Предисловие
Я работаю разработчиком в одной Бо-о-о-ольшой компании. Проникновение во внутренний контур – лакомый кусочек для мошенников. В компании, естественно, существует служба безопасности. Но, то, как работает служба безопасности и эффективность её работы у меня вызывает сомнения.
В этой статье я хочу поделиться своими размышлениями и призвать к диалогу на тему того, как должна работать современная служба безопасности и чего от нее ждут.
далее СБ – служба безопасности
Отказ от ответсвенности
Я не хочу обидеть сотрудников СБ, и у меня нет к ним личной неприязни, мести и умысла очернить их. Более того, я уважаю их работу, считаю её важной и очень ответственной. Я выражаю свое мнение, которое может быть ошибочным и субъективным
Они и Мы
К “безопасникам” служащие компании обычно относятся как к крайне назойливому и мешающему нормальной работе отделу. Отношение распределяется от пофигистического до крайне негативного. Даже если сотрудник понимает важность СБ, то СБ все равно будет стоять для него где-то там и “мешать” двигаться вперед. Т.е. идет постоянное разделение на “Они и Мы”.
1+1=негатив
Давайте попробуем разобраться, почему такое отношение к СБ складывается?
Одын
Начнем с самого начала. Работать с СБ приходится ещё до того, как ты первый раз увидишь хоть одного сотрудника СБ. Для того, чтобы приняли на работу, пересылают анкету и говорят, что нужно пройти СБ. Вопросы в анкете составлены так, что приходится разгадывать их как кроссворд, пытаясь понять, что они означают. При этом уже начинает формироваться негатив, ведь если не так заполнишь, то придется переделывать анкету.
Было бы логичнее попросить человека подготовить необходимые документы для заполнения анкеты и заполнить её либо с сотрудником СБ, либо с HR, который предварительно будет обучен, как правильно заполнять анкету.
Ещё одын
После того, как заполнил анкету, нужно пройти само собеседование. Большинство сотрудников СБ, если не все, набираются из МВД, ФСБ, военных и т.д. И видимо у них есть некоторый кодекс поведения, который они свято блюдут. Хотя сам я этот кодекс не видел, но наблюдая за ними, я сделал реверс инженеринг и вот какие пункты из кодекса мне получилось восстановить:
- все кругом виноваты, даже если кто-то не виноват.
- кто виноват, тот твой враг
- сотрудник СБ должен иметь каменную морду, чем каменнее морда, тем лучше
- когда с кем-то говоришь, то нужно чтобы собеседник понимал, что ты очень важный, занятой и его счастье, что ты соизволил с ним поговорить
- с врагами вообще лучше не говорить
- унизь собеседника как можно больше, тогда он будет тебя бояться
- обязательно показывай свою власть, даже если в этом нет никакой необходимости
- речь строй как можно проще, не использую все богатство языка. 5 слов на каждое предложение это максимум, который может себе позволить такой занятой и важный человек как ты.
- на короткий вопрос должен быть короткий ответ. Если собеседник на твой вопрос пытается ответить развернуто, обязательно его перебивай. Это тайная уловка шпионов. Во-первых, он тратит твое время, во-вторых, он хочет тебя запутать, в-третьих, видимо, он не знает ответа, раз не может ответить двумя словами.
Соответсвенно этому кодексу, даже если приходишь к назначенному времени, то будешь ждать. Тебя встретят так, что будешь рад поскорее отсюда уйти. Обязательно напомнят, что тут все серьезно, а не в игрушки играют. Будут задавать такие вопросы, которые совсем не обязательно задавать, но если на них не ответишь, то явно что-то скрываешь. Исповедь перед священником – это ничто по сравнению с собеседованием с СБ.
Да, несомненно, задача сотрудника СБ при собеседовании крайне сложна и важна, он должен составить четкое представление и выдать вердикт, надежный человек или нет. Ведь если он даст согласие на прием на работу афериста/мошенника, то спрашивать будут в первую очередь с него, иначе за что он зарплату получает?
Конечно у меня нет каких-то глубоких знаний в психологии, но:
- разве человек может быть искренен и доверчив в негативной обстановке?
- разве человек, которому дать возможность говорить, не расскажет больше, чем когда ему задают вопросы?
- вопросы можно задавать и по ходу рассказа собеседника.
