Как стать автором
Обновить
130.14
Слёрм
Учебный центр для тех, кто работает в IT

Чемпион безопасности: новая роль в команде на стыке ИТ и ИБ, от которой выиграют все

Время на прочтение6 мин
Количество просмотров3.2K

Поговорили с руководителем архитектуры ИБ в МТС, создателем телеграм-канала Пакет Безопасности и автором курса Основы информационной безопасности Романом Паниным о роли Security Champion-а — Чемпиона безопасности. Как раз сейчас Роман внедряет Чемпионов в своей компании, поэтому с энтузиазмом поделился своим видением.

Сегодня мы заострим свое внимание на специализации в кибербезопасности, которая помогает правильно масштабировать безопасные процессы в компаниях, продуктах и командах, — Security Champion (Чемпион безопасности).

Эта роль постепенно начинает набирать обороты в больших энтерпрайзах (MAANG, MULA и прочий BigTech), но даже там уровень зрелости подобной культуры достаточно сильно разнится, как и ее трактовка.

В нашей стране ситуация не лучше, так как некоторые российские компании пытаются выстраивать практики Чемпионов безопасности, подглядывая за примером западных коллег. В результате мы имеем низкий уровень распространения данной культуры в РФ-компаниях. Там же, где эти практики внедрены, сложно сказать, насколько качественно и правильно все сделано.

На данный момент единой парадигмы с одним рабочим альманахом по внедрению инициативы Security Champion-ов не существует. Да, об этом пишут небезызвестные OWASP, многие CISO крупных компаний в своих личных блогах, о Чемпионах иногда упоминают на профильных конференциях и митапах. Однако первоисточника или выверенного манифеста нет.

Кто такой Чемпион безопасности?

Security Champion контролирует ключевые процессы и состояние ИБ именно в своей команде и продукте. Такой подход помогает масштабировать практики кибербезопасности в быстрорастущих или больших компаниях без необходимости бесконечно раздувать штат безопасников.

Чемпион, помимо своих прямых обязанностей по должности (разработчик, тестировщик, аналитик и т. д.), несет ответственность за состояние продукта и команды с точки зрения кибербезопасности. Если точнее:

  • соответствие продукта/системы требованиям, предъявленным со стороны юнита ИБ;

  • своевременное выполнение задач технического долга по ИБ;

  • регулярное взаимодействие с сотрудниками из отдела безопасности;

  • регулярный чекап продукта/системы (проверка уязвимостей ИБ, обнаруженных соответствующими сканерами и анализаторами);

  • координация своей команды в части вопросов по кибербезопасности;

  • оповещение сотрудников-безопасников о появившихся инцидентах.

Разберем на примере, как может выглядеть Чемпион в рамках обычной продуктовой команды.

Для этого представим стандартную команду разработки мобильного приложения. В команде есть бизнес-аналитик (общается с бизнесом и формулирует требования к функциональности), разработчик (создает то самое приложение в соответствии с требованиями), тестировщик/QA (отвечает за качество финального продукта и проверяет выполнение всех требований) и проектный менеджер (следит за тем, чтобы все работали слаженно, а сроки не нарушались).

Тут нет кибербезопасников; они часто сидят в другом отделе, чтобы не допустить конфликта интересов. Именно поэтому в команде нужен Security Champion, который будет коммуницировать с юнитом ИБ, отвечать за выполнение поступивших от него задач и доносить до своей команды важные вещи, связанные с безопасностью.

Во избежание лишнего дискомфорта формат взаимодействия Чемпиона с юнитом ИБ должен быть четко оговорен. Обычно это регулярные встречи (в составе Чемпиона, Офицера безопасности и СТО продукта) для обсуждения накопившихся вопросов с обеих сторон и мониторинга текущего уровня зрелости ИБ.

Чемпион может в любое время обращаться по вопросам ИБ к своему Офицеру безопасности (обычно такой человек закреплен за продуктом). Аналогичное правило должно работать и в обратную сторону, так как в случае возникновения критической уязвимости ее нужно закрыть в короткие сроки — и не без помощи Чемпиона.

Конечно, в случае острой необходимости кибербезопасники могут собирать встречи со всей командой, но обычно это не так эффективно.

В идеальном мире свой Security Champion должен быть у каждой продуктовой команды разработки. Продуктом может быть что угодно: мобильное приложение, сервис для партнеров, внутренняя CRM — не важно. Все вышеописанные обязанности занимают у члена команды разработки в разы меньше времени, чем у безопасника. Ведь Чемпион живет внутри команды и продукта, участвует в планировании бэклога, знает о будущих фичах и проблемных местах, понимает бизнес-логику и т. д.

Бывают случаи, когда культура Чемпиона безопасности начинает выстраиваться органично и без наличия юнита ИБ. Чаще всего такая практика бывает в стартапах. Чемпиону в этом случае придется самому постигать кибербез и преодолевать встающие перед ним барьеры. Это сложно, но возможно. Такой Чемпион обычно становится CISO или Security Business Partner-ом.

Преимущества Чемпиона

Сам Чемпион получает:

  1. Повышение заработной платы за взятие на себя дополнительной нагрузки/ответственности

  2. Менторинг со стороны сотрудников юнита ИБ

  3. Повышение своих компетенций в вопросах кибербезопасности (освоение технологий, инструментов, практик)

  4. Повышение собственной стоимости на рынке труда, что следует из предыдущего пункта.

