GigaCenter входить в число кращих комерційних дата-центрів України. Відповідно до стандарту TIA 942, дата-центр збудований відповідно рівню Tier III з можливих чотирьох. Відмовостійкість дата-центру - 99,982%, допускається не більше 1,5 години простою в рік. Більш високий рівень надійності тільки у дата-центрів рівня Tier IV, які зазвичай будуються для військових організацій, аеропортів, держструктур і великих корпорацій.

Ми продовжуємо наш спецпроект «Вартові даних» - розповідаємо про тих, хто стоїть за інформаційною безпекою, безперебійною роботою обладнання і спокоєм клієнтів дата-центру. Героїня нашого наступного випуску - Оксана Ригель, менеджер систем з інформаційної безпеки. Вона розповіла про нюанси в роботі з командою і клієнтами, правило 30-ти секунд і тренди українського ринку захисту даних.

Про те, як бути хірургом в IT

Той рідкісний випадок, коли хтось працює за профілем освіти: я - фахівець з організації інформаційної безпеки з червоним дипломом «Львівської політехніки».

У хвилини професійних складнощів переживаю, що могла б спокійно працювати бухгалтером, тому що за плечима маю ще й економічну освіту в коледжі. Також іноді думаю, що хотіла б стати хірургом, рятувати життя. Але найчастіше відчуваю, що перебуваю на своєму місці - як фахівець, особистість і жінка.

Як хірург я лікувала б людей від хвороб, а тут рятую компанії від загроз, ризиків та вразливостей. На мені велика відповідальність, безліч різнопланових завдань і труднощів, але після вдалих аудитів (регулярна перевірка показників інформаційної безпеки в компанії на відповідність існуючим зовнішнім і внутрішнім стандартам - ред.) і публічних виступів я розумію, заради чого залишаюся в цій сфері.

Про виклики, які дозволяють рухатися вперед

У групі компаній GigaGroup працюю трохи більше року. На попередньому місці - в напівдержавній компанії, у мене не було ніяких цікавих перспектив, тому я оновила резюме.

Тоді в онлайн-виданні The Village я натрапила на матеріал про GigaCenter. Він справив на мене сильне враження: подумала, як було б здорово там працювати. Думки матеріальні, і я потрапила на співбесіду. Після зустрічі з HR-менеджером і керівником R&D-відділу усвідомила складність посади, але дуже швидкий зворотній зв'язок і можливість пройти незалежний аудит стали аргументами на користь цієї компанії. Мені якраз не вистачало виклику в житті, а найближчий аудит планувався через 3-4 місяці - я вирішила, що це гідний вибір для мого розвитку.

За цей рік ми успішно пройшли другий наглядовий аудит системи управління інформаційною безпекою (СУІБ), безліч клієнтських аудитів як постачальник послуг і сервісів. Також вдосконалили внутрішні правила, політики і процедури безпеки, впровадили механізми багатофакторної авторизації і криптографічного захисту інформації. Зараз стоїмо практично за крок від проходження ресертифікаційного аудиту СУІБ. Але найважливіше - ми змогли донести співробітникам групи компаній важливість інформаційної безпеки. Показали, як вона працює і чому це залежить від кожного з нас.

Про масштаби роботи

Окремої команди в мене немає. Але в межах GigaGroup ми створили спеціальний комітет, який займається питаннями інформаційної безпеки. Туди входять представники практично всіх відділів. Найближчим часом плануємо розширюватися і у мене з'явиться помічник.

Я відповідаю за стан інформаційної безпеки. Суть моєї роботи - отримувати сертифікати і контролювати, щоб всі три бізнеса групи компаній відповідали їхнім вимогам. Наприклад, відповідно до міжнародного стандарту ISO 27001, ми зобов'язані регулярно проходити наглядові аудити і ресертифікацію. Відповідність цьому стандарту позитивно впливає на репутацію на ринку: привертає увагу клієнтів, говорить про надійність підрядника і його регулярне технологічне оновлення.

У кожному напрямку, в якому розвивається компанія, повинна дотримуватися внутрішня політика безпеки. Тому в GigaGroup я регулярно навчаю команду і новачків. Наприклад, новим співробітникам я розповідаю, наскільки наша компанія сильна в сфері інформаційної безпеки, які атестати і сертифікати ми отримали і підтримуємо. Пояснюю, як поводитися з інформацією з обмеженим доступом, як придумувати стійкі паролі, що робити, якщо прийшов фішинговий лист і т.д. Обов'язково нагадую про наслідки і відповідальність, яку несе кожен з нас, якщо що-небудь станеться.

