Манифест информационной безопасности

Когда в какой-либо индустрии происходит технологический скачок, мы быстро к этому привыкаем и уже с удивлением и легким ужасом вспоминаем “как оно было раньше”.Рынки развиваются в сторону максимального упрощения бизнес-процессов и автоматизации.

Еще буквально 10-15 лет назад рутинные действия, выглядели совсем иначе:

• Заказ еды домой. Необычная задача, найти работающий на доставку ресторан, позвонить им по телефону, продиктовать заказ, обязательно приготовить наличные без сдачи.
• Оплатить коммунальные услуги, придется идти на почту или в банк, а как иначе?
  
• Открыть в банке счет. Простоять очередь в отделении в рабочие часы, без этого никак!
  
• Получить государственную услугу? По этому писались целые гайды, где и какую бумагу надо получить, куда и когда нужно идти.

Примеров может быть множество.

IT кардинально меняло правила игры на рынках, двигало и двигает отрасли вперед. Но за этот период, один из самых близких к IT рынков не изменился!
Услуги по информационной безопасности — самый консервативный/отсталый рынок связанный с IT.

• Как безопасность может поспевать за отраслями, если не меняется сама?
• Причем тут кадровый голод и в нем ли дело?
  
• Что с этим нужно делать и причем тут такси?
  

Это Манифест нового рынка информационной безопасности.
Если вам важна безопасность, добро пожаловать ниже!

Давайте вспомним рынок такси 10-15 лет назад. Типичный заказ:

• Звоним по известному нам номеру таксопарка.
• Ищем ориентир/вывеску с адресом, сообщаем оператору и сообщаем адрес куда нам ехать.
  
• Узнаем примерное время подачи машины и стоимость, НО они могут измениться.
  
• Какая приедет машина? С детским ли креслом? Комфортная ли? Неизвестно, можно сказать оператору, но не факт что это будет учтено.
  
• Когда машина найдена и приехала, нам об этом сообщают, но где именно она стоит? Нужно звонить водителю, через оператора и уточнить, ведь только он может объяснить где он.
  
• Кто за рулем? Его рейтинг? Ничего подобного не узнаем.
  
• Тревожная кнопка? Если что-то идет не так? Отсутствует.
  
• Мы выезжаем по маршруту. Сколько нам ехать? Непонятно. Везут ли нас по оптимальному маршруту или возят кругами, чтобы накрутить стоимость поездки по счетчику? Тяжело понять (может в лес).
• Финальная цена может сильно удивить. Спор? Никакой техподдержки, только мы и водитель.
  
• Оплата только наличными, если проблемы со сдачей, придется заехать и разменять где-нибудь, купив ненужную жвачку.
  
• А привезли именно туда, куда просили? Водитель знает куда подъехать, где финальная точка? (Дорогу покажешь?) Придется объяснять или искать вместе.
  
• Перенести пункт назначения? Об этом лучше и не думать!
  

Вот такая череда неопределенностей и неудобств, я постарался расписать их все. Сейчас же вспоминать это немного дико, правда? Хотя в глухих районах весь этот алгоритм единственный возможный до сих пор.

А ваша информационная безопасность (ИБ) не такси из прошлого? Рынок услуг по ИБ по всей стране работает точно также в 2022 году! Да на уровне деревни далекого от цивилизации района. Вот смотрите, со стороны Заказчика:

• Заказчики чаще всего обращаются к “знакомым” компаниям, если собственных контактов нет, то спрашивают у друзей, а те у своих. Выбор из многих? Практически всегда вслепую.
• Написание ТЗ - отдельная задача для которой нужен специалист. Донести, что именно вам нужно - бывает крайне сложно, ведь чаще всего вы говорите с посредником (аналог оператора в такси), а не с Исполнителем. Правило испорченного телефона работает тут на “ура”, учтут ли ваши пожелания к "машине" работе?
  
• Кто именно будет выполнять вашу работу? Субподрядчик известной фирмы? Или субподрядчик субподрядчика, о котором вам предпочтут не говорить вовсе? Внештатник субсубподрядчика субподрядчика, которого представят сотрудником первой фирмы, или вовсе вы его не увидите? Такие цепочки могут быть очень длинными, я лично встречал аж 5 звеньев - посредников.
  
• Опыт работы финального Исполнителя? Будет отлично “смешан” с опытом компаний посредников. Профессиональные сертификаты - аналогично, что именно за квалификация у того, кто делает работы, вы не узнаете.
  
• Любые согласования, например, об окончании одного этапа работ и старте следующего занимают кучу времени, ведь идут по всей цепочке.
  
• А, если недовольны качеством работы, с кого спросить? Каждый посредник будет максимально защищать “своего” Исполнителя в цепочке. Расскажет о своем опыте выполнения схожих контрактов, умолчав о другой команде Исполнителей. И закончит общими словами про “лучшие рыночные практики” и что по ТЗ формально выполнено все.
  
• А если обратиться ко второму подрядчику? Да, придется заплатить дважды, но на разнице результатов-то можно сделать выводы о реальной ситуации. Да, если не случится так, что субподрядчики у них совпадают, или обращаются они к одним финальным Исполнителям. Тогда получится два разно оформленных, одинаковых по содержанию отчета, возможно, с минимальными изменениями для отвода глаз. Независимой оценкой качества работ даже и не пахнет.
  
• Стоимость? Почему она значительно отличается у подрядчиков, если в результате услугу делает один и тот же специалист? А тут плата "по счетчику" за путь, а не за результат. Да и тарифы у всех разные.
  

