Двадцать четыре взгляда на кибербезопасность глазами бизнес-партнёра

в 9:00, , рубрики: Без рубрики

Когда занимаешься каким-то делом достаточно долго, начинаешь ощущать себя сидящим на берегу бурной реки. Мимо проносятся годы, теории, подходы и принципы, можно пронаблюдать весь жизненный цикл каких-то явлений и течений. Одним из таких явлений стало появление бизнес-партнёров по информационной безопасности, которых в англоязычном мире принято величать Business Information Security Officer (BISO). Явлению этому менее 10 лет (если говорить о формировании как института и роли), но оно стало уже достаточно популярным как в российском дискурсе, так и в зарубежном. На пути от олдскульного «специалиста по защите информации» к BISO происходило много событий, но, как известно, дорогу осилит идущий.

Двадцать четыре взгляда на кибербезопасность глазами бизнес-партнёра - 1

Я работаю в сфере защиты информации уже 17 лет. Прошёл путь от техника охранных систем через специалиста по информационной безопасности в региональном филиале к руководителю отдела, позже к CISO небольшой компании и вот сейчас — к BISO Ozon.

Посмотрим на это моими глазами наблюдателя, но начать придётся издалека. Любое созерцание требует некоторого терпения. Путевые заметки расположены не в хронологическом порядке, но в логически связанном. Они посвящены трансформации индустрии и призваны ответить на вопрос: какой способ организации работы ИБ лучше и почему он претерпел именно такую трансформацию?

Вид 1. Большой штиль в ИБ

Начнём с начала времён, 2000 год. В то время в России практически не было осознанной структуры информационной безопасности в компаниях. ИБ рассматривалась как набор бумажных мер, вместе с физической охраной объектов информатизации. Да что говорить, только в единичных вузах были фрагментарные программы подготовки профильных специалистов. В провинции, на объектах в тайге, за горами и реками и вовсе не было понимания, как защитить информацию. Основной угрозой тогда считались невидимые и, вероятно, несуществующие, но очень профессиональные нарушители-хакеры, которых, кажется, тогда видели только в голливудских фильмах и журнале «Хакер». Статистика киберпреступлений тех лет подтверждает, что такое видение было ошибочным. Основными нарушителями были не очень профессиональные «скрипт-киддис», вчерашние школьники со скачанными с интернета «нюками» и «эксплойтами» и нерадивые сотрудники.

Мог ли в таких условиях появиться какой-то новый подход к ИБ, отличающийся от подхода к физической защите? Конечно же, нет. Но изменения были необходимы ввиду тотальной неэффективности механистического подхода к ИБ как к разновидности физической охраны —только с компьютерами вместо перцовых баллончиков. Разумеется, возможно, где-то все было совсем не так, и настоящая ИБ, какой мы видим её сегодня, появилась уже тогда, но в это верится с трудом. Самым желанным специалистом в отдел ИБ всё ещё был бывший сотрудник полиции, желательно с опытом работы за ПК.

Вид 2. Большая буря, или Красная команда

Конец 2000-х – начало 2010-х. Согласно многим источникам (и самому, разумеется, достоверному — собственной памяти), именно тогда произошёл взрывообразный рост киберпреступлений, и статьи УК 272, 273 и 274 прочно вошли в каждодневную деятельность всё ещё специалистов по ИБ, дифференциация произошла значительно позже. Именно резкое увеличение остроты меча привело к полному пересмотру подходов щита. К этому моменту учебные заведения были готовы выпускать специалистов, которые могли не только писать регламенты и наказывать за их неисполнение, но и проводить эффективные мероприятия комплексного характера. Технические средства и программные комплексы были уже достаточно неплохо изучены, и было понимание, как их применять для цементирования периметра компании, отслеживания деятельности потенциальных нарушителей и построения процессов.

Но это был всё ещё классический отдел службы безопасности, в котором вместо бывших полицейских с волевыми лицами появились взъерошенные молодые люди с опытом программирования и желанием прикоснуться к чему-то таинственному и новому.

Тогда, скорее всего, в мире киберпреступности также произошли изменения, которые позволили говорить о появлении полноценных APT (Advanced Persistent Threat, иными словами, целевых атак на конкретные объекты инфраструктуры) и группировок, на них специализирующихся, не только в сводках преступлений где-то далеко, но и в регулярной рутине. Противостояние щита и меча вышло на следующий уровень.

