Специалисты по безопасности данных в облаке: новые грани профессии (портал GlobalCIO)

31.10.2016
Специалисты по безопасности данных в облаке: новые грани профессии (портал GlobalCIO)
Очередные изменения произойдут с июня 2017 г. (по истечении 12 месяцев с момента опубликования), когда вступит в силу Постановление Правительства от 15.06.2016 г. №541 «О внесении изменений в некоторые акты Правительства Российской Федерации по вопросам лицензирования отдельных видов деятельности». С этого момента достаточно сильно повысятся требования к специалистам в области ИБ в первую очередь для организаций, оказывающих услуги по обеспечению ИБ, т.е. интеграторов. Будут существенно повышены требования к стажу работы, образованию и переподготовке специалистов по обеспечению ИБ, которые должны находиться в штате у лицензиата ФСТЭК/ФСБ.

Новые образовательные технологии

Технологии обучения тоже меняются. На днях в Москве прошла презентация решения CYBERSHIELD TnS израильской компании CYBERBIT, среды для подготовки специалистов в области кибербезопасности в реальных условиях. Решение предлагает виртуальную среду обороны, предназначенную для обучения специалистов по обеспечению информационной безопас­ности и лиц, принимающих решения по обеспечению защиты национальных военных и гражданских сетей, от всех форм кибератак. Решение наимощнейшее, но дороговато для российских ВУЗов.

Российская компания PentestIT наряду с непосредственно услугами по пентесту предлагает пройти обучения ИБ специалистам в исследовании защищенности. Ими запускаются и регулярно обновляются лаборатории, на которых можно попробовать свои силы в проникновении в систему, близкую к реальной.

Эта услуга во многом схожа с известной во всем мире сертификацией от Offensive Security, разработчика Kali Linux, в ходе которой студент должен продемонстрировать не теоретические, а реальные навыки по проникновению в подготовленную виртуальную инфраструктуру, близкую к реальной.

Международный форум по практической безопасности Positive Hack Days 2016 (PhD VI) содержал в программе соревнования защитников и атакующих, наша совместная команда Сервионика-КРОК отражала атаки двое суток в реальном времени – это лучшее обучение в 2016 году, по словам участников от "Сервионики".

Оценка профессиональных компетенций

Структура спроса на ИТ-специалистов меняется, но если проанализировать историю отрасли, выясняется, что эволюция кадрового ресурса в ИТ циклична. На заре «ИТ-эры», когда в корпоративном секторе работа строилась вокруг «больших компьютеров», их обслуживал узкий круг специалистов. Настала «эра ПК» — и радикально изменила подход к организации развертывания корпоративной ИТ-инфраструктуры: для ее обслуживания потребовалось больше специалистов. Сегодня ключевой ИТ-тренд — облачные технологии: сфера, где объединены сервисные и инженерные компетенции. Поэтому и от специалистов, работающих с облачными решениями, требуется комплексный подход, в том числе и в сфере ИБ. А это — другие принципы подготовки, сертификации и профессионального развития.

Уже сейчас часто выясняется, что представления учебных заведений о том, что должен знать и уметь специалист по ИБ, требованиям компаний не соответствуют. И дело не в том, что учат как-то «неправильно»: знания, полученные в рамках предыдущей парадигмы рынка, перестают соответствовать реалиям.

Чтобы было проще сориентироваться в том, какие сертификации специалистов в сфере cloud computing сегодня наиболее актуальны, приводим их рейтинг по версии издания CIO.com:

1. CCSK (Certificate of Cloud Security Knowledge Cloud Security Alliance) — это базовый сертификат для специалистов по облачной безопасности. Он нейтрален по отношению к вендорам и охватывает ключевые области знаний. Тест основывается на руководстве «Cloud Security Alliance Security Guidance for Critical Areas of Focus in Cloud Computing V3» (доступно на английском) и отчете ENISA «Cloud Computing: Benefits, Risks and Recommendations for Information Security». Наилучший способ подготовки состоит в изучении этих документов. В настоящее время российское подразделение CSA ведет прием онлайн-экзаменов на этот тип сертификата и разрабатывает курсы по подготовке к его сдаче.

2. Cloud U – Rackspace. Как заявляет компания Rackspace, Cloud U — это технологически нейтральный учебный курс для ИТ-профессионалов и бизнес-лидеров, который обеспечивает получение фундаментальных знаний в области облачных технологий. Контент курса доступен всем желающим, но можно получить и соответствующий сертификат. Финальный экзамен состоит из 50 вопросов на основе материала всех 10 уроков курса.

3. CompTIA Cloud Essentials -- Comp TIA. Как заявляет CompTIA, сертификат Cloud Essentials Certification подтверждает базовые знания облачных технологий, его получение гарантирует, что специалист понимает «облака» как с точки зрения их роли для бизнеса, так и с точки зрения технической составляющей. В программу сертификации включены разделы по миграции в облако и руководство по созданию инфраструктурного окружения. Компания предлагает учебный курс и тренинговые материалы к сдаче сертификата. Не обязательно, но крайне желательно для прохождения этой сертификации обладать, как минимум, 6-месячным опытом работы в соответствующей области.