Про сутність інформаційної безпеки

Найчастіше більшість проломів безпеки, які трапляються в тій чи іншій компанії, - це наслідки неуважності команди. І лише мала частка - технічні недоробки.

На мою думку, система інформаційної безпеки - це «мікс» технологій і критичного мислення. Золоте правило, яким я користуюся і завжди озвучую колегам: «Подумай 30 секунд, перш ніж перейти по незнайомому посиланню». Безпечніше витратити півхвилини на аналіз ресурсу, оцінити, наскільки він надійний. Це можна порівняти з покупками: ми не купуємо товар відразу, а спочатку придивляємося і тільки потім приймаємо рішення.

До речі, нам часто доводиться пояснювати певні аспекти інформаційної безпеки і нашим клієнтам. Одного разу я безперервно протягом трьох годин спілкувалася з замовником, розповідаючи йому побудову комплексної системи захисту інформації. Через три місяці ми знову на зв'язку: він радився зі мною, як найняти кваліфікованого менеджера в цій сфері.

Про безпечні компроміси 

Розуміння потреб бізнесу і команди для менеджера з інформаційної безпеки - дуже цікавий і спірний момент. З одного боку, чим суворіше політика безпеки в компанії, тим краще. Але з іншого - якщо заборонити все, то бізнес не зможе працювати.

Потрібно знаходити компроміс. Я завжди спочатку досліджую, що необхідно колегам для ефективної і комфортної роботи, які вимоги керівництва, і тільки потім починаю експерименти з впровадження всіх побажань і вимог стандартів. Наприклад, ми розробляли політику чистого віртуального столу. Бажання керівництва - щоб все було приховано і заборонено, а колеги хотіли простоти і можливості спільно працювати з документами. Ми протестували кілька рішень і обрали оптимальний щодо безпеки і зручності.

Про допомогу колег

Левова частка моєї роботи пов'язана зі складанням документів. У той же час одне з моїх професійних відкриттів - у сфері інформаційної безпеки все не так, як планується, або має бути за паперами. Розмови з зовнішніми аудиторами, колегами по форумам або в офісі допомагають мені зрозуміти, які дії і алгоритми будуть реально робочими, ефективними і одночасно безпечними.

Одного разу ми проводили зовнішній аудит, і мені вказали на дуже складну процедуру оцінки і обробки ризиків інформаційної безпеки. Через це її було важко пояснити колегам і аудиторам. Я розробила свою шкалу оцінки, але так сильно боялася помилитися, що надто підстрахувалась. Аудитор же підказав, як можна зробити простіше і зручніше для всіх. Такі поради - моя підмога в професійному зростанні.

Про опір і командну роботу

За пару місяців до аудиту в мені включається внутрішній тиран: мене це не лякає, адже в сфері безпеки потрібно бути суворим і чітким (посміхається).

У такі періоди небажання колективу розуміти причину тих чи інших рішень не зупиняє мене від проведення підготовчих робіт. Наприклад, я зустріла опір при реалізації шифрування робочих станцій, коли з'явилася необхідність вводити додатковий пароль. Однак через кілька місяців вимога стала звичною, і скарги припинилися.

Якщо говорити про командну роботу, то технічні фахівці GigaGroup - самостійні особистості, які не вимагають постійного нагляду і вказівок. Вони зацікавлені в професійному розвитку в сфері безпеки, відмінно розбираються в цих питаннях. Наприклад, якщо перші фішингові листи (email з вірусними кодами - ред.) Ми розбирали разом до останнього символу, то за рік спільної роботи з системними адміністраторами ми навчилися довіряти один одному і реагувати на інциденти без розголосу і паніки.

Про роботизацію та людську відповідальність

Написання політики безпеки і внутрішніх процедур можна автоматизувати на 90%. Наприклад, вже зараз існують програми, які генерують стандартні шаблони політик відповідно до заданих параметрів, або аналітичні сервіси для оцінки ризиків, реагування на інциденти.


Решта 10% - виключно в зоні відповідальності фахівця з безпеки. Це своєрідний наглядач в компанії, учитель, який коригує і спрямовує. Така людина постійно просить колег блокувати екрани на перервах, змінювати паролі, не підключатися до неопізнаних Wi-Fi точок, не відкривати підозрілі листи, не впускати чужих на територію, не розповідати в публічних місцях про робочі кейси і т.д.

