Дисклеймер
Самым сложным в этой статье было выбрать понятное и не душное название. С этим я не справился.
Тем не менее, приглашаю коллег рассмотреть отличия типового «менеджера ИБ» в международной компании от российских каноничных безопасников.
Суровый 2022ой неслабо перетряхнул бизнес в России, и ощутимо расшевелил всю сферу IT и ИБ. В то время, как исконно российские безопасники штудируют новую доктрину ИБ, переводят новые законы с бюрократического на общечеловеческий язык и метят в ТОП менеджмент, менеджеры ИБ международных компаний открыли для себя множество иных вопросов, единого ответа на которые пока что нет.
Спойлер: все описанное ниже является моим субъективным мнением, при описании которого я опирался на свой скромный опыт, и опыт 2-3 моих знакомых. Текст не претендует на объективное описание сферы ИБ, посему рекомендую воспринимать текст с иронией.
Личное наблюдение: в Российских компаниях чаще звучит термин «защита информации» - как бесконечный процесс, а сами безопасники являются Администраторами безопасности, в то время как в международных как правило формулируют «безопасность информации» как недостижимый результат, а специалистов гордо именуют Менеджерами ИБ. Чувствуете разницу?
Ситуация: оторванность от российских реалий.
Открою секрет, безопасник в международной компании, или как нас принято называть IT security manager – это самый настоящий менеджер среднего звена, основным (и порой единственным) инструментом которого являются чат и почта.
До серверов их не подпускают, для этого есть отдел инфраструктуры. Для внедрения новых железок даже приезжают (приезжали) спецы из штаб-квартиры.
Все антивирусы, фаерволлы, спланки, фаерайи и прочие мониторинги ставятся удаленно, и контролируются из центра. Иногда приходится запустить 1-2 скрипта и отправить JSON на проверку, но это прям самый самый технический максимум, с которым приходится сталкиваться.
До управления политиками почти не допускают. Последние админские права на консоли DLP отняли еще в 2018ом, накатили одну политику на всех и не разрешили ничего менять без дополнительного подтверждения. Даже менеджер паролей забрали. Основной задачей менеджера ИБ стало решение проблем юзеров, у которых внезапно перестали работать флэшки, на распечатанных документах появился водяной знак, а соц. сети оказались недоступны.
Управление Рисками – звучит красиво, но на деле превращается в поиск, упорядочивание и порой даже перевод на английский документации, заполнение форм и решение проблем владельцев продукта/системы, а принятие решений централизовано и затруднено.
Пентесты: требуется просто запросить у владельца/администратора тестовую учетную запись с паролем, ссылку на тестируемое приложение и код – отправь подрядчику, и ждать красиво оформленный отчет от подрядчика
Комплаенс – номинально есть, но выражается в создании Powerpoint презентаций для пользователей, и раз в год – проверки электронной почты выбранных менеджментом коллег: не буду вдаваться в подробности и разбирать этичность неавтоматических проверок, но уточню, что выгружать массив почты тоже приходится не самостоятельно, а просить у иностранных админов через служебную записку.
Защита персональных данных – формально так же есть, но технической защиты как таковой нет. Внедрены организационно-бумажные решения, которые отражают реальность лишь наполовину, и все равно превращаются в решение проблем юзеров, которые забыли какая форма согласия актуальна, и с кем надо подписать допник о защите ПДн.
Шифрование? Да оно есть в 2-5% случаев, но менеджера ИБ туда не допустят, максимум разрешат сделать тикет/change и может быть выпустить/обновить сертификат. Спасибо хоть на этом.
По итогу выходит, что менеджер ИБ в иностранной конторе сидит, перебирает почту, и действует согласно простенькой схеме (см рис. 1) , а настольной книгой такого эксперта является список контактов по всем таскам/проектам, которые меняются чаще чем закрывается типовая задача, поэтому исполнение многих задач никем вообще и не проверяется.
За это менеджер ИБ получает весьма жирную зарплату, ежегодную индексацию, и кучу дополнительных бонусов; а еще усмехается каждый раз, когда РКН, ФСТЭК, ФСБ, Минцифры или любое рандомное ведомство начинает кошмарить российский бизнес/банкинг/промышленность в целом и безопасников в частности.
Каждый раз, оказываясь на конференциях ИБ невольно чувствуешь, насколько твоя работа отличается от работы чисто российских безопасников. (спойлер: они почти даже не пересекаются).
Проблема: Рынок иностранных компаний схлопнулся, одни ушли с рынка, другие локализовались и изменили требования к своим ИБ менеджерам, третьи заморозили найм.
Вот тут-то мне впервые за 11 лет пришло в голову, что подход иностранных компаний, вот вся эта максимальная корпоративизация хороша для организации в целом, но не всегда оптимальна для каждого отдельного специалиста.
Вроде получаешь оценки «выше ожиданий», гребешь премии, закрываешь интересные проекты и даже ДОСТИГАЕШЬ всяческих успехов, но весь твой успех применим только в достаточно узкой сфере, которая в 2022ом перестала казаться беззаботной, богатой и перспективной.
