Что за зверь Security Champion?

Автор: Ева Беляева, руководитель Отдела развития Security Vision

Кто это такой

Многие процессы, статьи и корпоративные легенды апеллируют к понятию Security Champion, иногда утверждая, что человек с такой ролью способен сделать невозможное (как говорили и мы в статье о противостоянии разработки и безопасности). Но кто же на самом деле скрывается за этим понятием, какие задачи решает и каков в целом смысл его существования?

В разных местах по-разному, но если поискать определение среди международных ресурсов, можно сильно удивиться, узнав, что Security Champion – это гордое звание одного или нескольких людей, гордо несущих знамя информационной безопасности в компании. То есть, грубо говоря, это такая доступная и приятная каждому сотруднику точка входа в безопасность, процессы и практики внутри компании; спектр задач таких специалистов, оказывается, очень широк – от рисков до комплаенса, от фишинговых писем до безопасной разработки.

А у нас не так?

Разница подходов

У нас не так. Если говорить кратко, то в наших реалиях как будто взяли и адаптировали один из возможных векторов роли Security Champion’a. А потом еще и переделали положение такой роли внутри компании, цели, задачи... Разберемся предметно, что сходится, а в чем проявляются различия.

Вне наших реалий: чемпионом становится или сразу безопасник, или абсолютно любой специалист, текущая позиция которого вкупе со скиллами по информационной безопасности могут поставить его сразу в несколько позиций: ментора, лидера, своеобразного бюро вопросов и ответов, поместить его в среду разработчиков, примерить на себя роль риск-менеджера, нести в массы постулаты комплаенса, и, наконец, проливать свет на ИБ в компании, что называлось модным когда-то словом awareness.

Удивительно при этом то, что существует масса компаний, в которых чемпион – это кто угодно, кроме сотрудника с четко определенными обязанностями и выделенной должностью. Получается так, что такой сотрудник – это скорее покемон, который играет роли в компании от маскота до духовного наставника и штатного психолога в одном лице. Чемпион – тот, которому доверяют все и не стесняются задать вопрос по ИБ без страха быть осмеянными. Такой специалист должен гореть именно безопасностью и по зову сердца делаться своими знаниями с другими.

У нас, мягко говоря, такое вовсе не принято. В наших реалиях термин Security Champion обычно прочно ассоциирован с разработкой. И если вы спросите у компаний, кто у них является чемпионом, вам скорее представят или application security специалиста, сведущего в безопасной разработке, или очень подкованного разработчика в вопросах ИБ. Спектр возможностей нашего чемпиона также отличается широтой: от безопасной разработки до разработки безопасного ПО.

А у кого как у нас?

Что интересно, например, у Adobe или ABBYY чемпион также встроен только в команду разработки и не встречается в других процессах внутри компании. На этом пока всё.

Чем же такие люди должны заниматься официально?

Навыки и задачи

Рассмотрим подробнее навыки, бегло перечисленные ранее. Чаще всего в круг официально-неофициальных (об этом чуть позднее) задач чемпиона могут входить: проведение тренингов, обучение, ответы на вопросы и отдельные киберучения. Чаще всего это идет в связке регулярных проверок и тренинг-сессий на реакцию сотрудников в конктексте фишинга и вредоносного ПО. Реже упоминается разработка, но она также присутствует в списке. Принято считать, что, когда бухгалтеру или маркетологу есть, с кем посоветоваться, они реже нажимают, куда попало, чаще советуются и задаются вопросами информационной безопасности в контексте своей привычной деятельности.

В природе это называют механизмом incidents prevention, снижением рисков и другими красивыми словами.

Навыки чемпиона должны обеспечить интеграцию ИБ во все аспекты процессов и культуры компании, подготовить ее к возможным угрозам. Постоянное общение чемпиона с сотрудниками внутри компании укореняет доверительные отношения, обсуждение конкретных инцидентов и трендов в ИБ – повышает общий уровень осведомленности.

Вопросы разнообразного характера поступают чемпиону в ходе его работы: кибергигиена, обучение, знание о новых технологиях, безопасность устройств (как рабочих, так и личных), популярные сейчас угрозы и уязвимости.

И что немаловажно: сотрудники могут обратиться именно к такому человеку, чтобы сообщить о произошедшем инциденте, анонимно и оперативно.

Именно поэтому чемпионами становятся те, кому важна ИБ в целом и кто готов на собственном примере показать, что следовать правилам – не глупо и не страшно. Со временем общение с чемпионом может приобретать неформальный характер; некоторые сотрудники советуются с «человеком, знающим про ИБ» и вне работы; иными словами, такой себе «тыжпрограммист», только «тыжчемпион».

