пятница, 14 ноября 2014 г.

Это я Вам как эксперт говорю!

Здравствуйте, коллеги! Вечером пятницы хочется поговорить на философские темы. Сегодня я хотела бы обсудить с Вами понятие "эксперт" в контексте информационной безопасности. Вдохновил меня на написание этого поста 22 выпуск Науки 2.0 под названием "Виктор Вахштайн: слово «эксперт» превращается в ругательство" (послушать можно здесь). 
Вообще мне всегда было интересно, когда специалист начинает именовать себя экспертом? Должно пройти n трудовых лет, диссертацию нужно защитить, поучаствовать в k-проектах? Чисто интуитивно понятно, что человек, разбирающийся в каком-либо вопросе достаточно глубоко, имеющий опыт работы, является экспертом. Мне кажется, лучший вариант - когда приставку "эксперт" добавляют к Вашей фамилии другие люди, причем разбирающиеся в вопросе, представители сообщества, возможно профессиональные СМИ. Но как оценить себя самостоятельно? :) 
Может показаться, что вопрос действительно философский и практического смысла обсуждать его нет, однако на экспертных оценках без преувеличения строится вся информационная безопасность. Как создать эффективную систему защиты информации, оценить возможный ущерб, определить актуальные угрозы - точный ответ не даст ни один нормативный акт. Экспертное мнение решает почти все (не стоит забывать про ограниченный бюджет:)). И в то же время к самому эксперту никаких требований не предъявляется, за исключением того, что при приеме на работу с нас в основном требуют наличие образования по специальности и стажа работы (тоже не особо является показателем). 
Для крупных компаний с развитой ИБ-структурой ситуация обстоит не так уж плохо - есть и обучение, и опытные коллеги, которые подскажут "начинающему эксперту", проводятся аттестации и другие проверки знаний. Но есть компании, которые еще вчера ничего не слышали об информационной безопасности, а сегодня у них появился единственный специалист, мнение которого оспорить некому. Когда-то я в такой компании работала, начинала еще студенткой, и честно говоря, мои решения были тогда далеки от идеала, но это я понимаю сейчас, а когда на мои плечи свалилась организация системы защиты информации с нуля, приходилось делать быстро и не всегда правильно. 
Недавно в одном из профессиональных журналов прочитала неплохую статью о том, к чему может привести несоблюдение законодательства в области защиты персональных данных, но финал заметки меня несколько покоробил. Там говорилось, что бухгалтеру очень тяжело изучить все законодательство по ПДн и написать необходимые документы, поэтому авторы предлагают использовать онлайн-сервис разработки таких документов. Вот так мнение бухгалтера может стать экспертным в ЗИ.
Продолжая тему совмещения обязанностей, нельзя не упомянуть про сисадминов-безопасников, кадровиков и юристов-безопасников. Все такие же эксперты. Кстати говоря, еще широко распространено мнение, что защита информации - элементарная вещь (поспрашивайте айтишников, если не верите:)). Здесь я немного мысль потеряла, потому что пришлось чинить зарядное от ноутбука, перегрызенное нашим горячо любимым котом. Этот же кот послужил источником вдохновения для одной из моих статей (Приучение к лотку и защита информации). Можно сделать определенный вывод о том, что кота в лоток ходить научить можно, только он еще что-нибудь придумает :)
Извините, отвлеклась. Проблема экспертов хорошо видна на курсах повышения квалификации. Один раз я была слушателем на замечательных курсах от одной крупной компании, семинар вела женщина, которую представили экспертом в области закона "О персональных данных". Сначала она рассказывала про особенности кадрового учета и об организационных мерах защиты персональных данных и было достаточно интересно, но когда речь пошла о мерах технической защиты - мои глаза стали похожи на блюдца :) Вы бы удивились, как рядовой пользователь представляет себе процедуру создания системы защиты информации. Было забавно, когда она называла ФСТЭК "ФЭЭСТЭКА". Самое печальное заключается в том, что слушатель курса может отличить эксперта от неэксперта только если сам уже хоть немножко "эксперт". Такой вот парадокс.
Не хочу высказывать призыв о стандартизации и введении ЕГЭ для ИБшников, но проблема определения компетентности существует и ее надо решать. А как думаете Вы, уважаемые эксперты? :)

6 комментариев:

  1. У меня уже 3 года должность официально звучит "эксперт" (по трудовой). Хотя мне ближе слово "консультант"

    ОтветитьУдалить
  2. Эксперт по трудовой - это круто :) Я побыла и специалистом по ЗИ и специалистом СБ, сейчас - инженер по ТЗИ - названий много, смысл один :))

    ОтветитьУдалить
  3. Считаю, что оценивать знание человека по произношению аббревиатур не профессионально! Кому как нравится, тот так и произносит. Кстати, Ксения, а вы как произносите "ФСБ"? ЭФЭСБЭ или ФЭСЭБЭ?

    ОтветитьУдалить
  4. Никак, кто ж вслух такие слова говорит :)

    ОтветитьУдалить
  5. В последнем абзаце Вы путаете важные вещи: квалификацию и компетентность. Эксперт - это квалификация. А сданный ЕГЭ - компетентность. Принципиально разные вещи. Компетентность - много изучал, имею диплом, много читал, много знаю. На вопросы теста отвечаю. А квалификация - могу достигать результата: например, выполнить проект такого-то масштаба такой-то степени новизны. Вот в этой хорошей книге https://www.ozon.ru/context/detail/id/1280097/ есть целый раздел про "экспертов". Ключевой момент, чтобы понимали: 10 лет! Столько нужно постоянно вошкаться в теме, чтобы стать экспертом. Т.е. получить такую квалификацию. В одном исследовании по одной из методик моделирования процессов еще такой момент нашел, что начинающие "специалисты" больше склонны к евангелизации, к превозношению темы, а эксперты, наоборот, - крайне сдержанны. Потому как если ты эксперт, а тема сложная, что подтверждается твоим личным опытом, например консалтинг ИБ в реалиях менеджмента в РФ, то почти на любой вопрос можно уйти в глубокие раздумья. Каждое слово эксперта должно иметь вес. Этим эксперт и отличается от специалиста.

    ОтветитьУдалить
    Ответы
    1. Да, еще одно понятие не привел: авторитет. Вес слов - значит авторитет. Эксперт должен иметь авторитет.

      Удалить