Oct
2019
«Я – тиран и хирург. Лечу компании от уязвимости»:
GigaCenter входит в число лучших коммерческих дата-центров Украины. Согласно стандарту TIA 942, дата-центр выстроен в соответствии уровню Tier III из возможных четырех. Отказоустойчивость дата-центра – 99,982%, допускается не более 1,5 часа простоя в год. Более высокий уровень надежности только у дата-центров уровня Tier IV, которые обычно строятся для военных организаций, аэропортов, госструктур и больших корпораций.
Мы продолжаем наш спецпроект «Хранители данных» – о тех, кто стоит за информационной безопасностью, бесперебойной работой оборудования и спокойствием клиентов дата-центра.
Героиня нашего следующего выпуска – Оксана Ригель, менеджер систем по информационной безопасности. Она рассказала о нюансах работы с командой и клиентами, правиле 30-ти секунд и трендах украинского рынка защиты данных.
О том, как быть хирургом в IT
Тот редкий случай, когда кто-то работает по профилю образования: я – специалист по организации информационной безопасности с красным дипломом «Львовской политехники».
В минуты профессиональных сложностей переживаю, что могла бы спокойно работать бухгалтером, потому что за плечами еще и экономическое образование в колледже. Еще иногда думаю, что хотела стать хирургом, спасать жизни. Но чаще всего чувствую, что нахожусь на своем месте – как специалист, личность и женщина.
Как хирург я лечила бы людей от болезней, а здесь спасаю компании от угроз, рисков, уязвимости. На мне большая ответственность, множество разноплановых задач и трудностей, но после удачных аудитов (регулярная проверка показателей информационной безопасности в компании на соответствие существующим внешним и внутренним стандартам – ред.) и публичных выступлений я понимаю, ради чего остаюсь в этой сфере.
О вызовах, которые двигают вперед
В группе компаний GigaGroup работаю чуть больше года. На предыдущем месте – в полугосударственной компании, у меня не было никаких интересных перспектив, поэтому я обновила резюме.
Тогда в онлайн-издании The Village я наткнулась на материал о GigaCenter. Он произвел на меня сильное впечатление: подумала, как было бы здорово там работать. Мысли материальны, и я попала на собеседование. После встречи с HR-менеджером и руководителем R&D-отдела осознала сложность должности, но очень быстрая обратная связь и возможность пройти независимый аудит стали аргументами в пользу этой компании.
Мне как раз не хватало вызова в жизни, а ближайший аудит планировался через 3-4 месяца – я решила, что это достойный выбор для моего развития.
За этот год мы успешно прошли второй надзорный аудит системы управления информационной безопасностью (СУИБ), множество клиентских аудитов как поставщик услуг и сервисов. Также усовершенствовали внутренние правила, политики и процедуры безопасности, внедрили механизмы многофакторной авторизации и криптографической защиты информации. Сейчас стоим практически в шаге от прохождения ресертификационного аудита СУИБ. Но самое важное – мы смогли донести сотрудникам группы компаний важность информационной безопасности. Показали, как она работает и почему зависит от каждого из нас.
О масштабе работы
Отдельной команды у меня нет. Но в пределах GigaGroup мы создали специальный комитет, который занимается вопросами информационной безопасности. Туда входят представители практически всех отделов. В ближайшее время планируем расширяться, и у меня появится помощник.
Я отвечаю за состояние информационной безопасности. Суть моей работы – получать сертификаты и контролировать, чтобы все три бизнеса группы компаний соответствовали их требованиям. Например, согласно международному стандарту ISO 27001, мы обязаны регулярно проходить надзорные аудиты и ресертификацию. Соответствие этому стандарту положительно влияет на репутацию на рынке: привлекает внимание клиентов, говорит о надежности подрядчика и его регулярном технологическом обновлении.
В каждом направлении, в котором развивается компания, должна соблюдаться внутренняя политика безопасности. Поэтому в GigaGroup я регулярно обучаю команду и новичков.
Например, новым сотрудникам я рассказываю, насколько наша компания сильна в сфере информационной безопасности, какие аттестаты и сертификаты мы получили и поддерживаем. Объясняю, как обращаться с информацией с ограниченным доступом, как придумывать стойкие пароли, что делать, если пришло фишинговое письмо и т.д. Обязательно напоминаю о последствиях и ответственности, которую несет каждый из нас, если что-нибудь произойдет.
