Пять советов для поиска высокоэффективного специалиста по IT- безопасности
Тем более что в свете последних событий такие работники не роскошь, а необходимость
Начало делового сезона ознаменовалось внутри международного ИБ-сообщества рядом скандалов, связанных с судебными преследованиями, исками и взаимными претензиями нескольких директоров по кибербезопасности и их работодателей. Так, поднялась очередная шумиха вокруг Uber, системы которого были взломаны 15 сентября, что привело к утечке данных. Однако, по мнению специалистов, кража данных и исходного кода не самое серьезное последствие этой атаки. Киберпреступники предположительно завладели доступом к баг-баунти-программе Uber на платформе HackerOne, где уязвимости хранятся в секрете до тех пор, пока не будут исправлены. Как известно, это не первая утечка данных Uber – в 2016 году компания заплатила преступникам не менее $100 тыс. за неразглашение 57 млн украденных учетных записей и скрывала это несколько лет. Джо Салливан, директор по кибербезопасности Uber, был уволен за свою роль в реакции компании на взлом, а затем еще и обвинен в препятствовании правосудию и находится под судом.
Другой не менее интересный кейс – Twitter, где бывший ИБ-директор, наоборот, вовсю кричит о «вопиющих и безрассудных» действиях компании. Пейтер Затко утверждает, что ему и его команде не рекомендовали представлять полный отчет о проблемах безопасности Twitter совету директоров, а приказали давать тщательно отобранные и искаженные сведения, создающие впечатление об улучшении безопасности. Циркулируют слухи, что компания пытается скрыть масштаб проблем – к примеру, каждые четыре из 10 вычислительных устройств не соответствовали базовым стандартам безопасности, серверная инфраструктура, в частности около 500 тыс. серверов, работает с устаревшим программным обеспечением, а любой инженер мог получить доступ к производственной среде данных. Еще в 2010 году, после претензий властей, Twitter пообещал повысить у себя безопасность путем создания «всеобъемлющей ИБ-программы действий», но Затко утверждает, что компания никогда не выполняла все свои обещания и сталкивается примерно с одним серьезным инцидентом безопасности в неделю. Председатель палаты конгресса, курирующий вопросы внутренней безопасности, опубликовала заявление, в котором отмечается, что обвинения «поднимают серьезные вопросы о приверженности Twitter обеспечению безопасности пользовательских данных», сама же компания тем временем угрожает подать иск против Затко.
Два этих весьма интересных случая хорошо иллюстрируют, что в крупной корпорации, государственной структуре, да и в целом в любой компании ИБ-специалист – служитель не только бизнесу, но и обществу и умение найти и соблюсти баланс пользы, этики и должностного соответствия – вполне себе искусство.
Как найти такого высокоэффективного CISO или вырастить его внутри компании?
- Изучать лидеров публичных дискуссий по отраслевым проблемам, помогать сотрудникам инициировать такие дискуссии в публичном пространстве.
- Принимать и поощрять в компании упреждающий подход к управлению угрозами, развивать в ИБ-сотрудниках умение говорить на языке бизнеса.
- Настроить процесс информирования заинтересованных сторон о текущих и возможных будущих рисках для предприятия, укреплять подотчетность, смотреть объективные метрики, не давать приукрашивать правду.
- Инициировать и утверждать план действий в кризисной ситуации, с участием всех стейкхолдеров.
- Определить уровень риск-аппетита, сбалансировать потребности в безопасности с потребностями бизнеса.
