Привет, это Kotelov digital finance. Сегодня поговорим, как молодым айтишникам и джунам стать руководителем отдела информационной безопасности. Какие нужны навыки и как выстраивать рабочие процессы.
На подкасте мы обсуждали банковскую систему безопасности: как устроена защита, как контролируются люди, и как внутри нее становятся руководителями. Получился большой материал, из которого мы вытащили самое важное:
Полную версию выпуска смотреть тут.
Как в 30 лет стать начальником информационной безопасности в крупном банке?
У меня был план, я его придерживался
В 8 классе я уже знал, кем хочу быть. Тогда мой дядя рассказал и показал, что такое информационная безопасность — мне понравилось. Я принял решение, что это мое, и я хочу учиться. Поступил в институт, выпустился и нашел первую работу. Я строил свой путь шаг за шагом, и у меня было четкое понимание чего я хочу добиться в жизни.
В 26 я уже был замначальника службы информационной безопасности в региональном банке и исполняющим обязанности начальника службы. Так сложилось, что меня пригласили в Москву, в крупный интегратор топ-5 по России. Я принял это предложение, переехал в Москву и получил колоссальный опыт.
Когда работаешь в крупном интеграторе — вокруг много заказчиков, много интересных проектов. И после этого меня пригласили в банк топ-10. Я принял предложение, там поработал в двух направлениях:
администрирование средств защиты информации
SOC — secure operation center
Расследовал различные инциденты и неплохо себя проявил.
Оговоримся, что специфика работы Дмитрия не позволяет ему называть конкретные бренды. В процессе он будет либо обозначать общее название определенного программного обеспечения, которое он использует, либо общее название компании.
Если какая-то информация по итогам нашего подкаста утечет, это может быть использовано черными хакерами для получения доступа к финансовым средствам.
Можно ли добиться успехов в кибербезопасности без связей?
Вопрос: сначала я подумал, что дядя помог тебе попасть в сферу. Я так понимаю, это не так?
Нет, он просто рассказал про сферу. После института я собеседовался и попал на госслужбу за 13.000₽. Это была моя начальная зарплата. Работал в регионе и половину отдавал за съём комнаты — прошел огонь и медные трубы.
За восемь месяцев работы в этом месте я впитал максимум по инфобезу, успел разработать политику информационной безопасности по городу миллионнику и по региону, а потом уже уйти в холдинг работать. Своим положением я обязан тем навыкам и знаниям, которые изучал на протяжении своего профессионального пути.
Какими навыками должен обладать начальник службы информационной безопасности в банке?
Это совокупность нескольких факторов:
Эксперт в информационной безопасности
Нужно разбираться не в одном узком направлении, а в нескольких. И еще в нескольких разбираться на уровне мидла. А также навыками, опытом, компетенциями в области технической защиты информации, разработки методологии и оценки рисков.
Софт скиллы
Навык построения коммуникаций между отделами и умение договариваться. Часто встречаются крутые эксперты, но замкнутые — они вообще не хотят взаимодействовать с внешним окружающим миром, с другими отделами. Они так и останутся на своем месте — в руководителях такому человеку даже с невероятными хардами будет трудно.
Какие харды должны быть у руководителя в информационной безопасности?
Давайте посмотрим на моем примере. В школе изучал Basic, в институте С++, но особого внимания этому направлению я не уделял. Дело в том, что мой фокус был на том, чтобы развиваться в комплексе, как информационный безопасник, но углубляться в разработку было не нужно.
Если нужно написать какой-то скрипт, я разберусь довольно быстро в этой теме. Напишу те или иные скрипты и буду их использовать.
Была мысль изучить Python, так как в кибербезопасности это очень полезный навык для автоматизации различных процессов. В целом языки программирования очень полезны в пентесте, но именно в своей работе я редко применяю эти навыки.
Пентест — анализ системы на наличие уязвимостей
Лично мне не нужно уметь кодить, потому что для этого есть команда разработчиков: Back, Front и аналитика продукта.
Кстати, с командой мы постоянно участвовали в разных проектах по выходным и вечерам. Разрабатывали разный софт для инфобеза.
