Необходимы партнерство и планирование
Даниэль Сантос, менеджер программ, Национальная образовательная инициатива в сфере кибербезопасности, Национальный институт стандартов и технологий при Министерстве торговли США
По мере того, как мир становится более взаимосвязанным при помощи современных технологий, все больше возрастает потребность в трудовых ресурсах, которые бы защищали эти технологии. Однако, исследования показывают, что в сфере кибербезопасности спрос на квалифицированных специалистов превышает предложение. Нехватка работников в сфере кибербезопасности имеет документальное подтверждение. По оценкам доклада «Исследование трудовых ресурсов в сфере кибербезопасности – 2019 г.», необходим глобальный рост числа специалистов в этой сфере в 145%, чтобы удовлетворить нынешний спрос. По данным организации «CyberSeek».org, только в США сегодня остаются незаполненными более 500 тыс. вакансий в сфере кибербезопасности.
Более того, длительный период приема на работу и обучения сотрудников приводит к продолжительным задержкам в функционировании организаций. Как указано в докладе международной профессиональной ассоциации ISACA «Положение дел в сфере кибербезопасности – 2020», почти 30% опрошенных показали, что процесс принятия на работу подходящего сотрудника в сфере кибербезопасности занимает более шести месяцев. Другие 30% опрошенных показали, что заполнение вакансий занимало три месяца. Кроме того, 70% опрошенных считают, что кандидаты в целом недостаточно квалифицированы для занятия этих должностей. Только совместный подход к генерированию высокопрофессиональных трудовых ресурсов в области кибербезопасности поможет в решении этих чрезвычайно важных вопросов.
Государственно-частное партнерство
Национальная образовательная инициатива в сфере кибербезопасности (NICE) под руководством Национального института стандартов и технологий (NIST) при Министерстве торговли США представляет собой государственно-частное партнерство академических кругов, промышленности и правительственных ведомств. Его задачей является стимулирование и активизация полномасштабного и комплексного образования и экосистемы трудовых ресурсов в сфере кибербезопасности. Именно поэтому NICE с готовностью следует таким идеалам как развитие сотрудничества, совершенствование коммуникаций и обмен ресурсами. NICE функционирует в соответствии со стратегическим планом, разработанным в 2016 г. Принятый в 2014 г. Закон «О совершенствовании сферы кибербезопасности» еще раз подтверждает роль NICE, а параграф IV закона предписывает NIST, как руководящему органу NICE, каждые пять лет разрабатывать и внедрять новые стратегические планы и руководить федеральными программами и мероприятиями с целью поддержки национальной образовательной программы с области кибербезопасности. Закон также обязует NIST «консультируясь с соответствующими федеральными ведомствами, промышленными компаниями, образовательными учреждениями, национальными лабораториями, Программой исследований и разработок в сфере сетевых и информационных технологий и другими организациями, продолжать координировать национальную образовательную программу в сфере кибербезопасности». Далее закон предписывает NIST создавать «поддерживающие официальные образовательные программы в области кибербезопасности на всех образовательных уровнях в целях подготовки и совершенствования профессиональных трудовых ресурсов в сфере кибербезопасности и компьютерной науки для частного сектора и для органов управления на федеральном уровне, на уровне штата, города и племени; и … продвигать инициативы по оценке и прогнозированию будущих нужд работников сферы кибербезопасности в федеральном правительстве и разрабатывать стратегии набора, обучения и удержания персонала».
Стратегический план NICE является результатом сотрудничества и совместного обсуждения всех партнеров NICE в правительстве, академических кругах и в промышленности. В плане отражены видение, миссия, ценности, а также цели и задачи организации. Партнеры NICE будут продолжать работать над эффективными стратегиями реализации, системой показателей и планами, чтобы представить новый пятилетний стратегический план в ноябре 2020 г.
Видение NICE
Видение NICE заключается в цифровой экономике, приводимой в движение знающим и опытным персоналом в сфере кибербезопасности. Все возрастающая зависимость государственного и частного секторов от жизнестойкого киберпространства для предоставления онлайновых услуг гражданам и потребителям требует комплексных усилий, включающих обеспечение большей степени безопасности данных и компьютерных сетей, чем и должны заняться работники с необходимыми знаниями, навыками и способностями.
