среда, 23 июля 2014 г.

Без тебя, без тебя. Всё ненужным стало сразу без тебя

Здравствуй, дорогой читатель! Как много всего произошло за это лето (а ведь оно еще не закончилось), я поменяла место жительства, город, работу, только блог не изменился, ну ты и сам видишь. У нас стоит такая жара, которая совершенно не способствует рабочему настроению, но ведь работать с рабочим настроением может каждый дурак, а мы с тобой не такие. Раз мою страницу читают, (а я слежу за статистикой и знаю о чем говорю) значит, нужно писать, несмотря на загруженность, переезд, лень и все остальные отговорки. Как часто мое внутреннее Я выбирает поиграть с котом, а не писать статью! Приходится идти на компромиссы, пусть кот играет со мной, а я пока полежу с закрытыми глазами и подумаю о чем буду писать. 
Что происходит в твоей профессиональной жизни? Воспитание диктует мне спросить у собеседника о его делах. А я не хочу показаться невежливой. Закупки, формирование бюджета, повальные отпуска и невозможность собрать комиссию так, чтобы она не состояла из одних "и.о." - что беспокоит твой ум?
Когда становится прохладнее мне в голову приходят разные философские мысли, возникают вопросы - курица или яйцо (андроид или яблоко)? Один из таких вопросов-размышлений, беспокоящий меня в последнее время - "Что было бы с бизнесом без нас, простых ИБшников?"
Дорогой читатель, я понимаю, что мысль абсурдна и ты убежден, что небеса разверзнутся в тот же час, поглотив ОАО, ЗАО, ООО (нужное подчеркнуть), в котором ты трудишься. А если нет? Что будет без нас?
Помнишь, как в школе на олимпиаде нам задавали задание - "Представьте и опишите последствия исчезновения углекислого газа/кислорода/водорода не Земле". Вот что-то подобное я и обдумывала в последнее время. Только в нашей области. Пишу свои мысли и жду ответа по этому очень важному для меня вопросу.

Во-первых я сразу выделила для себя те отрасли, в которых без нас никуда. Это ИБ-компании. Тут уж извини, предельный случай, рассматривать нечего. А еще криптография!Организации, имеющие свой удостоверяющий центр никак не смогут обойтись без специалистов. Вспомним также про лицензируемый вид деятельности, про "не менее двух образованных (обученных) сотрудников"... То-то же, с УЦ без нас тоже никуда.
Если же удостоверяющего центра нет, то все, что касается ключей электронной подписи никак не контролируется без ИБ-шника. Возникают угрозы использования чужой подписи, хищения и подделки ключа, что может привести к значительному финансовому ущербу. Вот так вот, здесь мы, получается, незаменимы.
Тебе, наверное, приходилось ознакамливаться со своей должностной инструкцией и положением об отделе. Насколько размыты формулировки и большинство из них составлено таким образом, что понять какие задачи выполняет специалист практически невозможно: "обеспечивать комплексную информационную безопасность", "настраивать средства защиты информации", "поддерживать конфиденциальность информации". Получается, что отдел по защите информации создан для того, чтобы обеспечивать информационную безопасность. Логично! А зачем? Ну мы-то с тобой понимаем, что делаем что-то ОЧЕНЬ важное, но этого мало, нужно еще до других донести. 
Возьмем функцию аудита, вот это наше, исконное, это мы никому не отдадим, да никто и не попросит. Что же будет, если аудит не проводится? Утечки информации, материальный ущерб, потеря репутации, все компьютеры становятся ботами и шлют спам за границу, сотрудники сидят ТОЛЬКО на порно-сайтах, в онлайн-магазинах, а все служебные вопросы решаются с мейловских ящиков, эффективность труда падает, все плохо. Тут, как говорится, не поспоришь - атаки в сети ведутся постоянно и незащищенная сеть может стать легкой добычей, да и пользователи не станут соблюдать правила, если знают, что за этим никто не следит. Получается, здесь тоже все хорошо. Но с одним условием - сеть все-таки должна быть довольно большой. Маленькие компании вполне могут обойтись без нашего брата, толковый системный администратор, не чуждый философии безопасности, решит многие проблемы, а аудит вообще теряет смысл, когда все сидят в одном помещении друг у друга на виду. 
Кстати говоря, исторически функции ИБ-шников исполняли ИТ-подразделения, дыры находились и латались (может быть не все и не так тщательно, все-таки самоконтроль и внешний контроль отличаются разной степенью эффективности). Однако не стоит забывать о существенной разнице в мировоззрении специалиста по ИТ и по ИБ. Айтишник в большинстве своем хочет, чтобы все работало хорошо и быстро, а нам нужно, чтобы ресурсы были защищены, пусть даже и ценой быстродействия.
Еще одна типичная задача специалиста по ИБ - антивирусы. Никто не спорит, что антивирусное обеспечение - обязательная вещь в сети. Проблема в том, что мы здесь не являемся незаменимыми, настроить антивирус вполне может ИТ-отдел. Причем в маленьких организациях все этим и заканчивается - пароль на учетку и свежая база антивируса - вот и вся информационная безопасность, а для поддержания работы такой системы безопасник не нужен. Конечно, никто лучше нас не проследит, чтобы обновление происходило регулярно, а настройки были выставлены верно. Так что тут мы заменяемы, но с небольшой потерей в качестве оказания услуг.
Конечно, без нас с тобой никак нельзя во время проверок контролирующих органов, вероятность того, что организацию захочет посетить Роскомнадзор, достаточно велика. Неспециалистам избежать предписаний и вовремя устранить нарушения будет очень трудно. 
Чуть не забыла! Без нас нельзя обойтись при защите государственной тайны. Тут уж ничего не придумать. А вот защита коммерческой тайны и персональных данных в некоторых организациях поручена юристам и кадровикам. На каком-то уровне они с этой задачей справляются.
Последнее о чем хотелось бы упомянуть - это организация доступов. Разграничение прав пользователей - основа информационной безопасности (на мой субъективный взгляд). В отсутствие ИБшника доступами занимается отдел ИТ и настраивает их на свое усмотрение. В таких сетях может происходить все, что угодно. И, скорее всего, этим чем-то будут утечки информации.

