Бизнес-партнёр по информационной безопасности: взгляд изнутри
В этой статье я опишу роль бизнес-партнёра по информационной безопасности (БП ИБ) и мой опыт работы в этой роли. Сегодня она относительно непопулярна на рынке, но её значимость начинает расти, причём как в России, так и за границей (там это называется Business Information Security Officer — BISO). Сразу подчеркну, что всё сказанное здесь основывается на моём видении и опыте, и может отличаться от практик, принятых в других компаниях.
Немного о себе: я работаю в качестве БП ИБ в Ozon Tech, до этого была инженером и архитектором по информационной безопасности, а также сетевым инженером и архитектором. Сертифицирована по CompTIA Security+ и ISC2 CISSP.
Термины и сокращения
ИБ — информационная безопасность.
ИТ — информационные технологии.
БП — бизнес-партнёр.
CISO — Chief Information Security Officer, директор по информационной безопасности.
BISO — Business Information Security Officer, бизнес-партнёр по информационной безопасности.
ПМ — project-менеджер, менеджер по проектам.
Функционал
ИБ БП отвечает за улучшение информационной безопасности в отдельно взятом бизнес-направлении. Точнее, он решает все вопросы, которые касаются ИБ в его зоне ответственности. БП ИБ зачастую называют MiniCISO, потому что по виду деятельности они очень схожи. Основное отличие заключается в масштабе: CISO отвечает за ИБ во всей организации, что скорее причисляет эту роль к стратегическому уровню; BISO работает на тактическом уровне. Тем не менее, BISO перенимает отдельные элементы и у других позиций, о чём я расскажу ниже.
Основные направления деятельности БП ИБ:
Менеджмент: взаимодействие между различными подразделениями (в особенности с бизнесом), управление ожиданиями, реализация программ ИБ и т. д.
Аналитика: получение входных данных и их обработка для формирования выводов, влияющих на ИБ.
Архитектура: проектирование и адаптация средств, механизмов и процессов обеспечения ИБ.
При этом некоторые задачи могут быть решены полнее и глубже профильными специалистами.
Также можно выделить более узкие категории задач (перечень не исчерпывающий):
Адаптация стратегии ИБ к бизнес-процессам.
Оркестрация и консультация по вопросам ИБ.
Анализ рисков информационной безопасности.
Повышение уровня осведомлённости заинтересованных сторон.
Налаживание коммуникации между различными сторонами.
Повышение ИБ с помощью аналитики, внедрения и адаптации решений и процессов.
Предоставление обратной связи для корректировки стратегии.
Предоставление подразделению ИБ обратной связи по имеющимся документам, практикам и инструментам.
С какими заинтересованными сторонами взаимодействует БП ИБ:
Высшее руководство, как ИБ/ИТ, так и коммерческих направлений (CTO, CISO, CEO, директоры департаментов и т. д.).
Представители бизнеса среднего и низового звена, бизнес-подразделения.
Другие команды ИБ, занимающиеся профильными задачами: инфраструктурной и продуктовой защитой, безопасностью данных, compliance, SOC и т. д.
ИТ-специалисты, отвечающие за инфраструктуру (сеть, серверное оборудование, виртуализацию, контейнеризацию и т. д.) и продукты (менеджеры продукта, разработчики, тестировщики).
Иные подразделения: контроли, юристы, HR и т. д.
Внешние контрагенты: аудиторы, подрядчики, представители облачных сервисов и прочие.
Подробнее о взаимодействии я расскажу ниже.
БП ИБ отвечает за объекты на трёх уровнях:
Бизнес-подразделения, департаменты, направления и т. д.
Системы и сервисы.
Функциональные возможности и бизнес-процессы.
Основным в данном случае является бизнес, а остальные сильно от него зависят и должны рассматриваться тогда, когда вопросы ИБ так или иначе могут затронуть функционирование основных бизнес-единиц в зоне ответственности БП ИБ. Бывают пограничные ситуации, когда второй БП ИБ выступает в качестве дополнительного (консультирующего и информируемого) бизнес-партнёра (возможна и обратная ситуация).
Итоговый набор объектов определяется по сочетанию вышеописанных факторов.