Миссия NICE
Миссия NICE заключается в том, чтобы активизировать и продвигать надежную сеть и экосистему образования, подготовки и развития трудовых ресурсов в сфере кибербезопасности. Хотя аббревиатура NICE подчеркивает компонент образования, подготовка и обучение предоставляют очень важные образовательные возможности, которые реализуются сторонней коммерческой организацией либо самим работодателем. Сертификации, особенно сопровождаемые практическим обучением и оценкой квалификации сотрудника на основе его реально проделанной работы, являются теми показателями, по которым можно проверять знания, навыки и способности персонала. NICE также уделяет большое внимание созданию квалифицированных трудовых ресурсов в сфере кибербезопасности, для чего приоритетом является функционирование образовательных учреждений и работодателей в соответствии со Структурой NICE в отношении трудовых ресурсов в сфере кибербезопасности (или Структурой NICE).
Ценности NICE
Возможно, наиболее важным аспектом разработки стратегического плана был процесс социализации, который привел к образованию общего набора идеалов. Сотрудничество и коммуникации находятся в центре усилий NICE по созданию чувства единой общности, которое будет способствовать тому, чтобы все заинтересованные стороны обменивались ресурсами. Мы обслуживаем различные сегменты общества и полагаемся на мыслящих руководителей во всех секторах экономики, и поэтому важно, чтобы мы были моделью инклюзивности в наших программах и мероприятиях. Мы также хотим быть известными нашей настойчивой деятельностью и способностью добиваться результата, и для этого важно, чтобы мы проверяли гипотезы, искали доказательства и измеряли результаты нашей работы. Проблемы огромны, нынешнее состояние дел неудовлетворительное, и поэтому мы должны быть готовы принять перемены и искать способы стимулирования инноваций. Вместе, как единое сообщество, мы добьемся прогресса в ликвидации нехватки квалифицированных специалистов в сфере кибербезопасности, что приведет к повышению уровня экономический и национальной безопасности.
Стратегический план определяет широкий круг целей и задач, которые предполагают определенные шаги и устанавливают приоритеты на следующие несколько лет. Осознавая, что пропасть между постоянно растущим спросом на квалифицированных работников в сфере кибербезопасности и имеющимся предложением становится все шире, первая цель состоит в том, чтобы ускорить процесс образования и развития навыков людей. Мы должны сделать так, чтобы и в частном, и в государственном секторах стало понятно, насколько срочно нужно решать проблему нехватки опытных работников в области кибербезопасности. Возможно, реализация именно этой цели и представляет наибольшую проблему, поскольку крайне необходимо найти креативные и эффективные пути увеличения количества нужных специалистов. Эти задачи заставляют нас экспериментировать с новыми подходами, такими как программы стажировок и коллективного обучения, чтобы студенты быстрее переходили из категории учащихся в категорию рабочей силы. Задачи эти также побуждают нас к поиску путей перенаправления вытесненных с рынка работников или работников с неполной занятостью в сторону карьеры в сфере кибербезопасности.
Признавая уникальный вклад работников образования, а также различную предыдущую профессиональную подготовку обучающихся, в качестве второй цели мы определили создание общности обучающихся с различной степенью подготовки. Мы стремимся укрепить образовательные и обучающие программы во всей экосистеме, чтобы подчеркнуть важность процесса обучения, оценивать достигнутые результаты и диверсифицировать трудовые ресурсы в сфере кибербезопасности. Вложены значительные инвестиции в образовательные программы, объединение учебных планов, обучение и сертификацию. Тем не менее, мы должны постоянно совершенствовать свою работу с тем, чтобы эти программы приносили ожидаемый результат в плане диверсификации рабочей силы. Центры академического мастерства в сфере кибербезопасности под руководством Агентства национальной безопасности и Министерства внутренней безопасности США и Центры передового технологического образования в сфере кибербезопасности, финансируемые Национальным научным фондом, представляют собой важную основу для дальнейшего развития возможностей и расширения числа участников за счет институтов высшего образования. Хорошо известно, что для того, чтобы поддерживать постоянный приток рабочей силы в сфере кибербезопасности, мы должны знакомить студентов с возможностями трудоустройства еще на ранних стадиях и делать так, чтобы их академическая подготовка в средней школе дала им возможность продолжить образование в институтах и университетах. Среди работников в сфере кибербезопасности недостаточным образом представлены женщины и меньшинства, а также в недостаточной степени используются ветераны отрасли кибербезопасности. Эти тенденции документально подтверждены, и нам необходимо предпринимать конкретные шаги, чтобы их переломить.