Главный мой посыл в том, что собеседование должен проводить грамотный психолог, харизматичный, в непринужденной обстановке, как можно менее похожей на допрос.
Если психолог не является хорошим специалистом в области безопасности, то за беседой может наблюдать настоящий специалист и корректировать беседу через зеркало, через микрофон, через монитор … да как угодно.
Возможно, потенциальный сотрудник больше никогда не будет сталкиваться с СБ, кроме как на проходной, и это единственный шанс расположить его к себе.
Не знаю как в других компаниях, но в тех, в которых приходилось сталкиваться с СБ берет обязательный лаг, для того, чтобы принять решение. Об этом обычно, хотя думаю не всегда, предупреждают уже после того, как ты прошёл остальные несколько собеседований. И этот лаг устанавливается для всех одинаковый, видимо для того, чтобы опять дать тебе понять, насколько они заняты, а ты всего лишь один из многих.
Совсем одын
Ну, наконец, ты на работе и хочешь приступить к выполнению обязанностей и тут опаньки, все заблокировано, шаг вправо, шаг влево – расстрел. Перед тобой стоит очень дорогая печатная машинка, а не рабочий инструмент. Нужен доступ, пиши заявку и обоснуй необходимость. Хочешь подключится к Wi-Fi, пиши заявку и обоснуй необходимость.
В зависимости от компании оказывается, что ещё нужно провести кучу согласований для того, чтобы у тебя было настроено рабочее место.
Эта проблема относится скорее, не к СБ, а к организации процесса в самой компании, которая могла бы уже сделать все необходимые формы, заявки для организации рабочего места, до того, как человек придёт на работу.
И понеслась
А теперь оказывается, что для того, чтобы выполнять свои служебные обязанности, тебе приходится постоянно иметь дело с СБ. Разрабатываешь новый функционал – согласуй с СБ, пишешь тесты и нужно подключится к БД – согласуй с СБ, выкатываешь на пром –… ну вы поняли.
Конечно, придется сталкиваться с СБ или нет, зависит от обязанностей, и сотрудничество с СБ должно быть в некоторых случаях постоянным, но при этом процесс обычно никак не автоматизирован.
Например, когда бизнес разрабатывает новый фунционал, презентует его, то сотрудники СБ обязаны присутствовать на нем, вникать в суть и заранее помогать решать проблемы с безопасностью, а не быть тем, кто после того, как все разработано, рубить все на корню.
Если работа сотрудника подразумевает постоянную связь и контакт с СБ, так почему бы не сделать этот процесс таким, чтобы сами сотрудники СБ подключались к процессу по мере необходимости, а не команда бегала к ним, или по крайне мере автоматические уведомления, а не формирование очередных заявок. Т.е. выкатывается новый функционал и СБ получает об этом уведомление, без их одобрения выкатить нельзя, таким образом время на формирование заявок исчезнет.
Тут мой посыл такой, что сотрудник СБ должен быть частью команды, работать наравне со всеми, тогда это не будут “те, кто мешает работать”, а станут “те, кто помогает работать”. Люди наконец будут знать в лицо тех, кто отвечает за безопасность.
Все в сад
Подход СБ к безопасности очень прост: "Первоначально всё всем запретить", разрешать только после разбирательства.
Нет, безусловно, каждый подписывал бумагу о том, что ознакомился с правилами безопасности и готов нести ответственность в случае их нарушения. И правила то были написаны не мелким шрифтом в середине десятистраничного договора (хотя не всегда понятно), и когда подписывал, наверняка никто не торопил и не отвлекал. Но:
- что было прочитано как обязаловка или для сдачи теста, по психологии студента – сдал и забыл
- пытаешься быть правильным, но распечатать квитанцию об оплате ЖКХ, купленный билет, реферат и т.д. все таки нужно – тебя же за это не уволят, правда?
- а потом оказывается, что ты не один такой, другие ведь тоже так делают, а ты ведь не хуже? – Психология толпы
Естественно, такой подход крайне эффективен, когда существует тоталитарное государство и за “преступление” идёт суровое наказание, но в корпоративной среде оно не работает.
