Comments 4
И где же тут самый главный - CISO? Можно захантить самого крутого Специалиста по сетевой безопасности. Он сможет настроить любые вещи на межсетевом экране, решить все проблемы с доступностью. Но кто ему скажет, какие именно настройки проводить? Кто рассмотрит совместно с бизнесом все риски?
Или до сих пор считается, что командой безопаников должен рулить Руководитель ИТ, бывший "КГБшник" или любой другой ТОП, который не владеет профессионально информацией о современных угрозах и как их можно применить на бизнес-процессы Компании? Умные кандидаты ИБ, без особой нужды, не пойдут в такую компанию.
Если есть желание более системно разобраться в том, какие бывают безопасники, предлагаю начать с карты компетенций. Наиболее известная - NIST NICE, я недавно писал о ней здесь. В ней более 50 ролей, каждая из которых состоит из своих задач, навыков и знаний. В зависимости от масштаба компании один специалист может выполнять как несколько ролей сразу, так и часть одной роли. Также можно посмотреть европейскаюую ECSF, состоящую всего из 12 ролевых профилей. В любом случае, у каждой организации своя специфика, и найти готовые описания ролей не получится. Можно воспользоваться каким-то фреймворком как конструктором и собрать из него то, что требуется конкретному бизнесу, адаптируя и добавляя недостающее. Например, роль MLSecOps вы пока там не найдёте. Но уже есть DevSecOps, и добавляя к его требованиям конвейер Continuous Training с DataOps получается что-то похожее на нужную роль.
Как хантить безопасников