Какие основные киберугрозы существуют для банков?
Вопрос: Это Ddos-атаки или применение социальной инженерии? Попытки пробраться во внутреннюю инфраструктуру банка? Что актуально сегодня?
На моей практике на крупные банки применялись методы сетевых Ddos-атак, попытки целенаправленных атак. Эксплуатация уязвимостей и заражение с помощью подгрузки библиотек в Open Source решения на GitHub.
Небольшие организации не представляют большого интереса для киберпреступников, но и там переодически происходят различные нападения.
Главными и основными жертвами становится персонал от 45 лет, полностью безграмотный в плане информационной безопасности.
Во время работы мы пытаемся привить и нарастить компьютерную грамотность и информационную безопасность — привить основы. Это вырастает в проблему, потому что люди старше 45 лет уже не хотят разбираться в новшествах — они просто хотят брать обычную флешку и пользоваться любимыми браузерами, а не теми, что им устанавливают «злые» безопасники. Раньше же работало? Зачем теперь менять?
Поэтому под каждую организацию разрабатываются свои бизнес-процессы в области построения инфобеза. При этом нужно учитывать бизнес-процессы, которые текут в организации, выстраивать синергию между ними.
Поэтому мы глубоко погружаемся в процессы и создаем нечто удобное для всех: безопасников, пользователей и бизнеса.
Бизнес без айтишников существовать может, а вот айтишники без бизнеса, который приносит основную выручку — нет. Поэтому важно делать работу так, чтобы бизнес-процессы не прерывались и приносили больше дохода.
Обязательные практики для руководителей отдела безопасности
Вопрос: Есть какие-то устоявшиеся практики по кибербезопасности, которые ты применяешь во всех компаниях? Допустим всем ставите Касперского или Панду и удаляете Internet Explorer 6?
Первостепенно, когда ты приходишь в организацию работать, нужно вообще изучить поле работы и провести аудит: принять дела, пообщаться с коллегами, получить контакт предшественника, чтобы узнать нюансы.
Часто бывает, что далеко не все дела передают точь-в-точь и приходится в процессе искать подводные камни, которые уже знал прошлый специалист.
Когда ты приходишь в организацию важно: познакомиться, изучить поле работы и наметить себе план
Так будет проще создать план работы по внедрению средств защиты информации, план проведения обучений, инструктажа сотрудников, план защиты бюджета.
Защита бюджета — это очень интимная тема для очень многих организаций. Тут история, как с доктором — готовы тратить деньги, только когда болит, а до этого непонятно зачем столько денег.
Почему защита бюджета — это самое сложное в кибербезопасности?
Ты приходишь в бизнес и говоришь, что у нас дыра в этом направлении. Для ее закрытия нужно столько-то денег, будем использовать такие-то классы защиты и нам это позволит снизить риски бизнеса.
«Хорошо, а какие у нас риски? Какие штрафы, какие убытки предполагаются?»
Предоставляешь информацию и риски. Бизнес чешет голову и говорит: «Слушай мы тут пойдем на риск, ладно? Так что давай в другой раз, когда будут деньги».
На моей практике был интересный случай: работал в одной из компаний, представляю проект по покупке средств определенного класса DLP-системы. Согласовал это с IT департаментом, согласовал это с другим департаментом, получил поддержку руководящего состава организации. Уже дошло до защиты решения и бюджета перед директором компании.
Директор выслушал мои аргументы, ссылки на нормативно правовые акты и законы требования регуляторов. Посмотрел описание рисков, плюсов и бонус в целом для организации в случае возникновения инцидента.
Тогда происходит такой диалог:
— Дмитрий, это конечно хорошо, но сколько я вам плачу? — Вы мне платите столько-то! Там довольно небольшие деньги по региону. — Дмитрий, за эти деньги вы должны быть сами DLP-системой!
Все были в шоке: я был в шоке, подчиненные в шоке, директор департамента в шоке. В итоге, несмотря на полную аргументацию со стороны СИБа (Директор Систем Информационной Безопасности), поддержку заместителей и Дета — протолкнуть это решение не удалось. Эту организацию я потом покинул и как раз таки переехал в Москву.