Есть компании, в которых приходя на работу, ты сдаешь все гаджеты и должен ходить с обычным телефоном. Но, если компания хочет, чтобы там работали молодые специалисты, придется очень сильно мотивировать их, чтобы уговорить их расстаться со своими гаджетами. Но, такое должно применяться только на крайне секретных военных объектах или на объектах, взлом которых представляет угрозу жизни человека, например на атомной электростанции. Да и то, такой подход больше работает на бумаге. Есть у меня один знакомый, который служил в армии на секретных объектах и все равно говорит, что там глаза на это закрывают. Вот вам пример Вирус Stuxnet
Думаю СБ должна действовать не запрещая всё, чтобы люди не думали о том, как обойти запреты для достижения желаемого комфорта в работе, а так, чтобы люди не задумывались о том, что им нужно что-то преодолевать и их могут за это наказать. Установить такие правила, которые устроят всех. Более подробно об этом я напишу ниже.
Сколько классов вы закончили?
Естественно виновата не только и не столько СБ, сколько сотрудники. Банальная неграмотность людей в области безопасности (как кибер, так и обычной) совершает большинство ошибок.
Многие даже не задумываются, что те гаджеты, которые они носят, это очень производительные компьютеры, за которые всего-то 15 лет назад люди могли бы получить состояние. Общая компьютеризация и повсеместная доступность вошла в нашу жизнь крайне быстрыми темпами. Уже выросло поколение людей, которые даже не задумываются о том, что когда-то такого не было.
Да что там говорить про гаджеты. Кругом появляются умные дома и интернет вещей, через которые можно совершать проникновение. Вот один из примеров: WannaCry через кофемашины.
Более того, поверьте мне, существуют люди, которые на полном серьезе считают, что хакеры – это выдумка и страшилка из телевизора.
Конечно, компании проводят тренинги, чтобы устранять информационную неграмотность среди сотрудников; и такая работа формально проводится, но, к сожалению, настолько формально, что по факту её нет. Даже в очень крупной компании, работающей с финансами, для которой информационная безопасность это дело высшего приоритета, дела очень плохи. По моему наблюдению, в маленьких компаниях к этому относятся более строго, порою перегибая палку.
Мне приходилось работать в одной компании, которая занимается производством детских игрушек и без прохождения полиграфа, в эту компанию не брали. Детских игрушек, Карл! Видимо руководство мерило всех по себе, боялись промышленного шпионажа, а о самой компании не без основания ходили слухи о том, откуда у них появляются те или иные новинки.
Вы думаете, что только домохозяйки, секретари и бухгалтера неграмотны в кибер безопасности? Увы, и среди программистов встречаются такие люди, которые совсем не думают об этом. Если бы это было не так, то и историй о взломе не появлялось бы так часто.
Иногда за безопасность приложения отвечает какой-то один отдел или команда, а другие программисты разрабатывают, полагаясь на то, что они защищены. Так сказать, находятся на другом слое приложения. В принципе такой подход в какой-то мере и может быть оправдан, если приложение у вас небольшое и риски взлома приемлемы. Но все равно лично я считаю, что сотрудник СБ должен как минимуму стоять ревьювером каждого релиза.
Но комплексно, я считаю, что должен быть совершенно иной подход. Каждый программист должен не только уметь хорошо разбираться и пройти тесты/курсы по безопасности и, как минимум, знать все самые популярные способы взлома, которые применяются на его языке программирования, но и сама компания должна проводить митапы и тренинги на регулярной основе и не допускать к разработке того, кто не обладает установленным минимумом.
И дело не только в сотрудниках, хакерам зачастую проще взломать систему партнеров интересующей их компании, которая к своей безопасности относится посредственно. ?Хакерская группировка Cobalt
Лох не мамонт, лох не вымрет
Согласно результатам исследований, самым популярным и успешным способом взлома по прежнему остается человек, а не система. Намного проще обмануть недоученного человека, чем взламывать систему, которую разрабатывали специалисты. Журнал Хакер
Огласите весь список, пожалуйста!
Итак, что же получается?
- СБ в компаниях стоит настолько "в стороне", что с ними хочется иметь как можно меньше дел, при этом даже если понимаешь всю необходимость, полезность и важность работы СБ сами сотрудники и процесс с ними строится так, что вызывает сплошной негатив.
