Два типа ИБ-культуры. Как сориентироваться?

Среди корпоративных инфобезопасников давно существует негласное деление на два типа, которые отражают подход к безопасности. Обобщённо их называют «пиджаки/футболки», хотя встречаются и «ботинки/кроссовки», «галстуки/бейсболки», «костюмы/худи» и другие способы передать внутреннюю суть через манеру одеваться.

Первые – формальные, ставящие «бумажные» требования выше практического применения, нацеленные на расследования, а не предотвращение нарушений, часто с опытом работы в спецслужбах. Вторые – их антиподы, неформальные, больше полагающиеся на технологии, нацеленные на предотвращение нарушений, а не на расследования, и пришедшие из IT или консалтинга.

Плюсы и минусы каждого подхода давно обсуждены и существовало мнение, что вот-вот «пиджаки» выйдут на пенсию и их место займут «футболки», эдакие корпоративные хакеры. Но время идёт, а формальных безопасников меньше почему-то не становится. Чем дальше, тем условнее разделение двух этих типов безопасников. Все умеют быстро учиться, и одни прокачиваются в новых технологиях, а другие – в юриспруденции. Но, тем не менее, основное ядро у каждого остаётся прежним.

Два типа ИБ-культуры. Как сориентироваться?

Поэтому в компаниях, занимающихся продажами средств безопасности, есть практически два маркетинга: первый направлен на помощь «пиджакам» реализовать формальные требования регуляторов, второй – на технические изюминки для «футболок». Даже продавцы для разных покупателей разные: для первых классические корпоративные продавцы – костюмы, швейцарские часы, дорогие машины, для вторых модные молодёжные продавцы-коммуникаторы – толстовки, смарт-часы, такси или каршеринг.

Ни один виток корпоративных технологий не обходится без своего отражения в безопасности. Интернет, принесший возможность проводить транзакции удалённо, мобильные устройства, с появлением которых зародилась концепция BYOD (Bring Your Own Device – «приноси своё устройство»), облака, подразумевающие массовое вынесение данных за пределы офисов, удалённые рабочие места и другие новые тренды постепенно меняют ИТ-ландшафт компаний. Каждый вызов рынка каждая команда отыгрывала по-своему, и можно было по состоянию корпоративной безопасности в компании понять, во что одетый безопасник стоит в ней у руля. На каждую такую ИТ-новинку по-разному одетые безопасники реагируют тоже по-разному. Первые норовят либо запретить использование новинок, либо придержать их внедрение до появления разъяснений и руководящих документов от регуляторов. Вторые говорят «о, какая интересная игрушка, а давайте посмотрим, как её контролировать», тестируют их, ковыряют, ломают и затем выдают вердикт: можно использовать так, так и так, а вот так лучше не использовать.

Как в любой технологии, в технологиях безопасности есть свои «ранние пользователи», любители инноваций, основное большинство, покупающие не «игрушки», а пользу, которую они приносят. И есть осторожные консерваторы, которые покупают решения только тогда, когда без них уже нельзя обойтись. Нельзя однозначно сказать, что хорошо, а что плохо, мы помним и прорывные технологии, действительно принёсшие ощутимый эффект и те, которые только казались прорывными и оказались пшиком. В последнем случае, осторожные консерваторы, которые не ринулись внедрять, скажем, блокчейн, только выиграли.

Пандемия сыграла на стороне «футболок». Те осторожные безопасники, которые запрещали удалённый доступ в свои информационные системы сотрудникам и подрядчикам, работу сотрудников с домашних компьютеров, групповые видео-совещания и прочие ИТ-удобства, поставили свои компании в положение отстающих при переходе на удалёнку. Какие-то компании перешли на удалёнку просто и легко, за несколько дней, а какие-то компании той же индустрии переезжали на удалёнку по нескольку недель, аврально строя необходимую ИТ-инфраструктуру. Некоторым из них такая негибкая позиция в кризисный период стоила карьеры. Пандемия и связанная с ней удалёнка повернули безопасность в практическую сторону.

Защищать корпоративную информацию, размазанную теперь по домашним компьютерам сотрудников, стало гораздо сложнее, приказами и требованиями для решения этой задачи не обойтись. Почти каждый из нас столкнулся с тем, как работает наспех построенная инфраструктура электронных магазинов и государственных услуг, они не очень хорошо работают и без хакерских атак, а что будет, когда за них возьмутся хакеры? Если старшее поколение, учась в школе, для срывов уроков приносило в класс крысу, а плохие оценки подчищало лезвием от безопасной бритвы, то нынешние школьники пытаются «завалить» занятия в Zoom, и ломают электронные дневники. Так что умение отбить атаку и предотвратить инсайдерскую деятельность удалённого сотрудника – сегодня основная компетенция безопасника.

С другой стороны, государство всё больше и больше затягивает гайки, лишая инноваторов инициативы. К регулируемым в области информационной безопасности отраслям уже причислены почти все ключевые индустрии – финансы, телеком, транспорт, энергетика, металлургия, другие добывающие и перерабатывающие отрасли, машиностроение и др. Государственные информационные системы давно регулируются, а по мере скупки предприятий государственными и окологосударственными банками эти предприятия тоже попадают под регулирование. Остававшийся последним нерегулируемый оазис розничной торговли из-за ужесточения требований по защите персональных данных, которые используются в программах лояльности, тоже попадают под регулирование. Российское регулирование – это часто не установление рамок, а прямые инструкции «делай раз, делай два, делай три». Сокращается разрешённый выбор сертифицированных продуктов и даже архитектур – где-то нельзя использовать облака, где-то можно, но только российские и т.п. Так что «пиджаки» себя ещё не исчерпали, умение соблюдать жёсткие правила и договариваться с регуляторами всё ещё в цене.

Рано или поздно эти две крайние позиции сблизятся. Вряд ли они сблизятся в плане дресс-кода, но безопасность сегодня устроена так, технари-by-design прокачаются в юриспруденции, а строгие безопасники прокачаются в технике. Да и бизнесу, по большому счёту, не интересны ни юриспруденция, ни технологии, бизнес интересует исключительно экономическая эффективность. Безопасник, какую бы одежду он ни носил, должен уметь защищать бизнес от угроз, не важно откуда они исходят – от хакеров, от нелояльных сотрудников или от строгих регуляторов. Поэтому и топ-безопасники выглядят как настоящие супермены: глубоко разбираются и в ИТ, и в безопасности, и в законах, а также в психологии и социологии. А также умеют разговаривать с бизнесом не на непонятном языке атак и эксплойтов, а на языке рисков и экономии. Если сюда прибавить то, что благодаря технологичной начинке современный безопасник буквально сидит на больших данных, его роль обретает еще одно новое качество – проактивность. Он может буквально предсказывать факторы, влияющие на количество денег в бизнесе, и участвует в нем уже не на правах охранника-исполнителя.

Но это уже тема для отдельной статьи.

Автор — Рустэм Хайретдинов, генеральный директор Attack Killer, вице-президент ГК InfoWatch

77
Начать дискуссию