Pull to refresh

Особенности менеджмента информационной безопасности в международных компаниях, или как ИБэшнику выжить в 2022-м году

Reading time5 min
Views4.3K

Дисклеймер

Самым сложным в этой статье было выбрать понятное и не душное название. С этим я не справился.

Тем не менее, приглашаю коллег рассмотреть отличия типового «менеджера ИБ» в международной компании от российских каноничных безопасников.

Суровый 2022ой неслабо перетряхнул бизнес в России, и ощутимо расшевелил всю сферу IT и ИБ. В то время, как исконно российские безопасники штудируют новую доктрину ИБ, переводят новые законы с бюрократического на общечеловеческий язык и метят в ТОП менеджмент, менеджеры ИБ международных компаний открыли для себя множество иных вопросов, единого ответа на которые пока что нет.

Спойлер: все описанное ниже является моим субъективным мнением, при описании которого я опирался на свой скромный опыт, и опыт 2-3 моих знакомых. Текст не претендует на объективное описание сферы ИБ, посему рекомендую воспринимать текст с иронией.

Личное наблюдение: в Российских компаниях чаще звучит термин «защита информации» - как бесконечный процесс, а сами безопасники являются Администраторами безопасности, в то время как в международных как правило формулируют «безопасность информации» как недостижимый результат, а специалистов гордо именуют Менеджерами ИБ. Чувствуете разницу?

 

источник: Пикабу
источник: Пикабу

Ситуация: оторванность от российских реалий.

Открою секрет, безопасник в международной компании, или как нас принято называть IT security manager – это самый настоящий менеджер среднего звена, основным (и порой единственным) инструментом которого являются чат и почта.

До серверов их не подпускают, для этого есть отдел инфраструктуры. Для внедрения новых железок даже приезжают (приезжали) спецы из штаб-квартиры.

Все антивирусы, фаерволлы, спланки, фаерайи и прочие мониторинги ставятся удаленно, и контролируются из центра. Иногда приходится запустить 1-2 скрипта и отправить JSON на проверку, но это прям самый самый технический максимум, с которым приходится сталкиваться.

До управления политиками почти не допускают. Последние админские права на консоли DLP отняли еще в 2018ом, накатили одну политику на всех и не разрешили ничего менять без дополнительного подтверждения. Даже менеджер паролей забрали. Основной задачей менеджера ИБ стало решение проблем юзеров, у которых внезапно перестали работать флэшки, на распечатанных документах появился водяной знак, а соц. сети оказались недоступны.

Управление Рисками – звучит красиво, но на деле превращается в поиск, упорядочивание и порой даже перевод на английский документации, заполнение форм и решение проблем владельцев продукта/системы, а принятие решений централизовано и затруднено.

Пентесты: требуется просто запросить у владельца/администратора тестовую учетную запись с паролем, ссылку на тестируемое приложение и код – отправь подрядчику, и ждать красиво оформленный отчет от подрядчика

Комплаенс – номинально есть, но выражается в создании Powerpoint презентаций для пользователей, и раз в год – проверки электронной почты выбранных менеджментом коллег: не буду вдаваться в подробности и разбирать этичность неавтоматических проверок, но уточню, что выгружать массив почты тоже приходится не самостоятельно, а просить у иностранных админов через служебную записку.

Защита персональных данных – формально так же есть, но технической защиты как таковой нет. Внедрены организационно-бумажные решения, которые отражают реальность лишь наполовину, и все равно превращаются в решение проблем юзеров, которые забыли какая форма согласия актуальна, и с кем надо подписать допник о защите ПДн.  

Шифрование? Да оно есть в 2-5% случаев, но менеджера ИБ туда не допустят, максимум разрешат сделать тикет/change и может быть выпустить/обновить сертификат. Спасибо хоть на этом.