О сути информационной безопасности
Зачастую большинство проломов безопасности, которые случаются в той или иной компании, – это последствия невнимательности команды. И лишь малая доля – технические недоработки.
По моему мнению, система информационной безопасности – это «микс» технологий и критического мышления. Золотое правило, которым я пользуюсь и всегда озвучиваю коллегам: «Подумай 30 секунд, прежде чем перейти по незнакомой ссылке». Безопаснее потратить полминуты на анализ ресурса, оценить, насколько он надежный. Это можно сравнить с покупками: мы не приобретаем товар сразу, а сначала присматриваемся и только потом принимаем решение.
К слову, нам часто приходится просвещать в вопросах информационной безопасности и наших клиентов. Однажды я беспрерывно в течение трех часов общалась с заказчиком, рассказывая ему построении комплексной системы защиты информации. Через три месяца мы снова на связи: он советовался со мной, как нанять грамотного менеджера в этой сфере.
О безопасных компромиссах
Понимание потребностей бизнеса и команды для менеджера по информационной безопасности – очень интересный и спорный момент. С одной стороны, чем строже политика безопасности в компании, тем лучше. Но с другой – если запретить все, то бизнес не сможет работать.
Нужно находить компромисс. Я всегда сначала исследую, что необходимо коллегам для эффективной и комфортной работы, какие требования руководства, и только потом начинаю эксперименты по внедрению всех пожеланий и требований стандартов.
К примеру, мы разрабатывали политику чистого виртуального стола. Желание руководства – чтобы все было скрыто и запрещено, а коллеги хотели простоты и возможности совместно работать с документами. Мы протестировали несколько решений и выбрали оптимальное по безопасности и удобству.
О помощи коллег
Львиная доля моей работы связана с составлением документов. В то же время одно из моих профессиональных открытий – в сфере информационной безопасности все не так, как планируется, или должно быть по бумагам. Разговоры с внешними аудиторами, коллегами по форумам или в офисе помогают мне понять, какие действия и алгоритмы будут реально рабочими, эффективными и одновременно безопасными.
Однажды мы проводили внешний аудит, и мне указали на слишком сложную процедуру оценки и обработки рисков информационной безопасности. Из-за этого ее было трудно объяснить коллегам и аудиторам. Я разработала свою шкалу оценки, но так сильно боялась ошибиться, что чересчур подстраховалась. Аудитор же подсказал, как можно сделать проще и удобнее для всех. Такие советы – мое подспорье в профессиональном росте.
О сопротивлении и командной работе
За пару месяцев до аудита во мне включается внутренний тиран: меня это не пугает, ведь в сфере безопасности нужно быть строгим и четким (улыбается).
В такие периоды нежелание коллектива понимать причину тех или иных решений не останавливает меня от проведения подготовительных работ. Например, я встретила сопротивление при реализации шифрования рабочих станций, когда появилась необходимость вводить дополнительный пароль. Однако спустя несколько месяцев требование стало привычным, и жалобы прекратились.
Если говорить о командной работе, то технические специалисты GigaGroup – самостоятельные личности, которые не требуют постоянного надзора и указаний. Они заинтересованы в профессиональном развитии в сфере безопасности, отлично разбираются в этих вопросах. Например, если первые фишинговые письма (email с вирусными кодами – ред.) мы разбирали вместе до последнего символа, то за год совместной работы с системными администраторами мы научились доверять друг другу и реагировать на инциденты без огласки и паники.
О роботизации и человеческой ответственности
Написание политики безопасности и внутренних процедур можно автоматизировать на 90%. Например, уже сейчас существуют программы, которые генерируют стандартные шаблоны политик в соответствии с заданными параметрами, или аналитические сервисы для оценки рисков, реагирования на инциденты.
Остальные 10%– исключительно в зоне ответственности специалиста по безопасности. Это своеобразный надзиратель в компании, учитель, который корректирует и направляет. Такой человек постоянно просит коллег блокировать экраны на перерывах, менять пароли, не подключаться к неопознанным Wi-Fi точкам, не открывать подозрительные письма, не пускать чужих на территорию, не рассказывать в публичных местах о рабочих кейсах, особенно дорогостоящих сделках и т.д.