Команда получает:

  1. Упрощение и ускорение взаимодействий с отделом безопасности

  2. Компетенции ИБ непосредственно в своей команде/продукте

  3. Экономию времени из-за отсутствия коллективных созвонов с Офицерами безопасности (Чемпион берет общение с безопасниками на себя).

Юнит ИБ получает:

  1. Экономию человеческих ресурсов из-за перераспределения ответственности и задач между Офицером безопасности и Чемпионом.

  2. Экономию времени на итеративное изучение бизнес-специфики продукта.

Как можно увидеть, все в выигрыше. Для компании в целом наличие культуры Чемпионов безопасности означает достаточно зрелый уровень развития ИБ, а также может избавить компанию от излишних трат на расширение штата безопасников (поверьте, стоимость работы одного кибербеза будет в разы выше, чем та самая прибавка к зарплате Чемпиона).

Чемпион минимизирует рассинхрон между юнитами ИТ и ИБ, из-за которого зачастую возникают конфликты, и замедляется процесс разработки.

Проблемы внедрения роли Чемпиона

Может казаться, что внедрение Чемпиона будет избыточным, ведь в компании и так есть безопасники, которые должны заниматься ИБ. Это так, но есть несколько нюансов.

Нюанс первый. Компании, штат, продукты и их количество часто растут настолько стремительно, что контролировать все это хозяйство становится все сложнее. В этом случае перед руководством встает выбор: синхронно расширять штат кибербезопасников или начать применять гибкие практики для более эффективного масштабирования процессов ИБ (внедрение Чемпиона и Security Business Partner, применение автоматизированных инструментов безопасности).

Нюанс второй. Продуктовая разработка и безопасность зачастую говорят на разных языках: первых интересует быстрая выкатка новых фич в продакшн, вторых — безопасность всего производства ПО, в том числе и новых фич. В идеальном мире все работают как одна команда, но реальность полна разочарований такова, что юниты ИТ и ИБ работают в рассинхроне и замедляют друг друга. В такой ситуации бизнес только и успевает мирить этих ребят, чтобы наконец-то начать зарабатывать деньги.

Все эти проблемы может решить правильное внедрение Security Champion-а. Чемпион безопасности выступает в роли API, через которое и происходит взаимодействие двух юнитов. Это одновременно уменьшает Time to Market и снижает вероятность конфликта интересов.

Только представьте: в каждой команде появляется свой мини-безопасник, благодаря которому один Офицер безопасности может контролировать уже не 5 продуктов/систем, а, например, 15, так как часть его нагрузки делегирована Чемпиону.

Самому кибербезопаснику больше не придется из раза в раз садиться со всей командой за один стол и пытаться понять: что в продукте уже сделано, что с уровнем зрелости ИБ, какие подводные камни, нюансы бизнеса и т. д.

Будет ли скучать юнит ИБ после внедрения Чемпионов? Можно абсолютно точно сказать: нет. Во-первых, безопасники смогут взять на себя больше продуктовых команд и систем. Во-вторых, у отдела кибербезопасности появится время на улучшение существующих процессов ИБ, на внедрение новых полезных практик. Сложно найти компании, где кибербезопасникам на все хватает времени; они работают в постоянной нагрузке, потому что бизнес довольно часто непропорционально закладывает финансирование на развитие юнитов ИТ и ИБ.

Практическая польза от Чемпиона

Сейчас Роман внедряет у себя в компании культуру Security Champion-ов. Основываясь на прошлом опыте внедрения, он ожидает разгрузки специалистов по ИБ минимум на 30% от текущего состояния, а также заметного ускорения различных процедур согласования с юнитом ИБ.

Регулярные встречи Чемпиона с Офицером позволят всем причастным быть в курсе последних событий и эффективно держать руку на пульсе. Вдобавок это будет экономить время всей команды продуктовой разработки, так как им не придется ходить митинги расширенным составом.

Заключение

Тяжело ли нести бремя Security Champion-а? Скорее нет, чем да. В особенности, если сам Чемпион правильно замотивирован и понимает ценность своей роли для команды и продукта. А если он при этом еще и удовольствие получает, то тут и так все ясно.

Иметь в наборе специфичные навыки для того, чтобы стать Чемпионом, не нужно. Будет неплохо, если у человека есть бэкграунд в кибербезе, но это совсем не обязательно. Главное — желание и мотивация, а всем остальным поделятся коллеги из юнита ИБ. Они покажут, какие процессы и как внедрять, расскажут об инструментах безопасной разработки ПО, а также дадут базу кибербезопасности в понятном виде.

У Романа за плечами — 9+ лет опыта в кибербезе и ИТ. Внедряя роль Security Champion-а в МТС, он точно уверен в положительном результате: ускорении разработки, усилении эффективности взаимодействия между командами, разгрузке специалистов и сокращении расходов. Если и вы хотите увеличить эффективность работы, повысить зрелость культуры ИБ и прокачать цифровую гигиену в своей организации — предлагаем ознакомиться с курсом Основы информационной безопасности.

Мы добавили к классическому формату видеокурса AMA-сессию со спикером, которая пройдет 20 апреля: https://slurm.club/4021lcq

Теги:
Хабы:
Всего голосов 12: ↑9 и ↓3+7
Комментарии1

Публикации

Информация

Сайт
slurm.io
Дата регистрации
Дата основания
Численность
51–100 человек
Местоположение
Россия
Представитель
Антон Скобин

Истории