Встал вопрос, как быть дальше, что делать, и стоит ли что-то делать вообще?
Варианты решения:
I. Сидеть в своей конторе до посинения, надеяться на скорое разрешение СВО, всех вытекающих из этого сложностей, и молиться, что компания не закроется и не уйдет. (Актуально для тех, кто еще работает).
II. Попробовать заскочить в свеже-локализованные фирмы, которым внезапно стало мало тех компетенций, что имели их ИБ менеджеры.
Лично я его отмел, потому что давайте по-честному: теоретически управлять корпоративной системой защиты информации выходцы из иностранных компаний способны. Но вот построить/пересторить систему с нуля фактически без знания российских вендоров и систем защиты очень сложно. То есть возможно конечно: погуглить известных игроков рынка, провести тендеры, и постепенно при помощи вендоров все внедрить. Но компании хотят сделать это быстро, четко и без увеличения штата (не больше 1 безопасника на компанию!). Конечно же такие свежие компании захотят себе в штат опытных архитекторов ИБ, а не таких же менеджеров ИБ и прочих почтовых управляющих, которые у них уже имеются.
III. Отказаться от многих привычных плюшек и стать настоящим рядовым безопасником в российской компании, желательно нефте-газовой. Руководителями возьмут не всех, да и в любом случае баланс занятости и оплаты труда изменится не в лучшую сторону. Хотя кто знает.
IV. Вариант «4А»: искать релокацию. Бытует мнение, что это сложно, потому что ИБ сфера сильно завязана на местных законах и особенностях, а человек извне испытает большие трудности при попытке вникнуть. Но есть и отличные новости: во многих международных централизованных ИТ и ИБ хабах навалом рядовых исполнителей, но, как правило, не хватает грамотных организаторов,да еще и умеющих принимать решения. Это может оказаться на руку менеджеру ИБ с опытом переговоров с индусами/малазийцами и прочими ИТ-саппорт командами.
Вариант «4Б» радикальный: бросить всё и уехать барменом на Бали до лучших времен. Но это уже оффтоп.
Вместо вывода:
Изложенное выше скомкано, сильно сокращено относительно черновика, и отражает сугубо мой личный, возможно однобокий опыт (11 лет в ИБ, 9 из них в международных компаниях). Возможно, кому-то покажется занятным, а кто-то решит опровергнуть. В любом случае – добро пожаловать в комментарии.
Комментарии (13)
sedd
22.09.2022 09:17+1Даже специально вышел из режима ридонли))) Это не проблема СБ, а проблема российских филиалов международных корпораций.
Более 10 лет проработал в одной компании как Head of IT. Когда я туда пришел - это был чисто локальный бизнес под красивым иностранным шильдиком. Все решения по IT принимались локально (вендоры, штат, договора, разработка, сервисы, ПО, адимнистриование, лицензирование, архитектура, хелпдеск и всё всё всё...). Компания росла, росли задачи, рос штат IT-отдела, росли компетенции и ЗП =) Где-то с 2015 года началась глобализация, когда начали менять инфраструктуру и забирать полномочия в головной офис.
Сначала было необычно и интересно: командировки и конференции, корпоративные курсы, международное взаимодействие, переработка инфраструктуры под глобальные стандарты. Но постепенно штат локальных IT скукожился до нескольких человек и превратился по функционалу в банальных приемо-передатчиков.
Примерно в 2020 году я осознал, что из руководителя с техническими навыками я превращаюсь в банального управленца (эксель, email, презентации, отчеты). Причем с явным потолком в росте внутри корпорации, т.к. выше российского подразделения прыгнть нереально. Переход на ступеньку выше - это региональный менеджмент, а туда выходцам из РФ дорога была заказана, еще до начала неВойны. Явно это конечно не говорилось, но вполне доходчиво читалось между строк при общении с западными коллегами.
Прикинув, что просидев так еще пару-тройку лет, я потеряю все тренды и в случае какого-то пиздеца - буду просто никому не нужен со знанием внутренней бюрократической кухни конкретной компании. В итоге свалил, хотя при уходе предлагали еще более интересные условия с повышением ЗП и более свободным графиком.
DimVision Автор
22.09.2022 09:21Все международные вакансии занимают либо выходцы из головного офиса, которым надо расти и набираться опыта, либо внезапные пробивные парни из Индии, которые видимо умеют в харизму, шарм и самопрезентацию.
К слову: я спрашивал у себя в компании, есть ли варианты уехать в Секурити-хаб в Сингапур, чтобы условно из стороны готовящий отчеты, стать стороной, эти отчеты проверяющей. Мне ответили что туда набирают только местных выпускников военного вуза, а все координаторские места расписаны на 5 лет вперёд.
AlexeyK77
22.09.2022 16:03вам либо в банк, если возьмут, либо переучиваться в жуниоры тестровщики, либо модет лучше в аналитики - постановщики задач, т.к. скилл под это прокачан.
Мне аналогично, только с руководителя ИБ с седыми висками в банке переходить в жуниоры-тестировщики навреное уже поздновато.