Наконец, возможности, предоставленные занятостью в сфере кибербезопасности, дадут сильный толчок экономическому развитию отдельных групп населения, однако работники как государственного, так и частного секторов должны пользоваться какими-то рекомендациями, которые помогут им ориентироваться в постоянно меняющихся карьерных особенностях этой отрасли. И поэтому наша третья цель состоит в том, чтобы давать рекомендации относительно карьерного роста и планирования трудовых ресурсов. Профессионалам в области людских ресурсов, менеджерам, отвечающим за набор кадров, и специалистам в сфере кибербезопасности необходима помощь и поддержка в таких вопросах как исследование требований рынка, прием на работу сотрудников, повышение их квалификации и удержание их в штате этих организаций. Компания CyberSeek.org, получающая финансирование от NIST и некоммерческих организаций «CompTIA» и «Burning Glass International Inc.», участвует в выполнении общей задачи по выявлению и анализу источников данных, которые помогают прогнозировать нынешнее и будущее соотношение между спросом и предложением квалифицированной рабочей силы в сфере кибербезопасности. Кроме того, NICE Challenge Project (https://www.nice-challenge.com), разработанный Университетом штата Калифорния в г. Сан-Бернардино, создает набор виртуальных проблемных ситуаций, основываясь на заданиях Структуры NICE. Разработанный Министерством внутренней безопасности США Инструментарий по развитию трудовых ресурсов в сфере кибербезопасности представляет собой пример тех инструментов, которые придут на помощь отделам кадров и менеджерам, отвечающим за набор специалистов.
Правительственное постановление «Об американской рабочей силе в сфере кибербезопасности», опубликованное 2 мая 2019 г., призывает к налаживанию «консультативного процесса с участием федерального правительства, органов управления на уровне штатов, графств, городов и племен, а также академических кругов, заинтересованных сторон частного сектора и других соответствующих партнеров, в результате которого будет проведена оценка национальных нужд в секторе трудовых ресурсов в сфере кибербезопасности и выработаны рекомендации, а также обеспечена более высокая степень мобильности американских специалистов в сфере кибербезопасности». Имея Рабочую группу NICE, нам не пришлось долго искать существующий механизм для выполнения этого распоряжения.
Созданная в 2015 г. Рабочая группа NICE обеспечивает механизм взаимодействия между представителями частного и государственного секторов с целью выработки концепций и стратегий, а также реализации конкретных мер, которые продвигают образовательные программы в сфере кибербезопасности, и обучение и профессиональное развитие кадров. Рабочей группой руководят три сопредседателя, представляющие, соответственно, академические, промышленные и правительственные круги. Рабочая группа NICE разбита на шесть рабочих подгрупп, работающих с темами и аудиториями, имеющими отношение к таким аспектам как преподавание учащимся предмета кибербезопасности на уровне начальной школы, средней школы и колледжа, организация конкурсов, обучающих программ и механизма сертификации, признаваемого промышленными компаниями, управление трудовыми ресурсами и организация стажировок. Работа каждой из подгрупп, также как и деятельность Рабочей группы в целом, открыта для общественности.
Рабочая группа и ее подгруппы постоянно активно разрабатывают новые проекты и выдают продукты (краткие вводные в проблему на одну страницу, исследовательские доклады, инструментарий, презентации и т.д.), которые являются непосредственным ответом на цели и задачи, определенные стратегическим планом NICE. К рабочей группе часто обращаются за консультациями. Например, поскольку в этом году NICE собирается подготовить обновленный стратегический план, то в каждой подгруппе на совещаниях обсуждаются нужды организации и проводятся «мозговые штурмы» относительно тематики, целей и задач для будущего стратегического плана. Рабочая группа и ее подгруппы были активно задействованы летом 2017 г., когда NICE разрабатывала внутренние процедуры в ответ на правительственное постановление «Об усилении кибербезопасности федеральных сетей и критической инфраструктуры». Это постановление требовало провести оценку «масштабов и достаточности усилий по организации образования и обучения будущих трудовых ресурсов Америки в сфере кибербезопасности, в том числе по разработке учебных планов, относящихся к тематике кибербезопасности, для программ в сфере образования, обучения и стажировки на всех уровнях от начального школьного до университетского» и «предоставить Президенту отчет с выводами и рекомендациями относительно того, как поддерживать рост и самообеспечение национальных трудовых ресурсов в сфере кибербезопасности как в государственном, так и в общественном секторе». В то время результатом консультаций стал «Доклад Президенту о поддержании роста и самообеспечения национальных трудовых ресурсов в сфере кибербезопасности: создание основ для более безопасного будущего Америки» (Доклад о состоянии трудовых ресурсов).
