Недавно встретил среди лайков-перелайков такую фразу:
"If you are the smartest person in the room, you are in the wrong room"
Естественно, в силу природного чувства юмора, я не преминул прокомментировать это утверждение следующим из него выводом: "So, the best room is the room where you are the most stupid person".
Но, если всерьёз задуматься о подобной шкале "Smart - Stupid" в ИБ, пытаясь вывести точные определения, то получим не двух- или трехмерный график, а нечто типа показанного в "Интерстелларе".
Вопреки прозвучавшему как-то утверждению, что ИБ - узкая сфера, попробую попытаться обобщить направления, с которыми работает специалист по ИБ.
Технологии. С развитием технологий и их проникновением в массы растёт и количество угроз, связанных с их использованием. Соответственно, развиваются методы взлома и защиты.
Информация. Не зря ведь информационная безопасность. Анализ информации, классификация, обработка, установка определённых ограничений - и это далеко не полный список.
Люди. Как источником, так и потребителем любой информации является человек. Нельзя защитить человека от мошенничества/глупостей/нарушений, не доводя до его ведома о том, что можно, а что нельзя.
И ведь, что интересно, сотрудники разного склада ума и глубины познаний могут с разной степенью эффективности работать с разными направлениями. Какими качествами должны обладать специалисты по ИБ?
Знания и навыки. Тяжело защитить систему или ресурс, не зная тонкостей его работы. Но ведь у техники и информации тоже есть свои ответвления по наиболее популярным направлениям:
- анализ и обработка информации;
- социальная инженерия;
- конкурентная разведка;
- разработка и анализ нормативной документации;
- организация отчетности;
- радиоэлектронная безопасность (ПЭМИН);
- криптография;
- беспроводные коммуникации (WiFi);
- мобильная связь (2G/3G/4G) и околомобильные сервисы;
- IP/MPLS-сеть;
- Windows и прочие MS технологии;
- Unix и околоюниксовые сервисы;
- промышленные системы и прочая SCADA;
- банковские продукты и финансовые сервисы;
- вредоносное ПО;
- web-приложения;
- системы управления;
- системы управления доступом;
- архитектура;
- много чего, что я сходу и не вспомню.
Лично я не знаю ни одного человека, который бы знал/умел близко к совершенству все перечисленные вещи. С другой стороны, одному человеку все это и не надо. Мало того, в преобладающем большинстве организаций даже целому подразделению не обязательно знать/уметь все вышеперечисленное.
Личные качества. Какими бы ни были глубокими знания и совершенными навыки, чрезмерная степень пофигизма/лени/самолюбования может свести все на нет. Что толку, если специалист знает, что и как нужно делать, но не делает?
Попробуем выделить так, как любят писать в резюме и описаниях вакансий:
- исполнительность;
- пунктуальность;
- ответственность;
- стрессоустойчивость;
- умение работать в резко меняющихся условиях;
- инициативность;
- нацеленность на результат;
- коммуникабельность;
- умение убеждать;
- умение работать самостоятельно;
- ... в команде;
- способность обучать;
- ... обучаться;
- аналитический подход;
- стратегическое мышление;
- научный подход;
- способность глубокого изучения;
- лидерские качества;
- стремление к профессиональному росту;
- способность управлять людьми;
- ... задачами/проектами/программами;
- ... временем;
- и многое другое.
Чтобы все эти качества собрались в одном человеке - тоже не видел пока. Да и не обязательно это. Конечно, такие вещи, как стремление к профессиональному росту, исполнительность и ответственность нужны всем, но один и тот же человек может проявить их в разной степени применимо к разным задачам. Менеджер проектов может вполне обойтись без научного подхода или стратегического мышления, и даже, как ни странно, лидерских качеств, но без умения распределить задачи и контролировать их исполнение его спасет только удача. Эксперт по расследованию киберпреступлений, неспособный научить - не беда, но без умения работать в резко меняющихся условиях ему будет очень тяжело.
Если вернуться к вопросу: "а кто же самый умный в комнате?", то, казалось бы, делаем табличку, в которой по вертикали - знания и навыки, по горизонтали - личные качества. Ставим плюсики-минусики. У кого больше плюсиков - тот и самый-самый. Но есть нюанс...
Личные и профессиональные качества специалиста поИБэ должны иметь применение в бизнесе. Какой бы ни был крутой специалист по безопасности систем ДБО, его ценность на ГЭС будет намного ниже, чем специалиста по безопасности SCADA. Да и в одной комнате одной компании с задачами исследовать безопасность реализации веб-приложения и расследовать аварию на сети со стороны ИБ разные люди могут справиться по-разному, а неплохой архитектор систем ИБ может оказаться плохим начальником. Учитывая количество вариантов, продолжать примеры можно долго.
В общем, предела совершенству нет, а в действительности, чем больше узнаешь - тем больше понимаешь, что тебе еще учиться и учиться. Как сказал один из мультипликационных персонажей, тайна секретного ингредиента в том, что секретного ингредиента не существует. Думаю, где-то так и стоит отвечать, если зададут вопрос: "Кто самый умный в вашей комнате?"
