Перефразируя слова одного киногероя, можно сказать, что раздумывать над вопросом, а нужна ли система информационной безопасности, может лишь человек "не просто спятивший, а окончательно спятивший".
Под этим словами с радостью подписался бы Стив Белловин, один из соавторов книги "Брандмауэры и безопасность Internet: как отпугнуть коварного хакера" ("Firewalls and Internet Security: Repelling the Wily Hacker," Addison-Wesley Publishing Co.). В этой книге содержится ценная информация для профессионалов, занимающихся безопасностью систем, т.е. для людей, которые обязаны уметь проникать в мысли своих противников.
"Вы должны попытаться встать на точку зрения хакера, который вышел на охоту и не собирается играть по правилам, - говорит Белловин, научный сотрудник лабораторий AT&T Bell. - Хакеры не намерены входить через парадную дверь, они стремятся обойти все ваши брандмауэры. Никогда не надейтесь на то, что хакер не знаком с какими-либо подробностями. Есть масса разных путей утечки секретных кодов. Наверняка найдется кто-нибудь, кто проскочит мимо всех охранников в самом конце рабочего дня в пятницу, перед долгими выходными. Ваша система должна быть в безопасности, даже если хакер знает о ней все".
Компании принимают предупреждения Белловина настолько всерьез, что специалистов по безопасности администраторы вычислительных систем собираются нанимать на работу в этом году чуть ли не в первую очередь.
Как утверждают знатоки, граждане, умеющие строить брандмауэры, а также обеспечивать безопасность сетей и знакомые с криптографией, могут быть уверены в своем будущем.
Специалисты по безопасности вычислительных систем никогда не останутся без работы. "К сожалению, если повнимательнее взглянуть на проблемы безопасности, станет ясно, что около половины из них могли бы быть решены путем шифрования документов, а еще 50% из них представляют собой результат ошибок в программном обеспечении", - сетует Белловин.
Ситуация обострилась, когда широкое распространение получили системы клиент-сервер.
"Каждая новая технология имеет свои сильные и слабые стороны, которыми люди будут пользоваться, - предупреждает Дэннис Аллен, вице-президент по информационной безопасности MasterCard International. - Сотрудники службы безопасности должны знать все технологии "вдоль и поперек". "Горячие точки" информационной безопасности возникают там, где большое количество людей работают с сетевыми системами, базами данных и приложениями клиент-сервер".
Какие именно специальности нужны компаниям и где можно овладеть этими профессиями? В первую очередь следует сосредоточиться на самых актуальных сегодняшних технологиях, как, например, двух- и трехслойных архитектурах, Unix, Windows, продуктах Oracle и Sybase, Visual Basic компании Microsoft и PowerBuilder компании Powersoft.
"Необходим опыт разработки продукта "от и до", - замечает Зиглер. - В сфере безопасности особенно важен производственный опыт".
Чтобы система защиты работала правильно, необходимо, чтобы все сотрудники компании подчинялись установленному порядку - это еще один важный аспект описываемой профессии. По этой же причине менеджеры по безопасности часто подчиняются непосредственно руководителю внутренней ревизионной службы.
Во многих случаях это легче сказать, чем сделать. Из-за широко распространенного предубеждения по отношению к мерам безопасности, менеджер по безопасности должен обладать отнюдь не только техническими навыками.
"По мере превращения компании в сеть все большую ценность для нее приобретает информационная безопасность", - считает Белловин. Он наблюдает, как растет спрос на специалистов по безопасности в финансовой сфере; в производстве технически сложных товаров (например автомобилей); в компаниях, занимающихся розничной торговлей и проводящих агрессивную политику; в издательствах и у поставщиков информации.
"Небольшие компании редко могут себе позволить приобрести брандмауэр старшего класса, - объясняет Белловин. - Но все больше и больше маленьких фирм ведут дела с большими компаниями, желающими общаться при помощи электронных средств. Некоторые другие мелкие фирмы предпочитают заниматься исключительно электронной коммерцией. В систему может залезть один из конкурентов и может поменять, например, все цены".
Умение обеспечить безопасность может означать существенное повышение оклада.
"Как правило, эксперт по безопасности сети получает больше администратора сети, - сообщил Белловин. - Деньги тут очень неплохие, и чем дальше, тем лучше."