4. Cloud Certified Professional – CloudSchool.com CloudSchool.com предлагает возможности получить несколько «вендоронезависимых» сертификатов. Каждый из них выдается после прохождения однодневного учебного модуля и подтверждает компетенции в отдельных областях знаний. Есть сертификаты для облачных архитекторов, технологических специалистов, менеджеров облачных сред, специалистов по облачной безопасности и др.

5&6. IBM Certified Cloud Solution Architect v1 и v3 – IBM. У IBM есть два облачных сертификата: IBM Certified Solution Architect v1 и v3. Они предназначены для того, чтобы получить глубокие знания по архитектуре и менеджменту облачных решений на базе инфраструктуры IBM. Оба сертификата выдаются после прохождения теста, причем для его успешной сдачи потребуются базовые знания в области cloud computing.

7. Google Certified Deployment Specialist – Google. Данный сертификат от Google охватывает фундаментальные знания и навыки, которые требуются для работы с Google Apps в версиях Business и Education. Для успешного получения сертификата компания рекомендует принять участие не менее, чем в трех проектах по развертыванию Google Apps для бизнеса, а также иметь от 3 до 6 лет опыта работы в ИТ. Тренинг вы проходите самостоятельно, в онлайн-формате, а затем сдаете экзамен.

8. Salesforce.com Certified Professional — Salesforce.com Salesforce.com для работы со своими решениями предлагает несколько сертификатов: Salesforce Administrator, Force.com Developer, Implementation Expert и Architect (администратор, разработчик, эксперт и архитектор — соответственно) и ряд других. Вендор настаивает на том, что для получения сертификата нужны практические, а не теоретические знания. Подготовиться к сдаче необходимых для сертификации тестов можно множеством разных способов — подробнейшая информация есть на сайте компании.

9. VMware Certified Professional — VMware. У одного из лидеров облачного рынка есть шесть специальных сертификатов для облачных специалистов и специалистов по виртуализации: например, VMware Certified Associate – Cloud, VMware Certified Professional — Cloud, и VMware Certified Advanced Professional. Компания предоставляет доступ к учебным материалам и настоятельно рекомендует иметь практический опыт работы со своими продуктами.

10. Red Hat Certificate of Expertise in Infrastructure-as-a-Service — Red Hat Сертификат Red Hat дает возможность работать в области построения частных облаков на платформе Red Hat Enterprise Linux OpenStack. Как подчеркивает вендор, лучшей подготовкой к сдаче сертификата является реальный опыт работы с решением. Экзамен проходит в виде теста в реальном времени на «живой» системе.

Стратегия карьерного пути

Тем, кто только выбирает профессию, я бы советовал не стремиться к узкой специализации, сегодня это крайне уязвимая позиция. Сегмент ИБ, как и ИТ в целом, стремительно развивается, и продукты не только появляются, но и исчезают с рынка, в том числе и из-за новых требований, связанных с импортозамещением.

Помните, что для работы в небольших компаниях, как правило, требуются сертификаты начального уровня, которые не охватывают направление ИБ комплексно. В крупных компаниях скоро будут востребованы передовые стандарты типа STAR (разработанный совместно Cloud Security Alliance и British Standard Institute — по сути, это стандарт ISO 27001, расширенный дополнительными метриками от CSA), и ИБ-специалисту вскоре потребуется обладать сертификатами в этой области.

Также важно не допускать перерывов в карьере. Ситуация на рынке труда непростая, но вне реальных проектов, вне отрасли можно очень быстро отстать от рынка.

Специалист в сфере ИБ, безусловно, должен быть примером ответственного и грамотного отношения к бизнес-информации, персональным данным, корпоративным регламентам. Но имидж «гуру-безопасника в башне из слоновой кости» уже устарел. Успех работы службы ИБ на 90% зависит от того, насколько удалось поставить под контроль человеческий фактор — основную причину большинства утечек данных. И коммуникативный навык здесь не менее важен, чем умение собирать и анализировать информацию, создавать эффективные политики, регламенты и выбирать эффективные ИТ-решения.

У тех, кто продуманно подойдет к обучению и получению сертификатов, а также сможет получить реальный проектный опыт, на рынке специалистов по облачной безопасности будут многообещающие перспективы. С одной стороны, дефицит на рынке ИТ-специалистов наблюдается не первый год: спрос на программистов, тестировщиков и другие ИТ-специальности стабилен и подкрепляется достойными зарплатами. По данным Министерства образования, на ИТ-специальности в вузы в 2016 году поступили 23,5 тыс. человек, причем по направлениям информационной безопасности рост набора составил 4,6%. Это не кораблестроение с 20% роста и даже не нанотехнологии с 17,7%, но тоже неплохо.

Специалистам по облачной безопасности нужно много учиться, и, если вы готовы получать новые знания и менять вектор в соответствии с реальными требованиями рынка, — проблем с работой у вас не будет. В скором времени на пике спроса будут специалисты, чья ценность — не просто в высокой квалификации, но в «междисциплинарности». Это особенно актуально для «облачных» провайдеров. Переход к эпохе «Аs a service» полностью меняет требования и ожидания от ИТ-специалистов, и сфера информационной безопасности — не исключение.

Задать вопрос автору и прокомментировать публикацию можно на портале GlobalCIO.

Назад к разделу "Публикации"