NICE проводит консультации с академическими и промышленными кругами также следующими способами:
- Запрашивает информацию о предлагаемых темах, относящихся к образовательным программам в сфере кибербезопасности и развитию трудовых ресурсов; один из таких запросов был направлен в ответ на Правительственное постановление №13800, требовавшее «информации о масштабах и достаточности усилий по организации образования и обучения национальных трудовых ресурсов в сфере кибербезопасности и рекомендаций относительно того, как поддерживать рост и самообеспечение национальных трудовых ресурсов в сфере кибербезопасности как в государственном, так и в общественном секторах».
- На рассмотрение общественности постоянно предоставляются черновые версии публикаций NICE, в том числе и «Специальная публикация NICE 800-181», которая определила Структуру NICE в отношении трудовых ресурсов в сфере кибербезопасности.
- Сотрудничество с Консультационным советом NIST по вопросам информационной безопасности и конфиденциальности информации, созданным в соответствии с Законом о федеральном консультативном комитете (FACA) для предоставления NIST консультативных услуг в вопросах информационной безопасности и конфиденциальности.
- Мнения Консультативного совета по политике трудовых ресурсов США, еще одной группы в составе FACA, которая предоставляет консультации и рекомендации межведомственному совету, возглавляемому Министерством торговли США в соответствии с Правительственным распоряжением «О создании президентского национального совета, защищающего интересы американских рабочих».
- Другие общественные форумы или консультативные советы, созданные для помощи другим правительственным министерствам и ведомствам.
- Участие в мероприятиях, финансируемых грантами NIST, таких как ежегодная Конференция и выставочная экспозиция NICE, Конференция NICE по образованию по предмету кибербезопасности в средних школах и симпозиумах Центра академического мастерства в сфере кибербезопасности, проводимых ежегодно сразу после проведения конференций и выставочных экспозиций NICE.
Приглашения в качестве выступающих или гостей на встречи, проводимые академическими или промышленными кругами, или мероприятия, на которых сотрудники NICE имеют возможность услышать и узнать о назревающих вопросах, появляющихся возможностях и новых программах в организациях как государственного, так и частного сектора.
Представители общественности приглашаются принять участие в функционировании Рабочей группы NICE, присутствуя на конференциях или других мероприятиях, спонсируемых NICE, в том числе на встречах, где обсуждаются вопросы образования и рабочей силы, имеющие отношение к сфере кибербезопасности.
NICE также сотрудничает и с правительственными организациями. Межведомственный координационный совет NICE собирает своих партнеров из федеральных правительственных ведомств для консультаций, обмена мнениями и координации политических инициатив и стратегических направлений, относящихся к программам образования, обучения и развития рабочей силы, связанных с кибербезопасностью. На регулярно проводимых встречах этой группы Отдел текущих программ NICE делится с партнерами из федеральных ведомств последними новостями, а также узнает о том, как работа этих ведомств поддерживает усилия NICE. Эта группа также определяет и обсуждает вопросы проводимой политики и стратегических направлений в работе NICE.
Структура NICE в отношении трудовых ресурсов в сфере кибербезопасности была сформирована таким образом, чтобы создать единый язык для категоризации и описания деятельности в сфере кибербезопасности и предложить инструменты для определения стартовых возможностей и профессиональных недостатков персонала, а также для обеспечения постоянного притока квалифицированных работников в области кибербезопасности. Первая версия Структуры NICE была опубликована в 2012 г. и превратилась в своего рода национальный стандарт для работодателей, практических работников и работников образования, обучающих инструкторов и слушателей в общественных, частных и академических кругах. В других странах этот документ также используется в качестве справочного материала. По мере того, как все больше организаций приводят свои усилия в области развития трудовых ресурсов к единой классификации, результатом станут более стандартизированные трудовые ресурсы в сфере кибербезопасности, которые смогут более эффективно защищать наши компьютерные сети и системы.
Последняя версия Структуры NICE была опубликована в августе 2017 г. как «Специальная публикация NICE №800-181». Эта версия расширила первоначальный лексикон документа и включает более точную классификацию категорий направлений работы в сфере кибербезопасности, области специализации, а теперь еще и роли, которые они выполняют. «Специальная публикация NICE №800-181» также стала первой версией, в которую включены детали по таким категориям работ как «Сбор и использование данных» и «Анализ данных» с описанием необходимых знаний, навыков, способностей и выполняемых задач. В предыдущих версиях информация по этим категориям была убрана, поскольку была чрезвычайно специализирована и чувствительна. Последняя версия предлагает более детальную информацию об особенностях этой работы и дает возможность работникам образования и инструкторам готовить работников именно в этих областях.
