Профессиональное сообщество ИБ

Не раз доводилось слышать рассуждения об ИБ как о новой отрасли в экономике. Это довольно спорно. Скорее, по мнению «маски» Розенбота, ИБ-сообщество похоже на  тайное общество, закрытое для посторонних. А его «секрет» состоит в том, что специалисты ходят по кругу, рассказывая друг другу одно и то же.

«Наложенная» отрасль

Отрасль, в обычном понимании, – это совокупность предприятий, характеризуемых сходством выпускаемой продукции, технологий, основных фондов, профессиональной подготовки работников и удовлетворяемых потребностей. Но в ИБ-отрасли мы не видим той самой совокупности предприятий. ИБ, как и ИТ, является довольно специфичной сферой деятельности. Она пронизывает все отрасли экономики и является, вместе с ИТ, как бы «наложенной» на них отраслью.

ИБ – профессиональное сообщество, удовлетворяющее потребность всех отраслей экономики в защите интеллектуальной собственности и информационного обмена. И вот здесь возникает неопределенность. А что есть профессиональное сообщество? По классическому определению, это – группа людей, регулярно вступающих между собой в коммуникации для обмена опытом и практиками, выработки знаний и поиска более эффективных подходов к решению стоящих перед ними задач. Главной целью таких сообществ является профессиональное общение коллег, в ходе которого за счет постоянного обмена знаниями обеспечивается их личностное и профессиональное совершенствование. 

Болезни роста

А в чем особенность ИБ как профессионального сообщества? Оно формируется в муках взаимного недоверия и комплекса дилетантизма – этих детских болезней роста отрасли. Вроде, оно и понятно: публично обсуждая проблемы ИБ, ты нечаянно можешь дать хакеру возможность сломать построенную тобой систему.

Российское профессиональное образование в области ИБ тоже находится в стадии становления. Налицо – дефицит кадров, имеющих системное или хотя бы систематическое образование в этой сфере.

В таких условиях задачи ИБ во многих организациях решают начитанные ИТ-шники или продвинутые эникейщики. Большинство обсуждений сводятся к тематике инструментов защиты, а не строительства ИБ-систем. С учетом ландшафта угроз, существовавшего до недавнего времени, этого было достаточно, чтобы закрывать очевидный набор рисков: защита периметра, вирусы, утечки информации, борьба с DDOS, ненормативный Интернет, защита каналов связи, наконец, противодействие инсайдерам, распространению наркотиков и терроризму.

Специализированные тусовки

Исходя из этого, и формировались профессиональные сообщества – по сути, специализированные ИБ-тусовки, коих в России насчитывается до десятка. Чего же не хватает этим тусовкам, чтобы стать профессиональными сообществами? Прежде всего, собственно профессионализма и реального обмена опытом. Мы знаем до десятка самых активных спикеров производителей средств ИБ и несколько практиков, готовых делиться опытом и не боящихся прослыть дилетантами. А где же всеобщий обмен опытом, практиками и проблемами? Почему многие ИБ-мероприятия превращаются в кулуарные междусобойчики, на которых обсуждается, как осваивать бюджет?

Не потому ли, что мы боимся потерять даже те скудные бюджеты, которые нам достаются после ИТ? Что страшимся прослыть дилетантами, не способными противостоять злоумышленникам? Что не хотим выносить сор из избы? Вот тут-то мы и попадаем в ловушку. Утаивая прецеденты и их последствия, мы не можем мотивировать выделение бюджетов и повышение приоритетов задач ИБ. Не обсуждая свои проблемы, мы не используем чужой опыт. Учиться на собственных ошибках, конечно, тоже можно, но иногда дороговато получается.

Коллективные компетенции

Коллеги, у меня для вас – плохая новость: современные масштабы и изощренность угроз ставят на грань компетенции любого, вне зависимости от его опыта. Ландшафт угроз изменился, ИБ перестает быть инструментом и становится интегрированной сущностью ИС. Уже невозможно обеспечивать безопасность лоскутными методами, современная ИБ — это непрерывный процесс противодействия распределенным и изощренным угрозам. И реализация угрозы не всегда означает ИБ-непрофессионализм, а зачастую – лишь недостаток информированности или неспособность «пробить» необходимый комплекс мер и средств. Для эффективного противодействия современным угрозам нужны компетенции всего сообщества и непрерывный обмен информацией. 

Каково ИБ-сообщество за рубежом? Как ни удивительно, дело там обстоит почти так же. ИБ как отдельная область деятельность сформировалась совсем недавно, и ситуации с профессиональным уровнем специалистов и зрелостью владельцев бюджетов не сильно различаются. Но есть и существенное отличие: публичные компании законодательно обязаны сообщать о существенных инцидентах ИБ, что позволяет профессионалам более свободно рассуждать о них, обмениваться практиками и наращивать суммарные знания отрасли. 

Да, не стоит ожидать, что кто-то начнет выносить сор из избы, если он не должен этого делать по закону. Но, наверняка, и в России есть возможности кооперативного поведения профессионалов. Так давайте же искать формы воистину профессионального общения!

Тэги: 
Оцените материал:
Total votes: 2

Другие статьи
Поделиться:
 
 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя Атаманов Геннадий

Интересное предложение: «Так давайте же искать формы воистину профессионального общения!».

Только, по-моему, формы искать не нужно, они есть! Есть эта площадка. Есть другие – похожие – площадки. Есть конференции, семинары, подкасты. И везде есть профессионалы.

Но вот по содержательной части и технологии проведения, действительно, везде есть проблемы. Обсуждений профессиональных вопросов нет нигде! Даже на конференциях. Если даже доклад вызвал интерес у присутствующих, то на его обсуждение, как правило, нет времени. И обсуждение либо плавно перетекает в кулуары, превратившись таким образом в междусобойчик, либо прекращается и вопросы повисают в воздухе. На электронных площадках обсуждения, как правило, заканчиваются (часто не начавшись) переходом на личности. Основная же масса постов вообще не предполагает обсуждения: либо обсуждать там нечего (что обсуждать в новостях о том, кто кого купил, кто какую книгу прочитал, итогах за неделю и пр.), либо это не интересно автору.

Главное же, с моей точки зрения, общаться нужно уметь. Сообщать научились многие, а сообщаться, тем более в виртуальном пространстве, да ещё и с пользой для дела, - это вопрос.

Аватар пользователя Атаманов Геннадий

Кстати, несколько лет назад я здесь предлагал совместно разработать глоссарий по информационной безопасности. Чтобы на научной основе, без эзотерики, полезный для практиков, который впоследствии мог бы стать базой для законодателя. И форму предложил. Но на том всё и закончилось. Без обсуждения, общения и прочих сложностей.

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.