Вид 3. Ливень изменений

Нельзя не затронуть смежную тему: ИТ-аудит. Примерно с начала 2000-х годов проверки ИТ-аудита стали регулярными. Они затрагивали работу с учётными записями, управление ресурсами и некоторые другие аспекты, которые подозрительно хорошо совпадали со свежевышедшим ГОСТ Р ИСО/МЭК 27001:2013. Вообще, появление доступной и понятной методологии, осознание её необходимости и того факта, что невозможно создавать абсолютно все инструменты своими руками, тогда наиболее сильно изменило подходы. Иностранные стандарты старого образца, такие как BS-7799, касались только методик управления и контроля, но не практических методов. Они попросту не отвечали на вопрос «что нужно делать, чтобы было хорошо?» и совершенно не подходили под местные реалии. Стандарт ISO 27001:2013 отвечал на этот вопрос, пусть и в своеобразной манере, а широкая практика его внедрения позволяла прикинуть, как это работало на практике.

ИТ-аудит позволил понять, что мы делали не так, а появление в широком доступе стандартов нового поколения (ISO 27001:2013, ITIL, COBIT, ITSM) позволило понять, как делать правильно. ИБ переставала быть частью СБ, а слухи доносили новость о том, что в некоторых компаниях в середине нулевых стали появляться CISO как полностью новый вид руководителей (хотя сам термин и появился значительно раньше, но не означал единого стандартизированного подхода).

Вид 4. Мост к универсальности

Кто же такой этот самый «Главный офицер по ИБ» в представлении владельцев бизнеса в середине нулевых? Это был руководитель, способный построить систему ИБ для защиты технологических (АСУ ТП), информационных и телекоммуникационных систем в комплексе, не фокусируясь только на одном направлении. Крупные компании даже могли себе уже позволить выделить не только полноценного руководителя в ранге директора, но и создать центр компетенций по кибербезопасности, привлекая не только профессиональных специалистов по ИБ, но и инженеров, менеджеров, преподавателей. Именно тогда начал формироваться классический треугольник ИБ «инфраструктура – комплаенс – защита программ», в полном соответствии с мировыми стандартами. Впрочем, речь немного не об этом.

В сети мрачной тень, Защита информации, Свет надежды в ней.

В сети мрачной тень,
Защита информации,
Свет надежды в ней.

CISO стали теми людьми, которые должны были выступать в роли архитекторов, экспертов и людей-оркестров, разбираясь не только в ИБ, но ещё и в корпоративном управлении, психологии и бизнесе.

Вид 5. Район неизведанного в ИБ

Спустя несколько лет лидеры в ИБ, директора по информационной безопасности вывели вверенные им подразделения из тьмы служб безопасности, завоевав себе право на самоидентификацию. Безусловно, новая схема управления, совмещённая с усилением роли ИБ из-за растущих угроз, позволила более качественно и, что немаловажно для бизнеса, более дёшево бороться с угрозами. Но время готовило новые вызовы: если раньше угрозу в основном представляли преступники-одиночки, то появление LOIC, GAS и широкого спектра специализированного ПО уже позволяли каждому скрипт-кидди попробовать себя в роли персонажа как раз перевыпущенного в HD фильма «Хакеры». Вскоре это спровоцировало рассвет в мире хакерских группировок.

CISO учитывали это в своих стратегиях развития, модифицируя их и адаптируясь, отращивая свою инфраструктуру и развивая персонал. Слова Blue Team, Security operations и многие другие получили свой отклик в умах.

Вид 6. Реструктуризация в сознании

Каждый CISO хоть однажды, но думал о том, что технологии клонирования решили бы множество проблем. Но CISO должен быть один — как финальная точка принятия решений и источник правды. Очевидно, что ментальная структура инженеров и специалистов ИБ сильно отличается от образа мыслей разработчиков и продуктовых аналитиков. Эти две проблемы следовало как-то решать, заодно найдя явно пропущенное звено в цепочке коммуникаций между бизнес-пользователями, разработчиками информационных систем и ИБ.