Бизнес-партнёр по ИБ — это ответственное лицо информационной безопасности для отдельных представителей бизнеса, а также мостик между различными сторонами по вопросам информационной безопасности. Ни одна другая роль в ИБ не погружена настолько одновременно и в бизнес-процессы, и в вопросы безопасности.
Зачем организации нужен ИБ БП?
Бизнес-партнёр по информационной безопасности выступает посредником между различными командами, являясь, с одной стороны, входной точкой для всех, а с другой — принимая на себя ответственность за состояние и реализацию мер ИБ в его зоне ответственности. Без БП ИБ (либо другого схожего сотрудника) коммуникации между различными сторонами, как и вышеупомянутая ответственность, более хаотичны.
Эту роль могут перехватить другие представители: CISO, менеджеры по кибербезопасности, проект-менеджеры, архитекторы, аналитики и т. д., но тогда либо начнётся перетягивание одеяла в пользу какого-то одного направления и размывание обязанностей, либо огромный перечень обязанностей взвалят на одного человека (как в случае с CISO).
Второй вариант вполне жизнеспособен в небольших организациях, однако при расширении компании у CISO возникает потребность в делегировании полномочий тем сотрудникам, которые смогут более точечно решать вопросы ИБ, что подводит нас к роли бизнес-партнёра по информационной безопасности.
Пара примеров кейсов (подробности опущены ради сохранения конфиденциальности):
1. Для внедрения технологии X, прорабатываемой одной из команд в рамках политики по ИБ, требовалось учесть специфику возможных проблем на стороне бизнеса в связи с её запуском. Бизнес-партнёр по ИБ:
Обсудил с заинтересованными сторонами целесообразность внедрения этой технологии.
Проанализировал возможные нюансы со стороны бизнеса (ограничения в процессах) и способы их решения.
Подготовил вспомогательные инструменты (аналитика, инструменты SOC) для подготовки к внедрению решения.
Обеспечил взаимодействие между бизнес-подразделением и целевой командой, в том числе для обсуждения опасений со стороны бизнеса.
Собрал метрики готовности к полноценному переходу к целевому решению.
Результат: бизнес-подразделение готово к внедрению решения; БП ИБ отвечает за решение возникающих проблем и может подключать к этому коллег.
2. В результате инцидента потребовалось сократить количество и уровень доступов к системе. Для этого БП ИБ:
Проанализировал бизнес-процессы и возможность ограничить доступы без значительного ущерба для них.
Подготовил варианты решения, согласованные в тесном взаимодействии с бизнесом.
Составил для команды разработки техническое задание на проектирование.
Поставил задачу на проведение изменений и курировал её выполнение.
Проанализировал результаты внедрения.
Результат: количество и уровень доступов сокращён с минимальным ущербом для процессов, бизнес-подразделение знает об изменениях, они согласованы с заинтересованными сторонами от бизнеса.
Компетенции
Чем должен обладать BISO (список не исчерпывающий):
Широким кругозором в ИБ: стратегия, управление рисками, нормативное соответствие, продуктовая и инфраструктурная безопасность, выявление и реагирование на инциденты и т. д.
Углубленными знаниями в ИБ в зависимости от специфики бизнеса, используемых технологий, требований законодательства.
Широким кругозором в ИТ.
Знанием особенностей рыночных вертикалей (отраслей), основных проблем, бизнес-процессов и т. д.
Умением управлять проектами и рисками.
Системным, структурированным подходом к решению задач.
Способностью рассматривать задачи на разных уровнях: стратегическом, тактическом, операционном.
И поскольку он одновременно работает и с техническими специалистами, и с представителями бизнеса, БП ИБ нужны развитые социальные навыки, в том числе презентации, и умение переводить с технического языка на бизнес-язык и наоборот.
Отличия от других ролей
Я составила ориентировочную таблицу с основными векторами работы в нескольких должностях. Они могут в той или иной степени перенимать друг у друга обязанности, поэтому ниже я расскажу о приоритетных направлениях.
