Что входит в число таких инцидентов безопасности? Утечка информации, корпоративное мошенничество, промышленный шпионаж. Массовый переход на удаленку весной 2020 года только усугубил ситуацию: по оценкам экспертов, в дистанционном формате сотрудники вдвое чаще нарушают правила информационной безопасности (ИБ). Чтобы инсайдеры не ударили по кошельку, бизнесу нужны защита и те, кто профессионально ее обеспечит.

До определенного момента защитой бизнеса может заниматься руководитель. Пока коллектив небольшой, он знает своих сотрудников «в лицо»: кто чем занимается, какой информацией владеет, кому можно доверять, а кто способен ненароком нарушить правила безопасности. Но, когда компания вырастает, руководителю неизбежно приходится делегировать вопрос. Но кому? И как найти этого профи?

Путь 1. Нанимаем
Идеальный вариант — найти доверенного человека, сведущего в безопасности, среди знакомых или по рекомендации. Если получится, это будет большой удачей, так как «тусовка» крупных ИБ-специалистов закрытая. Если не удастся найти кандидата в ближнем кругу, придется разместить вакансию и проводить отбор. Как сформулировать требования?

Задайте порог входа
Образование не столь важно. Конечно, диплом в IT или ИБ будет плюсом, но на практике я встречал массу отличных специалистов и без профильной корочки. Показательнее сертификаты о повышении квалификации, но самое главное — полевой опыт. У состоявшегося специалиста его не менее 3 лет.
Обычно ищут специалистов с бэкграундом в органах или IT. Первый вариант обещает хорошие навыки в расследованиях, второй — во владении современными ИБ-технологиями, в том числе системами предотвращения утечек и выявления инцидентов по вине человеческого фактора.

Сделайте упор на практику
Перечислите необходимые навыки. База — это знание основных технологий ИБ и умение как минимум разобраться, как устроена IT-инфраструктура (оборудование, ПО, используемые каналы связи и т.д.), а также найти общий язык с сисадминами, если они уже были у вас в штате. Важно, чтобы кандидат умел работать с системами защиты данных: DLP для предотвращения утечек, SIEM для комплексного аудита безопасности. И совсем никуда без знания нормативов в области ИБ и умения составлять и вести сопутствующую документацию — от регламентов в рамках режима коммерческой тайны до протоколов внутреннего аудита безопасности.

Опишите фронт работ
В первую очередь укажите, с чем кандидату придется работать каждый день: выявлять и расследовать инциденты.
Затем наметьте более масштабные шаги: провести аудит IT-инфраструктуры и найти узкие места, оценить средства, которые потребуются для их устранения, разработать план защиты. А еще создать внутренние регламенты безопасности, оформить и внедрить режим защиты информации.
Можно сформулировать требования слегка «на вырост» (например, расширять ИБ-инфраструктуру и интегрировать средства защиты во все бизнес-процессы). Но не перестарайтесь: защита нужна здесь и сейчас, далекоидущие планы могут подождать.

Вот несколько моментов, на которые следует обратить внимание на интервью.

Как кандидат рассказывает о работе
Попросите кандидата поделиться парой историй из практики — например, о том, как он налаживал систему безопасности на прошлом месте и с какими инцидентами сталкивался. Важны детали: как рассказывает о причинах инцидентов, оценивает возможные последствия и аргументирует, почему действовал так, а не иначе. Например, кандидат на прежнем месте предотвратил утечку клиентской базы стоимостью в миллионы, спросите, что он сделал, чтобы ситуация не повторилась. Ответы покажут подход соискателя: за жесткие он меры (нарушителя под суд, доступ к базе отныне под расписку!) или за диалог (повысить уровень ИБ-грамотности в коллективе и установить прозрачный контроль). Выбирайте, что вам ближе.
Попросите рассказать, какими инструментами кандидат пользовался раньше, и доказать их необходимость. Чем убедительнее он говорит, тем лучше: в будущем ему придется обосновывать ИБ-бюджеты и предупреждать об опасности в ситуациях, которые на непрофессиональный взгляд покажутся безобидными. А вы должны будете принять решение.