Приблизительно в 2001 году за рубежом появились первые упоминания о новой категории специалистов в ИБ, Business Information Security Officer. Это такой специалист, который следит за комплексным обеспечением ИБ конкретного бизнес-подразделения или продукта. Мечты о самоклонировании CISO начали сбываться, приблизительно к 2010 году передовые компании уже освоили этот инструмент и стали использовать BISO как заместителей CISO по направлениям бизнеса. При этом классические команды ИБ переходили в статус сервисной модели, оперируя запросами бизнес-офицеров.

Это ещё не было полноценным бизнес-партнёрством, поскольку BISO представляли собой, с точки зрения бизнеса, всё тех же надсмотрщиков, менеджеров и не решали проблему с коммуникациями. Но это было уже что-то.

Вид 7. Мост к пониманию

Отсутствие взаимопонимания между бизнес-заказчиком и исполнителем его желаний достаточно давно стало проблемой. Расход гигантского количества времени на коммуникацию, масса методик организации работы — это свидетельства того кризиса, в который попали также и специалисты по ИБ. Проблема усиливалась ещё и восприятием ИБ как внутренней тайной полиции, а не как союзника. Любой менеджер считал, что если он не желает навредить компании, то может делать то, что ему заблагорассудится. Помимо игнорирования фактора злоумышленников, во внимание также не принимались и человеческая лень, раздолбайство, синергия с действиями других людей. Только специалисты в области защиты информации могли остановить излишне ретивых, если бы хотели и исповедовали подход сотрудничества, а не противодействия. К сожалению, этот подход действительно был запрещён для ИБ, поскольку считался неэффективным. BISO стали выступать демпфером для безудержного потока ограничений и запретов, объясняя, зачем они нужны и почему так действительно будет лучше для всех. С другой стороны, BISO не позволяли излишнюю свободу менеджерам, корректируя их небезопасные идеи в правильную сторону.

Как оказалось, добрый полицейский тоже необходим.

Вид 8. Туманная перспектива

Распределение ролей в ИБ стало выглядеть очевидным: CISO выстраивает стратегию и систему управления ИБ (домен Organisation of information security ISO27001), инженеры и аналитики реализуют инфраструктуру, политики, методологию построения ИБ, бизнес-партнёры претворяют это в жизнь в виде «мягкой силы». Казалось бы, такая структура практически идеальна, но пределу совершенства, как известно, нет. Нужно было более тщательно определить и разграничить роли специалистов. Основной идеей в умах стала сервисная модель, позволяющая бизнес-партнёрам выступать заказчиками у остальных команд и подразделений ИБ. Однако в силу новизны этого подхода и инерции мышления эта идея пока не находит достаточного отклика, хоть и кажется неизбежной.

Код и протокол, Защита данных ценных, Безопасность важна.

Код и протокол,
Защита данных ценных,
Безопасность важна.

Вид 9. Пересмотр

Что должен делать на своём рабочем месте BISO? Выраженный в виде списка действий рецепт довольно прост. Как лидер кибербезопасности отдельно взятого бизнес-подразделения или продукта, он должен познакомиться с областью своей работы, фокусируясь на клиентском и потребительском опыте взаимодействия, понять важность и ценность различных фич и сервисов продукта, их взаимодействие и кросс-функциональность. Основной целью бизнес-партнёра является непрерывность предоставления сервиса при поддержании достаточного уровня защиты информации. Методики безопасности не должны внедряться просто потому, что их хочется внедрить, они должны закрывать риски, не снижая при этом ценности производимой работы вверенного подразделения или продукта. Тактические и операционные вопросы должны быть основным приоритетом.

Вид 10. Равнина

Поработав некоторое время и поймав дух нового поля деятельности, бизнес-партнёр сталкивается с необходимостью распределения и приоритизации своей работы, чтобы объять необъятное. Здесь есть множество эффективных стратегий, но для определения и покрытия ландшафта бизнеса или вверенного продукта, скорее всего, следующие стадии невозможно будет оставить без внимания:

  1. Знакомство. Нужно выделить лидов, понять, кто из них может быть кандидатом в чемпионы, а с кем, наоборот, потребуется провести работу.

  2. Ограничение области действия. Невозможно объять необъятное.