Бизнес-партнёр по ИБ | Менеджер по кибербезопасности | Архитектор ИБ | Проектный менеджер | |
Основная задача | Решение проблем бизнеса в ИБ, встраивание ИБ в бизнеса-процессы | Внедрение и тестирование решений и процессов ИБ | Формулирование требований и проектирование решений | Проектная деятельность, курирование внедрений |
Технические компетенции | Средние | Высокие | Высокие | Низкие |
Кругозор | Широкий и поверхностный | Средний и глубокий | Средний и глубокий | Средний и поверхностный |
Погружение в бизнес | Высокое | Среднее | Низкое | Среднее |
Участие в стратегических активностях | Среднее | Высокое | Среднее | Среднее |
Менеджер по кибербезопасности
Cybersecurity (Information security) Manager — самая близкая к BISO роль (за исключением CISO), однако между ними есть некоторые различия:
Менеджер сосредоточен на технически более узкой реализации технологий и процессов, без глубокого погружения в бизнес-процессы, а БП решает любые вопросов, связанных с ИБ.
Менеджер занимается внедрением и применением общекорпоративных стратегическихрешений, в то время как БП сосредоточен на тактическом использовании практик ИБ с учётом специфики бизнеса, но при этом может быть также включен в стратегические активности.
Менеджер является, скорее, человеком от ИБ, хоть и должен понимать значимость бизнес-факторов. БП находится посредине между этими сферами.
Архитектор
Можно найти некоторую схожесть с архитектором по ИБ, а различия вот в чём:
Архитектор сосредоточен на технических вопросах и предоставлении технических решений (архитектур) заказчику, в то время как БП уделяет этому меньше внимания, отдавая предпочтение процессам и рискам конкретных бизнес-направлений.
Архитектор, как правило, сильнее погружается в конкретные области ИБ, в то время как БП работает более поверхностно, но охватывает больше тематических областей.
Менеджер по проектам
По виду деятельности возникают пересечения и с проект-менеджером (ПМ). Чем они различаются:
ПМ меньше сосредоточен на технических вопросах.
ПМ больше сосредоточен на управлении задачами, представлении результатов, решению формальностей.
Работа ПМа больше нацелена на формализацию и структуризацию, БП ИБ глубже погружается в свой сегмент, в том числе в бизнес-процессы.
Взаимодействие с заинтересованными сторонами
Входящие коммуникации
Ниже описаны типовые вопросы, с которыми к ИБ БП обращаются заинтересованные стороны:
Сторона взаимодействия | Вопросы | Пример |
Топ-менеджмент | Состояние ИБ (или конкретных задач) во вверенном бизнес-подразделении, а также стратегические вопросы развития ИБ в компании | Оценить метрики успешности защиты информации в бизнес-подразделении |
Бизнес | Решение проблем и согласование вопросов ИБ по текущим или планируемым проектам, операционные и консультационные вопросы | Оценить риски в изменяемом бизнес-процессе, предложить решение |
Другие команды ИБ | Вопросы внедрения мер, средств и процессов ИБ во вверенном бизнес-подразделении, а также участие в расследованиях инцидентов (форензика) | Уточнить влияние на бизнес-подразделение глобально внедряемого решения, минимизировать возможное негативное влияние |
Информационные технологии | Согласование и поддержка изменений по вопросам ИТ-инфраструктуры и разработки | Согласовать изменения в целевой системе с точки зрения рисков ИБ |
Иные подразделения | Аудит и решение спорных ситуаций, связанных с ИБ | Синхронизироваться с бизнес-подразделением по вопросам предъявляемых ИТ-контролями требований |
Внешние контрагенты / третьи стороны | Согласование и получение доступов в систему, уточнение compliance-вопросов | Согласовать предоставления доступа для анализа защищённости |
Исходящие коммуникации
Типовые вопросы, с которыми ИБ БП обращается к заинтересованным сторонам:
Сторона взаимодействия | Вопросы | Пример |
Топ-менеджмент | Обсуждение задач, а также развитие ИБ и бизнес-стратегии компании в целом | Обсудить критические риска, затрагивающие бизнес-подразделение |
Бизнес | Внедрение новых решений по ИБ, синхронизация текущих проблем и процессов в бизнес-подразделении | Собрать исходные данные для внедрения решения по ИБ и минимизации рисков |
Другие команды ИБ | Экспертиза по решениям, а также запрос на участие в профильных активностях по ИБ в бизнес-подразделении | Уточнить наличие решения для безопасной реализации нового бизнес-процесса |
Информационные технологии | Уточнение вопросов технической реализации и изменений в целевых системах, связанных с ИБ | Уточнить логику работы приложения в рамках проведения аудита |
Иные подразделения | Согласование активностей и экспертиза по целевым вопросам | Уточнить ИТ-риски в рамках внедряемого бизнес-процесса |
Внешние контрагенты | Передача информации для проведения аудита и других мероприятий, сбор данных и выставление требований, курирование процесса | Передать требования по ИБ подключаемому партнёру для реализации бизнес-процессов |
Карьерный путь
Мой карьерный путь к должности BISO был таким:
Техническая поддержка.