- большинство людей обладает банальной безграмотностью в области безопасности
- процесс обучения безопасности построен настолько формально, что толку от него практически нет
Через сто метров поверните направо
Как-же правильно выстроить процесс корпоративной безопасности?
Во-первых
Нужно сделать ребрендеринг СБ так, чтобы они были частью компании, чтобы каждый мог подходить к человеку из СБ, сидящему где-то недалеко, и попросить его помочь разобраться с непонятным письмом или проконсультироваться по волнующим вопросам безопасности без необходимости писать заявки, и после общения с ними не чувствовать себя униженным.
Во-вторых
Нужно регулярное обучение безопасности внутри компании всех сотрудников, с учетом занимаемой должности и выполняемых обязанностей.
Естественно, что для программиста, который находится на пике цифровых технологий, нужно принципиально другой подход к обучению, чем для секретаря.
В-третьих
Обучение должно быть как можно менее формальным, обучение должно быть интересным, в интерактивной форме, чтобы получившими знаниями хотелось поделится с другими, а не выполнить и забыть.
В-четвертых
Нужно не запрещать, а находить способы, чтобы сотрудники добровольно участвовали в процессе формирования безопасности компании.
Так, например, компания может примитивно предлагать оплачивать антивирусное обеспечение на всех используемых внутри компании гаджетах и системах, на которых выполняется работа сотрудника. Если сотрудник подключается по VPN к сети, так нужно убедиться, что у него "чистое" рабочее место.
Если выход в интернет есть на рабочих станциях, так доступ должен быть открыт и прозрачен, но выполняться в защищенной среде. Так, внутри компании, в которой я работаю, есть такая вещь, как безопасный интернет, специально разработанный браузер, который запускается на удаленной машине и, если что-то пройдет не так, то это будет не на рабочей машине. Я считаю, что такой подход очень перспективный, но работать через такой браузер в текущей реализации крайне неудобно.
Заключение
В современном мире обеспечивать безопасность через запрещение, это крайне неэффективный способ.
Необходим совершенно другой подход, основанный на воспитании сотрудников и совместном взаимодействии каждого сотрудника с СБ
Так как самая большая уязвимость- это человеческая глупость, то только та компания, которая сможет разработать и внедрить систему устранения безграмотности, сможет добиться эффективного способа защиты.
При разработке уровня безопасности, нужно обязательно учитывать комфортные условия работы сотрудников. Если человеку нужен доступ к социальным сетям, то стоит думать не над тем, как запретить ему это делать, а над тем, как предоставить ему возможность безопасно использовать их. Проще обучить сотрудника, чем продолжать раздувать кадры СБ.
Я бы ещё поразмышлял на тему того, как можно организовывать безопасность, но только статья и так получилась слишком большой. Возможно, я продолжу в другой статье, если эта статья будет прочитана популярна.
Полезные ссылки на тему:
- Подкаст, который попался мне под руку в момент написания статьи и очень помог мне Силиконовые дали. Василий Дягилев (Check Point Security)
- WannaCry через кофемашины
- ?Хакерская группировка Cobalt
- Журнал Хакер
Комментарии (26)
ni-co
25.12.2017 11:32+1После этого здесь обязательно должна появиться статья о том, что политика безопасности, основанная на правиле «всем разрешить» стопроцентно приводит к катастрофе.
acmnu
25.12.2017 11:43Я думаю тут не проблема в самом "все запретить", а в том, что на то чтоб "разрешить" ты должне идти на поклон к прапорщику с кучей бумажек, а потом ждать недели. Вторая засада в том, что ты более квалифицирован, чем он. Очень тяжело объяснить прапору, что тебе нужна другая ОС на компьютере (он вообще не знает, что там может быть не Windows) или что не надо проверять Касперским трафик с maven-central из-за ложных страбатываний и т.д.
artglorin Автор
25.12.2017 11:55Несомненно появится. Хотя получается я так и не донёс мысль. Смысл не в том, чтобы разрешить, а в том, что нужен другой подход к запрещению/разрешению. Идущий от потребностей. В компании, в которой я работаю, есть такое приложение «Безопасный интернет». По сути это браузер открывающийся на удаленной виртуалке. Если что-то и будет заражено, то не на рабочей машине. Да он не идеален, не покрывает всех потребностей, зачастую просто не удобен, но сам ход мысли, по мне, – очень хороший. Вот я считаю, нужно двигаться в эту сторону.