  3. Построение риск-моделей и оценка влияния.

  4. Формулирование самых горячих моментов.

  5. Аналитика бизнес-процессов.

Люди важнее процессов, а риски важнее удобства — эта парадигма вполне применима к деятельности бизнес-партнёров, хотя для классических специалистов по ИБ всегда важнее процессы, а ликвидация рисков часто производится ценой всего.

Вид 11. Храм

Ещё одна важная тема, с которой неизбежно сталкиваются бизнес-партнёры, — это Security champions. Долгое время они считались основной опорой ИБ в ИТ и бизнесе, иногда даже может показаться, что роли сильно пересекаются.

Однако это не так. Чемпионы — это люди, которые интересуются ИБ, вовлечены и готовы помогать и что-то делать, но не занимаются формированием планов, не видят всю картинку и не предъявляют требований. По сути, это люди с несколько большим аварнессом, чем в среднем по больнице. Их можно сравнить с истово верующими прихожанами, но не с пастырями. Безусловно, как наиболее близкому к исполнителям и заказчикам специалисту, бизнес-партнёру следует взращивать множество чемпионов себе в помощь, но даже большое их количество не заменит источника новых идей, подходов и требований с глубоким пониманием предметной области.

Огонь стены крипт, Защита от хищников, Хакеры бессильны.

Огонь стены крипт,
Защита от хищников,
Хакеры бессильны.

Вид 12. Остров спокойствия

Поиск компромисса посреди бурного моря, в котором сталкиваются неприступные скалы требований и неостановимые потоки новых идей, — задача достаточно сложная. Она требовала знаний психологии и выводила на первое место софт-скилы. В целом существует мнение (особенно популярное в транснациональных компаниях), что в российском ИТ уровень софт-скилов людей несколько уступает таковому у коренных европейцев, даже в отдельных случаях русскоговорящего сотрудника могли сразу записать в варвары. Вряд ли такое мнение имело под собой реальную основу, но в середине нулевых попасть на работу в коллектив иностранной компании считалось престижным (ещё и по причине более высоких зарплат). Широкая насмотренность на альтернативные способы организации взаимодействия в командах, психологические приёмы, совсем иной менталитет коллег — всё это сильно улучшило экспертизу в плане «мягких навыков», поэтому сейчас ситуация выровнялась и сделала возможной работу бизнес-партнёрства (не только в сфере ИБ). Многосторонние объяснения с разной аргументацией, поиск компромиссов и безграничное терпение являются основой успеха. Когда-то давно, в романе «Пером и шпагой» Валентина Пикуля, озвучивалась мысль, что главное оружие — это слово, записанное на бумаге. С учётом развития технологий и специфики, перефразируя, можно сказать, что главное оружие бизнес-партнёра — это видеозвонки и чаты, а вовсе не технические средства защиты информации.

Вид 13. Побережье бурной реки

Основная проблема для BISO — это отсутствие полномочий. В силу консультационного, а не руководящего характера своей деятельности, BISO может предлагать и формулировать, но не приказывать. Для внедрения такой роли должна быть достигнута определённая зрелость бизнеса и самих команд безопасности. При этом ошибки, допускаемые как командами ИБ, так и бизнес-партнёрами, могут создать смертельную спираль как для ИБ, так и для защищаемого продукта. Смертельная спираль — это ситуация, при которой упущенное окно возможностей создаёт напряжение, сужающее следующее окно возможностей, пока это не приведёт к необходимости остановки процессов полностью. Чтобы этого избежать, следует позволять командам кибербезопасности разрабатывать технологии, доверить бизнес-партнёрам их внедрение.

Хакеры атакуют,Мы защищаем данныеБезопасность-наша цель

Хакеры атакуют,
Мы защищаем данные
Безопасность-наша цель

Есть несколько разных видов проектов, с которыми сталкиваются бизнес-партнёры в ИБ:

  1. бизнес-проекты;

  2. внутренние инфраструктурные проекты;

  3. изменения и обновления;

  4. аварии и происшествия.

Не все из них требуют обязательного привлечения бизнес-партнёра по ИБ. Так, например, внутренние инфраструктурные проекты ИБ или ИТ не требуют обязательного присутствия BISO, поскольку являются технологиями и инструментами, которые будут применяться в будущем, и, по сути, делаются инженерами для инженеров. Изменения и обновления проводятся в соответствии с регламентными процедурами управления изменениями и также не требуют обязательного привлечения БП.