По итогу выходит, что менеджер ИБ в иностранной конторе сидит, перебирает почту, и действует согласно простенькой схеме (см рис. 1) , а настольной книгой такого эксперта является список контактов по всем таскам/проектам, которые меняются чаще чем закрывается типовая задача, поэтому исполнение многих задач никем вообще и не проверяется.

рис.1
рис.1

За это менеджер ИБ получает весьма жирную зарплату, ежегодную индексацию, и кучу дополнительных бонусов; а еще усмехается каждый раз, когда РКН, ФСТЭК, ФСБ, Минцифры или любое рандомное ведомство начинает кошмарить российский бизнес/банкинг/промышленность в целом и безопасников в частности.

Каждый раз, оказываясь на конференциях ИБ невольно чувствуешь, насколько твоя работа отличается от работы чисто российских безопасников. (спойлер: они почти даже не пересекаются).

 

Проблема: Рынок иностранных компаний схлопнулся, одни ушли с рынка, другие локализовались и изменили требования к своим ИБ менеджерам, третьи заморозили найм.

Вот тут-то мне впервые за 11 лет пришло в голову, что подход иностранных компаний, вот вся эта максимальная корпоративизация хороша для организации в целом, но не всегда оптимальна для каждого отдельного специалиста.

Вроде получаешь оценки «выше ожиданий», гребешь премии, закрываешь интересные проекты и даже ДОСТИГАЕШЬ всяческих успехов, но весь твой успех применим только в достаточно узкой сфере, которая в 2022ом перестала казаться беззаботной, богатой и перспективной.

источник: Пикабу
источник: Пикабу

Встал вопрос, как быть дальше, что делать, и стоит ли что-то делать вообще?

Варианты решения:

I. Сидеть в своей конторе до посинения, надеяться на скорое разрешение СВО, всех вытекающих из этого сложностей, и молиться, что компания не закроется и не уйдет. (Актуально для тех, кто еще работает).

II. Попробовать заскочить в свеже-локализованные фирмы, которым внезапно стало мало тех компетенций, что имели их ИБ менеджеры.

Лично я его отмел, потому что давайте по-честному: теоретически управлять корпоративной системой защиты информации выходцы из иностранных компаний способны. Но вот построить/пересторить систему с нуля фактически без знания российских вендоров и систем защиты очень сложно. То есть возможно конечно: погуглить известных игроков рынка, провести тендеры, и постепенно при помощи вендоров все внедрить. Но компании хотят сделать это быстро, четко и без увеличения штата (не больше 1 безопасника на компанию!). Конечно же такие свежие компании захотят себе в штат опытных архитекторов ИБ, а не таких же менеджеров ИБ и прочих почтовых управляющих, которые у них уже имеются.  

III. Отказаться от многих привычных плюшек и стать настоящим рядовым безопасником в российской компании, желательно нефте-газовой. Руководителями возьмут не всех, да и в любом случае баланс занятости и оплаты труда изменится не в лучшую сторону. Хотя кто знает.

IV. Вариант «4А»: искать релокацию. Бытует мнение, что это сложно, потому что ИБ сфера сильно завязана на местных законах и особенностях, а человек извне испытает большие трудности при попытке вникнуть. Но есть и отличные новости: во многих международных централизованных ИТ и ИБ хабах навалом рядовых исполнителей, но, как правило, не хватает грамотных организаторов,да еще и умеющих принимать решения. Это может оказаться на руку менеджеру ИБ с опытом переговоров с индусами/малазийцами и прочими ИТ-саппорт командами.

Вариант «4Б» радикальный: бросить всё и уехать барменом на Бали до лучших времен. Но это уже оффтоп.

Вместо вывода:

Изложенное выше скомкано, сильно сокращено относительно черновика, и отражает сугубо мой личный, возможно однобокий опыт (11 лет в ИБ, 9 из них в международных компаниях). Возможно, кому-то покажется занятным, а кто-то решит опровергнуть. В любом случае – добро пожаловать в комментарии.

Tags:
Hubs:
Total votes 3: ↑3 and ↓0+3
Comments13

Articles