ni-co
25.12.2017 12:28Вопрос серьезней для того, чтобы его замылить косяками бесопасников. У меня компьютер в 91 году закрывался сзади специальной шторой, чтобы нельзя было снять изображение с дисплее. Хотя это был четвертый этаж и не было никаких зданий в километре рядом. :))
Картинка к статье кстати очень удачная(себе скачал:)). Мое личное мнение, что все-таки правильней или не запариваться безопасностью или уже начинать с опечатывания компов, портов и т.п.
lostpassword
25.12.2017 12:06Для начала неплохо бы осознать, что вы в статье описываете сразу два направления — экономическую безопасность и информационную. В крупных компаниях приблизительно в 100% случаев это разные подразделения с принципиально разными задачами и персоналом.
Большинство сотрудников СБ, если не все, набираются из МВД, ФСБ, военных и т.д.
Насколько достоверна эта статистика? Сколько в вашей текущей организации сотрудников СБ (ну или ЭБ) и сколько из них — бывшие сотрудники МВД, ФСБ, военные?
Я не хочу обидеть сотрудников СБ, и у меня нет к ним личной неприязни, мести и умысла очернить их
После прочтения составленного вами «кодекса» как-то не очень верится. Возьмите десять своих недостатков или ошибок, увеличьте в десять раз, напишите такой же «кодекс» про себя и проверьте, обидит он вас или нет.
Статья в целом — очередной плач Ярославны, коих здесь было уже.artglorin Автор
25.12.2017 12:44Спасибо за комментарий.
Для начала неплохо бы осознать, что вы в статье описываете сразу два направления
Да, согласен.
- Насколько достоверна эта статистика?
- Сколько в вашей текущей организации сотрудников СБ (ну или ЭБ) и сколько из них — бывшие сотрудники МВД, ФСБ, военные?
Исследования не проводил, мне такую информацию не представляли и получить её не получится, но с теми с кем общался были как раз оттуда
После прочтения составленного вами «кодекса» как-то не очень верится.
Да согласен, тут можно обидится. Но не это цель статьи
Статья в целом — очередной плач Ярославны
Я как-то не одной жалобы не написал
коих здесь было уже
Да тема пересекается, но статьи о разном
lostpassword
25.12.2017 15:24Исследования не проводил
Но выводы делаете, причём за всю отрасль.
Каждый программист должен не только уметь хорошо разбираться и пройти тесты/курсы по безопасности и, как минимум, знать все самые популярные способы взлома, которые применяются на его языке программирования
Какие самые популярные способы взлома применяются на вашем языке программирования?
Ну и по поводу ситуации в целом:
1. СБ — это просто структурное подразделение компании. Где-то оно обладает особенным авторитетом, где-то об неё IT с кадрами ноги вытирают — это зависит от конкретной организации. Но в любом случае СБ действует в рамках полномочий, которые ей выдало руководство этой организации.
2. Цели и методы работы СБ определяются руководством. Обоснуйте бизнесу, почему вы такой классный и как много для компании значите — и для вас сделают исключение, СБ будет тихо курить в уголке, а вы — наслаждаться жизнью. Это касается как отдельных личностей, так и отделов / департаментов / направлений деятельности внутри организации.
Не получается? Ну, значит, бизнес не считает, что риски, связанные с выдачей вам таких прав, целесообразны. Что, в свою очередь, означает, что либо не такой уж вы и классный, либо вы / ваш начальник / ЗГД по вашему направлению не способны донести свою точку зрения до руководства. В обоих случаях виновата не СБ, а либо раздутое самомнение, либо отсутствие необходимых лидерских качеств (работнику такое ещё простительно, руководителям высшего звена — уже вряд ли).
3. «Установить такие правила, которые устроят всех» невозможно в принципе. Во-первых, все разные, и одному нужны соцсети и гаджеты, второму — торренты, третьему — работать из дома, четвёртому — права администратора. Во-вторых, пользователям всегда хочется значительно больше, чем нужно для производственной деятельности, и какие-то ограничения необходимы.
