От ИТ к ИБ: решение для кризиса, или перспективная карьера ИТ-специалиста
По сообщению IT-daily от 4 февраля, в 2008 г. зарплаты ИТ-сотрудников значительно выросли, однако в 2009 г. эта тенденция не сохранится. Большинство специалистов прогнозирует снижение компенсаций, сокращение штата ИТ-департаментов и, как следствие, рост объема выполняемой работы. Согласно результатам опроса, проведенного информационным ресурсом Dice, 22% респондентов выражают сомнение в том, что смогут поддерживать свои навыки на таком уровне, чтобы быть «непотопляемыми». Еще 20% напрямую опасаются, что их должность будет сокращена. Далее в списке пессимистичных ожиданий следуют снижение зарплат, отмена крупных проектов и растущая нагрузка.
В этой статье мы рассмотрим переход ИТ-специалиста к работе в области информационной безопасности (ИБ) в качестве одной из лучших стратегий в кризисные времена. В данном случае «игра стоит свеч», т. е. работа в области ИБ сегодня может, как минимум, защитить специалиста от кризиса, а вообще способна дать ему намного больше. Мы также покажем, каким путем следует идти для этого специалисту, рассмотрим необходимые знания и навыки, подготовку и сертификацию специалистов по ИБ.
Что ждет рынок ИБ
Кризис существенно не затронет рынок ИБ в 2009 г.
Так считают эксперты российской компании InfoWatch, уже семь лет работающей в области систем обеспечения ИБ и защиты данных. В их прогнозе, опубликованном в конце января, говорится, что на 2009 г. при вероятном снижении доходов рынка ИТ в целом в сегменте ИБ прогнозируется стабильный спрос на продукты и услуги. По мнению Ильи Шабанова, руководителя аналитического центра InfoWatch, в период кризиса серьезно увеличивается важность ИБ для бизнеса, так как возрастает совокупная стоимость утечки или потери информации. «Например, в текущих условиях утечка важных данных может не просто подкосить финансовую устойчивость бизнеса, но и поставить под вопрос его существование в принципе. Наиболее грамотные управленцы это прекрасно понимают», — отмечает эксперт.
С этим прогнозом аналитиков InfoWatch согласны и многие международные эксперты. Так, согласно недавно опубликованному отчету IDC (Worldwide Security Products 2008–2012 Forecast: Postcrisis), несмотря на финансовый кризис 2008 г., продукты сегмента информационной безопасности показали хорошие результаты продаж. «В 2009 году IDC прогнозирует более стабильный спрос на продукты ИБ, чем на другие ИТ-решения, прежде всего в связи с требованиями регуляторов и бизнес-рисками. Наш исследовательский отчет продолжает регистрировать устойчивые инвестиции потребителей в растущие отрасли, такие как услуги Hosted Security и виртуализация, — комментирует Браян Бюрк, директор IDC по программным продуктам в области ИБ. – Более того, недавнее исследование IDC, посвященное экономическому спаду, показало, что безопасность – наименее подверженная сужению отрасль в условиях текущего экономического кризиса».
Российский бизнес не собирается существенно сокращать бюджеты на ИБ
Консалтинговое бюро «Практика безопасности» и портал SecurityLab в прошлом году представили результаты исследования, посвященного положению дел в отрасли ИБ в момент экономического спада и тотального сокращения расходов. Опрос проводился с 16 по 30 декабря 2008 г. и основан на ответах 330 представителей малого, среднего и крупного бизнеса (в равных долях). Как оказалось, даже при столь неблагоприятном климате на рынке важность ИБ не вызывает сомнений. Примерно половина (50,6%) участников исследования считает, что защита корпоративных секретов всегда остается первоочередной задачей, а 22,7% респондентов заявили, что укрепление ИБ особенно важно в кризисные времена для повышения конкурентоспособности. Только 5,2% специалистов считают, что сэкономить можно и на безопасности.
