации по ИБ. Здесь прогресса еще нет 😔
4️⃣ Подготовка MOOC (массовых онлайн курсов) по примеру Белого хакера от CyberEd 👨‍💻
5️⃣ Исследование процесса перехода в кибербез из других областей. Формирование курсов, поддерживающих такие переходы 👀

Это, конечно, далеко не все точки роста 📈

#схема #модель_компетенций

Система кибернавыков австралийского управления связи

Перенесемся в теплую Австралию 🐨 🦘☀️

В системе кибернавыков австралийского управления связи определены девять рабочих ролей (рисунок 1), соответствующих структуре NICE Framework 🤔

Отличие от классического NICE только в хитромудрой градации (стр. 15) уровня мастерства владения навыками для каждой роли 🤯

Ранее я писал про американский сервис CyberSeek, заблокированный для жителей РФ 👀

AUCyberExplorer реализовали аналогичный сервис для рынка труда Австралии (рисунок 2): интерактивный карьерный путь, схему сертификации и показали спрос на кибербез специалистов у себя 🥷

#модель_компетенций #nice_framework

Высшее образование: непреодолимый институциональный разрыв с рынком труда

Приведу несколько ярких цитат из статьи С.А. Баркова (МГУ) и В.И. Зубкова (МАИ) 👨‍🏫

🤯 Миф о практиках, на которых студенты получат актуальные знания и навыки

Учебные планы вузов наполнились разного рода практиками, которые, по задумке реформаторов, должны были связать между собой то, чему учат, и то, что пригодится в будущей работе. А в выпускные экзаменационные комиссии стали включаться так называемые «работодатели», чтобы те могли оценить уровень знаний студентов и предъявить преподавателям свои претензии. Но оба этих начинания провалились.

Оказалось, что необходимого количества рабочих часов для разнообразных практик такого огромного количества студентов в экономике попросту нет. А если в компаниях и появляются какие-то дополнительные работы, их предпочитают поручать не практикантам, а собственным сотрудникам для повышения их дохода.

🤯 Миф об активном участии работодателей в жизни кафедры

... реально действующие менеджеры не могут настолько отрываться от своей работы, чтобы многие часы выслушивать защиты дипломников. Во-вторых, реформаторы совершенно упустили из виду материальную сторону вопроса. Вузы не в состоянии достойно заплатить представителям компаний за их работу в выпускных комиссиях, поскольку вузовские зарплаты жестко привязаны к ученым степеням, которых представители компаний, как правило, не имеют.

🤯 Миф о качестве обучения в вузе

... в вузах искусственно увеличивают число студентов на одного преподавателя, создают непрофильные, но популярные у абитуриентов факультеты, а слабых студентов не отчисляют, если они хотя бы просто появляются на экзаменах и зачетах. Видя это, перестают учиться и другие недостаточно мотивированные студенты, а у преподавателей в результате снижаются требовательность и объективность оценки их знаний. Зачем тратить время на бесполезные пересдачи, если зачет или тройку все рано придется поставить.

🤯 Миф о модных специализациях

... слишком узкая специализация – это вовсе не высшее образование. Например, в Дальневосточном федеральном университете есть специальность «юрист-менеджер по закупкам в нефтегазовом комплексе со знанием китайского языка». Но ведь нельзя же за четыре года обучения стать юристом, экономистом и менеджером в области нефтяной и газовой промышленности, да еще и переводчиком китайского языка. Конечно, работодателю дешевле и удобнее иметь одного универсального специалиста вместо четырех. Но, во-первых, в жизни так не бывает. Во-вторых, таких вакансий единицы. И потом, что будет делать этот специалист, если работодателю понадобится, чтобы он наладил торговлю с другой страной другим товаром?

Правильные акценты, актуальные примеры. Рекомендую полностью прочитать статью, обратите внимание на выводы 🧐

#высшее_образование

Модель компетенций для специалиста по управлению уязвимостями

Продолжаю планомерно двигаться по обозначенным точкам роста 📈 кибербез образования в стране 🫡

🔥 Завершил черновик модели компетенций для специалиста по управлению уязвимостями в терминологии NICE Framework.