Структура NICE будет и дальше меняться в соответствии с нуждами тех групп потребителей, которых она обслуживает. NICE стремится динамично поддерживать актуальность, применимость и полезность этого документа, в то же время совершенствуя его соответствие существующим стандартам, рекомендациям и другим структурам. Сохранение актуальности Структуры NICE чрезвычайно необходимо для подготовки нашей национальной рабочей силы к работе в области кибербезопасности, которая становится все более сложной. Именно поэтому мы начали цикл регулярных обновлений и в ноябре 2019 г. объявили о планах опубликовать пересмотренную версию «Специальной публикации NICE №800-181». Перед опубликованием мы представили общественности черновой вариант документа с просьбой направить свои комментарии.
Обновления Структуры NICE будут происходить при сотрудничестве с частным сектором и другими правительственными ведомствами в духе транспарентности, открытости и партнерства.
Изменения в Структуре NICE будут основываться на комментариях тех субъектов, которые используют этот документ и применяют его на практике. Те, кто занимается планированием трудовых ресурсов, а также работники образования, инструкторы, работодатели и обучаемые работники могут высказать пожелания включить в Структуру NICE новые компоненты или информационные материалы. Когда мы активно привлекаем представителей частного и государственного секторов к выработке стандартов, таких как Структура NICE, мы полагаемся на экспертов со всей страны – и со всего мира – и используем их для повышения качества, актуальности и вероятного применения нашего конечного продукта. О необходимости отдельных улучшений мы узнаем из отзывов тех, кто нас консультировал, реализовывал или применял Структуру NICE или участвовал в составлении этого документа. Примерами таких улучшений могут быть проведение аудитов персонала, описание должностных обязанностей, четкое определение ожидаемого конечного результата обучения, проверка знаний, навыков и способностей, а также создание путей карьерного продвижения для тех, кто проходит обучение или ищет работу.
Вместе мы сильнее
В сентябре 2016 г. Отдел текущих программ NICE выделил финансирование организации под названием «Региональный альянс и многостороннее партнерство во имя стимулирования развития образования и трудовых ресурсов в сфере кибербезопасности» (RAMPS) для пяти пилотных программ. Эти программы нацелены на то, чтобы свести вместе работодателей, испытывающих нехватку специалистов в сфере кибербезопасности, с работниками образования с тем, чтобы сформировать профессиональные кадры, отвечающие нуждам промышленности отдельных городов и целых регионов. Одно из требований программы заключалось в том, чтобы каждый участник мог подтвердить наличие партнера среди местных работодателей и как минимум в одном из следующих учебных заведений: средняя школа, местный отдел образования или высшее учебное заведение (колледж, институт или университет).
Посредством разработанной системы показателей создание программ RAMPS продемонстрировало, что региональные альянсы и партнерства могут положительно влиять на увеличение трудовых ресурсов в сфере кибербезопасности. Все большее количество студентов решает прослушать соответствующие курсы, все большее число работников понимают возможности сделать карьеру в этой области и все большее количество людей хотят пройти интернатуру по этой специальности. Это свидетельствует о том, что создание партнерских отношений может существенно изменить экосистему трудовых ресурсов в сфере кибербезопасности. Как сказала Хелен Келлер: «В одиночку мы можем сделать так мало, но вместе мы способны сделать так много».
Дополнительные публикации
Нижеперечисленные документы ни в коем случае не являются исчерпывающим списком публикаций. Тем не менее, они дают более детальный контекст для тех программ, подходов и материалов, которые описаны в этой статье.
- NICE Cybersecurity Workforce Framework (https://nist.gov/nice/framework)
- A Roadmap for Successful Regional Alliances and Multistakeholder Partnerships to Build the Cybersecurity Workforce (https://doi.org/10.6028/NIST.IR.8287)
- Report on the International Workshop on Cybersecurity Education and Workforce Development Capacity Building (https://www.nist.gov/document/nice-international-workshop-report-2019)
- NICE Strategic Plan (https://www.nist.gov/itl/applied-cybersecurity/nice/about/strategic-plan)
- Supporting the Growth and Sustainment of the Nation’s Cybersecurity Workforce (https://www.nist.gov/itl/applied-cybersecurity/nice/resources/executive-order-13800/report)
Комментарии закрыты.