С точки зрения Исполнителя - ситуация не менее неопределенная.

• Что нужно Заказчику, порой понять бывает сложно. ТЗ же написано на свой лад кем-то из посредников. Связаться напрямую - не всегда возможно.
• А заказ точно легальный? Имеет ли фирма “А”, с которой у Исполнителя договор, право выполнять эти работы у Заказчика, или дело тут темное? Нужно как-то проверить, ведь всю цепочку договоров, скорее всего, не покажут, по экономическим причинам.
  
• Точно ли заплатят оговоренную сумму? А если посредника не устроит результат? Дальше только суд, независимую оценку не получить.
  
• Заказчик просит обосновать стоимость проекта и называет какую-то большую сумму? Сложная задача, если весь проект делает один человек и получит за это гораздо меньше, возможно даже ежемесячную зарплату.
  
• Согласовать какие-то потенциально рисковые, но важные проверки? Сделать что-то за рамками работ, но что может быть полезно Заказчику? Это столько согласований по пути, что лучше даже не пытаться.
  
• В найме зарплаты в одном отделе с равной квалификацией отличаются на порядок, почему? Таков рынок, как договоришься. То что внештатник получает за такой же недельный проект, сумму зарплаты штатных сотрудников за месяц - бывает, так договорился.
  

В итоге и Заказчик и Исполнитель получают сервис и неопределенность на уровне заказа такси 10-15 лет назад. О какой эффективной работе индустрии может идти речь?

Также в доковидные времена в ИБ было очень сложно найти удаленную работу. Почему? Все “так привыкли”, даже на вакансиях, способных весь объем работы выполнять удаленно. Консерватизм, в отличии от остального около IT.

Немалую роль играет то, что преимущественно на руководящих позициях находятся люди с “силовым” прошлым, их менталитет и привычки сопротивляются инновациям. Часто люди из этой среды видят в любых изменениях лишь риски, значительно их завышая.

Uber - изменил рынок такси, совершил технологический рывок. Монополизировал его в ряде стран, автоматизировал его, но, к сожалению, снизил планку навыков для водителей. Про индусов-водителей в Нью-Йорке знают все.

С услугами по безопасности именно так нельзя, новому рынку нужны только профессионалы. Хотя аналитики пишут, что специалистов по безопасности в стране недостаточно. Но может, дело в неэффективных бизнес-процессах?Рынку нужен технологический рывок, нужны гарантии для всех сторон, прозрачность и сервис уровня Uber Elite.

Нужна доверенная третья сторона - гарант. Площадка-агрегатор услуг, которая сможет создать конкурентный, надежный и прозрачный рынок услуг по информационной безопасности.

Главные задачи Площадки-агрегатора:

• Избавить от цепочек посредников, организовать работу Заказчиков и Исполнителей напрямую под контролем Площадки.
• Предоставить экспертное независимое мнение, решение всех спорных вопросов.
  
• Гарантировать качество предоставляемых услуг.
  
• Гарантировать легальность предлагаемых заказов.
  
• Снизить среднюю стоимость работ для Заказчиков, максимизировать вознаграждение Исполнителю.
  
• Поднять эффективность коммуникаций, снизить простои.
  
• Предоставить возможность любому профессионалу в ИБ работать на себя.
  

Созданный новый рынок услуг по информационной безопасности должен сломать, наконец, порочную схему “делают 1000, а их продают 10 000” (Спасибо за цитату Луке Сафонову @LukaSafonov). Это снизит среднюю стоимость услуг по ИБ, сделает их доступнее для малого бизнеса, а значит, повысит уровень защищенности коммерческого сектора в целом.

Почему это возможно?
Стоимость проекта системного-интегратора или ИБ-компании, как правило, на один порядок превышает размер заработной платы специалиста, непосредственно выполняющего данные работы. И все, что ему для этого нужно, это его мозги, ноутбук и интернет. Иногда очень помогает не дешевое ПО, но и тут вопрос решаемый. Да, существуют проектные расходы в виде документационного сопровождения, налогов и стоимости продаж. Но это не стоит 90% стоимости контракта.

Пример:
Александр - Penetration Tester с хорошим бекграундом, он получает заработную плату в 200 тысяч рублей, и за месяц делает 2-3 проекта в уважаемой компании.

Сама же компания продает эти проекты по 1,2-1,5 миллиона для крупных Заказчиков. Стоят ли проектные расходы эту разницу? Захотел бы Александр дополнительно работать на себя и выполнять такие же проекты по более низкой цене, но за 80% стоимости на Площадке-агрегаторе?

Мой опрос широкого круга безопасников показал, что все хотели бы.

Стоимость услуг Площадки должна быть минимальна, а значит, и расходы.

• без отдела продаж;
• максимум автоматизации бизнес-процессов.
  

Утопия? Нет, подобные площадки уже начинают появляться во многих отраслях, например:

• Финуслуги и Банки.ру (финансы).
• Booking и travelata (туризм).
• OZON и Амазон (покупки).
• Авто.ру и Дром.ру (Автомобили).
• Фриланс-платформы (IT, но не ИБ).
  

И многое другое.

Для взлета Площадки-агрегатора и качественного изменения рынка нужна значительная информационная поддержка ИБ-комьюнити, а также значительный кредит доверия на первых этапах. Опытные Исполнители и прогрессивные Заказчики.

Уверен, в России все это есть. Время для изменений пришло, рынок должен начать меняться, иначе стагнация и неизбежное фатальное отставание.

Неизбежно окончание эры хаотичного рынка услуг по ИБ, грядет эра порядка.