В НИУ ВШЭ стартовал набор на программу повышения квалификации «Кибербезопасность как стратегия», выпускники которой будут внедрять на своих предприятиях лучшие практики стратегического и операционного управления информационной безопасностью. Начало занятий запланировано на 16 марта. В чем актуальность программы, на кого она рассчитана и чему будут обучать слушателей, рассказал ее руководитель, директор Центра программных разработок и цифровых сервисов МИЭМ НИУ ВШЭ Антон Сергеев.
— Антон Валерьевич, как возникла идея создания программы?
— Мы живем в непростое время, когда количество атак на критическую информационную инфраструктуру российских организаций непрерывно растет. Меры защиты тоже усиливаются, а законодательство ужесточается. Введены оборотные штрафы за утечку персональных данных, а любое воздействие на критическую информационную инфраструктуру, даже без ущерба, уголовно наказуемo.
Указ президента №250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» от 1 мая 2022 года предусматривает, что в каждой организации, относящейся к критической информационной инфраструктуре страны, — на предприятиях ОПК, в банках, медицинских, научных центрах и т.д. — должен быть заместитель руководителя, отвечающий за информационную безопасность.
Все эти факторы привели к появлению огромного количества соответствующих вакансий. При этом у работающих руководителей блока информационной безопасности, пришедших из смежных отраслей (госструктур, ИТ), часто не хватает профильных знаний и базовой подготовки. А им принципиально важно ставить задачи подчиненным на одном языке, достигая целей защиты.
Инфобез — это всегда командная работа. Пробелы в квалификации стоят очень дорого, так как ошибочные решения руководства влекут за собой ошибочные действия коллектива. Итог таких ошибок может быть очень печален. Мы считаем, что лучше своевременно устранить пробелы в квалификации людей, чем ждать, пока эти пробелы превратятся в дыры в безопасности.
Наша программа призвана восполнить дефицит квалифицированных ИБ-управленцев и устранить первопричину проблем с информационной безопасностью.
— В чем смысл названия программы? Почему кибербезопасность рассматривается как стратегия?
— Программа нацелена на управленческий персонал, в том числе владельцев бизнеса, и название отражает ее суть. Именно эти люди задают вектор развития организации в части обеспечения информационной безопасности, и они должны понимать, куда движется отрасль, знать актуальный ландшафт угроз, а главное, знать, что с этим делать: какие меры можно принять для защиты. Если стратегия выбрана верно, организация будет защищена, а риски купированы.
На должность заместителя директора по информационной безопасности приходят из самых разных сфер: из IT, из силовых структур, а также юристы, социологи, филологи, зачастую не обладающие необходимым техническим, организационным и нормативным бэкграундом. Мы готовы дать каждому слушателю необходимую для управленца базу, чтобы он мог говорить со своими подчиненными на одном языке.
— Что необходимо для успешной разработки и реализации стратегии в области кибербезопасности?
— Во-первых, человек должен обладать организационно-техническим кругозором, иметь представление о лучших практиках в этой сфере: о том, что сейчас актуально и как обычно решаются типовые проблемы — от импортозамещения до соответствия регуляторным требованиям.
Во-вторых, очень важно опираться на устоявшиеся методики и видеть их ограничения, понимать основной смысл соответствующих документов. В сфере информационной безопасности избыток методик, так что не нужно изобретать велосипед или, наоборот, пытаться соответствовать всему на свете.
В-третьих, нужен нетворкинг — возможность общаться с топовыми специалистами в этой области и получать информацию из первых рук.
Это, пожалуй, основное. И расширение кругозора, и обзор лучших методик, и нетворкинг наша программа обеспечит. К преподаванию мы привлекаем ключевых экспертов, в том числе представителей регуляторов (Минцифры России, ЦБ, Роскомнадзора), вендоров, экспертов информационной безопасности из разных отраслей и т.д.
— На представителей каких отраслей рассчитана программа? Есть же специфика в тех же банках или в ОПК.
— В разных сферах разные регуляторы. Лучшие практики, сценарии, портреты атакующих тоже различаются, но технические средства и принципы работы схожи. На эту программу мы приглашаем представителей разных отраслей и свою основную задачу видим в том, чтобы обратить их внимание на общие для всех проблемы, показать пути их решения и задать вектор дальнейшего развития.
Программа состоит из двух модулей — «Стратегия киберустойчивости организации» (день 1) и «Организация защиты информации: безопасность как результат» (день 2), — в каждый из которых включены наиболее актуальные темы, связанные со стратегией, технологиями, бизнес-процессами, бюджетированием, нормативными требованиями и т.д.
— Есть ли входные требования, например, к уровню технической подготовки слушателей?
— Нет. Курс не требует технической подготовки, поскольку фокусируется на управленческих решениях.
— Программа рассчитана на 40 академических часов. Этого достаточно?
— Для того чтобы обобщить и концентрированно изложить топ-менеджерам актуальную экспертизу по защите информации, помочь понять последствия киберинцидентов для бизнеса и сформировать стратегию киберустойчивости — да, достаточно.
Если же слушатель ощущает, что нужно идти дальше, что ему необходима дополнительная экспертиза, мы готовы предложить и другие, более углубленные программы, в том числе курсы для персонала и консалтинг с учетом специфики отрасли и конкретной организации.
Важно, что программа очная: два полных дня слушатели проведут в аудиториях в корпусе МИЭМ в Строгино. На первый поток мы планируем набрать 15–20 человек, так что преподаватели смогут уделить внимание каждому.