По ссылке в гугл-таблице для рабочей роли VM на вкладках перечислены задачи, знания и навыки, составленные на основе анализа вакансий отечественного рынка труда 🇷🇺

Знания сгруппировал по областям компетенций. Навыки — в процессе. Идея тут простая🧐

✍️ Принимаются экспертные пожелания и предложения по структуре компетенций в виде комментариев к гугл-таблице 🤝

#модель_компетенций

Про образ будущего из рефлексивной позиции

Бессмыслица — искать решение, если оно и так есть. Речь идет о том, как поступить с задачей, которая решения не имеет (Братья Стругацкие)

Поговорим про образ будущего, к которому, как мне видится, мы идем (рисунок 1, путь 1) 🚀

Сегодня отечественный рынок труда и кибербез образования одновременно живут в двух мирах (системах): мире профстандартов и мире рабочих ролей (реальных вакансий на рынке труда) ‼️

Почему, спросите вы, так происходит? 🤔

Профстандарты меняются раз в шесть лет (раз-в-шесть-лет!) 🤯, рынок труда в кибербезе меняется чаще. В ближайшие год появятся новые профессии, которые не войдут в профстандарт, а значит мы не получим по ним необходимые кадры 😔

Структура рабочих ролей, о которой я пишу, более гибкий инструмент, т.к. представляет из себя конструктор профессий, а не утвержденный на всех инстанциях документ. К примеру, она позволяет гибко проектировать программы ДПО (об этом расскажу отдельно) 👨‍🏫

В определенный момент мы увидим столкновение💥 двух систем, скорее всего, когда придется выбирать, на основе чего формировать отечественную структуру сертификации по кибербезу 🇷🇺 В результате столкновения появится новая сущность (рисунок 2), возможно, профстандарты станут гибче и научатся замечать новые профессии (рисунок 1, путь 2).

Будущее уже наступило. Просто оно еще неравномерно распределено (Уильям Гибсон)

#методология #образ_будущего

Возможные навыки в кибербезе, представленные на диаграмме Венна

С интересом изучаю блог Яна Шауманна, архитектора по ИБ, преподавателя системного администрирования и программирования в Технологическом институте Стивенса (Нью-Джерси) 👨‍🏫

Ян много пишет о навыках кибербез специалистов через визуализацию на диаграмме Венна. Посмотрим на его схему, в оригинале (рисунок 1, 2).

Ян подчеркивает, что в зависимости от направления (Red Teamer, Blue Teamer) происходит специализация, но общее количество навыков на рисунке 2 все равно вызывает растерянность 😱

Получается, что модель компетенций обязательно должна учитывать уровень усвоения, т.к. изучать все темы для разных кибербез направлений на одном уровне не имеет смысла: администратор СЗИ должен помнить про типы ICMP-сообщений, а специалист по безопасной разработке владеть только основами TCP/IP 🤔

Интересно, что на рисунке 1 помимо технических, "мягких" навыков показан также опыт работы и "нечто другое", включающее хакерское мышление 🥷

#модель_компетенций

Карьерный путь в кибербезе в 2024 году

На просторах Интернета появился документ (Dr. Christine Izuakor) с описанием профессий в кибербезе на 2024 год 🤔

Очевидный тренд на инженерные специальности 🥷

#путь_в_ИБ

Видео про модель компетенций и схему развития карьеры в кибербезе

По многочисленным просьбам записал видео про модель компетенций и ее связь со схемой развития кибербез специалиста 👨‍🏫

Жду отзывы, комментарии и предложения 🤝

#модель_компетенций

Учебные киберполигоны в вузах

Правильный вектор наметился в высшем образовании, на который также хочется обратить внимание 🧐

📎 В НГТУ НЭТИ начал работу собственный киберполигон. Индустриальным партнером выступила компания «Системы информационной безопасности».

📎 КНИТУ по программам «Приоритет 2030» и «Передовые инженерные школы» развернул «Ampire».

📎 Университет «Иннополис» при поддержке программы «Передовые инженерные школы» создал собственный учебный тренажер «Иннокиберполигон».

📎 ГУАП открыл «Центр киберучений» в рамках «Приоритета 2030», развернул «Ampire» и также развивает собственный студенческий киберполигон на основе open source продуктов.