Сетевая инженерия и архитектура.
Инженерия ИБ.
Архитектура ИБ.
Бизнес-партнёрство ИБ.
К этой должности можно пойти и другим путём: из аналитики, разработки, бизнес-ролей, менеджмента и так далее. Самое главное — быть готовым развивать в себе те умения, которых не хватит, будь то технические компетенции, социальные навыки, бизнес-аналитика и т. д.
Помните, что должность БП ИБ не является начальной, в определенном роде это Executive-позиция, и прийти к ней без опыта почти невозможно. В отдельных организациях (к которым относится и Ozon) могут брать начинающих специалистов (младших ИБ БП) с профильным образованием и начальным опытом работы на других позициях, однако это, скорее, исключение, нежели правило.
Обзор рынка
Ниже представлена статистика с HH.ru и сайтов некоторых компаний по должностным обязанностям и требованиям (в том числе дающим преимущество перед другими кандидатами). Она актуальна на конец июня 2023 года. Дополнительно проанализированы некоторые позиции, закрытые весной-летом того же года. Записи с редким упоминаниями могли быть исключены из выборки. Всего рассмотрено 11 вакансий.
Должностные обязанности
Должностная обязанность | Количество вакансий с должностной обязанностью | % от общего количества рассмотренных вакансий |
Анализ бизнес-требований и технических решений, выстраивание безопасных процессов с учётом требований бизнеса и ИБ | 9 | 81,8 |
Консультирование бизнес-подразделений и других команд по вопросам ИБ | 8 | 72,7 |
Анализ рисков ИБ | 6 | 54,5 |
Постановка задач на другие команды по повышению ИБ | 6 | 54,5 |
Проработка архитектуры ИС в части ИБ | 5 | 45,5 |
Контроль выполнения требований ИБ | 5 | 45,5 |
Написание организационно-технической документации | 4 | 36,4 |
Контроль за соответствием требованиям регуляторов | 3 | 27,2 |
Повышение осведомлённости и развитие SecurityChampions | 2 | 18,1 |
Анализ новых технологий и выдача требований ИБ | 2 | 18,1 |
Чаще всего встречаются требования к анализу бизнес-процессов и работе с требованиями ИБ, а также анализу рисков. Встречаются также консультационные и контрольные мероприятия, составление документации, анализ рынка для выявления современных тенденций. Ещё раз отмечу, что этот список — лишь статистический анализ вакансий и условный ориентир для понимания, что из себя представляет позиция бизнес-партнёра по информационной безопасности.
Требования к кандидатам
Требования к сертификации и образованию описаны ниже отдельно.
