Иллюстратор: Ольга Фурман специально для Security Vision
Кто такой
Многие процессы, статьи и корпоративные легенды апеллируют к понятию «security champion», иногда утверждая, что человек с такой ролью способен сделать невозможное (как говорили и мы в статье о противостоянии разработки и безопасности). Но кто же на самом деле скрывается за этим понятием, какие задачи решает и каков в целом смысл его существования?
В разных местах по‑разному, но если поискать определение среди международных ресурсов, можно сильно удивиться, узнав, что security champion — это гордое звание одного или нескольких людей, гордо несущих знамя информационной безопасности в компании. То есть, грубо говоря, это такая доступная и приятная каждому сотруднику точка входа в безопасность, процессы и практики внутри компании; спектр задач таких специалистов, оказывается, очень широк — от рисков до комплаенса, от фишинговых писем до безопасной разработки.
А у нас не так?
Разница подходов
У нас не так. Если говорить кратко, то в наших реалиях как будто взяли и адаптировали один из возможных векторов роли security champion»a. А потом еще и переделали положение такой роли внутри компании, цели, задачи... Разберемся предметно, что сходится, а в чем проявляются различия.
Вне наших реалий: чемпионом становится или сразу безопасник, или абсолютно любой специалист, текущая позиция которого вкупе со скиллами по информационной безопасности могут поставить его сразу в несколько позиций: ментора, лидера, своеобразного бюро вопросов и ответов, поместить его в среду разработчиков, примерить на себя роль риск‑менеджера, нести в массы постулаты комплаенса, и, наконец, проливать свет на ИБ в компании, что называлось модным когда‑то словом awareness.
Удивительно при этом то, что существует масса компаний, в которых чемпион — это кто угодно, кроме сотрудника с четко определенными обязанностями и выделенной должностью. Получается так, что такой сотрудник — это скорее покемон, который играет роли в компании от маскота до духовного наставника и штатного психолога в одном лице. Чемпион — тот, которому доверяют все и не стесняются задать вопрос по ИБ без страха быть осмеянными. Такой специалист должен гореть именно безопасностью, и по зову сердца делаться своими знаниями с другими.
У нас, мягко говоря, такое вовсе не принято. В наших реалиях термин security champion обычно прочно ассоциирован с разработкой. И спросив у компаний, кто у них является чемпионом, вам скорее представят или application security специалиста, сведущего в безопасной разработке, или очень подкованного разработчика в вопросах ИБ. Спектр возможностей нашего чемпиона также отличается широтой: от безопасной разработки до разработки безопасного ПО.
А у кого как у нас?
Что интересно, у например Adobe или ABBYY чемпион также встроен только в команду разработки и не встречается в других процессах внутри компании. На этом пока всё.
Чем же такие люди должны заниматься официально?
Навыки и задачи
Рассмотрим подробнее навыки, бегло перечисленные ранее. Чаще всего в круг официально‑неофициальных (об этом чуть позднее) задач чемпиона могут входить: проведение тренингов, обучение, ответы на вопросы и отдельные киберучения. Чаще всего это идет в связке регулярных проверок и тренинг‑сессий на реакцию сотрудников в конктексте фишинга и вредоносного ПО. Реже упоминается разработка, но она также присутствует в списке. Принято считать, что когда бухгалтеру или маркетологу есть, с кем посоветоваться, они реже нажимают, куда попало, чаще советуются и задаются вопросами информационной безопасности в контексте своей привычной деятельности.
В природе это называют механизмом incidents prevention, снижением рисков и другими красивыми словами.
Навыки чемпиона должны обеспечить интеграцию ИБ во все аспекты процессов и культуры компании, подготовить ее к возможным угрозам. Постоянное общение чемпиона с сотрудниками внутри компании укореняет доверительные отношения, обсуждение конкретных инцидентов и трендов в ИБ — повышает общий уровень осведомленности.
Вопросы разнообразного характера поступают чемпиону в ходе его работы: кибергигиена, обучение, знание о новых технологиях, безопасность устройств (как рабочих, так и личных), популярные сейчас угрозы и уязвимости.
И что немаловажно: сотрудники могут обратиться именно к такому человеку, чтобы сообщить о произошедшем инциденте, анонимно и оперативно.
Именно поэтому чемпионами становятся те, кому важна ИБ в целом и кто готов на собственном примере показать, что следовать правилам — не глупо и не страшно. Со временем, общение с чемпионом может приобретать неформальный характер; некоторые сотрудники советуются с «человеком, знающим про ИБ» и вне работы; иными словами, такой себе «тыжпрограммист», только «тыжчемпион».
Что немаловажно, этот человек участвует практически во всех процессах внутри компании — как ни крути, а ИБ важна везде. Маркетинг, поддержка, кадры, фронт‑ и бекофис, инфраструктура — всё это нуждается в персональном консультанте, который готов прийти на помощь в любой момент.