4. Предложенные вами меры (нанять в СБ психолога, провести интересное обучение, повышать компетенции пользователей и сотрудников СБ) имеют право на жизнь, но здесь решение опять же принимает руководство компании. Если такое не внедряется — значит, бизнес не в восторге от идеи потратить ещё пару (десятков?) миллионов на психологов и тренинги.
elobachev
25.12.2017 18:21И все же повышение осведомленности сотрудников в области ИБ несомненно является одной из лучших практик, рекомендовано как российскими так и международными стандартами. Если этого нету — это явная недоработка СБ, раз уж ИБ к ним относятся =)
lostpassword
26.12.2017 01:54Безусловно является. И безусловно надо бы его проводить. Но это стоит (а) денег и (б) времени безопасников. А в большинстве организаций народу в ИБ и так не хватает, они по горло загружены согласованием заявок, настройкой СЗИ, анализом логов и тому подобным.
В идеальном розовом мире в структуре ИБ должно быть несколько разных отделов, которые занимаются разными задачами. Кто-то заявки рассматривает, кто-то СЗИ настраивает, кто-то разрабатывает новые политики безопасности, кто-то логи смотрит, кто-то занимается обучением сотрудников и повышением их осведомлённости.
Но это возможно только в крупных компаниях, которые ещё и всерьёз подходят к вопросам обеспечения ИБ, коих на рынке единицы.
artglorin Автор
25.12.2017 20:37Я согласен с вами.
Хочу немного уточнить, я не жалуюсь на СБ, мне просто кажутся не очень эффективны способы их работы. И я просто решил поделиться своим мнением и посмотреть, согласен ли кто-нибудь с такой точкой зрения.
Спасибо за то, что поделились вашей точкой зрения
spaceoberon
28.12.2017 08:52Цели и методы работы СБ определяются руководством. Обоснуйте бизнесу, почему вы такой классный и как много для компании значите — и для вас сделают исключение, СБ будет тихо курить в уголке, а вы — наслаждаться жизнью.
Не соглашусь. Глупое руководство так будет делать, которому, в принципе, плевать на безопасность. Я классный. Я это сам знаю. Перед моим возвращением в Россию я был одним из создателей крупной западной компании, которая вот уже 17 лет успешна на глобальном рынке и с 50 тысяч евро стартового капитала имеет сейчас собственный оборот свыше 5 миллиардов евро в год. Я в этой компании занимал одну из самых ключевых позиций с самого основания до самого ухода. Не хвастаюсь, а определяю свою значимость и опыт. Так вот, придя в довольно крупную российскую компанию, куда меня эта компания сама пригласила, после беседы с владельцем компании я все же прошел и тесты СБ, и беседу со специально приглашенным психологом из МГУ. Пять больших тестов в течение всего дня. Прошел успешно. Получил руководящую должность. Владелец был рад, что я прошел тесты. Несмотря на его личное желание принять меня на работу, результат тестов был важен. Если бы где-то завалил, не взяли бы, несмотря ни на что. Я считаю это нормальной практикой. Руководящий сотрудник должен проходить больше проверок, подчиненные меньше. У нас все проходят СБ. Это обязательно. И я сам убедился, что это верно. По моему настоянию были приняты таки два сотрудника однажды против решения СБ. Очень настаивал, лично убеждал владельца компании. И результат — оба сотрудника уже не работают. Один сам ушел, второго уволили по несоответствию. С тех пор я доверяю решению нашей СБ.
semalexandro
25.12.2017 14:39Не увидел ничего плохого в действиях СБ. Тут вопрос больше в собственной вовлечённости сотрудника (в данном случае сотрудника СБ) в процесс, будь то принятие на работу или доступ к действиям. Описанные проблемы скорее вопрос коммуникабельности или мотивации определённых сотрудников (в данном случае сотрудника СБ).
Не раз сталкивался с подобными проблемами при взаимодействия не только с СБ но и с юридическим отделом (виноваты если договор не исполнен и предъявить исполнителю ничего не можем), финансовым (виноват если необоснованные траты), снабжением и т.д. По моему опыту, проблемы возникают с 1-2 отделами, если с бОльшими «не выжить» ни тебе ни компании. Причём с СБ работа более менее налажена была.