Как ожидается, финансирование будет выделяться прежде всего на ИБ-проекты с быстрой и очевидной отдачей. Особую роль будет играть профессионализм и оперативность внедренцев ИБ-решений. Несмотря на тотальное сокращение расходов, отдать ИБ на аутсорсинг готовы только в 5,5% компаний. Несмотря на непростую для некоторых компаний ситуацию, перспективы развития отрасли ИБ в России достаточно оптимистичны, утверждают специалисты «Практики безопасности». Скорее всего, отдельные компании, в том числе и работающие в сфере ИБ, вынуждены будут уйти с рынка. Однако их сотрудники не останутся на улице и будут «подобраны» выжившими игроками. В свою очередь, те, пройдя через кризис, станут только сильнее, и смогут продолжить экспансию, в том числе и на иностранные рынки.
2009-й – год возможностей для специалистов ИБ
Согласно опубликованной в декабре 2008 г. в Certification Magazine статье Карми Леви, 2009 г. может стать не провальным, а наоборот, годом определенных возможностей для специалистов по ИБ.
Бюджет по безопасности никогда не был столь критичным. Стратегии эпохи рецессии включают в себя сокращения, экономию и пережидание. Однако в области безопасности подобные стратегии приведут к катастрофе. Любой, кто думает, что на ИБ в наступившем году можно будет сэкономить, сильно рискует. Любые сокращения бюджета ИБ обернутся в лучшем случае только кажущимися сбережениями, а в худшем – подготовят основу для катастрофы.
Ландшафт рисков становится все более рискованным. Для преступников тоже наступили «трудные времена», а в результате они становятся более умелыми и изощренными. Наступивший год покажет эволюционирующие формы злонамеренного ПО, новые виды атак, сложных фишинговых афер и более широкое использование мобильных средств и возможностей Web 2.0. Их нельзя будет отразить при помощи старых методологий и инструментов, а значит, необходимо оставаться на переднем крае технологий. Преступники, безусловно, это понимают.
Вендоры ИБ более мотивированы и к общению, и к сделкам. Когда телефоны перестают звонить, вендоры внезапно становятся намного более открыты для переговоров и соглашаются на условия, которые лишь несколько месяцев назад были бы невозможны.
Тенденции в целом
Итак, согласимся с тем, что кризис отрасль ИБ переживает неплохо. Каковы же тенденции и проблемы этой отрасли? Компания Ernst & Young в своем обзоре, как обычно, в виде десяти выводов сформулировала десять ключевых тенденций отрасли.
- Защита репутации и торговой марки стала существенным фактором для ИБ.
- Несмотря на экономическое давление, организации продолжают инвестировать в ИБ.
- Международные стандарты ИБ получили большее признание и все чаще принимаются к выполнению.
- Во многих организациях ИБ пока еще не принята как стратегия.
- Безопасность персональных данных (privacy) считается сегодня приоритетом, но дела пока не следуют за словами.
- Люди остаются самым слабым звеном ИБ.
- Не уделяется должного внимания растущим рискам, исходящим от третьих сторон.
- Обеспечение непрерывности бизнеса все еще ограничивается ИТ-составляющей.
- Большинство организаций не желают отдавать ключевые функции ИБ на аутсорсинг.
- Лишь немногие компании защищают риски ИБ при помощи страхования.
Как видно, треть основных сегодняшних тенденций говорит в пользу эффективности выбора ИБ как поля деятельности специалиста. Более глубоко тенденция нехватки квалифицированного персонала отражена в предыдущем исследовании Ernst & Young под названием «Мировой рынок ИБ: деньги и люди закончились» (2007). Данное исследование, затронувшее более 1300 организаций, показало, что развитие ИБ в мировых масштабах в основном сдерживается отсутствием квалифицированных и опытных специалистов, а также нехваткой финансов на системы безопасности и недостаточной поддержкой топ-менеджмента. Около половины компаний серьезно обеспокоены доступностью опытного и тренированного персонала как в области ИТ (51%), так и в сфере ИБ (46%). Эти причины возглавляли список основных факторов, сдерживающих развитие отрасли ИБ в мире (см. рисунок). В предыдущие годы пальма первенства принадлежала беспечности пользователей (2004) и бюджетным ограничениям (2003), а нехватка специалистов стояла только на третьем месте.
