В чемпионы возьмут не всех

Как вырастить Security Champion и зачем это нужно?

Для комфортной работы и достижения серьезных результатов в компаниях, которые занимаются созданием ПО, на 100 разработчиков должно приходиться хотя бы 10 ИБ-специалистов, т. е. 10 к 1. Однако в большинстве айтишных компаний этот показатель всего 50 к 1. Даже если ИБэшники будут работать по 12 часов в день, им понадобится в лучшем случае неделя на анализ того объема кода, который разработчики напишут за день. Чтобы спасти ситуацию, можно привлечь заинтересованного в ИБ сотрудника и сделать из него Чемпиона безопасности (Security Champion). Вместе с Юрием Шабалиным, ведущим архитектором Swordfish Security, разберемся, кто это, чем он занимается, как его вырастить и какую пользу от него получит компания.

В чемпионы возьмут не всех

И кто тут у нас Security Champion?

Security Champion — это роль в команде, а не отдельная специальность, как, например, программист или тестировщик. Чаще всего ее используют в разработке, но практику можно успешно применять и в других отделах, например, в DevOps, тестировании, аналитике и там, где не обойтись без информационной безопасности. На позицию нужно привлечь сотрудника, заинтересованного в том, чтобы на выходе получались безопасные продукты. При этом важно, чтобы он сам стремился к развитию в области ИБ и расширению своих профессиональных компетенций. Мольбы или принуждение тут не сработают.

«Растит» Чемпиона безопасник компании, который становится его ментором и делегирует ему часть своих задач. ИБ-специалист погружает Security Champion в различные темы защиты информации, учит его смотреть на приложения и их функционал с точки зрения хакеров и находить возможности для совершения атак. Безопасник в рамках своей позиции продолжает обеспечивать функционирование инструментов анализа защищенности, совместно с Чемпионом настраивает их с учетом особенностей конкретных продуктов, а также обучает своего подопечного работе со сканерами. Постепенно Security Champion становится в разработке (или в любой другой команде, непосредственно заинтересованной в такой роли) главным лицом в части безопасности, к которому коллеги могут обращаться с вопросами и приходить за советами. Таким образом, Чемпион берет на себя новые обязанности, но при этом сохраняет за собой позицию разработчика и продолжает выполнять текущие задачи.

В чем основная польза от Security Champion?

  • Security Champion окажет ИБ-специалисту значительную помощь в анализе безопасности и сделает это с четким пониманием всех внутренних нюансов. Крупные компании, как правило, используют в разработке большое количество технологий. Кроме этого, создаваемые продукты могут содержать различные фреймворки, несколько десятков сервисов, зачастую написанных на разных языках программирования. Один человек (в нашем случае — безопасник) не сможет освоить такой огромный объем информации и разобраться во всех нюансах наравне с разработчиками на разных языках программирования. Из-за незнания особенностей у ИБ-специалиста могут возникать сложности, например, при проведении статического анализа или анализа компонент с открытым исходным кодом. Для решения подобных проблем как раз и предназначена практика Security Champion, поскольку она предполагает участие специалиста, отлично разбирающегося во внутренней кухне разработки.
  • Чемпион безопасности позволит снизить уровень разобщенности между разработчиками и безопасниками. Обычно когда ИБ-специалист приходит к разработчикам и указывает им на ошибки, они чаще всего реагируют с негодованием и отвечают примерно так: «А вы кто? Никаких проблем не видим — коллега на code review уже поставил “apply”, значит, всё хорошо». Дело в том, что разработчики больше доверяют своему тимлиду, старшим товарищам и другим коллегам из подразделения, с которыми они постоянно взаимодействуют. Поэтому к Чемпиону безопасности из команды разработки сотрудники будут относиться с большим пониманием и уважением, чем к ИБ-специалисту из другого отдела.

Как вырастить Security Champion?

Практика работает, если растить Чемпиона внутри. Нанять специалиста извне не получится: во-первых, на рынке нет резюме, заточенных конкретно под эту роль, во-вторых, если пригласить на позицию Security Champion нового разработчика, ему понадобится время, чтобы вникнуть в процессы и продукты компании, только после этого он сможет примерить на себя роль Чемпиона безопасности.

Шаг №1. Согласовать инициативу с руководством

Чтобы исключить риск разногласий между руководителями команд, снять дополнительные вопросы по поводу привлечения конкретного сотрудника к обязанностям Security Champion, нужно для начала согласовать внедрение практики с руководством на всех уровнях — от высших позиций и владельца продукта до менеджеров команды. Это также позволит официально закрепить инициативу, а значит сделает ее обязательной для реализации.

Сначала тимлиды команд разработки и безопасности должны прийти к общему пониманию проблем взаимодействия подразделений и необходимости внедрения практики Security Champion. После этого им нужно четко описать роль, определить объем нагрузки такого специалиста, просчитать, как дополнительные обязанности могут отразиться на работе команды (не замедлит ли это общие процессы), а потом представить инициативу руководству. Чтобы бизнес заинтересовался практикой, нужно подчеркнуть выгоду, которую она ему принесет. Об этом можно сказать например, так: «ИБ-подразделение выдвигает определенные требования по безопасности и регулярно проверяет их выполнение. Всё это нас задерживает. Security Champion поможет нам быстрее проходить AppSec-процедуры, а значит, выпуск релизов ускорится, от чего бизнес явно останется в плюсе». После того, как руководство согласует внедрение практики, можно будет приступать к поиску кандидатов.

