Для управления информационной безопасностью компании необходимо организовать собственную команду специалистов. Неважно, найдете ли вы их в своей компании или где-то еще. Но вы должны их найти.

В прошлом году Дэвид Соул, исполнительный вице-президент и директор информационной службы страховой компании Zurich North America, отвлек дюжину ИТ-сотрудников от их повседневной работы для борьбы с вирусом, который атаковал сетевую защиту компании. Они отлично справились с работой, остановив дальнейшие потери, но им понадобилось на это два дня — два дня основная работа оставалась нетронутой!

Соул увеличил штат сотрудников по информационной безопасности с 12 до 18 человек главным образом за счет подготовки, реорганизации и перераспределения ИТ-специалистов.

«Хорошая безопасность означает предотвращение вирусов и атак, их своевременное обнаружение и немедленную реакцию на них, — отмечает Соул. — Если вы не создаете команду для обеспечения этого процесса, вы подвергаете свою компанию более высокому риску, связанному с последствиями внешних атак».

Фактически нет предела урону, который могут нанести злоумышленники! Многие полагают, что в подобных условиях полное безумие подключать ИТ-штат к обеспечению безопасности информации от случая к случаю. Джон Хартман, вице-президент по безопасности и корпоративным службам компании Cardinal Health, считает, что если две роли выполняются одним лицом, то бизнес-задачи отодвинут безопасность на более низкий уровень приоритетности.

Тим Митчелл, директор информационной службы компании Sarnoff, не согласен с этой точкой зрения. Он считает, что ИТ-штат может прекрасно справиться с проблемами безопасности, но сотрудники, отвечающие за безопасность, обязательно должны быть организованы в команду, в которой четко распределены обязанности и члены которой постоянно встречаются. Команда по безопасности должна оценивать слабые места в системе защиты, обнаруживать атаки, отвечать на возникающие угрозы и управлять архитектурой безопасности.

Поиск талантливых профессионалов по безопасности для выполнения этой миссии может быть весьма трудным, а альтернатива — переподготовка имеющихся ИТ-кадров, новичков в области безопасности, — дорогостоящей и длительной. (Привлечение внешних компаний для решения проблем безопасности является еще одним вариантом; но и он не лишен подводных камней.) Какой бы путь вы ни избрали, существует несколько способов повысить ваши шансы на успех.

Советы покупателям

ИТ-менеджеры, ведущие поиск талантливых, опытных специалистов по безопасности, вдруг обнаруживают, что их не так много. Разрыв между спросом на таких специалистов и предложением очень велик.

Но даже при благоприятной коньюнктуре рынка необходимо знать, как привлечь лучших специалистов. Вы можете воспользоваться следующими рекомендациями.

  • Анализируйте ваши потребности. "Ни один уважающий себя профессионал в области безопасности не хотел бы что-либо делать для компании, которая не понимает, зачем его нанимает", - говорит Ли Кушнер, генеральный директор компании L.J. Kushner and Associates, занимающейся подбором персонала по безопасности. Силами работников ИТ-службы либо консультантов определите, в каких мерах нуждается ваша компания. Но будьте готовы: помощь стоит дорого.
  • Ищите лучше. "Индустрия безопасности очень обособлена, - отмечает Кушнер, поэтому потенциальные работодатели должны знать секретные ходы, а использование специализированных кадровых агентств - лучший из них". В отличие от огромных кадровых компаний общей направленности, специализированные рекрутеры обладают глубокими и широкими контактами среди общины специалистов по безопасности. Тем ИТ-менеджерам, которые рассчитывают только на свои силы, нужно искать другие пути. Билл Бони, директор по информационной безопасности корпорации Motorola, замечает, что армия - один из лучших поставщиков специалистов по безопасности. Еще один источник - университеты, которые имеют хорошие ИТ-программы с курсами по информационной безопасности. Они могут предоставить начинающих специалистов.

