Информационная безопасность в 2023 году: кого нанимать в команду

Без них — тяжко. Какие функциональные роли включать в состав ИБ-команды в 2023 году

Законодательные новации в ИБ, которыми оказались богаты несколько минувших лет, усиливают антагонизм между отделами ИТ и ИБ. На нехватку кадров в отрасли информационных технологий в целом (с высокой трибуны ее оценили в 0.5-1 млн. специалистов) накладывается расширение перечня функций, которые должны быть в корпоративной ИБ по умолчанию. Гендиректор ITGLOBAL.COM Security Александр Зубриков анализирует, без каких функциональных ролей ИБ-департаментам будет проблематично существовать в 2023 году.

Кадры и роли

Общероссийская тенденция нехватки айтишников не обошла стороной направление кибербезопасности. Сфера, в которой и ранее один специалист вынужден был совмещать несколько ролей, в начале 2023 года ощущает дефицит экспертов особенно остро.

Во-первых, кратно возросшая активность хакерских группировок существенно изменила модель угроз. Из-за нее, в свою очередь, сильно расширился арсенал средств защиты информации.

Во-вторых, минимальный набор СЗИ больше не ограничивается антивирусом, антиспамом и файрволлом. К нему практически обязательно добавляются SIEM, WAF, VM-сканеры, IPS/IDS, DLP и другие решения. “Настроил и забыл” — точно не про них: все они требуют вдумчивого подхода к применению, иначе не имеют смысла.

И в-третьих, инициативы регуляторов в виде приказов, ГОСТов и внесений изменений в законы существенно расширяют перечень корпоративных ИБ-функций, которые должны присутствовать в организациях по умолчанию.

Эти три причины формируют для CISO вполне конкретный вызов, связанный с увеличением количества ролей, которыми ему так или иначе предстоит управлять. Оставим за скобками способы делегирования этих ролей. В конце концов, нанять под каждую роль нового специалиста или распределить роли между существующими — это чисто утилитарная задача директора по информационной безопасности. Намного интереснее исследовать, без каких ролей работа ИБ-департамента в 2023 году вряд ли будет идти гладко.

Распорядитель доступа и администратор удостоверяющего центра

Специалист, которому назначена эта функциональная роль, раздает цифровые сертификаты, генерирует криптоключи и согласует заявки на доступ к конкретным информационным системам и сегментам инфраструктуры. То есть фактически он управляет составом и структурой доверенной среды, из которой можно получить доступ к самым важным информационным ресурсам компании — будь то база заказчиков, финансовая отчетность или данные, содержащие интеллектуальную собственность. Бизнес-критичность роли накладывается на достаточно большой поток сопутствующей рутины. Заявки на доступ, генерацию криптоключей и сертификатов приходят регулярно, поэтому выдавать их в фоновом режиме малореально. Таким образом, роль почти наверняка потребует конкретного специалиста. Это минус.

Плюс в том, что эта роль поддается как минимум двум вариантам оптимизации. Первый — часть задач этой роли можно отдать в ИТ генерацию ключей и сертификатов, но при этом оставить на стороне ИБ вопрос их выдачи. Недостаток первого варианта  — ИТ-департаменту будет очевидна ваша попытка переложить на него работу руками. Вот почему договориться о такой схеме не всегда получится по политическим мотивам: “тёрки” между ИТ и ИБ есть более чем в половине компаний.

Зато второй вариант — передать генерацию внешнему провайдеру и оставить согласование сертификатов, криптоключей и заявок внутри ИБ — подобные шероховатости исключает.

Офицер безопасности

Роль подразумевает функцию аналитика ИБ-событий, который помимо оценки состояния защищенности определяет ложные срабатывания и обеспечивает хотя бы базовое (на уровне инструкций) реагирование на инциденты. Выполнять эту функцию мимоходом не выйдет. Даже нанятый под эту роль отдельный специалист не сможет работать в режиме 24/7. Вместе с тем, даже часа промедления (не говоря про ночь или выходные дни) со стороны офицера безопасности может быть достаточно, чтобы злоумышленники реализовали недопустимое событие и уничтожили цифровые следы, которые позволяют понять вектор атаки и логику ее развития. Смысл — в том, чтобы атаковать организацию аналогичным образом в будущем.

Хорошая новость в том, что роль офицера безопасности замещается готовым сервисом на рынке. Фактически это услуга SOC, цены на которую для небольших компаний начинаются с отметки примерно $1 тыс. в месяц. Просто продумайте KPI для “приходящего” офицера безопасности, согласуйте их с поставщикам сервиса и управляйте функцией так же, как вы бы управляли конкретным специалистом.