А вот аварии и происшествия обязательно должны сопровождаться бизнес-партнёром, выполняющим сразу несколько ролей и действий, которые помогут команде предотвращения и расследования инцидентов в их работе:

  1. Консультации. Никто в ИБ лучше BISO не знает, как работает инфраструктура и системы вверенного продукта или бизнес-линии.

  2. Коммуникации и объявления. Инженерам лучше будет заняться устранением и расследованием, чем извиняться перед пользователями и бизнесом.

  3. Damage control. Не зря один из основных фокусных навыков бизнес-партнёров — это способность к быстрым коммуникациям.

Вид 15. Поход по длинной дороге

Бизнес-проекты всегда делаются бизнесом для бизнеса, вовлекая по необходимости ИТ и другие подразделения. В интересы заказчика редко входит привлечение ИБ, ведь это автоматически означает затягивание сроков выполнения. Такое взаимоотношение требует от BISO умения понимать бизнес-процессы и их построение, чтобы помимо неизбежного генерирования дополнительных требований и ограничений предлагать и улучшения процессов. Это меняет картинку драматически:

  1. BISO выступают в роли адаптации общих требований ИБ к конкретным процессам и продуктам.

  2. BISO минимизируют время на реализацию этих требований, внедряя их в самом начале проектирования.

  3. BISO применяют свой богатый опыт для улучшения процессов, помогая стейкхолдерам.

Вид 16. Перевал

Идеальный BISO — это человек с опытом CISO, который почему-то решил, что высшая ступень в иерархии ему больше не нужна. Скорее всего, это актуально для тех, кому не хочется больше общаться с топ-менеджментом и заниматься глобальной многолетней стратегией, планированием, управлением бюджетами и персоналом. В то же время фокусироваться на инженерной или менеджерской составляющей ИБ такому специалисту также не хочется. Конечно, такой расклад с дауншифтингом выглядит идеальным, но он настолько же хорош, насколько и нечасто встречается. Поэтому, скорее всего, BISO станет кто-то, пришедший к этой роли сбоку, а не сверху. И здесь такому специалисту придётся проходить дообучение с целью заполнить лакуны в навыках «другой стороны». Но самое главное — это нужно хотеть сделать, ощущая какой-то дискомфорт в текущей роли, что объединяет между собой как приходящих сверху, таки сбоку.

А вот проникновения «снизу» в России пока ожидать не следует, ведь даже программы подготовки специалистов по ИБ пока не учитывают существование такого направления.

В далеком храмеСлужитель на рассветеМолится о мире

В далеком храме
Служитель на рассвете
Молится о мире

Вид 17. Озеро с отражениями

Деятельность бизнес-партнёра отражается на вверенном продукте. Продукт становится всегда более комплексным, эволюционируя от простого к сложному. Методики обеспечения безопасности должны эволюционировать вместе с продуктом, не опережая и не отставая. Всегда следует договориться со всеми участниками процесса о резерве времени на выполнение задач по безопасности и придерживаться договорённостей, управляя потоком задач. Предсказуемость нагрузки сильно меняет взаимоотношения между участниками процесса, особенно если изолировать друг от друга роли с противоположно направленными задачами. Институт бизнес-партнёров должен положительно влиять и на уровень защищённости продукта и процессов, и на ТТМ.

Вид 18. Бухта

Идея о некоем медиаторе между бизнесом и обслуживающими его интересы подразделениями не нова. В целом такие роли давно появлялись на всех стыках, где творилась непонятная неспециалисту магия. Кадровые фокусы, связанные с эксплойтами в трудовом законодательстве, визовые и миграционные вопросы, взаимодействие бизнеса и ИТ. Очередь дошла и до кибербезопасности, хотя многие сопротивлялись «очеловечиванию» лица ИБ перед бизнесом. Но, как известно, добрым словом можно всё-таки добиться большего, дополнительно снизив уровень стресса у всех участников процесса. Это равносильно заходу в мирную гавань из бушующего океана.