Алан Паллер, директор по исследованиям в SANS Institute, профессиональной образовательной организации в области информационной безопасности, предлагает искать специалистов в компаниях-партнерах, предоставляющих услуги по безопасности: «Существует столько консультационных фирм, и так мало среди них успешных! Многие консультанты отчаянно ищут работу в реальном секторе — на предприятиях и в организациях». Бони соглашается и добавляет, что директору информационной службы целесообразно информировать своих поставщиков об открывающихся вакансиях. Узнав об этом, поставщики, сокращающие свой штат, будут рады помочь и своим сотрудникам (бывшим), и работодателям. Кроме того, прием на работу их консультантов в компании, с которыми они уже работают, создает дополнительные преимущества. «Обладая устойчивыми связями с бывшими работниками, занимающими теперь хорошие должности в вашей организации, консультирующие компании имеют дополнительные возможности для выявления нужд предприятий в области безопасности и организации новых служб», — говорит Бони.

Вы получили их. Что дальше?

После того как вы нашли нужных работников, вы должны их удержать. Инструменты, признание и зарплата являются основными стимулами.

  • Инструменты играют исключительно важную роль. Профессионалы в области безопасности стремятся стать асами - специалистами на вершине пирамиды безопасности. Использование передовых технологий позволит им почувствовать себя на пути к этому статусу. Если вы обладаете изощренной ИТ-средой, не забывайте упомянуть об этом. Среди самых желанных "игрушек" для специалистов по безопасности, по мнению Х. Майкла Боида, консультанта по персоналу, можно назвать Nessus (самый современный сканер защищенности сети), Snort (популярный инструментарий для обнаружения атак) и RAT (Router Analysis Tool, системный тестер для маршрутизаторов).
  • Пусть они почувствуют расположение к себе. Для привлечения кандидатов можно в качестве дополнительных стимулов предложить оплату переподготовки, сертификации или участия в конференциях. Специалисты по безопасности "расцветают" от признания. Но это должно быть не просто одобряющее похлопывание по плечу или "благодарность" по электронной почте - признание должно быть публичным. Хороший ход - возможность представить результаты работы на конференции, чтобы они могли получить оценку со стороны. Профессионалы в области безопасности могут потерять интерес к работе, если они не чувствуют поддержку руководства. Это, конечно, справедливо для любого работника, но в данном случае ставки и риск гораздо выше - вы работаете с людьми, имеющими самый широкий доступ к вашим системам. Поэтому ИТ-менеджеры должны поддерживать специалистов по безопасности, когда их интересы сталкиваются с интересами бизнеса.
  • Деньги имеют свой вес. Не забывайте, что зарплата специалиста по безопасности должна быть на высоком уровне. Оценить зарплату можно путем обсуждения этого вопроса со специализированными кадровыми агентствами и коллегами, которые недавно нанимали специалистов по безопасности, так как исследования по зарплате обычно отстают от действительности к моменту публикации их результатов.

Внутреннее перераспределение

Если вы по тем или иным причинам не желаете искать специалистов на открытом рынке, Паллер предлагает обратить внимание на собственных системных и сетевых администраторов. Они обладают отличными техническими навыками и, возможно, хорошим (хотя и не столь упорядоченным) знанием концепций и вопросов безопасности. Скорее всего, им уже приходилось заниматься отдельными проблемами безопасности (как часть их ИТ-обязанностей). Подумайте о переподготовке, чтобы они могли стать настоящими профессионалами. Но с чего начать?

Во-первых, найдите добровольцев. Бони, который создал почти всю свою команду по безопасности, перераспределив ИТ-персонал, замечает, что этот способ оказался для него наиболее эффективным: «Нужные люди просто вышли из тени».

При отборе кандидатов обращайте внимание не только на технические навыки. Проверьте этичность и честность сотрудников, а также навыки межличностных отношений. Вам необходим человек, который будет разрешать коллизии, возникающие между бизнес-потребностями и требованиями безопасности. «Человек, стремящийся к сотрудничеству с другими, поймет потребности бизнеса и найдет компромиссное решение», — отмечает Хартман из Cardinal Health.

Когда вы определите лучших кандидатов, обучите их. По крайней мере, они должны получить подготовку по общим вопросам безопасности, таким как сетевая безопасность и оценка безопасности, а затем — по более узким, например по администрированию межсетевых экранов и обнаружению атак. Существует несколько способов их подготовки, включая следующие.

