Дисклеймер
Самым сложным в этой статье было выбрать понятное и не душное название. С этим я не справился.
Тем не менее, приглашаю коллег рассмотреть отличия типового «менеджера ИБ» в международной компании от российских каноничных безопасников.
Суровый 2022ой неслабо перетряхнул бизнес в России, и ощутимо расшевелил всю сферу IT и ИБ. В то время, как исконно российские безопасники штудируют новую доктрину ИБ, переводят новые законы с бюрократического на общечеловеческий язык и метят в ТОП менеджмент, менеджеры ИБ международных компаний открыли для себя множество иных вопросов, единого ответа на которые пока что нет.
Спойлер: все описанное ниже является моим субъективным мнением, при описании которого я опирался на свой скромный опыт, и опыт 2-3 моих знакомых. Текст не претендует на объективное описание сферы ИБ, посему рекомендую воспринимать текст с иронией.
Личное наблюдение: в Российских компаниях чаще звучит термин «защита информации» - как бесконечный процесс, а сами безопасники являются Администраторами безопасности, в то время как в международных как правило формулируют «безопасность информации» как недостижимый результат, а специалистов гордо именуют Менеджерами ИБ. Чувствуете разницу?
Ситуация: оторванность от российских реалий.
Открою секрет, безопасник в международной компании, или как нас принято называть IT security manager – это самый настоящий менеджер среднего звена, основным (и порой единственным) инструментом которого являются чат и почта.
До серверов их не подпускают, для этого есть отдел инфраструктуры. Для внедрения новых железок даже приезжают (приезжали) спецы из штаб-квартиры.
Все антивирусы, фаерволлы, спланки, фаерайи и прочие мониторинги ставятся удаленно, и контролируются из центра. Иногда приходится запустить 1-2 скрипта и отправить JSON на проверку, но это прям самый самый технический максимум, с которым приходится сталкиваться.
До управления политиками почти не допускают. Последние админские права на консоли DLP отняли еще в 2018ом, накатили одну политику на всех и не разрешили ничего менять без дополнительного подтверждения. Даже менеджер паролей забрали. Основной задачей менеджера ИБ стало решение проблем юзеров, у которых внезапно перестали работать флэшки, на распечатанных документах появился водяной знак, а соц. сети оказались недоступны.
Управление Рисками – звучит красиво, но на деле превращается в поиск, упорядочивание и порой даже перевод на английский документации, заполнение форм и решение проблем владельцев продукта/системы, а принятие решений централизовано и затруднено.
Пентесты: требуется просто запросить у владельца/администратора тестовую учетную запись с паролем, ссылку на тестируемое приложение и код – отправь подрядчику, и ждать красиво оформленный отчет от подрядчика
Комплаенс – номинально есть, но выражается в создании Powerpoint презентаций для пользователей, и раз в год – проверки электронной почты выбранных менеджментом коллег: не буду вдаваться в подробности и разбирать этичность неавтоматических проверок, но уточню, что выгружать массив почты тоже приходится не самостоятельно, а просить у иностранных админов через служебную записку.
Защита персональных данных – формально так же есть, но технической защиты как таковой нет. Внедрены организационно-бумажные решения, которые отражают реальность лишь наполовину, и все равно превращаются в решение проблем юзеров, которые забыли какая форма согласия актуальна, и с кем надо подписать допник о защите ПДн.
Шифрование? Да оно есть в 2-5% случаев, но менеджера ИБ туда не допустят, максимум разрешат сделать тикет/change и может быть выпустить/обновить сертификат. Спасибо хоть на этом.
По итогу выходит, что менеджер ИБ в иностранной конторе сидит, перебирает почту, и действует согласно простенькой схеме (см рис. 1) , а настольной книгой такого эксперта является список контактов по всем таскам/проектам, которые меняются чаще чем закрывается типовая задача, поэтому исполнение многих задач никем вообще и не проверяется.
За это менеджер ИБ получает весьма жирную зарплату, ежегодную индексацию, и кучу дополнительных бонусов; а еще усмехается каждый раз, когда РКН, ФСТЭК, ФСБ, Минцифры или любое рандомное ведомство начинает кошмарить российский бизнес/банкинг/промышленность в целом и безопасников в частности.
Каждый раз, оказываясь на конференциях ИБ невольно чувствуешь, насколько твоя работа отличается от работы чисто российских безопасников. (спойлер: они почти даже не пересекаются).
Проблема: Рынок иностранных компаний схлопнулся, одни ушли с рынка, другие локализовались и изменили требования к своим ИБ менеджерам, третьи заморозили найм.
Вот тут-то мне впервые за 11 лет пришло в голову, что подход иностранных компаний, вот вся эта максимальная корпоративизация хороша для организации в целом, но не всегда оптимальна для каждого отдельного специалиста.
Вроде получаешь оценки «выше ожиданий», гребешь премии, закрываешь интересные проекты и даже ДОСТИГАЕШЬ всяческих успехов, но весь твой успех применим только в достаточно узкой сфере, которая в 2022ом перестала казаться беззаботной, богатой и перспективной.
Встал вопрос, как быть дальше, что делать, и стоит ли что-то делать вообще?
Варианты решения:
I. Сидеть в своей конторе до посинения, надеяться на скорое разрешение СВО, всех вытекающих из этого сложностей, и молиться, что компания не закроется и не уйдет. (Актуально для тех, кто еще работает).
II. Попробовать заскочить в свеже-локализованные фирмы, которым внезапно стало мало тех компетенций, что имели их ИБ менеджеры.
Лично я его отмел, потому что давайте по-честному: теоретически управлять корпоративной системой защиты информации выходцы из иностранных компаний способны. Но вот построить/пересторить систему с нуля фактически без знания российских вендоров и систем защиты очень сложно. То есть возможно конечно: погуглить известных игроков рынка, провести тендеры, и постепенно при помощи вендоров все внедрить. Но компании хотят сделать это быстро, четко и без увеличения штата (не больше 1 безопасника на компанию!). Конечно же такие свежие компании захотят себе в штат опытных архитекторов ИБ, а не таких же менеджеров ИБ и прочих почтовых управляющих, которые у них уже имеются.
III. Отказаться от многих привычных плюшек и стать настоящим рядовым безопасником в российской компании, желательно нефте-газовой. Руководителями возьмут не всех, да и в любом случае баланс занятости и оплаты труда изменится не в лучшую сторону. Хотя кто знает.
IV. Вариант «4А»: искать релокацию. Бытует мнение, что это сложно, потому что ИБ сфера сильно завязана на местных законах и особенностях, а человек извне испытает большие трудности при попытке вникнуть. Но есть и отличные новости: во многих международных централизованных ИТ и ИБ хабах навалом рядовых исполнителей, но, как правило, не хватает грамотных организаторов,да еще и умеющих принимать решения. Это может оказаться на руку менеджеру ИБ с опытом переговоров с индусами/малазийцами и прочими ИТ-саппорт командами.
Вариант «4Б» радикальный: бросить всё и уехать барменом на Бали до лучших времен. Но это уже оффтоп.
Вместо вывода:
Изложенное выше скомкано, сильно сокращено относительно черновика, и отражает сугубо мой личный, возможно однобокий опыт (11 лет в ИБ, 9 из них в международных компаниях). Возможно, кому-то покажется занятным, а кто-то решит опровергнуть. В любом случае – добро пожаловать в комментарии.