Что немаловажно, этот человек участвует практически во всех процессах внутри компании – как ни крути, а ИБ важна везде. Маркетинг, поддержка, кадры, фронт- и бэкофис, инфраструктура – всё это нуждается в персональном консультанте, который готов прийти на помощь в любой момент.

Чаще всего чемпион упоминается в процессах риск-менеджмента: со знаниями по ИБ, которые только лишь дополняют его основной функционал, такой человек способен грамотно оценить риски не только из своей позиции, а еще и наложить их на другие практики. Он может как помочь в приоритизации рисков, так и разработать стратегии их митигации, а также внедрить ИБ-практики во все доступные ему процессы.

Такой у нас: Разработка

Звучит грустнее, чем всё предыдущее, но на самом деле не всё так однозначно печально – если это развилось так, как это существует сейчас, значит, такова потребность бизнеса. Касательно интеграции чемпиона в процесс разработки в любых реалиях мнения и цели сходятся, и это главное.

Чемпион в разработке является амбассадором лучших практик и подходов среди, как бы это ни было удивительно, разработчиков. Такому человеку известно все или почти все о последних киберугрозах в разработке, о безопасной разработке, о...

С методами и подходами в целом более-менее понятно: чемпион точно знает, как делать хорошо и как не делать плохо, как применять на практике методы безопасной разработки и даже как проводить тестирование кода; знает кое-что о пентестах, хоть раз да митигировал риски, а еще скорее всего участвовал в программе bug bounty.

Такие знания были бы бесполезными, знай их чемпион только в теории; умение пользоваться инструментариями как безопасника, так и разработчика – основные навыки. Близкое знакомство со статикой и динамикой, умение «профаззить» приложение и разметить код, корректно описать баг, зависание или даже падения, помощь в воспроизведении и иногда даже в устранении критических проблем ПО – вот ежедневные задачи на этой должности.

С такими задачами только и интегрироваться, что в процессы производства продуктов, проводя тестирования приложений, иногда даже устраивая полноценный код-ревью, а иногда даже – обучая разработчиков принципам безопасности в их сфере компетенций.

Редко, но не всегда чемпион может взаимодействовать с ИБ-командой напрямую, дабы убедиться, что дополнительные риски, связанные с выпуском ПО, также учтены. Большую часть времени такой специалист может посвятить сертификации ПО и доверенной разработке, так как данная сфера пролегает как раз на стыке ИБ и ИТ.

Место в компании

Что ж, настало время поговорить о немного странных и удивляющих нас вещах поподробнее: кем же на самом деле является «и швец, и жнец» в иностранных компаниях? Тот самый на все руки мастер, участвующий во всей «внутрянке» и готовый быть на связи 24/7, нагруженный помимо своих обязанностей еще и дополнительными совершенно... бесплатно. Возможно, это какой-то заговор или что-то вроде того, но упоминание Security Champion идет вкупе с четким указанием того, что позиция это скорее волонтерская.

Компании считают, что человек таким образом дополнительно поощряется более широким спектром обязанностей и сферой влияния, а реализовать это все спокойно можно и в нерабочее время. Даже более того, упоминалось одно интересное исследование, в ходе которого выяснилось, что если человек совмещает свои обязанности с чемпионскими больше пяти лет, то регулярные переработки становятся частью его личности, он без них более не может представить хорошей и продуктивной работы, они дают ему энергию для выполнения прямых рабочих обязанностей.

Берите на заметку: если вам хочется, чтобы кто-то бесплатно перерабатывал – просто добавьте ему на пять лет обязанностей консультирующего ИБ-психолога, результат гарантирован.

В противовес этой позиции, у нас принято иначе: чемпион – это отдельная должность, прописанная в трудовом договоре и оговоренный четко в должностной инструкции узкий круг обязанностей.

Откуда берутся чемпионы

И как получить такого чемпиона у себя в компании? На самом деле, раньше было бегло об этом упомянуто: все так или иначе стараются вырастить чемпиона у себя внутри, только если у них это все, что угодно, кроме изначально безопасности плюс скиллы безопасности, у нас присутствует вариативность.

В нашем случае берется разработчик или безопасник, добавляются скиллы по безопасности и разработке. Вуаля – есть человек, существующий между двух миров, «свой среди чужих, чужой среди своих».

И там, и здесь становление чемпиона требует от человека сочетания определенных навыков и компетенций – он должен быть хорошо подкован технически, быть лидером и грамотным управленцем (иногда), и, конечно же, «со взором горящим» и преданностью ИБ. Не будет также и лишним навык решения проблем, конфликтных и нестандартных ситуаций.

Сертификаты для такой позиции будут не лишними, хоть они и необязательны. Тот же CISSP, например, упоминается довольно часто, но далеко не во всех материалах.

То же, без чего обойтись нельзя – это намерение быть внутри трендов, постоянно актуализировать свои знания, прокачивать навыки и вносить свой вклад в ИБ в целом.