В моей практике встречались компании, которые отказывались менять пароли, потому что коллективу было бы сложно их запомнить, где не блокировали экраны из-за нажатия двух лишних клавиш. А чтобы обеспечить высокий уровень безопасности нужна и двухфакторная авторизация, и защита персональных телефонов.
Эти неудобства с лихвой компенсируются стабильностью в ежедневной работе и стойкостью во время атак. Так, в ленте новостей о США и ЕС много примеров, как компаниям приходится расплачиваться за халатность или принуждать сотрудников к выплатам огромных штрафов из-за нарушения внутренних правил безопасности (например, случайное разглашение бизнес-секретов). В Украине пока такого нет, но рынок быстро набирает обороты. Благодаря растущему интересу зарубежных компаний и инвесторов всего через несколько лет похожие ситуации будут случаться и у нас.
О том, как измерить качество работы
Мы измеряем качество нашей работы количеством сертификатов, подписанных контрактов, довольных клиентов. Последние могут быть уверены, что получают исчерпывающую информацию о том, как построена и работает наша защита.
Счастливые заказчики – доказательство того, что мы придерживаемся написанных регламентов, своевременно оптимизируем процессы и готовы к любым неожиданностям.
О трендах в безопасности
Основной тренд – это миграция в «облака». Облачный провайдер берет на себя все обязанности по организации доступности, конфиденциальности и целостности сервиса. Сейчас проще и дешевле отдать информационную безопасность на аутсорс, чем держать у себя соответствующий персонал на случай атак.
Еще один тренд для больших компаний – внедрение SIEM-систем (Security Information and Event Management). Это программное обеспечение, которое объединяет в один комплекс защиту на уровне программ, девайсов и периметров. Эти системы сложно внедрять и подстраивать под свою инфраструктуру, но результат того стоит. Так появляется возможность отследить абсолютно все, что происходит в компании и предупредить атаку.
Об инвестициях с неочевидным результатом
К сожалению, многие украинские компании не понимают, что игнорирование законов информационной безопасности может стоить в будущем больших денег, нервов и времени.
Вложения в профильных специалистов, SIEM-системы, сертификаты, защиту от DDOS-атак и прочие затраты на информационную безопасность кажутся непонятными до того момента, пока не столкнешься с потерями. До этого деньги, по мнению многих бизнесменов, инвестируются «в никуда». Почему-то топы компаний не связывают, что неудачная атака или сохранность данных – это результат установки нового антивируса или покупки лицензионного программного обеспечения.
В моей практике есть пример компании, которая две недели восстанавливала работоспособность после вируса Petya. До этого компания работала по принципу – «нет жалоб от клиентов, значит, все хорошо».
Они не делали бэкапы, не тратили время и ресурсы на защиту. Но когда база данных клиентов, данные об оплате и услугах, которые им предоставлялись, оказались зашифрованными, то руководители компании задумались о безопасности. После атаки они стали вкладывать в свою инфраструктуру, так как были не готовы снова потерять столько же денег.
А информационная безопасность для тех, кто продает IT-сервис, – вообще одна из важнейших составляющих бизнеса. Если такая компания пострадает, к примеру, от DDOS-атак – это будет очень громким инцидентом на рынке. Поэтому для внедрения дорогостоящего решения в сфере безопасности в GigaGroup у меня есть железный аргумент: «Есть стандарт, и он требует!».
О мотивации к развитию
Со времен университета меня подстегивает мысль: «Разве ты зря училась столько лет? Попробуй!». Я постоянно ищу новый опыт, прохожу сертификации и стремлюсь к международному признанию. Мои амбиции помогают фокусироваться на достижении статуса аудитора и возможности поработать на зарубежном рынке.
Еще меня мотивирует мой муж: он владеет кофейней, и мы вместе исследуем кофейную сферу, миксологию, бартендерство.
Много путешествуем. Стараюсь вырваться на несколько дней каждые 2-3 месяца. В поездках отрываюсь от домашней и рабочей рутины. Это помогает мне увидеть все с другой стороны, даже такие регламентированные вопросы как политика доступа и составление документации (улыбается).
То, как я меняюсь во время путешествий, заметно даже по моей офисной рассылке. До поездки я пишу официальным языком, использую безэмоциональную аргументацию, а после – у меня более неформальный стиль. Я понимаю, чем легче я пишу, тем проще коллеги воспринимают меня и мои политики. Мне это очень нравится.
Ваш комментарий