Чаще всего чемпион упоминается в процессах риск‑менеджмента: со знаниями по ИБ, которые только лишь дополняют его основной функционал, такой человек способен грамотно оценить риски не только из своей позиции, а еще и наложить их на другие практики. Он может как помочь в приоритизации рисков, так и разработать стратегии их митигации; а также внедрить ИБ‑практики во все доступные ему процессы.
Такой у нас: Разработка.
Звучит грустнее, чем всё предыдущее, но на самом деле не всё так однозначно печально — если это развилось так, как это существует сейчас, значит, такова потребность бизнеса. Касательно интеграции чемпиона в процесс разработки в любых реалиях мнения и цели сходятся, и это главное.
Чемпион в разработке является амбассадором лучших практик и подходов среди, как бы это ни было удивительно, разработчиков. Такому человеку известно все или почти все о последних киберугрозах в разработке, о безопасной разработке, о...
С методами и подходами в целом более‑менее понятно: чемпион точно знает, как делать хорошо и как не делать плохо, как применять на практике методы безопасной разработки и даже как проводить тестирование кода; знает кое‑что о пентестах, хоть раз да митигировал риски, а еще скорее всего участвовал в программе bug bounty.
Такие знания были бы бестолковыми, знай их чемпион только в теории; умение пользоваться инструментариями как безопасника, так и разработчика — основные навыки. Близкое знакомство со статикой и динамикой, умение «профаззить» приложение и разметить код, корректно описать баг, зависание или даже падения, помощь в воспроизведении и иногда даже в устранении критических проблем ПО — вот ежедневные задачи на этой должности.
С такими задачами только и интегрироваться, что в процессы производства продуктов, проводя тестирования приложений, иногда даже устраивая полноценный код‑ревью, а иногда даже — обучая разработчиков принципам безопасности в их сфере компетенций.
Редко, но не всегда чемпион может взаимодействовать с ИБ‑командой напрямую, дабы убедиться, что дополнительные риски, связанные с выпуском ПО, также учтены. Большую часть времени такой специалист может посвятить сертификации ПО и доверенной разработке, так как данная сфера пролегает как раз на стыке ИБ и ИТ.
Место в компании
Что ж, настало время поговорить о немного странных и удивляющих нас вещах поподробнее, кем же на самом деле является «и швец, и жнец» в иностранных компаниях? Тот самый на все руки мастер, участвующий во всей «внутрянке» и готовый быть на связи 24/7, нагруженный помимо своих обязанностей еще и дополнительными совершенно... бесплатно. Возможно, это какой‑то заговор или что‑то вроде того, но упоминание security champion идет вкупе с четким указанием того, что позиция это скорее волонтерская.
Компании считают, что человек таким образом дополнительно поощряется более широким спектром обязанностей и сферой влияния, а реализовать это все спокойно можно и в нерабочее время. Даже более того, упоминалось одно интересное исследование, в ходе которого выяснилось, что если человек совмещает свои обязанности с чемпионскими больше пяти лет, то регулярные переработки становятся частью его личности, он без них более не может представить хорошей и продуктивной работы, они дают энергию для выполнения прямых рабочих обязанностей.
Берите на заметку — если вам хочется, чтобы кто‑то бесплатно перерабатывал — просто добавьте ему на пять лет обязанностей консультирующего ИБ‑психолога, результат гарантирован.
В противовес этой позиции, у нас принято иначе: чемпион — это отдельная должность, прописанная в трудовом договоре и оговоренный четко в должностной инструкции узкий круг обязанностей.
Откуда берутся чемпионы
И как получить такого чемпиона у себя в компании? На самом деле, раньше было бегло об этом упомянуто, все так или иначе стараются вырастить чемпиона у себя внутри, только если у них это все, что угодно, кроме изначально безопасности плюс скиллы безопасности, у нас присутствует вариативность.
В нашем случае берется разработчик или безопасник, добавляются скиллы по безопасности и разработке. Вуаля — есть человек, существующий между двух миров, «свой среди чужих, чужой среди своих».
И там, и здесь становление чемпиона требует от человека сочетания определенных навыков и компетенций — он должен быть хорошо подкован технически, быть лидером и грамотным управленцем (иногда), и конечно же со взором горящим и преданностью ИБ. Не будет также и лишним навык решения проблем, конфликтных и нестандартных ситуаций.
Сертификаты для такой позиции будут не лишними, хоть они и необязательны. Тот же CISSP, например, упоминается довольно часто, но далеко не во всех материалах.
То же, без чего обойтись нельзя — это намерение быть внутри трендов, постоянно актуализировать свои знания, прокачивать навыки и вносить свой вклад в ИБ в целом.