Взгляд на профессию
Попробуем пояснить, что понимается под профессией «специалист по ИБ», основываясь на материале ISC2 Career Guide, опубликованном в 2006 г. консорциумом ISC2. Итак, что есть ИБ? Это удостоверенность в правильности, надежности, доступности, сохранности и безопасности всех составляющих информации и информационных систем. Под информационной системой понимается информация любого письменного, электронного или графического способа коммуникации. Основа информационной системы – разделение и обработка информации и идей. Понятие информационной системы охватывает людей, процессы, инфраструктуру, архитектуру и технические реализации.
Задача профессионалов по информационной безопасности – сделать информационную систему должным образом и адекватно защищенной путем обеспечения безопасности информационных активов: пользовательских данных, финансовой информации, критической инфраструктуры.
Говорят профессионалы
«Для организаций необходимость соблюдать нормативы и обеспечивать соответствие во многом зависит от безопасности. Требования регуляторов в этой области сегодня применяются более строго, чем десять лет назад, и охватывают все аспекты бизнеса и управления бизнесом. Компания не сможет удовлетворять этим требованиям, если не будет применять три основных принципа безопасности – конфиденциальность, целостность и доступность – для каждого актива, процесса и работника. Безопасность касается каждой стороны бизнеса, от физической безопасности до защиты передачи данных». Стюарт Хотчкисс, CISSP, глава HP Services EMEA.
«Сознание высокой ответственности за информацию клиентов имеет не только коммерческий смысл, это также и правовой вопрос. В моей компании, например, чувствительная информация включает в себя данные финансовых транзакций и другие конфиденциальные данные заказчиков и персонала, требующие высокой защиты. Каждая компания отвечает по закону за должное отношение к информации. При этом для эффективности управления рисками ИБ требуется сильная методология и правильное корпоративное управление». Майк Тодд, CISSP, Head of Security Risk & Compliance, BT Exact.
Проблемы специалистов по ИБ
О проблемах, с которыми сталкиваются специалисты по ИБ в повседневной практике, лучше всего, наверное, расскажут сами специалисты.
«Многие наиболее трудные проблемы можно сгруппировать и выразить как соответствие чему-либо – стандарту BS7799, SOX, Закону о защите данных, Закону о свободе информации и т. д., – объясняет Сарб Сембхи, CISSP, консультант по безопасности. – Однако это «соответствие чему-либо» часто становится трудной задачей из-за разницы взглядов и позиций в организации. При этом каждая точка зрения основывается на своем бюджете и на своих интересах, которые и определяют желание игнорировать, избежать или, наоборот, дать больший приоритет соответствию. Если, например, предлагаемая схема CCTV не соответствует Закону о защите данных, то организация не сможет использовать данные CCTV для судебного разбирательства, и таким образом инвестиции в оборудование становятся бессмысленными. Приходится возвращаться и заново выделять главную цель соответствия».
«Информационным технологиям свойственно избегать проблем, а бизнесу присуще движение к цели, – считает Шон Фотергилл, CISSP, EMEA Security and IT Strategist, компания Computer Associates. – Несмотря на усилия соответствовать друг другу, каждая сторона естественным образом стремится в свою «зону комфорта», причем иногда не без конфликтов. Это подобно тому, как англичанин, говоря с французом, повышает голос в заблуждении, что так его поймут лучше. Приходится понимать и переводить понятия из различных профессиональных языков для того, чтобы добиться реального взаимодействия».
Трой Лич, старший менеджер Data Security Operations из American Express, отмечает, что важно донести проблему до руководства компании. «Одна из задач, с которыми я сталкиваюсь, – говорит она, – это объяснение высшему менеджменту, в чем необходимость безопасности, каковы могут быть последствия нарушения защиты и как удостовериться в том, что для минимизации риска нарушений применены верные средства контроля и управления. Им нужно понимать, что бессмысленно закрывать дверь на замок, оставляя окна широко открытыми».