У моїй практиці зустрічалися компанії, які відмовлялися змінювати паролі, тому що колективу було б складно їх запам'ятати, де не блокували екрани через натискання двох зайвих клавіш. А щоб забезпечити високий рівень безпеки потрібна і двухфакторная авторизація, і захист персональних телефонів.

Ці незручності повністю компенсуються стабільністю в щоденній роботі і стійкістю під час атак. Так, в стрічці новин про США і ЄС багато прикладів, як компаніям доводиться розплачуватися за халатність чи примушувати співробітників до виплат величезних штрафів через порушення внутрішніх правил безпеки (наприклад, випадкове розголошення бізнес-секретів). В Україні поки такого немає, але ринок швидко набирає обертів. Завдяки зростаючому інтересу зарубіжних компаній та інвесторів усього через кілька років схожі ситуації будуть траплятися і у нас.

Про те, як виміряти якість роботи

Ми вимірюємо якість нашої роботи кількістю сертифікатів, підписаних контрактів, задоволених клієнтів. Останні можуть бути впевнені, що отримують вичерпну інформацію про те, як побудован і працює наш захист.

Щасливі замовники - доказ того, що ми дотримуємося написаних регламентів, своєчасно оптимізуємо процеси і готові до будь-яких несподіванок.

Про тренди в сфері безпеки

Основний тренд - це міграція в «хмари». Хмарний провайдер бере на себе всі обов'язки по організації доступності, конфіденційності та цілісності сервісу. Зараз простіше і дешевше віддати інформаційну безпеку на аутсорс, ніж тримати у себе відповідний персонал на випадок атак.

Ще один тренд для великих компаній - впровадження SIEM-систем (Security Information and Event Management). Це програмне забезпечення, яке об'єднує в один комплекс захист на рівні програм, девайсів і периметрів. Ці системи складно впроваджувати і підлаштовувати під свою інфраструктуру, але результат того вартий. Так з'являється можливість відстежити абсолютно все, що відбувається в компанії і попередити атаку.

Про інвестиції з неочевидним результатом

На жаль, багато українських компаній не розуміють, що ігнорування законів інформаційної безпеки може коштувати в майбутньому великих грошей, нервів і часу. Інвестиції в профільних фахівців, SIEM-системи, сертифікати, захист від DDOS-атак та інші витрати на інформаційну безпеку здаються незрозумілими до того моменту, поки не зіткнешся з втратами. До цього гроші, на думку багатьох бізнесменів, інвестуються «в нікуди». Чомусь топ-менеджери компаній не пов'язують, що невдала атака або збереження даних - це результат встановлення нового антивіруса або купівлі ліцензійного програмного забезпечення.

У моїй практиці є приклад компанії, яка два тижні відновлювала працездатність після вірусу Petya. До цього компанія працювала за принципом - «немає скарг від клієнтів, значить, все добре». Вони не робили бекапи, не витрачали час і ресурси на захист. Але коли база даних клієнтів, дані про оплату і послуги, які їм надавалися, виявилися зашифрованими, то керівники компанії задумалися про безпеку. Після атаки вони стали вкладати в свою інфраструктуру, так як були не готові знову втратити стільки ж грошей.

А інформаційна безпека для тих, хто продає IT-сервіс, - взагалі одна з найважливіших складових бізнесу. Якщо така компанія постраждає, наприклад, від DDOS-атак - це буде дуже гучним інцидентом на ринку. Тому для впровадження дорогого рішення в сфері безпеки в GigaGroup у мене є залізний аргумент: «Є стандарт, і він вимагає!».

Про мотивацію до розвитку

З часів університету мене завжди підштовхує думка: «Хіба ти даремно вчилася стільки років? Спробуй! ». Я постійно шукаю новий досвід, проходжу сертифікації і прагну до міжнародного визнання. Мої амбіції допомагають фокусуватися на досягненні статусу аудитора і можливості попрацювати на зарубіжному ринку.

Ще мене мотивує мій чоловік: він володіє кав'ярнею, і ми разом досліджуємо кавову сферу, міксологію та бартендерство. Також багато подорожуємо. Намагаюся вирватися на кілька днів кожні 2-3 місяці. У поїздках відривати від домашнього і робочого рутини. Це допомагає мені побачити все з іншого боку, навіть такі регламентовані питання як політика доступу і складання документації (посміхається).

Те, як я змінююся під час подорожей, помітно навіть по моїй офісній розсилці. До поїздки я пишу офіційною мовою, використовую беземоційність та аргументацію, а після - у мене більш неформальний стиль. Я розумію, чим легше я пишу, тим простіше колеги сприймають мене і мою політику. Мені це дуже подобається.