Как пройти путь до руководителя инфобеза?
Привет, это Kotelov digital finance. Сегодня поговорим, как молодым айтишникам и джунам стать руководителем отдела информационной безопасности. Какие нужны навыки и как выстраивать рабочие процессы.
На подкасте мы обсуждали банковскую систему безопасности: как устроена защита, как контролируются люди, и как внутри нее становятся руководителями. Получился большой материал, из которого мы вытащили самое важное:
Полную версию выпуска можно посмотреть здесь.
Как в 30 лет стать начальником информационной безопасности в крупном банке?
У меня был план, я его придерживался
В 8 классе я уже знал, кем хочу быть. Тогда мой дядя рассказал и показал, что такое информационная безопасность — мне понравилось. Я принял решение, что это мое, и я хочу учиться. Поступил в институт, выпустился и нашел первую работу. Я строил свой путь шаг за шагом, и у меня было четкое понимание чего я хочу добиться в жизни.
В 26 я уже был замначальника службы информационной безопасности в региональном банке и исполняющим обязанности начальника службы. Так сложилось, что меня пригласили в Москву, в крупный интегратор топ-5 по России. Я принял это предложение, переехал в Москву и получил колоссальный опыт.
Когда работаешь в крупном интеграторе — вокруг много заказчиков, много интересных проектов. И после этого меня пригласили в банк топ-10. Я принял предложение, там поработал в двух направлениях:
администрирование средств защиты информации
SOC — secure operation center
Расследовал различные инциденты и неплохо себя проявил.
Hidden text
Оговоримся, что специфика работы Дмитрия не позволяет ему называть конкретные бренды. В процессе он будет либо обозначать общее название определенного программного обеспечения, которое он использует, либо общее название компании.
Если какая-то информация по итогам нашего подкаста утечет, это может быть использовано черными хакерами для получения доступа к финансовым средствам.
Можно ли добиться успехов в инфобезе без связей?
Вопрос: сначала я подумал, что дядя помог тебе попасть в сферу. Я так понимаю, это не так?
Нет, он просто рассказал про сферу. После института я собеседовался и попал на госслужбу за 13.000₽. Это была моя начальная зарплата. Работал в регионе и половину отдавал за съём комнаты — прошел огонь и медные трубы.
За восемь месяцев работы в этом месте я впитал максимум по инфобезу, успел разработать политику информационной безопасности по городу миллионнику и по региону, а потом уже уйти в холдинг работать. Своим положением я обязан тем навыкам и знаниям, которые изучал на протяжении своего профессионального пути.
Какими навыками должен обладать начальник службы информационной безопасности в банке?
Это совокупность нескольких факторов:
Эксперт в информационной безопасности
Нужно разбираться не в одном узком направлении, а в нескольких. И еще в нескольких разбираться на уровне мидла. А также навыками, опытом, компетенциями в области технической защиты информации, разработки методологии и оценки рисков.
Софт скиллы
Навык построения коммуникаций между отделами и умение договариваться. Часто встречаются крутые эксперты, но замкнутые — они вообще не хотят взаимодействовать с внешним окружающим миром, с другими отделами. Они так и останутся на своем месте — в руководителях такому человеку даже с невероятными хардами будет трудно.
Какие харды должны быть у руководителя в инфобезе?
Давайте посмотрим на моем примере. В школе изучал Basic, в институте С++, но особого внимания этому направлению я не уделял. Дело в том, что мой фокус был на том, чтобы развиваться в комплексе, как информационный безопасник, но углубляться в разработку было не нужно.
Если нужно написать какой-то скрипт, я разберусь довольно быстро в этой теме. Напишу те или иные скрипты и буду их использовать.
Была мысль изучить Python, так как в кибербезопасности это очень полезный навык и можно использовать для автоматизации различных процессов. В целом языки программирования очень полезны в пентесте, но именно в своей работе я редко применяю эти навыки.
Пентест — анализ системы на наличие уязвимостей
Лично мне не нужно уметь кодить, потому что для этого есть команда разработчиков: Back, Front и аналитика продукта.
Кстати, с командой мы постоянно участвовали в разных проектах по выходным и вечерам. Разрабатывали разный софт для инфобеза.
Какие основные киберугрозы существуют для банков?
Вопрос: Это Ddos-атаки или применение социальной инженерии? Попытки пробраться во внутреннюю инфраструктуру банка? Что актуально сегодня?