При обращении к «тыжпрограммисту» тоже никто не понимает что толком спросить и почему он при этом не может сразу всё предоставить, починить и сделать. Ему тоже нужны какие-то данные, какая-то «ненужная» инфа от тебя, требует какие-то пароли логины, номера почему-то не устанавливает ту или иную прогу, не даёт полный доступ и т.д. И здесь всё зависит от IT-специалиста, как он наладит взаимосвязь с отделами. Если не наладит так и останется «тыжпрограммистом» у которого все виноваты что его так называют.artglorin Автор
25.12.2017 14:46Спасибо за хороший комментарий.
Хотелось бы узнать ваше мнение, а нужно ли сотруднику СБ/ЭБ быть вовлеченным в процесс? Или такое вовлечение излишне и затраты, которые нужны для того, чтобы провести такую реструктуризацию принципиально не изменят уровень безопасности?
semalexandro
25.12.2017 15:25Сложно судить со стороны. Есть потребность компании в твоём продукте и в информационной безопасности. И то и другое не должно друг другу мешать.
Т.К. сотрудники СБ чаще выполняют установки чем пишут, тем более в IT. Я бы попробовал сам написать установки безопасности и попросил бы СБ следовать им т.к. это увеличит их и вашу продуктивность. А СБ использовать как инструмент. Если ты ответственен за любой доступ или действие которое ты делегировал, все «инструменты» службы безопасности вдруг могут стать полезными)
vikarti
25.12.2017 16:40Про «в четвертых» — есть же куча средств для поддержки Bring-Your-Own-Device — и карантинные системы с агентами (=не пустим ноут в сеть пока не поймем что там винда и антивирус обновлены) и MDM-системы для мобильного железа (установка софта, политик (гнать трафик через корпоративную проксю, с инспекций https, выключить камеру,etc), контроль поведения, ну да — с точки зрения пользователя часто перебор СБ давать право например делать remote wipe его личного дейвайса), особенно у Apple и Samsung все это хорошо сделано.
Pablo777
25.12.2017 21:58К большому сожалению 80% разработчиков о безопасности не задумываются, или думают ооочень поверхностно. У всех сроки горят, как говорится херак, херак, и в продакшн. А об обычных пользователях я вообще молчу. У СБ обычно нет возможности работать «с каждым» пользователем в отдельности, поэтому приходится грубо работать с «серой массой»
Daar
26.12.2017 08:24Давно когда работал в банка у нас СБшник был не традиционный :) он был веселый, всегда спрашивал как дела, как здоровье, на столе стояла вазочка с конфетками, когда заходишь к нему, он всегда сразу угощал сладеньким, чайку предлагал. Но если ты косячил он превращался в злобного дядю и карал жестоко :)
И тоже помню бесило, когда все действия согласовывали с СБшниками, а они большинство были в ИТ не сильно далекие, многие пришли из УВД, а там в ИТ попали ввиду различных контузий или дефектов по здоровью. И бывало по часу сидели разжевывали им новую хранимую процедуру, и что в ней изменилось и для чего, и что это будет работать и это не магия. Хотя причем можно было хрень наговорить, главно делать это с уверенным лицом и они согласовывали.
mrkaban
26.12.2017 09:19судя по заголовку ожидал статью про уязвимости в системе безопасности крупных компаний)
360apm
26.12.2017 12:45Безопасный — не значит удобный. (не путать красоту с пересечением ума)
Ну извините, СБ — им тоже надо как-то бизнесу доказать, что жуют свой хлеб не просто так.
Да и вообще — чужая работа обычно кажется легче
ЗЫ: я не из СБ :)
acmnu
Добравшись до определенного уровня компетенции и зарплаты я просто не иду на собеседование, если знаю, что надо будет говорить с СБ. Благо рынок в мою пользу. Забавно, что многие HR в банках хорошо понимают эту проблему и стараются оттянуть встречу с особистом, чтоб соискателю уже было жалко все это бросать.
ne_kotin
Удваиваю. Работу «правильной» СБ незаметно. А когда после техсобеседования говорят «Вам надо пройти СБ, вот вам анкета», а в анкете чуть ли не родословную до тринадцатого колена требуют, и копии всех возможных документов (половина которых уже есть на руках у эйчара на момент прохождения техсобеса) — создается впечатление, что СБ просто не хочет работать — пусть кандидат сам на себя напишет. А они порешают, и может быть соизволят соблаговолить утвердить.
Послал в итоге лесом. Слишком много хотят за $2500.