Вид 19. В горах

Периодически возникает также вопрос о методологии работы. В самом начале, после появления первых ласточек, ни одной методики работы БП не было, приходилось использовать и адаптировать то, что есть. Теории проверялись практикой, а основной стали ISO27001 и некоторые практики ITIL. Это хорошая стартовая точка, но нужно прекрасно понимать, как работают эти стандарты, чтобы адаптировать их под нестандартную (в то время) роль. Сравнительная оценка, приоритизация, демонстрация результатов — это стало важным на начальных этапах, чтобы не разочаровать заказчика. Срывать низко висящие плоды над горным обрывом — такая аналогия приходит в голову.

Вид 20. Канал связи с соседним миром

Увлекательный мир бизнес-заказчиков, формирования задач и менеджмента проектов. Именно BISO стали драйвером знаменитого, эффективного, но редко применяемого подхода «сдвинь влево». Зная подробности продуктов, особенности команд разработки и имея значительный опыт и насмотренность на разные проекты, они стали адаптировать требования безопасности максимально гибко, вплетая ИБ в саму структуру проекта, понимая, что ограничения просто так работать не будут. У многих специалистов есть иллюзия, что если выпустить регламент и что-то кому-то запретить, то это будет работать. Сейчас мы с вами уже знаем, что это так не работает, а реальные злоумышленники и вовсе не станут читать и соблюдать ваши регламенты. Концепция Working security, нашедшая отклик в умах владельцев бизнеса по всему миру, часто не находила реализации. Вдобавок, технические решения всё ещё были далеки от совершенства. Учесть все нюансы можно, только погружаясь в продукт, на что у CISO никогда не найдётся достаточно времени.

Вид 21. Неработоспособность

Переместимся в мир крупных корпораций, который принято называть Enterprise. Многие компании предпочитали использовать исключительно покупные и почти не кастомизированные коробочные решения, построить процессы ИБ вокруг которых было крайне сложно. Хорошо, если вендор предлагал встроенные решения безопасности в бизнес-продукты, но, если их не было, становилось совсем сложно, особенно когда приходилось совмещать между собой, к примеру, ERP, IDS и IPS-системы разных вендоров и архитектур. Да и штатные решения вендоров часто были несовместимы не только технически, но и с бизнес-процессами, а попытка скрестить ежа с ужом напоминала внедрение SAP в миниатюре (очень дорого, очень долго и непредсказуемо по времени). Подбор таких решений не мог учитывать требования ИБ, поскольку, как правило, попытка все их выполнить приводила к необходимости разработки своего решения вместо выбора наиболее подходящего решения вендора, исходя из возможностей его подгонки под методики защиты. BISO, благодаря своей насмотренности на разные бизнес-кейсы, способны проявлять более широкий кругозор на применяемые методики и решения, ориентированные на долгий период эксплуатации, и применять этот опыт в разработке встроенных подсистем безопасности в приложениях своего заказчика. Это оказалось более эффективным, чем строить инфраструктуру на сиюминутно эффективных, но не встраивающихся в общую картину решениях, основной целью приобретения которых было выполнение KPI менеджеров по продажам и закупкам.

Вид 22. Ночной вид на самоизоляцию

В 2020 году началась пандемия COVID-19, породившая дивный новый мир удалённой работы в сфере ИТ. Нет, конечно, и раньше удалённая работа существовала, но теперь даже мегакорпорации перевели сотни тысяч своих сотрудников на удалёнку. Это породило массу новых рисков, причём никак не повлияло на старые, ведь всего через пару лет часть сотрудников вернулась в опустевшие офисы. Примерно тогда же стало очевидно, что CISO не может в одной голове удержать все подробности разных форматов работы сотрудников и связанных с этим риск-моделей и разных технических решений. Первым и самым очевидным способом решения проблемы стало расширение подразделений ИБ, доукомплектование дополнительными специалистами в области защиты распределённых сетей, соблюдения законодательств разных стран и специалистами по релокации персонала (часто этот вопрос тоже относился к ИБ в связи с большим объёмом трансграничной передачи персональных данных людей). Помимо этого, подразделениям ИБ стала остро необходима круглосуточная доступность в связи с разницей в часовых поясах и необходимостью оперативного реагирования на события.

