Анализ несоответствий в системе образования, профессиональной подготовки и сертификации в сфере кибербезопасности
Д-р Вилма Томцо, генеральный директор, и Клорента Януши, эксперт по информационной безопасности, Национальное агентство по электронной сертификации и кибербезопасности, Совет министров Республики Албания
Кибербезопасность находится в числе национальных приоритетов. При таком беспрецедентно быстром распространении коммуникационных технологий кибербезопасность, функциональная совместимость и цифровая трансформация стали основными темами обсуждения в современной цифровой среде. Принимая во внимание такое явление как «утечка мозгов», мы уже находимся в кризисной ситуации, когда мы не производим необходимое интернет-индустрии количество квалифицированных кадров. Финансовые инвестиции, возможно, уже не являются основным препятствием, как это было раньше, а вот организациям необходимо иметь четкое представление о своих ресурсах, активах и уровне компетентности сотрудников, чтобы они смогли увидеть свои слабые места.
Общий подход сегодня к проблеме нехватки кадров состоит в кратковременном латании дыр. Университеты ввели в свои учебные программы степени бакалавра и магистра по специальности кибербезопасности, однако составители этих программ должны учитывать стоящие перед ними проблемы по мере того, как цифровая среда эволюционирует колоссальными темпами. Динамизм этой сферы деятельности должен привести к четкому пониманию того факта, что реалии фундаментально отличаются от существующих учебных планов. Такое понимание очень важно в наших усилиях по сокращению нехватки специалистов, которые включают привлечение большего числа женщин и достижения более высокого уровня диверсификации в компьютерной сфере.
Законодательный рамки
Европейский союз регулирует область кибербезопасности посредством общих законодательных рамок, частью которых является принятая Директива относительно безопасности сетей и информационных систем (Директива NIS). Албания, выполняя свои обязательства кандидата в члены ЕС, частично приняла Директиву NIS, одобрив Закон № 2/2017 «О кибербезопасности». Закон наделяет Национальное агентство по электронной сертификации и кибербезопасности (NAECCS) полномочиями надзора и реализации, и при этом NAECCS, в соответствии с законом, выполняет функции национальной Группы реагирования на инциденты в сфере кибербезопасности (CSIRT). Для выполнения этих функциональных задач NAECCS приняло методологию для организации и функционирования CSIRT на национальном уровне. В методологии закреплено обязательство создать CSIRT на каждом объекте критической и важной информационной инфраструктуры (CIIIO). Список операторов таких объектов утвержден Советом министров и обновляется каждые два года.
Закон «О кибербезопасности» и соответствующие подзаконные акты определяют обязательства для всех CIIIO следующим образом:
- В структуре CSIRT каждого сектора создать специальные должности для экспертов по кибербезопасности.
- Повысить функциональность системы путем принятия дополнительных мер по повышению уровня безопасности и координации действий с национальным CSIRT для реагирования на киберинциденты в режиме реального времени.
- Повышать технические и профессиональные способности сотрудников путем организации специального обучения в сфере кибербезопасности, проведения киберучений и т.д.
Выполнение этого закона и соответствующих подзаконных актов отражено на Рисунке 1. После создания законодательной базы в сфере кибербезопасности CIIIO увеличили количество должностей, имеющих прямое отношение к кибербезопасности. На Рисунке 1 изображен один из наиболее динамичных секторов, основанных на Директиве NIS. NAECCS периодически проводит киберучения и теоретические упражнения в целях повышения квалификации экспертов с тем, чтобы создать в Албании более безопасную кибернетическую экосистему. За этот же самый период CIIIO подтвердили свою решимость в реализации проектов в сфере кибербезопасности, инвестировав в них 1,1 млн. евро.
Все государственные учреждения сталкиваются с общей угрозой, которая может постепенно разрушить их механизмы защиты: с «утечкой мозгов» в секторе кибербезопасности. В числе факторов, вызывающих это явление − низкие зарплаты в госучреждениях и большой процент скучной ручной работы при обслуживании существующих систем, что часто приводит к неудовлетворенности высококлассных специалистов и их уходу. Исследование показало, что только 35% сотрудников, отвечающих за кибербезопасность в опрошенных правительственных ведомствах, имеют действительный международный сертификат и являются «сертифицированным главным экспертом по информационной безопасности» (CCISO), «сертифицированным профессионалом в области информационной безопасности», или обладателем сертификата ISO 27001 (Международная организация по стандартизации).
Студенты, изучающие предмет кибербезопасности
Проведенный NAECCS в 2019 г. опрос в высших учебных заведениях Албании проанализировал такую информацию о студентах как их демографические особенности, гендерная принадлежность и уровень обучения (бакалавриат и магистратура). Рисунок 2 показывает разницу в количестве студентов мужского и женского пола, дает представление о том, как после окончания учебы они увеличат уровень кибер-экпетизы на рынке труда.
Лекции по вопросам, относящимся к кибербезопасности, введены в учебные программы 20% государственных университетов, в 15% частных университетов и в 10% центров профессионального обучения. NAECCS играет ключевую роль в увеличение числа экспертов в сфере кибербезопасности в Албании путем увеличения числа студентов, проходящих обучение по этому предмету. В 2017 г. NAECCS организовало Албанскую киберакадемию (АСА) с целью повышения интереса студентов к области кибербезопасности. АСА приглашает албанских и зарубежных экспертов в сфере кибербезопасности и студентов, изучающих информационные и коммуникационные технологии (ИКТ), углубить свои знания и расширить сеть профессиональных контактов.
Ежегодно NAECCS организует конференции на тему «Женщины в сфере информационных и коммуникационных технологий», в ходе которых женщины, работающие в области ИКТ, делятся своими идеями и заинтересовывают молодых людей в выборе карьеры в секторе кибербезопасности. Женщины в Албании занимают самые высокие руководящие посты в области ИКТ, работая на должностях генеральных директоров, директоров по ИКТ и директоров по информационной безопасности.
Заключение
У организаций есть четко определенная обязанность повышать качество обучения своего персонала, работающего в сфере безопасности информационных технологий, разрабатывать стимуляционные пакеты для удержания сотрудников и, что особенно важно, привлекать молодых специалистов. В будущем мы планируем введение предмета кибербезопасности во все учебные программы, поскольку все студенты ВУЗов являются потенциальными кандидатами на должности, имеющие отношение к области кибербезопасности. Профессиональное развитие кадров чрезвычайно важно, поскольку сама природа киберугроз эволюционирует чрезвычайно быстро. У специалистов имеется много способов повышения своих профессиональных навыков, включая получение сертификатов и дополнительных университетских степеней, а также прохождение практических курсов для развития особых технических навыков.
Поскольку утверждение университетских учебных программ занимает довольно много времени, то определенную помощь могут оказывать центры профессионального обучения, организуя краткосрочные курсы для техников, аналитиков и аудиторов, работающих в сфере информационной безопасности.
Статистика показывает, что албанские женщины более сосредоточены на своей работе и более преданы ей, чем мужчины, и поэтому крайне необходимо делать все, чтобы привлекать больше женщин на работу в сектор кибербезопасности. Этого можно достичь путем проведения информационных кампаний и различных мероприятий, таких как конкурсы, хакатоны, конференции, университетские распределения выпускников и др.
Комментарии закрыты.