На моей практике на крупные банки применялись методы сетевых Ddos-атак, попытки целенаправленных атак. Эксплуатация уязвимостей и заражение с помощью подгрузки библиотек в Open Source решения на GitHub.
Небольшие организации не представляют большого интереса для киберпреступников, но и там переодически происходят различные нападения.
Главными и основными жертвами становится персонал от 45 лет, полностью безграмотный в плане информационной безопасности.
Во время работы мы пытаемся привить и нарастить компьютерную грамотность и информационную безопасность — привить основы. Это вырастает в проблему, потому что люди старше 45 лет уже не хотят разбираться в новшествах — они просто хотят брать обычную флешку и пользоваться любимыми браузерами, а не теми, что им устанавливают «злые» безопасники. Раньше же работало? Зачем теперь менять?
Поэтому под каждую организацию разрабатываются свои бизнес-процессы в области построения инфобеза. При этом нужно учитывать бизнес-процессы, которые текут в организации, выстраивать синергию между ними.
Поэтому мы глубоко погружаемся в процессы и создаем нечто удобное для всех: безопасников, пользователей и бизнеса.
Бизнес без айтишников существовать может, а вот айтишники без бизнеса, который приносит основную выручку — нет. Поэтому важно делать работу так, чтобы бизнес-процессы не прерывались и приносили больше дохода.
Обязательные практики для руководителей отдела безопасности
Вопрос: Есть какие-то устоявшиеся практики по кибербезопасности, которые ты применяешь во всех компаниях? Допустим всем ставите Касперского или Панду и удаляете Internet Explorer 6?
Первостепенно, когда ты приходишь в организацию работать, нужно вообще изучить поле работы и провести аудит: принять дела, пообщаться с коллегами, получить контакт предшественника, чтобы узнать нюансы.
Часто бывает, что далеко не все дела передают точь-в-точь и приходится в процессе искать подводные камни, которые уже знал прошлый специалист.
Когда ты приходишь в организацию важно: познакомиться, изучить поле работы и наметить себе план
Так будет проще создать план работы по внедрению средств защиты информации, план проведения обучений, инструктажа сотрудников, план защиты бюджета.
Защита бюджета — это очень интимная тема для очень многих организаций. Тут история, как с доктором — готовы тратить деньги, только когда болит, а до этого непонятно зачем столько денег.
Почему защита бюджета — это самое сложное в кибербезопасности?
Ты приходишь в бизнес и говоришь, что у нас дыра в этом направлении. Для ее закрытия нужно столько-то денег, будем использовать такие-то классы защиты и нам это позволит снизить риски бизнеса.
«Хорошо, а какие у нас риски? Какие штрафы, какие убытки предполагаются?»
Предоставляешь информацию и риски. Бизнес чешет голову и говорит: «Слушай мы тут пойдем на риск, ладно? Так что давай в другой раз, когда будут деньги».
На моей практике был интересный случай: работал в одной из компаний, представляю проект по покупке средств определенного класса DLP-системы. Согласовал это с IT департаментом, согласовал это с другим департаментом, получил поддержку руководящего состава организации. Уже дошло до защиты решения и бюджета перед директором компании.
Директор выслушал мои аргументы, ссылки на нормативно правовые акты и законы требования регуляторов. Посмотрел описание рисков, плюсов и бонус в целом для организации в случае возникновения инцидента.
Тогда происходит такой диалог:
— Дмитрий, это конечно хорошо, но сколько я вам плачу? — Вы мне платите столько-то! Там довольно небольшие деньги по региону. — Дмитрий, за эти деньги вы должны быть сами DLP-системой!
Все были в шоке: я был в шоке, подчиненные в шоке, директор департамента в шоке. В итоге, несмотря на полную аргументацию со стороны СИБа (Директор Систем Информационной Безопасности), поддержку заместителей и Дета — протолкнуть это решение не удалось. Эту организацию я потом покинул и как раз таки переехал в Москву.
Реалии отдела безопасности в корпорации: совет директоров не дает денег на информационную защиту, пока не взломают. А когда данные утекут — все претензии будут к тебе, потому что «не предпринял», «не сделал вовремя».
Мир Digital финансов
Если вам интересна финансовая разработка, внутрянка финтех-танков и особые гости, которые редко выходят из закулисья — подписывайтесь на наш телеграм-канал Kotelov digital finance.
В канале мы постоянно анонсим новые подкасты с крутыми гостями, статьи и другие новости из мира финансовой разработки. А еще Валера KOTELOV рассказывает про особенности финтех рынка с точки зрения диджитальщика.
