Путь из СIO в CISO: эволюция в параноика
В рубрику "JOB" | К списку рубрик | К списку авторов | К списку публикаций
Путь из СIO в CISO: эволюция в параноика
Практика показывает, что чаще всего в информационную безопасность приходят либо из силовых ведомств, либо из IT-подразделений, либо с профильных кафедр различных вузов, благо таких сейчас достаточно. Причем на роль CISO — руководителей подразделений ИБ, бывшие IT-специалисты, ну а тем более бывшие CIO подходят лучше, чем вчерашние силовики.
Михаил Савельев
Директор Учебного центра "Информзащита"
Директор Учебного центра "Информзащита"
В чем сила
В принципе бывший IT-специалист, естественно с учетом его личностных качеств, то есть если он не представляет собой полностью погруженного в "железо" администратора, - это лучшая кандидатура на роль сотрудника подразделения ИБ. А уж IТ-руководитель уровня CIO - лучший кандидат на роль CISO при прочих равных.
Особенности подхода к обучению пользователей методам безопасной работы: если в плане пользования новыми технологиями пользователи к ним привыкают, и постепенно становится легче работать, то обыденность и привычность на безопасности сказываются отрицательно. Соответственно должен меняться и подход: от "научил и забыл" до "напомнил, потренировал, наполнил и т.д.".
Прежде всего IТ-специалист прекрасно ориентируется в тех технологиях, которые ему предстоит защищать, он понимает проблемы подразделений автоматизации и умеет говорить с ними на одном языке. Подобное взаимопонимание очень помогает, ведь огромное количество конфликтов как раз начинается из-за того, что с точки зрения IT безопасники выглядят как вечно брюзжащие и ничего не понимающие "сапоги", которые готовы только повторять, "Я не знаю, как это работает, но это надо защитить". Кроме того, бывший сотрудник IТ-подразделения не будет предлагать не привязанных к технологии средств защиты.
Многие айтишники лучше готовы и к обобщенному взгляду на проблематику. То есть не ко взгляду на технологию, на прикладную систему, а к подходу именно через защищаемый бизнес-процесс. Другое дело, что, рассматривая пути решения задач, надо быть эдаким "здоровым параноиком", постоянно отвлекаясь на вопросы вроде "а как мы тут можем убедиться, что пользователь - тот, за кого себя выдает?", "а в выданном ответе на запрос нет ничего крамольного?" и т.п.
В чем трудности
Раз уж мы коснулись вопросов перестройки мышления, то несправедливо будет обойти вниманием и те трудности, которые возникают с ломкой подходов и стереотипов к решению задач при переходе от автоматизации к безопасности. Для CIO, ставшего CISO, подобная перестройка сознания и отказ от привычного образа мышления в сжатые сроки могут оказаться весьма болезненными. Перестраиваться придется:
- в подходе к проблематике от "что тут еще можно привернуть" к "а что тут может пойти не так";
- по эффекту от "сделать, чтобы было удобно" к "сделать, чтобы стало безопасно";
- по целям от "сделать, чтобы заработало любой ценой" на "отказаться в принципе, если это небезопасно".
К последнему пункту перестройки можно добавить и сложности с отказом от подхода по типу "заработало - убери руки и ничего не трогай". В безопасности нет половинчатых решений и почти никогда нельзя отложить защиту на потом.
Надо быть готовым и к определенным психологическим проблемам восприятия себя в организации. Ведь с точки зрения руководства, в IT ты либо герой (это когда все получилось и работает), либо борец (это когда что-то не работает по вине производителей софта, "железа" и т.п.). В безопасности по-другому: ты либо бездельник и растратчик, который ходит и клянчит деньги, хотя ничего же не происходит, либо опять-таки бездельник и растратчик, который ничего не сделал и все потратил зря, если что-то все же произошло. А все потому, что деятельность безопасности в случае хорошей работы не видна - ведь как увидеть отсутствие атак и вирусных эпидемий, претензий со стороны регуляторов, бесперебойную работу инфраструктуры? К слову, для CISO очень важно уметь оценивать свою деятельность и демонстрировать результаты ее работы топ-менеджменту.
Пользователи ИС тоже морально давят на безопасника. IT-специалист для них как полубог, который может им помочь, а сотрудник службы безопасности - ограничитель свобод и соглядатай, от которого можно ждать лишь наказания за нарушение правил.
В чем различия
Основные различия заключаются в том, что в роли CISO больше работать придется отнюдь не с технологиями, приложениями, интерфейсами и т.п., а с документами и людьми. Огромное количество сил уходит на то, чтобы разбираться в паутине противоречивых требований, правил и регламентов, изворачиваться, придумывать механизмы обхода несуразиц и "темных" мест. Особое удивление специалиста по IT может вызвать так называемая бумажная безопасность, когда порой наличие определенных бумаг бывает важнее реально принятых мер. Да и сама по себе необходимость порой слепо следовать регламенту просто потому, что так надо, дается бывшим IT-специалистам с трудом.
Придется постоянно помнить и о том, что автоматизация бизнес-процессы ускоряет, а безопасность - тормозит и мешает. Это нужно постоянно учитывать при внедрении тех или иных решений, так как пользователи защищаемых систем обычно стараются облегчить себе жизнь упрощениями, которые сводят на нет предпринятые усилия по защите.
Подводя итог, можно сказать, что прекрасное знание технологий дает специалистам из IT определенные выигрыши, но полноценный переход из CIO в CISO требует значительных усилий. Но эти затраты окупятся, так как в итоге родится прекрасный профессионал.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #4, 2013
