Денег на учёбу у безопасников стало больше, а сесть за неё всё равно некогда

Бюджеты на обучение специалистов по защите данных растут почти везде, а времени на сами курсы у людей не прибавляется. Исследование ISC2 зафиксировало этот разрыв в сухих цифрах. Деньги выделяют, доступы открывают, а оторваться от текущих задач ради учёбы посреди рабочего дня по-прежнему получается с большим скрипом.

В опросе участвовали почти 1000 руководителей подразделений защиты из США, Великобритании, Канады, Германии, Индии и Японии. Все организации, попавшие в выборку, держат штат от 5000 человек и выше. Масштаб тут не случайный, авторы хотели увидеть, как обстоят дела у крупного бизнеса, где ресурсов формально хватает на любые задачи.

Понимание необходимости постоянно подтягивать квалификацию команд у бизнеса есть, и оно растёт. О том, что за прошедший год расходы на подготовку выросли, рассказали 73% опрошенных руководителей. Почти три четверти компаний вкладывают в учёбу больше прежнего, и это не разовый жест, а осознанное решение.

Толкает инвестиции вверх скорость, с которой появляются технологии и усложняются атаки. Организациям приходится подстраиваться под риски, которых ещё пару лет назад не существовало в природе, искать защиту для инфраструктуры и осваивать инструменты с нуля.

Искусственный интеллект участники назвали главным двигателем перемен. О том, что ИИ стал самой востребованной темой обучения, заявили 47% респондентов, почти половина выборки. Людям приходится разбираться не только в том, что нейросети умеют, но и в том, чем они опасны.

Сотрудники изучают сразу несколько направлений риска, связанных с новыми инструментами:

• угрозы со стороны генеративных моделей;
• автоматизацию атак и её масштабирование;
• обработку и утечки данных через ИИ-сервисы;
• новые способы злоупотребления нейросетями.

Почти все компании формально дают учёбе зелёный свет. О том, что организация официально разрешает проходить обучение в рабочее время, сообщили 98% руководителей. На бумаге выходит почти идиллия, в которой развитие сотрудников встроено в рабочий день.

«Формально возможность учиться есть почти у всех, но воспользоваться ею в полном объёме мешает текущая нагрузка», отмечается в исследовании.

Реальность отличается от документов разительно. О серьёзных трудностях с выделением времени на учёбу в течение рабочего дня рассказали 53% респондентов. Право вроде закреплено, а загрузка такая, что добраться до курса целиком не выходит.

Для многих это превращается в постоянный выбор между горящими задачами и собственным развитием. При нехватке кадров и росте числа инцидентов учёба легко отъезжает на второй план, потом на третий, а после про неё вспоминают уже к следующему кварталу.

Проблемы обучения не сводятся к одному дефициту часов, у них несколько слоёв:

• 45% жалуются, что материалы устаревают раньше, чем курс заканчивается;
• 39% не могут найти квалифицированных преподавателей и экспертов;
• 37% сталкиваются со слабой вовлечённостью самих сотрудников;
• 32% указывают на нехватку поддержки со стороны менеджмента;
• 29% считают выделенные бюджеты слишком скромными для современных направлений.

Темп появления угроз настолько высок, что часть программ теряет смысл ещё на старте. Пока преподаватель готовит модуль про один вид атак, у злоумышленников уже три новых техники в обороте.

Дефицит хороших наставников растёт вместе со спросом на обучение. Чем больше людей хотят учиться, тем заметнее нехватка тех, кто способен внятно передать знания, а не просто зачитать слайды вслух. Рынок труда тут работает против учеников, сильных практиков переманивают в реальные проекты, где платят больше, чем за преподавание, и образовательные команды постоянно остаются без лучших экспертов.

Вовлечённость самих сотрудников тоже хромает, и это удивляет на первый взгляд. Когда у человека за спиной десятки незакрытых тикетов, мысль про очередной курс вызывает скорее раздражение, чем интерес. Учёба воспринимается как нагрузка сверх нагрузки, а не как способ облегчить себе работу в будущем.

Несмотря на все шероховатости, большинство руководителей оценивают действующие программы положительно. За прошедший год обучение помогли подтянуть качество процессов защиты и собрать команды к реагированию на инциденты, признают участники опроса.

Главную ошибку организаций в ISC2 видят в восприятии учёбы как разового события. Оплатить курсы и выделить бюджет мало, убеждены авторы исследования. Время на учёбу нужно закреплять прямо в рабочих графиках и оберегать его от повседневной текучки, иначе вложения уходят впустую.

«Современная защита требует непрерывного обновления знаний, потому что технологии и методы атак меняются практически без остановки», уточняется в выводах ISC2.

Регулярные паузы на изучение новых технологий должны стать нормой для безопасников. Без этого даже самые сильные программы рискуют простаивать, а потраченные средства превращаются в строчку расходов без отдачи.

Поддержка руководства решает почти всё. Когда менеджеры помогают расставлять приоритеты и реально освобождают время, команды охотнее берутся за обучение и быстрее осваивают навыки, фиксируют в ISC2.

Постоянная учёба специалистов превращается из элемента карьеры в условие выживания бизнеса перед лицом умных атак, автоматизации и разрастающейся инфраструктуры.

Эксперты редакции CISOCLUB говорят, что разрыв между бюджетами и временем будет только расти, пока обучение остаётся факультативом поверх основной нагрузки. Деньги решают меньше, чем кажется, ведь купить можно курс, но не освободившийся час в графике перегруженного аналитика.

Мы убеждены, что компаниям пора защищать учебное время так же жёстко, как они защищают свои серверы, иначе подготовка превращается в формальность ради отчётности. Настораживает и скорость устаревания материалов, при таком темпе классические годовые программы теряют ценность к середине срока.

По нашей оценке, выиграют те организации, которые встроят микрообучение прямо в рабочие процессы, а не будут гонять людей на редкие большие интенсивы. Без вовлечённости менеджмента любые вложения в знания так и останутся красивыми цифрами в годовом отчёте.