📎 Innostage развернула межвузовский SOC на базе четырех вузов (КНИТУ-КАИ, КФУ, КГЭУ и Университета «Иннополис») и провела на KDW студенческую кибербитву.

📎 ИТМО открыл международный центр по кибербезопасности на Национальном киберполигоне, созданном «Ростелекомом» в рамках программы «Цифровая экономика». Похожая новость была про СПбГУТ. О судьбе этого грандиозного проекта, к сожалению, мало писали в 2023 году.

📎 В ИТМО также есть собственная LMS 2.0, которая позиционируется, как киберполигон.

📎 При ТГТУ в технопарке «Вернадский» открыли региональный киберполигон.

📎 В МЭИ киберполигон существует более 5 лет. Реализована киберфизическая модель части энергосистемы, в том числе с возможностью проведения киберучений и анализа возможных последствий.

1️⃣ Видим, что термин «киберполигон» четко не определен, поэтому используется по-разному.

2️⃣ Мало купить готовый или построить с нуля собственный полигон, далее он нуждается в обновлении и технической поддержке: расширении функционала, написании методических руководств для обучения преподавателей и студентов. Об этом тоже не следует забывать 👨‍🏫

3️⃣ Синергетический эффект получается только от совместной работы вузов с компаниями-партнерами. Покупка железа, установка ПО от разных вендоров, зарплаты DevOps'ам и программистам - это все дорогое удовольствие в наше время 🤔

#киберполигон #аналитика

Анонс вебинара про кибербез профессии совместно с МФТИ

Я бы в ИБэшники пошел, пусть меня научат! (по мотивам творчества Владимира Маяковского)

Друзья, сегодня (22 января) в 19:00 совместно с командой ФПМИ МФТИ проведем вебинар про карьерный путь ИБ-специалиста 🥷

В конце вебинара расскажем, как войти в ИТ ИБ через получение навыков администрирования информационных систем и систем защиты информации 👨‍💻

До встречи на вебинаре 😎

#PositiveEducation #анонс

Как определить границу научного знания по ИБ?

Алексей Лукацкий 🤠 в своем посте обратил внимание на качественный прогресс отечественной науки за 10 лет 🤔

У меня вопрос в продолжение: а можно ли определить актуальную границу научного знания по кибербезу? То есть очертить зону неизведанного? Тут мы знаем, а тут - уже нет 🤔

Тогда научный прогресс мы сможем оценить, как приближение к этой границе и ее перемещение 🤓

Проще всего, наверное, с криптографией, там есть набор нерешенных проблем 🧐

А есть ли такой список нерешенных научных проблем в области кибербезопасности? 🤓

#наука

Почему компании создают университеты?

Наблюдаю за развитием двух новых учебных заведений: Центрального университета (г. Москва) и Института iSpring, "Русского университета метатехнологий" (г. Йошкар-Ола) 🧐

Причины создания:
1️⃣ вузы готовят специалистов, не соответствующих рынку труда (фокус на фундаментальной теории, молодых специалистов все равно приходится доучивать в компании);
2️⃣ вузы выпускают недостаточно ИТ-специалистов для потребностей экономики;
3️⃣ ИТ-исследования уходят из вузов и спонсируются компаниями.

Центральный STEM (Science, Technology, Engineering, Mathematics) университет (магистратура, бакалавриат), очевидно, конкурирует за абитуриентов с Физтехом, Вышкой, МГУ, ИТМО, хотя подчеркивается, что это не так 👀

🔥На базе Центрального университета (ЦУ) создана Академия информационной безопасности в партнерстве с ведущими игроками ИБ-рынка 🥷

Подборка интересных ссылок.
📎 Интервью с ректором ЦУ о целях создания вуза.
📎 Лекция Евгения Ивашкевича, ректора ЦУ, "Управление рисками с целью принятия решений".
📎 День открытых идей в Центральном университете.
📎 Как правильно учиться на программиста от Юрия Ускова. Юрий Викторович, основатель компании iSpring, Института iSpring, погружен во все процессы, преподает программирование в институте.

#аналитика