Реалии отдела безопасности в корпорации: совет директоров не дает денег на информационную защиту, пока не взломают. А когда данные утекут — все претензии будут к тебе, потому что «не предпринял», «не сделал вовремя».
Подборка лучшей литературы по кибербезопасности от редакции KOTELOV
The Myths of Security: What the Computer Security Industry Doesn't Want You to Know by John Viega
A Vulnerable System: The History of Information Security in the Computer Age
Мир Digital финансов
Если вам интересна финансовая разработка, внутрянка финтех-танков и особые гости, которые редко выходят из закулисья — подписывайтесь на наш телеграм-канал Kotelov digital finance.
В канале мы постоянно анонсим новые подкасты с крутыми гостями, статьи и другие новости из мира финансовой разработки. А еще Валера KOTELOV рассказывает про особенности финтех рынка с точки зрения диджитальщика.
Комментарии (11)
Vadziku
24.04.2024 08:26+1Общее впечатление от интервью - масса пальцерастопыренности и минимум квалификации в инфобезопасности.
KOTELOV Автор
24.04.2024 08:26тут речь о том, как Дмитрий стал руководителем, история входа в профессию) Вы ожидали, что в статье будет перечень тем, которые надо изучить, чтобы стать руководителем в инфобезе? )
Vadziku
24.04.2024 08:26+2Я ничего не говорил про перечень тем.
Пальцерастопыренность от менеджера это обычно, они в большинстве такие :-)
Но в тех местах, где он говорил о безопасности, а не менеджменте явно видна его некомпетентность :-)
Политика безопасности это примитив, обычно составленный из общих фраз и не влияющий вообще ни на что.
Технической защиты информации это вообще забавно.
Есть техническая защита, которая занимается вопросами доступов в помещение, видео и охранная сигнализация, информации там маловато. А информационная ну никак не фокусируется на аппаратуре, скорее на скриптах, настройках, программных продуктах.
Языки программирования нужны не только в пентесте. Анализ информации, процедуры реагирования на инциденты, интерактивное графическое представление результатов - областей хватает.
Ну про то, как он быстро разберется в скриптовом языке и что-то там напишет - это типичная пальцерастопырка, без оснований, поскольку он ниже пишет, что программировать ему не надо и Python он так и не освоил.
Забавные нападки на "непродвинутых" людей старше 45 лет. Мы оказывается не в состоянии освоить новшества :-)
Ну и если он занимается инфобезом, то контора гарантированно сильно завязана на ИТ, поэтому высказывание "бизнес может обходится без ИТ" выглядит смешно. Безусловно, торговцу на базаре ИТ даром не сдалось, но у него и инфобеза нет :-)
DLP системы показали свою низкую значимость в плане нанесения ущерба компании за счет утечки. CIS контроли за 2 года получения обратной связи по эффективности различных контролей безопасности сместили их с 14 места по значимости на 20-е последнее. Рассказывать с гордостью о своей попытке внедрения очень неэффективной системы безопасности тоже весьма смешно.
Я достаточно подробно осветил свой тезис насчет "минимума квалификации" у интервьюируемого? :-)
Redduck119
24.04.2024 08:26Работал в регионе и половину отдавал за съём комнаты — прошел огонь и медные трубы.
Не понял эту фразу. Объясните где "МЕДНЫЕ ТРУБЫ"?KOTELOV Автор
24.04.2024 08:26это фигура речи ;)
Redduck119
24.04.2024 08:26А, фигура речи.
Почесал затылок, и всё равно не понял.
"МЕДНЫЕ ТРУБЫ" это испытание СЛАВОЙ.
Прожил в регионе снимая комнату за половину зарплаты - тебе почет и слава?
Или тут что то другое, чего я не понял.
KOTELOV Автор
24.04.2024 08:26а если сказать: огонь и воду, будет корректно?) мы подредачим) но поскольку этот текст написан как цитирование разговорного жанра, возможно затисались смысловые ошибки. Спасибо, что подсветил )
Grigory_Otrepyev
Для лиги лени: подписывайтесь на наш телеграм-канал
KOTELOV Автор
подписался, дорогой?)