  • Используйте консультантов для подготовки вашего персонала. Подготовка новых специалистов по безопасности может занять несколько месяцев. Кто-то должен позаботиться о ваших потребностях в безопасности в переходный период, и это наверняка будут консультанты. Эта же компания может дать отличное образование вашим специалистам. Подобная подготовка выгодна, и большинство компаний будут рады включить ее в контракт.
  • Предложите сертификационные курсы. Эксперты часто отмечают, что сертификация не столь необходима для профессионалов в области безопасности, как опыт и навыки. Тем не менее направление вашего штата на прохождение сертификационных курсов имеет определенную ценность и не будет дорого стоить.
  • Постарайтесь, чтобы поставщики проводили обучение. Такие производители инструментов по безопасности, как Check Point Software Technologies, Cisco Systems и Symantec, предоставляют интенсивные курсы подготовки по своим продуктам, а некоторые из них завершаются их собственной сертификацией. Паллер замечает, что подобная подготовка так же важна, как концептуальная подготовка, но курсы производителей инструментов стоят очень дорого.
  • Организуйте практику. Бони рекомендует посылать сотрудников по безопасности в другие компании для прохождения практики у опытных профессионалов. Это нетрудно реализовать, если ваша компания является филиалом или дочерней компанией более крупной организации. Но и другие компании тоже могут предлагать подобные возможности.
  • Держите руку на пульсе. Поскольку безопасность - быстро меняющаяся область, постарайтесь, чтобы ваши сотрудники использовали возможности таких ресурсов для отслеживания угроз, как Incidents.org на сайте SANS и Bugtraq на сайте Security-Focus.com. Кроме того, сотрудники должны принимать участие в наиболее важных конференциях, таких как конференция RSA и конференция SANS Institute, где они будут общаться с коллегами. Наконец, замечает Шварц, сотрудники по безопасности должны информировать вас о новых угрозах каждую неделю.

«Безусловно, ни одна из рекомендованных мер не поможет, если сотрудники вашего ИТ-отдела не осознают необходимость введения мер безопасности, — предупреждает Шварц, — вы можете нанять миллион специалистов по безопасности и при этом не решить свои проблемы, если безопасностью не пропитано все, что вы делаете в области ИТ».

Своими соображениями о работе с персоналом по безопасности вы можете поделиться, связавшись с нами по адресу cio@osp.ru

Eric Berkman. How To Staffup For Security. CIO, 15 May, 2002


Дэвид Соул, директор информационной службы компании Zurich North America: "Хорошая безопасность означает предотвращение вирусов и атак, их своевременное обнаружение и немедленную реакцию на них. Если вы не создаете команду для обеспечения этого процесса, вы подвергаете свою компанию более высокому риску, связанному с последствиями внешних атак"

Где пройти сертификацию в области безопасности

GIAC (general intrusion analyst certification — общая сертификация специалистов по выявлению атак) — предлагается SANS Institute. Сертифицируются: обнаружение атак, анализ межсетевых экранов и решение конкретных проблем. Курсы включают пять-шесть дней занятий, а затем студентам дается 10 недель для выполнения практических заданий и сдачи экзамена (Подробную информацию см. на сайте www.giac.org.)

CISA (certified information systems auditor — сертифицированный аудитор информационных систем) — предлагается Ассоциацией контроля и аудита информационных систем (ISACA). Этот курс предназначен для аудиторов, но содержит ценные знания для персонала по безопасности. Для прохождения экзамена требуется не менее 20 часов занятий в классе и самостоятельная работа. (isaca.org/cert1.htm)

CISSP (Сертификация специалистов по безопасности информационных систем) — предлагается Международным сертификационным консорциумом по безопасности информационных систем. Не многие начинающие специалисты в области безопасности будут стремиться пройти данную сертификацию, которая на концептуальном уровне рассматривает вопросы безопасности. Для прохождения теста требуется трехлетний опыт работы в области безопасности. (www.isc2.org.)

Поделитесь материалом с коллегами и друзьями