Не уверен, что сейчас самое время для этой заметки, но с другой стороны, сейчас вообще непонятно, что будет дальше и ждать, когда все наладится можно долго. Поэтому, читая заметку, представьте, что вокруг все хорошо или скоро все будет хорошо.
В июле я уже писал о том, что сегодня сложно очертить круг знаний и навыков для специалиста по ИБ. Слишком много задач вокруг ИБ крутится — от администрирования средств ИБ и DevSecOps до психологии и управления персоналом. Но так как наша с вами область на месте не стоит и постоянно развивается, то и профессии в ней тоже появляются постоянно новые.
Но надо отметить, что на фоне последних новостей об отсрочке от мобилизации только для тех, у кого в дипломе указаны вполне определенные специальности, любая новая или смежная профессия является хоть и интересной, но рискованной. С другой стороны, это не повод, имея специальность из списка Минцифры, не попробовать расширить кругозор и не получить новые знания.
Тут в одном исследовании наткнулся на список новых профессий/ролей по ИБ, которые могут быть востребованы на современном предприятии. Причем надо отметить, что речь идет не об ИБ-компаниях, — с ними как раз все ясно. Речь именно о рядовых, но все-таки достаточно крупных организациях, в которых штат ИБ исчисляется десятками, если не сотнями сотрудников, и где специализация является в порядке вещей.
- Менеджер по маркетингу и коммуникациям. На самом деле такие должности уже есть в некоторых российских компаниях. На них возлагается достаточно широкий спектр задач, связанных с продвижением темы ИБ внутри или снаружи компании. Например, такой специалист готовит регулярные коммуникации о новых рисках, атаках и инцидентах, с которыми столкнулась компания и о которых нужно знать рядовым работникам. Причем пишутся такие сообщения простым языком, понятным целевой аудитории. Если же компания активно занимается повышением осведомленности своих клиентов (какой-нибудь банк), абонентов (оператора связи), пользователей (соцсеть), то специалист по ИБ-маркетингу или ИБ-коммуникациям (в крупных организациях я видел даже директора по маркетингу ИБ) готовит различные сообщения именно для такой аудитории и форматы этих коммуникаций могут быть также разными — от текстов до комиксов, от видеороликов до мультфильмов. Главное, не подпускать к этой теме классических ИБшников, которые сведут все к сленгу и жаргонизмам, убивающим всю идею коммуникаций, бьющих точно в цель. В данной роли знание ИБ сопрягается со знанием маркетинга, внутренних и внешних коммуникаций. И видя как сейчас почти все жертвы утечек ПДн факапят эти инциденты, заявляя, что «утечка — ложь», «утечка произошла не у них», «утечка — устаревшая», я вижу очень большую потребность в такой роли.
Я сейчас, кстати, завершаю подготовку курса для журналистов, который будет давать основы ИБ тем, кто пишет об этой теме, но не всегда обладает даже минимальным багажом знаний в этой области. Думаю, что такой курс будет полезен и начинающим специалистам по коммуникациям, которые вряд ли придут из ИБ; скорее из PR&Comm.
Также мы сейчас в Позитиве готовим руководство по взаимодействию с внешним миром в случае инцидента. Очень востребованный документ будет, как мне кажется.
- Специалист по профайлингу нарушителей. Тут все ясно из описания, но в обычных компаниях это не частая роль, так как заниматься профилированием внешних и внутренних нарушителей, выяснять возможную мотивацию совершения киберпреступлений, формирования модели нарушителя и т.п. не всегда есть время и знания. Одно дело сделать это один раз, при составлении модели угроз по требованиям ФСТЭК, и совсем другое — делать это на постоянной основе.
- Стратегический консультант. Не знаю, насколько это распространенная роль, которая еще и звучит немного странновато, но меня как-то звали на нее в одно предприятие, ставя задачу смотреть чуть шире, чем это делает погруженный в текучку CISO, не имеющий возможно взглянуть за горизонт годового планирования. Такой консультант может быть внутри ИБ и подчиняться CISO, а может быть вне ИБ и подчиняться какому-либо топ-менеджеру, выступая в роли контроллера для службы кибербезопасности. Ответственности у такого консультанта обычно никакой, но звучная должность и возможность раздавать советы направо и налево выглядят привлекательно 🙂
- vCISO. Про это явление я скоро напишу отдельную заметку, отмечу только, что это достаточно распространенная роль в последнее время на Западе и она стала приходить к нам. В данном случае мы говорим не о сотруднике в штате, а о приглашенном на долгосрочную (от полугода) работу руководителе ИБ, который раздает задачи, контролирует их исполнение, взаимодействует с руководством компании и выстраивает функцию ИБ на предприятии для достижения целей, поставленных топами. Это не консалтинг, решающий вполне приземленные задачи в рамках конкретного проекта с четкими сроками исполнения и бюджетом. И это не приглашенный админ, занимающийся настройкой МСЭ, WAF, NDR, XDR и т.п.