Администратор СЗИ

Эта роль нереализуема без набора компетенций по настройке средств защиты информации. Сотрудник, которому она назначена, устанавливает на объекты ИТ-инфраструктуры агенты, формулирует правила корреляции, конфигурирует права пользователей согласно access control list.

У понятности функции есть обратная сторона: из-за усложнения СЗИ число требуемых умений растет как снежный ком. Даже одного специалиста, который грамотно настроит сразу несколько СЗИ, найти непросто. Нанимать двоих или троих экспертов для части организаций уже расточительно. Именно из-за тенденции к расширению арсенала СЗИ и к усложнению функциональности каждого средства защиты информации роль “админа” хорошо подходит для передачи на аутсорс. С точки зрения заказчика такой маневр несет ряд бонусов — от очевидной грамотной настройки СЗИ до экономии на лицензиях и конкретных решениях. Аутсорсер обычно указывает на ситуации, когда можно не платить лишнего только потому, что конкретная функциональность в бизнес-обиходе клиента просто не нужна. Заказчику только остается принять решение.

Специалист по повышению осведомленности

Факт: за 85% успешных атак хакеры должны благодарить человеческий фактор. Вероятность инцидентов, когда сотрудник “не услышал”, “не заметил”, “не знал” должна минимизировать роль специалиста по повышению осведомленности.

Среди всех ИБ-профессий эта роль, пожалуй, требует максимального количества софт-скиллз, поскольку подразумевает работу с людьми. Эффективность сотрудника в этой роли напрямую зависит от его способности объяснить правила кибербеза ярко и доходчиво, составить незанудный учебный курс, провести проверку знаний так, чтобы каждый работник предприятия вынес из обучения ценную информацию о правилах “цифровой гигиены” в том числе для применения в обычной жизни.

Подойдут ли на эту роль имеющиеся сотрудники ИБ-отдела? Хороший вопрос. Но и им не нужно будет задаваться, если делегировать роль внешнему исполнителю.

Red team

Так в ИБ-обиходе принято называть специалистов, которые устраивают “краш-тесты” корпоративным информационным системам и указывают кибербезопасникам на слабые места периметра. С нашей точки зрения это абсолютно точно не та роль, которую имеет смысл упаковывать в прокрустово ложе существующего штатного расписания. Нетривиальные компетенции проверки ИБ-рубежей на прочность стоят дорого. Вот почему делегировать эту роль специалиста в штате — привилегия очень немногих организаций, которые не желают выносить аспекты слабости своей ИБ вовне и готовы за это платить.

Если честно, мы не представляем себе “белого хакера”, который добровольно променяет свободу на сидение перед компьютером с девяти до пяти. Таких ребят разбаловали провайдеры киберполигонов. И они же приучают рынок к мысли, что свободолюбивые white hats лучше работают независимо, глядя на корпоративный ИБ-ландшафт через прицел своего инструментария для взлома.

Способ примирения

Как видим, роли, которые целесообразно добавить в структуру ИБ-отдела в 2023 году, почти всегда требуют конкретных носителей для эффективной реализации. То есть, они подразумевают отдельных специалистов с характерным набором компетенций. Это возвращает нас к проблематике кадрового дефицита кибербезе как частного случая от ситуации, характерной для ИТ-рынка в целом. Более того, есть риск обострения внутренней конкуренции за наиболее толковых экспертов, когда ИБ-департаменты начнут переманивать их из ИТ-подразделений. Так что усиление кадрового дисбаланса и углубление идеологического антагонизма “айтишников” и “ибэшников” практически неизбежны.

Что с этим делать? “В моменте” с кадровым голодом на рынке ИБ и с очевидным трендом на усиление регуляторного давления никаких альтернатив аутсорсингу не просматривается. Делегирование ролей внешним провайдерам — пока единственный вариант прервать порочную практику “вымывания” кадров из ИТ в пользу ИБ через административный ресурс под предлогом “не дадите людей — нарвемся на штрафы”.

Кроме всего прочего, у аутсорсинга есть дополнительные, чисто экономические плюсы, которые позволят отстоять бизнес-смысл сотрудничества с внешним провайдером ИБ. В среднесрочной перспективе привлечение экспертизы извне дешевле, чем затратные сражения за толковых специалистов на свободном рынке. Это важно не менее, чем мирное сосуществование подразделений ИТ и ИБ.

Alt text

Ваш провайдер знает о вас больше, чем ваша девушка?

Присоединяйтесь и узнайте, как это остановить!

ITGLOBAL

ITGLOBAL.COM Security про информационную безопасность в различных сферах и отраслях. Мы про Реальную ИБ