Подразделения ИБ росли как на дрожжах, что очень не нравилось бизнесу, так как росли и расходы.

Вид 23. Храм пятисот методологий

Как в знаменитом комиксе xkcd, появление новых стандартов, призванных объединить и заменить все существующие приводит просто к... появлению ещё одного стандарта. NIST, ITIL, COBIT, стандарты менеджмента проектов, татуировки менеджера и ISO… Список можно продолжать ещё долго. Выбрать наилучший и оставаться в его рамках — практически невозможная задача, продуцирующая огромное количество сомнений. А ведь помимо общих стандартов есть ещё и ряд индустриальных, которые тоже необходимо знать. В результате специалист с настолько широким кругозором становится штучным и весьма дорогим сотрудником. Нужно было отходить от М-шейпа в сторону Т-шейпа для упрощения поиска специалистов. Такой специалист должен владеть некоторыми стандартами ИБ в отрасли продуктов, с которыми работает. Стандарты индустриального плана тоже важны, но отходят на второй план, а общие методологии управления проектами и вовсе становятся не слишком нужными — ведь это уже сфера проектного управления, а не формирования системы ИБ в конкретных продуктах. Это изменение стало очевидным приблизительно 5-7 лет назад.

Вид 24. Снежное утро BISO

Так сформировался некоторый профессиональный стандарт бизнес-партнёра в ИБ. Всего понемногу от технических средств ИБ до стандартов проектного управления. Основным скилом является насмотренность, то есть ориентирование в структуре благодаря большому количеству реализованных проектов. Здесь, правда, формируется другой вопрос: кем должен быть тот, из кого получится сделать бизнес-партнёра? Ответом на него становится тот факт, что специалисты по ИБ в целом люди очень любознательные (это профессиональная деформация), поэтому насмотренность формируется сама по себе. И стать бизнес-партнёром сможет любой специалист, обладающий склонностью к переговорам и убеждению, поиску компромиссов и хорошим ориентированием в предметной сфере. Бизнес пришел к оптимальной структуре управления системой ИБ, где сочетается индивидуальный подход к продуктам, сервисная модель и наличие «добрых полицейских» в лице бизнес-партнёров.

Однако заигрываться с этим не стоит, всё-таки основная задача BISO — делать бизнесу больно, но так, чтобы ему нравилось.

Утром выпал снегЗамело все следыТишина

Утром выпал снег
Замело все следы
Тишина

Заключение

Конечно, история на этом не заканчивается, наблюдения продолжаются, а время готовит новые вызовы.

Эволюция «отдела защиты информации» в отдельную дирекцию под управлением CISO, разделение ИБ-специалистов на направления и появление института бизнес-партнёров — каждая из этих стадий не была следствием сиюминутных желаний. Изменения диктовались окружающей средой, новыми угрозами, а система управления ИБ как живой организм отвечала на них. Более того, многие стандарты адаптируются под появление и популяризацию новых ролей, учитывая в своих новых версиях (взгляните на изменения в ISO, например).

Самой «горячей» темой стало появление генеративных нейросетей в свободном доступе, они перестали быть уделом математиков и стали попсой, доступной каждому. Это сделало неэффективными многие применявшиеся ранее методики, но открыло путь для новых, ведь ИИ — это обоюдоострый инструмент.

Другим серьёзным вызовом становится безудержное государственное регулирование и сегментация цифрового мира. Раньше у вычислительных сетей не было границ, точнее, они могли не совпадать с границами государств. Теперь же при их построении приходится учитывать нюанс в виде разделения территорий на страны (которые иногда имеют свойство ещё и меняться, невзирая на уже построенные правила работы информационных систем).

Следующей стадией, возможно, станет внедрение различных ассистивных технологий в деятельность и кристаллизация роли архитектора ИБ, оперирующего напрямую подчинёнными системами, а не огромным числом инженеров и медиаторов. 

Тем не менее есть один навык, который критически важен для BISO. Такой, без которого обойтись невозможно. 

Когда-то от американского жаргонного слова «to hack» («врубаться») произошли те самые хакеры. Сейчас же навык быстро «врубиться» во что угодно, ещё вчера неизвестное, стоит на страже информационной безопасности.

Последим за развитием событий.

Автор: Negativelink

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js