DimVision Автор
22.09.2022 16:11Думаю перейти в защиту ПДн, комплаенс и все такое прочее. Это стык ИТ, ИБ, Юридические моменты + организаторские таланты. Уже есть на примете как отечественные, так и международные компании, где это нужно. Приятно что специфика должности не даст слишком сильно утянуть ее в штаб-квартиру и многое оставит именно для местного персонала
JohnnyBlack
23.09.2022 10:44Переход на ступеньку выше - это региональный менеджмент, а туда выходцам из РФ дорога была заказана, еще до начала неВойны. Явно это конечно не говорилось, но вполне доходчиво читалось между строк при общении с западными коллегами.
Если не секрет, как вы это поняли? И какова причина такого отношения к специалистам из РФ?
DimVision Автор
23.09.2022 10:48отвечу за коллегу со своей колокольни: Все места в международных Хабах всегда занимают либо выходцы из штаб-квартиры, либо местные менеджеры страны, в которой Хаб расположен. Как правило, это Индия, ЮВ-Азия, реже Южная Африка, иногда Сингапур.
Соответственно, попасть вэтот хаб возможно, но только если быть прямо суперменом в области знаний, джедай-мастером софтскиллов, с дополнительной заточкой под менталлитет страны, где предстоит быть погонщиком целовекомашин-индусов, хитрых-азиатов или ленивых-африканцев.
Мал короче шанс.
JohnnyBlack
23.09.2022 14:01Спасибо за ответ, это интересно. Но возникает ещё один вопрос. Если речь была про специалистов из РФ, а вы поделились опытом, что:
если быть прямо суперменом в области знаний, джедай-мастером софтскиллов, с дополнительной заточкой под менталлитет страны
То мы говорим про недостаток специалистов такого уровня из России, или тут какой-то иной критерий срабатывает? То есть, если упростить вопрос, то почему акцент на выходцах из РФ?
DimVision Автор
23.09.2022 14:14В России и правда есть дефицит безопасников. Количество направлений ИБ растет, это и cloud, и devsecops, и банковская/финтех сфера, и внедрение-консалтинг, и пентест направление развивается. А критерии отбора на все должности - одинаковые, как будто компании друг у друга списали однажны перечень требований к кандидату и с 2011года не обновляли ни разу.
Если бы коллеги из HR совместно с начальниками ИБ умели правильно сформулировать свои желания и требования -
то дефицит показался бы еще сильнее,то стало бы яснее, кто конкретно нужен сейчас сфере.я знаю, что в среднем на одну должность у компании всегда меньше 7 кандидатов, в то время как конкурс на другие специальности как правило выше, иногда даже в разы.
А вакансий на рынке явно больше, только может вполне получиться такое, что и эти самые 7 кандидатов никому особо не подойдут, и либо придется менять требования, либо доучивать специалиста, либо хантить, что в цело сейчас и практикуется.
JohnnyBlack
23.09.2022 14:26А критерии отбора на все должности - одинаковые, как будто компании друг у друга списали однажны перечень требований к кандидату и с 2011года не обновляли ни разу.
Я часто с таким сталкивался, причём HR-ы признавались в содеянном.
В России и правда есть дефицит безопасников.
Я правильно мысль понял, что у самих тут пока Ералаш в этой сфере, и до "зарубежных компаний" с таким бардаком нам, мягко говоря, ещё далековато?
DimVision Автор
23.09.2022 15:04уровень организации сферы ИБ - пожалуй, зрелости нет, хотя есть таки подвижки.
уровень отдельно взятых специалистов - весьма неплох, и котируется, нужно просто (нифига не просто) найти свою сферу и подходящее место.
по моему опыту: большинство вакансий в азии, Австралии, Америке, Канаде имеют уникальный и/или обобщающий код на каждую позицию, и соответственно четкие требования под каждую должность.
AlexeyK77
К сожалению вся эта безопасность на западных стандартах вцелом как для специалиста скорее ловушка. Я сам плюс-минус в похожей ситуации, на разве что приходится самому заниматься SIEM, антирусами, длп плюс к этому менеджмент ИБ в широком понимании этого слова. Проблема в том, что менеджеры ИБ, да даже спецы по SIEM как правило не шибко нужны, или нужны в крупных банках/телекомах, где уже своих менеджеров хватает.
А на рынке ИТ-разработки, где высокая восстребованность и конкурентные ЗП требуются высоковалифицированные спец: devsecops, разработчики, спецы по конкретному инструментарию и глубокому знанию стэка. А занимаясь менеджерством ИБ в большой компании (а в маленькой менеджеры ИБ в общем и не нужны), тяжело поддерживать технический скилл.
DimVision Автор
Удивительно, но компании больше теряют в безопасности, когда централизуют все решения и отбирают у местных хоть какую-то власть. Неудобно и вредно получается.
AlexeyK77
при централизации местным только остается эникейство, а филиальскому безопаснику (который еще и по совместительству навесят кучу других функций от завхоза до электрика) - выдать токен под роспись. Так что ни о каком росте в филиале что отечественной, что зарубежной компании речи идти не может.