«Когда я отвечала за информационную безопасность в высшем учебном заведении, – вспоминает Анн Орибелло, старший аналитик по ИБ, – меня часто спрашивали о разрешении различных проблемных ситуаций. Наиболее трудными были, вероятно, нелегальное использование и распространение материалов, защищенных авторскими правами (ПО, музыки, фильмов и т.д.). При разработке процесса реагирования на жалобы, который не только уменьшал бы риск для учебного заведения, но и сохранял открытой вычислительную сеть организации, я сотрудничала с юридической службой и с системными администраторами. Коммуникации были главным в этом процессе: извещение жалующейся стороны, что запрос получен, контакты с людьми, которые имели нелегальные материалы на своих машинах, удаление неправомерных материалов или дезактивация их по сети, сообщение пострадавшей организации и получение от нее подтверждения, что проблема разрешена».
Чем занимаются специалисты по ИБ
В сфере информационной безопасности можно выделить следующие области компетенции.
- Системы и методология управления доступом (вход/выход в/из ИС).
- Администрирование (планирование, осуществление и оценка программ ИБ).
- Безопасность разработки систем и приложений (меры безопасности при разработке ПО).
- Проведение аудита и мониторинга (сбор информации для идентификации и реагирование на нарушения безопасности).
- Планирование непрерывности бизнеса и восстановления после чрезвычайной ситуации (непрерывный доступ к критическим данным систем).
- Криптография (кодирование и декодирование данных и сообщений).
- Законодательство, расследования и этика (законы о компьютерных преступлениях, регулирование и этика).
- Злонамеренное ПО (меры противодействия и методы предотвращения атак вирусов, червей и других форм противоправного кода).
- Безопасность операций (средства контроля подлинности; проведение аудита и мониторинга данных средств и механизмов).
- Физическая безопасность (обеспечение физического доступа к системам только тех, кому это необходимо).
- Риски, реагирование и восстановление (процессы идентификации, измерения и контроля потерь).
- Архитектура и модели безопасности (построение инфраструктуры безопасности организации в комплексе).
- Методики управления безопасностью (идентификация информационных активов и разработка политик и процедур).
- Безопасность телекоммуникаций и сетей (обеспечение безопасности посредством управления удаленным доступом, доступностью сети, архитектур межсетевых экранов, VPN, сетевого взаимодействия, устройств ЛВС и т.д.).
Типичные должности специалистов по ИБ:
- аудитор безопасности;
- специалист по безопасности;
- консультант по безопасности;
- администратор защиты;
- инженер/аналитик по безопасности;
- менеджер Web-безопасности;
- директор/менеджер по безопасности;
- главный офицер по защите личных данных;
- главный офицер по рискам;
- главный офицер по безопасности (Chief information security Officer, CISO).
Специалисты по ИБ работают практически во всех отраслях современной экономики. Это сфера профессиональных услуг (недвижимость, консалтинг, юриспруденция, разработка), государственные учреждения (национальные, региональные и местные), ИТ и телекоммуникации, банковская и финансовая сфера, страхование, производство, оборона, коммунальные услуги, здравоохранение, образование.
Большинство профессионалов ИБ занято в компаниях, оказывающих профессиональные услуги, государственных организациях, телекоммуникационных компаниях, банках. Однако много специалистов по ИБ работает и в других организациях различного типа и размера, в том числе в растущем количестве компаний малого бизнеса.
Что нравится специалистам по ИБ в их работе
«Лично мне особенно нравится возможность осознавать и преодолевать культурные отличия в дискуссиях, например, между европейцами и американцами, – говорит Джон Морган Саломон, независимый консультант. – Информационная безопасность есть международная проблема, и чтобы иметь общую основу в нашем подходе к ней, мы должны осознавать, как и чем отличаемся».
«Я получаю удовольствие от того, что делаю, так что мои «устремления на будущее» представляются как «больше того же самого». Позиция менеджера по рискам ИБ в Центре исследования рака является первостепенной, и это мне очень нравится», – так считает Брайан Шортен, CISSP, Information Systems Risk Manager, Cancer Research UK.
