Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

И швец, и жнец, и на дуде игрец

Аватар пользователя al.bondarenko
Автор: Бондаренко Александр, R-Vision
(0)
()
Опубликовано в: ,

Каковы ключевые направления профессионального развития специалистов по информационной безопасности? Какими компетенциями должны обладать ИБ-руководители, и можно ли полностью «увязать» между собой эти компетенции?

Победитель конкурса "Лучший автор BISA" (список работ).

Матрица компетенций

Вопросом о том, какими компетенциями должен обладать специалист по ИБ, задаются многие руководители соответствующих служб. Несколько лет назад, когда я организовывал крупное консалтинговое подразделение известного на российском рынке ИБ-интегратора, этот же вопрос встал передо мной. Дело в том, что одной из задач было развитие компетенций моей команды как части конкурентных преимуществ интегратора.

Пришлось составить специальную матрицу компетенций и связать их с должностями, занимаемыми специалистами подразделения. Наличие таких требований, на мой взгляд, положительно сказалось на молодых кадрах. И хотя мы занимались консалтингом, значительную долю списка компетенций составили исключительно технические знания и навыки.

Постараюсь раскрыть свое видение четырех ключевых направлений совершенствования компетенций специалиста по ИБ в контексте развития его карьеры – от рядового сотрудника до руководителя службы информационной безопасности. Основой рассматриваемой модели стала концепция, описанная экспертами компании Deloitte в рамках недавнего исследования (http://www2.deloitte.com/us/en/pages/about-deloitte/articles/press-releases/deloitte-reveals-top-challenges-facing-new-cisos.html). Эксперты Deloitte выделили следующие уровни (роли) и направления деятельности руководителей служб ИБ:

  • Технарь – оценка и внедрение новых технологий и стандартов для поддержания необходимого уровня безопасности предприятия;
  • Защитник – защита бизнес-активов на основе понимания текущего профиля угроз и управления эффективностью программы безопасности;
  • Советник – взаимодействие с бизнес-руководителями с целями их обучения, консультирования и оказания влияния на реализацию бизнес-проектов в контексте имеющихся рисков;
  • Стратег – адаптация стратегии информационной защиты к потребностям бизнеса, обеспечение инновационных трансформаций с целью эффективного управления рисками и инвестициями в безопасность.

Проведенные Deloitte опросы позволили выяснить, что большую часть рабочего времени ИБ-руководители занимаются задачами Технаря и Защитника, а вот задачами Советника и Стратега – очень мало (хотя, к слову, бизнес ожидает обратного). Отчасти это обусловлено тем, что из-за ограниченности людских ресурсов в ИБ-подразделениях даже их руководителям зачастую приходится решать операционные и технические задачи. Кроме того, нехватка определенных навыков мешает тому или иному специалисту выйти на новый уровень.

 

Навыки как этапы карьеры

Давайте теперь рассмотрим необходимые навыки, соответствующие указанным уровням, с точки зрения карьеры безопасника. На начальном этапе специалист по ИБ обычно становится типичным Технарем – администратором информационной безопасности или средств защиты. В этом нет ничего плохого, ведь для реализации его задач необходимо знать и понимать технологии, причем не только ИБ, но и ИТ, которые, собственно, ему и предстоит защищать.

Не обладая хотя бы базовыми знаниями по администрированию ИТ-инфраструктуры, по Active Directory и проч., безопасник сможет лишь писать инструкции (которые, отметим, никто не будет исполнять, поскольку они окажутся оторванными от реальности). В таком случае ИТ-специалисты быстро поймут, что имеют дело с человеком, не знающим современные технологии и суть их работы, и его авторитет неизбежно снизится. Итак, технарские навыки – надежный фундамент деятельности хорошего ИТ/ИБ-специалиста, даже если он занимается преимущественно консалтингом или бумажной работой.  

Не менее важны умения применения таких навыков для реализации конкретных задач ИБ, интеграции решений между особой, подбора наиболее эффективных методов защиты конкретной компании – в предложенной модели это соответствует уровню Защитника. Данное направление близко к техническому, но скорее относится к компетенции «архитектора» по безопасности. Другими словами, продвинутый технарь с дополнительными аналитическими навыками, более широким кругозором и знанием общего спектра существующих технологий и решений по ИБ может не просто внедрять технологии, но и делать это в контексте актуальных потребностей бизнеса и ландшафта актуальных угроз.

Чаще всего такие безопасники – выходцы из сферы ИТ. Они прекрасно знают все тонкости защиты на технологическом уровне, но у них возникают некоторые сложности в представлении своей деятельности на бизнес-уровне, а также в решении высокоуровневых задач, обеспечивающих соблюдение требований законодательства, внедрение международных стандартов или управление рисками ИБ. Другими словами, возникают проблемы в тех областях, где в меньшей степени нужны знания конкретных технологий, а в большей – оперирование бизнес-понятиями.

Деятельность Советника – безусловно, управленческая деятельность. Она требует взаимодействия с многими подразделениями, выявления их потребностей и встраивания ИБ-задач в общий контекст деятельности компании. Теперь на первый план выходят навыки коммуникаций, проведения переговоров, управленческой работы, процессного моделирования, написания соответствующих регламентов, внедрения лучших практик в области управления ИБ, моделирования рисков и планирования (стратегического и тактического). Специалисту по ИБ необходимо развивать у себя так называемые soft skills (то есть навыки эффективного коммуницирования), чтобы популяризовать в компании и вывести на заметный уровень деятельность по информационной защите. Без таких навыков ИБ-подразделение вряд ли сможет расчитывать на что-то иное, кроме решения чисто технических задач, а его деятельность будет восприниматься бизнесом как «неизбежное зло», с которым приходится мириться, а порой и бороться.

Наконец, уровень Стратега предполагает наличие серьезных бизнес-компетенций. На данном уровне специалист должен, в первую очередь, иметь детальное представление о том, как работает бизнес, что является ключевым для достижения требуемых бизнес-показателей, какова бизнес-стратегия компании и как информационная безопасность может быть встроена в эту стратегию с целью получения максимальной отдачи для бизнеса. Следует уметь оперировать такими понятиями, как возврат инвестиций (ROI), ключевые показатели эффективности (KPI) и пр., оценивать риски в контексте общих бизнес-рисков организации, «переводить» использование тех или иных технологий защиты в бизнес-преимущества, способы расширения бизнеса и увеличения клиентской базы.  Выход на этот уровень без бизнес-образования и длительной работы в соответствующей отрасли практически невозможен, чем, отчасти, и объясняется то, что не так уж часто можно встретить ИБ-руководителей, в навыки которых входит «прокачанная» стратегическая составляющая.

Отмечу, что одновременное развитие ИБ-специалиста по всем четырем направлениям, скорее всего, невозможно. В противном случае ему потребовался бы охват очень большого объема знаний и навыков, которые, к тому же, должны были бы оказаться востребованными в текущей деятельности конкретной компании. Обычно по мере карьерного роста вопросы техники уходят на второй план и более важными становятся управленческие навыки.

Однако проведенный анализ, на мой взгляд, четко показывает необходимость всестороннего развития специалиста по информационной безопасности. А карьерный рост или даже просто потребность в нем неизбежно должны приводить к акцентировке ИБ-руководителя на очередном направлении, нуждающемся в «прокачке».  Так что успехов вам в профессиональном развитии!

 

Запись участвует в конкурсе

Оцените материал:
Total votes: 292
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.