Требование | Количество вакансий с требованием | % от общего количества рассмотренных вакансий |
Опыт работы в ИБ от нескольких лет | 11 | 100 |
Знание основных угроз ИБ и практик защиты от них (в том числе знание международных стандартов) | 8 | 72,7 |
Опыт проектной деятельности и выстраивания ИБ-процессов | 7 | 63,6 |
Знание российского законодательства в сфере ИБ (приказы ФСБ, ФСТЭК, федеральные законы, ГОСТ) | 6 | 54,5 |
Понимание и опыт работы с техническими системами: SIEM, IDM, EDR, DLP, WAF, NGFW, AV и другими | 5 | 45,5 |
Знание инструментов SSDLC, DevSecOps, средств контейнеризации и их защиты | 4 | 36,4 |
Коммуникативные навыки | 4 | 36,4 |
Знание принципов инфраструктурной защиты данных | 4 | 36,4 |
Знание современных архитектур приложений | 3 | 27,2 |
Обширные знания в области ИБ (в разных сферах) | 3 | 27,2 |
Опыт написания проектно-технической документации | 3 | 27,2 |
Знание Offsec-фреймворков (CWE MITRE, OWASP) | 3 | 27,2 |
Опыт работы с MS Office, Jira, Confluence | 2 | 18,1 |
Опыт аудита и анализа ИС на риски ИБ | 2 | 18,1 |
Умение искать нестандартные подходы | 2 | 18,1 |
Из них как преимущество:
Требование | Количество вакансий с требованием | % от общего количества рассмотренных вакансий |
Опыт и навыки программирования (Bash, Python, Powershell) или разработки | 3 | 27,2 |
Опыт участия в CTF-мероприятиях, Bug-bounty | 1 | 9 |
Опыт сканирований на уязвимости | 1 | 9 |
Основным требованием к кандидатам является опыт работы в ИБ, а также понимание современных угроз и практик защиты от них, регламентирующей документации, опыт работы с проектами по части выстраивания безопасных процессов в компании. Менее важным указано знание тех или иных сегментов: инфраструктурной, продуктовой защиты, инструментов SOC и так далее.
Из социальных навыков чаще всего выделяют навыки коммуникации и умение искать нестандартные подходы к возникающим вопросам и проблемам.
Образование
Требование | Колчество вакансий с требованием | % от общего количества рассмотренных вакансий |
Высшее образование в сфере ИБ или ИТ | 1 | 9 |
Высшее образование в сфере ИБ | 1 | 9 |
Высшее образование (без уточнения сферы) | 1 | 9 |
Почти ни в одной вакансии нет явного требования высшего образования, однако это не значит, что его наличие не может быть преимуществом при выборе кандидатов. Можно сделать вывод, что в связи с широкой направленностью и интеграцией с бизнес-составляющей, в некоторых ситуациях непрофильное образование (например, в сфере менеджмента) может быть также преимуществом.
Сертификации
Указаны как преимущество:
Требование | Кол-во вакансий с указанием требования | % от общего числа рассмотренных вакансий |
CRISC, CISM, CISSP, общие сертификаты | 1 | 9 |
OSCP, Offensive-сертификаты | 1 | 9 |
Ни в одной из рассмотренных вакансий нет обязательного требования сертификации. В некоторых случаях такой фактор может встречаться как потенциальное преимущество. Тем не менее, наличие сертификатов может быть полезно по следующим причинам:
Может быть важно при трудоустройстве в зарубежные компании.
Позволяет систематизировать или улучшить теоретическую базу.
Из собственного опыта выделю сертификации, которые могли бы помочь в карьере и развитии ваших компетенций:
Широкие сертификации ИБ: ISC2 CISSP, CompTIA Security+, ISC2 CC, ISACA CISM.
Более узкие сертификации ИБ: ISCAA CRISC, ISACA CISA, ISC2 CISSP-ISSAP/ISSMP.
Профильные сертификации ИБ: EC-Council CEH, OffSec OSCP, Cisco Security (в случае актуальности вендора), фреймворки.
Сертификации ИТ: Cisco, CompTIA (не Security+) и прочие.
Прочие соображения
Рассмотренные вакансии относятся в большей мере к банковской сфере.
В качестве рабочего графика приоритетным является гибридный формат или удалённая работа.
Заключение
Ещё раз подчеркну некоторые моменты:
Бизнес-партнёр по ИБ — это стык технических аспектов и бизнеса.
Должность подразумевает тесное взаимодействие со всеми сторонами на языке этих самых сторон, особенно с представителями бизнес-подразделений.
Социальные навыки важнее всего.
Будьте готовы ответить на любой вопрос и взять на себя ответственность, но не становитесь консультантом.
Эта позиция потребует и позволит вам улучшить разнообразные навыки и компетенции, весьма расширит кругозор и взгляд на устройство того или иного бизнеса.