Главное не попасть в ловушку, когда под соусом vCISO вам впаривают какую-то лажу. Например, какой-нибудь организатор мероприятий решил заработать на новой для себя теме и превратился в сводника — продавая по часам консультации своих спикеров заказчикам. Это совсем не vCISO — это какая-то шняга.
- Менеджер по взаимодействию с поставщиками. На протяжении нескольких лет в разных отчетах, рассказывающих о сложностях управления ИБ на предприятиях, я видел число 50. Примерно столько разных решений по ИБ от такого же числа вендоров использует среднестатистическая компания. Можно, конечно, мне возразить, что это не так и решений гораздо меньше, но если вы потратите минут 10 на составление такого списка, вы поймете, что вы близки будете к этому числу. МСЭ, антивирусы (разных вендоров), EDR, XDR, WAF, сканеры уязвимостей, DLP, VPN, SIEM, SOAR, TIP, СКЗИ, электронная подпись, средства управления идентификационной информацией и MFA, PAM и AppSec… Я уже перечислил только 14 пунктов. А в том же AppSec у вас наберется минимум с десяток разных решений. А если сюда еще приплюсовать (а как иначе) поставщиков фидов, услуг MDR/MSSP, консалтеров всех мастей, обучающие центры, аудиторов и т.п… Вы точно выйдете на значение в 50 вендоров, а то и больше. И с каждым надо общаться, отслеживать даты начала и завершения контрактов, оплаты, продления и т.п.Та еще работенка. И вроде как это должны все делать закуперы, но у них по другим направлениям своих дел полно. Поэтому vendor relationship manager — это достаточно распространенная в последнее время роль на крупных предприятиях.
- HR-менеджер. С персоналом в крупных ИБ-службах ситуация еще хуже — его надо искать, нанимать на работу, обучать, удерживать, проводить тим-билдинги, помогать строить карьерные пути, поддерживать, быть жилеткой, искать ментора, организовывать стажировку внутри департамента, приглашать внешних мотивационных спикеров и тренеров, бороться с выгоранием… Умножьте это на количество работников службы ИБ и вы поймете, что обычный HR с этой работой может и не справиться или будет делать это спустя рукава, без понимания специфики ИБ. И CISO с этой работой тоже не справится — ему надо своими делами заниматься. Так что ИБшный HR в крупных компаниях тоже становится нормой.
- Юрист по ИБ. Ну тут все просто. С одной стороны, это не новая роль и все ИБшники в той или иной степени ею владеют. Однако в последнее время нормативных актов становится так много, что отслеживать их все, оценивать применимость к своей организации, разрабатывать планы внедрения и оценки соответствия, проводить обучение работников и т.п., в рамках выполнения и других задач становится невозможно. Эта функция занимает все рабочее время и требует выделенной роли. Вспомните роль уполномоченного по защите прав субъектов ПДн из ФЗ-152, который плавно перетекает в роль DPO из GDPR. Я сейчас преподаю уже на 4-м потоке по направлению защиты ПДн в высшей школе юриспруденции и администрирования ВШЭ, что говорит о большом интересе к роли прайваси-офицеров, а ведь это только одна из ветвей законодательства, которое надо соблюдать.
Хочу отметить, что каждая из 6 ролей (исключая vCISO, которая и так является внешней) может представляться и по сервисной модели внешней компанией или консультантом. Я вообще считаю, что у нас сейчас открывается очень много разных возможностей для создания новых бизнесов в ИБ. И речь не о разработке ПО — это достаточно понятный вектор развития, но выживут в нем не все, будучи съеденными или выпихнутыми с рынка более крупными игроками. А вот занять небольшие, но вполне востребованные ниши в описанных направлениях, мне кажется вполне перспективным.
Материал — супер! Не видел ранее такого «свежего» подхода к теме
Спасибо