Много чего написала, вышло достаточно сумбурно, но в общем вывод один напрашивается - мы нужны. Это хорошо. А с другой стороны, некоторые функции ведь легко может выполнять ИТ-отдел, юрист, кадровик. Нам следует быть очень осторожными! Еще не так давно были те времена, когда ИБ-шников можно было по пальцам пересчитать. Так что, я думаю, нам нужно браться за все, что только можно и доказывать свою эффективность. 

А как ты думаешь, дорогой читатель, смогут ли без нас?

С уважением, Ксения

8 комментариев:

  1. Согласен, без ИБшника никак не обойтись. Но также и верно утверждение, что нам необходимо, во всяком случае пока, постоянно доказывать свою необходимость не только руководству, но и всем остальным работникам предприятия. А всё дело в низкой осведомленности и отсутствии этики в сфере информационной безопасности. Бюджет на ИБ получить значительно труднее, чем например, на новую мини-АТС или сервер.

    Специалисты по информационной безопасности несомненно нужны

    ОтветитьУдалить
    Ответы
    1. Спасибо за отзыв, Дмитрий! Проблемы с бюджетом очень актуальны, безопасник, как домохозяйка - его работа заметна, когда он ее не делает :)

      Удалить
  2. Обрати внимания на то, что в международных компаниях безопасников сейчас очень мало... Бывает 0, иногда 1 (security manager или CISO), в редких случаях больше. И ничего справляются... Просто функции распределены по другому. Большая часть у it, иногда есть compliance manager, risk manager, теже юристы и кадровики, в редких случаях privacy manager. Я бы не сильно ставил на возрастание роли безопасников в российских компаниях, скорее функции будут размыты

    ОтветитьУдалить
    Ответы
    1. Не хотелось бы, чтобы нас становилось меньше:)

      Удалить
  3. Как раз потому и справляются, что большая часть технических обязанностей передана ИТ-отделу, кадровикам и юристам. Специалист по информационной безопасности в этом случае выполняет роль связующего звена в вопросах ИБ между вышеперечисленными подразделениями. Другое дело, что часто эти подразделения не понимают или не хотят (скорее всего) важность обеспечения информационной безопасности на предприятии. И отсюда уже вытекают соответствующие последствия для самого Ибшника - одни не хотят, другие не могут и т.д. Нужно приказами по предприятию закреплены конкретные функции администрирования и ответственности ответственных работников в профильных подразделениях. Чтобы не получилось: "У нас есть Ибшник!!! Он отвечает за то, что у нас ключи на вот этих синеньких флешечках пропали. Да, где-то там находится его кабинет. Не, не знаю, где именно!" Но вот тут как раз и возникает вопрос - зачем тогда специалист по ИБ.
    Поэтому я считаю, что задачи ИБ должны обеспечиваться управляться работниками, которые, извините за мой "французский" - в теме. Верно сказано в заметке - мировоззрение ИТшника и Ибшника на вопросы безопасности данных обычно в корне различаются. Тоже самое и с кадровиками и юристами - чащу всего им дела нет до СКЗИ, а про персональные данные думают исключительно в рамках своих обязанностей и профессии. Поэтому, каждый должен заниматься своим делом. И специалист по информационной безопасности - неотъемлемая часть процесса функционирования этой инфраструктуры.

    ОтветитьУдалить
    Ответы
    1. В идеале нам должны остаться только функции контроля, пока это редкость. В основом ИБ-шник выполняет большое количество "левых" функций, работает из айтишника и за юриста (в части информационного права), за специалиста по закупкам, ну и в зависимости от места работы могут дополнительно висеть обязанности: физической, экономической безопасности.

      Удалить
  4. Я думаю что роль ИБ в целом будет только возрастать, так как не остановить все большую автоматизацию всего, оснащение все большими интелектуальными функциями любых предметов / вещей, все большее оснащение средствами коммуникаций любых предметов / вещей и постоянное увеличение роли цифровой части реальности.
    Все это конечно может быть взломано, перехвачено, подменено и соответственно потребует принятия каких то мер ИБ.

    Другое дело что ценность универсального ИБшника будет уменьшатся - так как они физически не смогут быть специалистами во всех областях.

    ОтветитьУдалить
    Ответы
    1. Ценность универсального ИБ-ника велика для него самого в первую очередь, чем больше разной работы выполняешь, тем меньше боишься сокращений, руководство больше ценит, кругозор расширяется. Но если позволяет бюджет, то лучше, конечно, когда специалист имеет узкий профиль. Если аудит, то только аудит, если УЦ, то УЦ. К сожалению для бизнеса и к счастью для нас - заниматься приходится всем по-маленьку :)

      Удалить