Шаг №2. Отобрать кандидатов на роль Security Champion

Практика Security Champion должна реализовываться совместно с Security Awareness (программа повышения осведомленности о кибербезопасности). Сначала разработчикам нужно объяснить на конкретных примерах, к каким последствиям могут привести уязвимости, донести, что безопасники приходят к ним с замечаниями только для того, чтобы сделать продукт лучше, а не добавить им лишней работы и всё усложнить. Для реализации Awareness-программы можно создать в компании Центр компетенций и в рамках него развивать внутренний портал с полезными материалами по ИБ, разрабатывать корпоративные курсы и методички, проводить email-рассылки, онлайн-тренинги, открытые митапы и CTF (подробно о том, как создать Центр компетенций, мы рассказали в этой статье).

Активности awareness-программы помогут вычислить того самого человека, который сможет взять на себя обязанности Security Champion и развиваться в области ИБ. В число потенциальных кандидатов можно записать разработчиков, которые, например, показали отличные результаты в тестировании по итогам обучения или активно проявили себя на митапах и онлайн-тренингах.

Шаг №3. Провести интервью с кандидатами

На интервью нужно рассказать потенциальным кандидатам, что из себя представляет практика Security Champion. Чтобы подогреть интерес конкретного разработчика к роли, нужно подчеркнуть, какую пользу он получит: сможет расширить профессиональные компетенции и повысить свою стоимость на рынке труда, научится смотреть на код со стороны безопасности и лучше понимать его, сделает большой вклад в развитие продуктов и так далее. Также можно рассказать кандидату о денежной компенсации, но не стоит делать на этом основной акцент.

Важно, чтобы сотрудник добровольно согласился принять роль. Подход «назначить сверху» не принесет хороших результатов. В нашей практике был случай, когда большая компания-клиент выписала распоряжение, в котором руководство само назначило Чемпионов для каждой команды разработки. Таким образом, в программу попали те люди, от которых было меньше всего пользы (джуниоры, стажеры, незаинтересованные специалисты). «Счастливчикам» пришлось выполнять новые обязанности из-под палки, поэтому практика показала низкую эффективность.

Шаг № 4. Создать базу знаний

Разработчика, ставшего Чемпионом безопасности, нужно погрузить в новую роль. Для этого ИБ-специалист должен провести с Security Champion беседу и рассказать ему подробно о новой позиции. По итогам вводного разговора можно написать методичку, дополнив ее ключевыми определениями ИБ, планом погружения в роль и так далее. Также безопаснику нужно подготовить обучающие материалы, в которых все основные процессы и инструменты будут описаны максимально простым языком. Чтобы информация не растерялась, необходимо собрать ее в одном месте, для этого нужно создать базу знаний (например, в формате нового раздела на корпоративном портале) и в дальнейшем пополнять ее полезными статьями и литературой, ценной информацией. В идеале в ней должны появиться ответы на большинство вопросов по теме ИБ.

Шаг №5. Поддерживать интерес Security Champion

Чтобы Чемпион безопасности не потерял интерес к роли, нужно предоставлять ему новые возможности для обучения. Например, можно периодически покупать для Security Champion курсы по тем темам, которые ему непонятны, отправлять его на профильные конференции, проводить мастер-классы. Также можно создавать для Security Champion собственные корпоративные курсы по ИБ, по инструментам, которые использует компания, по DevSecOps и так далее.

Все это будет особенно эффективно, если в организации образовалась уже целая команда Security Champions. Можно разделить ее на группы и разработать для каждой профильные материалы: например, для Java-разработчиков создать курс по безопасному программированию на Java, для специалистов по мобильным приложениям — по уязвимостям в таких программах. А чтобы Чемпионы могли закреплять полученные знания и отдыхать от обучения, можно организовывать для них CTF или проводить неформальные встречи с экспертами. Важно сформировать для таких сотрудников отдельную экосистему из обучающих и развлекательных активностей, из которых они смогут непрерывно извлекать пользу.

Заключение

У практики Security Champion нет жестких требований к уровню зрелости процессов безопасности в компании. Эта инициатива может подойти как организациям с хорошо развитыми ИБ-практиками, так и менее зрелым компаниям с базовыми процессами. Security Champions позволят снизить нагрузку на ИБ-специалистов, повысить эффективность и скорость анализа защищенности ПО. Таким образом, организация сможет увеличить частоту релизов и развить культуру безопасности, а ее сотрудники получат новые возможности для профессионального роста.

Но добиться хороших результатов получится при правильной реализации практики: важно не забывать, что «настоящими» (полезными) Чемпионами безопасности могут стать только те сотрудники, которые искренне заинтересованы в роли, компания должна постоянно обучать таких людей и поддерживать их интерес. Начинать реализовывать практику стоит в одной или нескольких лояльных командах разработки, DevOps, тестирования, аналитики или других подразделениях. После этого можно оценить эффективность инициативы, скорректировать стратегию ее внедрения и распространить практику на остальные команды, позволив ИБ-специалистам переключиться на более масштабные задачи и вывести компанию на новый уровень безопасности.

22
Начать дискуссию