«Я люблю бизнес-аспекты своей работы, и мне нравится быть более чем просто «специалистом по технологии». То есть мне нравится помогать бизнес-специалистам понять, как связаны конкретные части ИТ с их миром и как эти ИТ-части могут помочь в бизнесе, – объясняет Шон Фотергилл, CISSP, EMEA Security and IT Strategist, Computer Associates. –Я получаю удовольствие, когда мне удается изменить восприятие бизнес-специалистов, уверенных, что ИБ это скучно и занудно. Мне нравится, когда есть восприятие с разных позиций, а с другой стороны, не нужно вытягивать из бизнеса бюджетирование».
«Самые интересные для меня направления моей работы – защита личной информации и безопасность бизнесов и потребителей в Интернете, – уверена Кристина Лайдлер, Security Group Manager with Microsoft Corp. – Мне нравится разрешение трудных проблем, включающих в себя широкий спектр вопросов».
Как стать профессионалом ИБ
Прежде всего для карьеры в ИБ требуется специализированное высшее, в том числе и университетское образование. Эта профессия сложилась под постоянным давлением выпускников вузов, для которых сегодня все чаще ИБ становится первым карьерным выбором. Варианты образования и требования к нему могут быть следующими. Для администратора безопасности это сертификат. Аналитику, инженеру, менеджеру или директору по безопасности необходимо высшее образование по ИТ, вычислительной технике или информационной безопасности. Для преподавателя ИБ, исследователя, ведущего разработчика желательна степень кандидата наук. Кроме того, существуют различные вендорские и вендоронезависимые сертификации.
Технические навыки, которые обязан иметь специалист по ИБ:
- знание политик ИБ, способность их выполнять и проводить мониторинг выполнения;
- знание сетей и протоколов безопасности;
- знание ПО для защиты и его применения;
- знакомство с методикой разработки процедур и инфраструктуры безопасности;
- разработка и документирование политик ИБ.
Навыки: мнение профессионала
«Я являюсь риск-менеджером, и моя главная задача – руководство (в вопросе соответствия нормативам) департаментом платежей и департаментом электронных услуг компании. Я должен быть способен воздействовать на персонал, занятый в обработке наличности, в сетевом банкинге (включая мобильный), в карточных системах и платежных услугах для индивидуальных и корпоративных клиентов. Как менеджер по рискам, я должен уметь использовать бизнес-подход при оценке и разработке политики информационной безопасности и политики непрерывности бизнеса, при этом увязывая их с каналами, снабжением и разработкой продуктов». Кари Оксанен, CISSP, Director of Risk Management, Electronic Banking Nordea.
«Я должен обеспечивать выполнение лучшей ИТ-практики и методологии как внутри компании, так и для услуг, переданных на аутсорсинг. Я должен уметь оценивать риски, осуществлять политики и вести контроль качества для приложений, инфраструктуры и решений по непрерывности бизнеса, в том числе и для привлекаемых на основе аутсорсинга групп поддержки пользователей». Паскаль Бо, CISSP, Security & Quality Manager, IS/IT Department, Philip Morris France SAS.
Кроме того, необходим ряд общих навыков и способностей. Прежде всего это сильные аналитические навыки. Далее, специалист должен быть способен эффективно действовать в качестве члена команды. Ему потребуются сильные навыки в области управления проектами (способность управлять проектом с пониманием его составляющих и того, как они влияют на проект в целом) и умение одновременно управлять несколькими различными задачами.
Кроме того, специалист по ИБ должен уметь взаимодействовать с людьми на самых разных уровнях. Не лишними будут навыки межличностного взаимодействия и конфликт-менеджмента (особенно если стремиться стать руководителем службы ИБ). Потребуется и способность эффективно доносить концепции и вопросы ИБ до широкого круга как технического, так и нетехнического персонала, отличные навыки устной и письменной речи, презентаций. И наконец, качества сильного лидера будут важны ему, как любому руководителю.