Каких навыков не хватает ИБшникам и какие навыки востребованы?

Каких навыков не хватает ИБшникам и какие навыки востребованы?
Наткнулся я на днях на вот такую матрицу, которая показывает результаты анонимного опроса 34-х специалистов по ИБ с минимум 5-тилетним стажем по 19 различным навыкам, которыми они обладают или не обладают. Черным показаны пробелы в навыках. Если посмотреть внимательно, то окажется, что только один чувак с опытом более 24 лет обладает всеми навыками. У остальных есть пробелы, местами достаточно значительные. Отсюда можно сделать два простых вывода:
  1. Нельзя знать все! Если вы чего-то в ИБ не знаете, не надо посыпать голову пеплом. 97% специалистов такие же как и вы и тоже чего-то не знают. Скорее это повод задуматься о том, каких навыков вам не хватает и пойти их нарабатывать.
  2. Но нарабатывать их вам надо, если вам они нужны. И отсюда второй вывод. Специалисты по ИБ широкого профиля редки на рынке. У многих есть своя специализация и он растет в ней.

Если посмотреть таблицу, то основные пробелы у людей в нескольких направлениях:
  • управлением уязвимостями и поиск багов
  • управление доступом и идентификационной информацией
  • разработка эксплойтов
  • пентесты
  • безопасность ПО (тут, думаю, речь идет об AppSec) и DevOps
  • социальный инжиниринг.
Такая картина соответствует, как минимум, моему восприятию мира. SecDevOps и AppSec - это достаточно новое направление в ИБ и в нем еще маловато специалистов. Социнжиниринг подразумевает работу с людьми и знание психологии, что никогда не было коньком безопасников. Еще три навыка относятся к offensive-тематике, которая хорошо знакома обычно молодому поколению, а не пиджакам. Немного выбивается тема Identity Management; не знаю почему.

Завершить эту небольшую заметку хотелось бы другой статистикой; на этот раз от IDC. В декабре 2018-го года они провели опрос 1438 респондентов, спросив у них про наиболее важные навыки в их работе специалистов по ИБ. Был предложен список из полусотни навыков, которые затем были ранжированы по важности. В десятку вошли следующие (в порядке убывания):
  1. Умение писать скрипты для различных задач, возникающих в деятельности безопасника
  2. Знание бизнеса и умение говорить с ним на одном языке
  3. Гиперконвергентные инфраструктуры
  4. Анализ данных
  5. Понимание бизнес-тенденций
  6. Машинное обучение
  7. Управление приложениями
  8. API
  9. SQL
  10. ERM или ERP.
Судя по списку, в нем речь идет скорее о нехватке знаний, чем навыков. Но список все равно интересен. Интересно, что в список из 30 областей знаний, в которых опрошенные специалисты по ИБ хотели совершенствоваться, совершенно не вошли:
  • блокчейн
  • виртуальная и дополненная реальность
  • управление бизнес-процессами
  • CRM
  • DevOps
  • управление базами данных
  • управление сетями
  • телекоммуникации
  • пользовательский интерфейс
  • и другие.
Часть из этого списка "аутсайдеров" скорее связана с тем, что безопасники думают, что они все знают в той или иной области (например, в сетях, open source или той же кибербезопасности, тех областях которые вообще не были названы), а остальные темы скорее просто неинтересны безопасникам и они их считают неперспективными (тот же VR/AR или блокчейн) или ненужными в своей работе (тот же BPM или UD/UX).

В завершение хочу отметить, что тема компетенций безопасника и вообще "кто такой безопасник" и какими навыками он должен обладать всплывает с завидной регулярностью. Человек, обвиняющий других в том, что они "неучи", чего-то не знают, умеют только бумажки писать и т.п., обычно сам недалеко ушел от возраста ребенка, когда все возводят в степень n, когда юношеский максимализм так и брызжет во все стороны. Кто-то умудряется и в 40 лет оставаться таким же твердолобым и упертым :-) Ну, ФСТЭК ему судья :-) Я же просто напомню, что на службу ИБ сегодня навешивают очень много разных задач, что подразумевает не только совершенно различные ее структуры (а я про это недавно писал ), но и совершенно разные роли у самих безопасников в зависимости от решаемых задач.


Так что не надо сильно напрягаться, если вы чего не знаете или не умеете. Если вы это понимаете, это уже отлично. Это половина успеха. Составьте план своего развития и вперед. И помните, что вопреки распространенному мнению, что самообразование (как и вообще образование) - это инвестиция, таковой оно станет, если эта "инвестиция" будет приносить вам прибыль. То есть, если вы сможете после обучения получать больше или найдете работу лучше. Вот тогда это инвестиция. А еще вы можете учится, чтобы сохранить работу. Это никакая не инвестиция :-)

Вообще, ставя цели по обучению и самообразованию, поймите, что вы хотите - заработать или сохранить. Если сохранить, учитесь тому, что у вас спрашивают прямо сейчас на текущей работе - нормативка, импортозамещение и остальная лабуда, которая не делает вас лучше, а засоряет ваш мозг ненужным хламом знаний. Если у вас цель заработать - смотрите в сторону востребованных навыков и знаний и вперед, учитесь им.

И не болейте! 
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

SOC как супергерой: не спит, не ест, следит за безопасностью!

И мы тоже не спим, чтобы держать вас в курсе всех угроз

Подключитесь к экспертному сообществу!