Какое впечатление производит
Важно оценить личные качества претендента. Приветствуется аналитический склад ума и легкая доля паранойи, хотя социопатам в ИБ не место. Плюс нужно, чтобы кандидат умел общаться: внятно и просто объяснять сложное, без труда налаживать контакт. Ведь ему предстоит убеждать коллектив придерживаться правил, которых раньше не было, создавать благоприятное впечатление, чтобы сотрудники считали его не врагом, а союзником.



Сразу искать «управленца» при отсутствии отдела ИБ смысла нет. Честно предупредите: специалисту пока придется работать в одиночку и делать все своими руками. Поэтому кандидат должен быть опытным. Подчеркну: вы ищете не «оператора», который будет просто обслуживать защитное ПО, а специалиста с навыками проект-менеджмента, который должен с нуля выстроить всю систему безопасности.

Один хороший специалист — только начало, по мере взросления и цифровизации бизнеса может понадобиться расширять штат. Конечно, если в компании есть DLP-система, которая проводит автоматический мониторинг подозрительной активности сотрудников, одного ИБ-специалиста может хватить и на несколько тысяч человек. Без нее оптимальный размер ИБ-отдела, по моему опыту, — один специалист на 150-200 человек в коллективе.

Путь 2. Растим сами
Если возможности нанимать нового человека нет, можно «прокачать» штатных сотрудников. Главные критерии для подобного назначения — высокая личная ответственность, доверие руководства, хороший уровень владения IT.

Непрофильному сотруднику нужна переподготовка. Можно отправить его на курсы, аккредитованные ФСБ и ФСТЭК. Достойные знания дают обучающие платформы крупных IT-компаний (например, профильные курсы часто запускает «Яндекс», в онлайн-школе Mail.ru есть целый факультет ИБ). Еще вариант — направить сотрудника в учебные центры к интеграторам или вендорам защитных решений.

Экспресс-погружение в профессию возможно за 3 месяца, за год можно освоить навыки ИБ на хорошем среднем уровне. Чтобы вырасти в профессионала, специалисту нужно не менее 2-3 лет постоянной практики. Так что будьте готовы ждать.

Путь 3. Берем ИБ в аренду
Если времени и ресурсов нет, можно воспользоваться ИБ-аутсорсингом. Сторонних ИБ-специалистов можно привлечь, если есть разовая задача: например, вы хотите провести аудит безопасности. Но более эффективный вариант — доверить внештатникам защиту на регулярной основе.

Тогда провайдер предоставляет компании аналитика, который работает с системами безопасности, предотвращает, фиксирует инциденты, сообщает о них заказчику в экстренном или регулярном формате. Необходимый софт и железо при желании тоже можно арендовать.

Формат пока распространен не широко, но набирает обороты: бизнесу удобно платить за безопасность помесячно, а не расставаться сразу с круглыми суммами на покупку оборудования, ПО и наем ИБ-специалиста. Заказчик по сути получает «подписку» на работу профессионала со всем инструментарием и опытом в десятках компаний, который при этом не знаком с коллективом и будет абсолютно беспристрастен.

Аутсорсинг — хороший вариант и на тот период, пока собственный специалист только учится практике ИБ. Он может работать в специализированном ПО параллельно с аналитиком. Эффект будет лучше многих курсов по инфобезу — будущий штатный ибэшник наберется опыта из первых рук.

Одним словом, когда перед руководителем стоит задача по операционному управлению, вопросы безопасности могут казаться неприоритетными, но только до первого инцидента. Поэтому, даже если бизнес небольшой, не нужно замыкать на себе весь контроль за коллективом. Продумывайте вопрос безопасности заранее. Есть ресурсы — ищите закаленного ибэшника в штат. Позволяет время — учите сотрудников других профилей. Хотите эффекта сразу — обращайтесь к опытным аутсорсерам с готовыми решениями.