Генеральный директор Solar Security Игорь Ляпунов об особенностях российского рынка ИБ - «Новости»
sitename
«Эпический» сериал Netflix по Assassin’s Creed впервые за несколько лет подал признаки жизни - «Новости сети»
«Эпический» сериал Netflix по Assassin’s Creed впервые за несколько лет подал признаки жизни - «Новости сети»
 «Хуже моего самого страшного кошмара»: утечка геймплея с тестирования новой The Sims ужаснула фанатов - «Новости сети»
«Хуже моего самого страшного кошмара»: утечка геймплея с тестирования новой The Sims ужаснула фанатов - «Новости сети»
 Самые полные издания Borderlands 3 и Diablo III добавят в Game Pass, а лучшая игра 2024 года по версии 3DNews подписку скоро покинет - «Новости сети»
Самые полные издания Borderlands 3 и Diablo III добавят в Game Pass, а лучшая игра 2024 года по версии 3DNews подписку скоро покинет - «Новости сети»
 Amazon включилась в борьбу за американский бизнес TikTok - «Новости сети»
Amazon включилась в борьбу за американский бизнес TikTok - «Новости сети»
 «Яндекс» представил «Нейроэксперта» — ИИ, который соберёт базу знаний по ссылкам и файлам пользователя - «Новости сети»
«Яндекс» представил «Нейроэксперта» — ИИ, который соберёт базу знаний по ссылкам и файлам пользователя - «Новости сети»
 ZA/UM отреагировала на утечку «одиночной кооперативной игры» Locust City во вселенной Disco Elysium - «Новости сети»
ZA/UM отреагировала на утечку «одиночной кооперативной игры» Locust City во вселенной Disco Elysium - «Новости сети»
 GTA V вернётся в Game Pass, причём совсем скоро — впервые игра будет доступна в PC Game Pass - «Новости сети»
GTA V вернётся в Game Pass, причём совсем скоро — впервые игра будет доступна в PC Game Pass - «Новости сети»
 Обзор системы резервного копирования и восстановления данных «Кибер Бэкап Малый Бизнес» - «Новости сети»
Обзор системы резервного копирования и восстановления данных «Кибер Бэкап Малый Бизнес» - «Новости сети»
 Nintendo создала гибридный эмулятор Switch, но работать он будет только на Switch 2 - «Новости сети»
Nintendo создала гибридный эмулятор Switch, но работать он будет только на Switch 2 - «Новости сети»
 Лавкрафтианский хоррор Stygian: Outer Gods готовится к старту открытой «беты» — новый геймплейный трейлер - «Новости сети»
Лавкрафтианский хоррор Stygian: Outer Gods готовится к старту открытой «беты» — новый геймплейный трейлер - «Новости сети»
Новости мира Интернет » Новости » Генеральный директор Solar Security Игорь Ляпунов об особенностях российского рынка ИБ - «Новости»

✔Генеральный директор Solar Security Игорь Ляпунов об особенностях российского рынка ИБ - «Новости»

18 июня 2018 674 Новости 0

Содержание статьи

  • Об ответственности и ответственных
  • Об отличии российских бизнес-реалий от западных
  • О карьере и образовании безопасника
Xakep.ru побеседовал с директором компании Solar Security — одной из немногих в России, предлагающих безопасность в качестве услуги. У Игоря Ляпунова уникальный взгляд на индустрию и происходящие в ней процессы, которым он с нами и поделился.
Генеральный директор Solar Security Игорь Ляпунов об особенностях российского рынка ИБ - «Новости»
Игорь Ляпунов, генеральный директор Solar Security

Об аутсорсинге


Руководители служб ИТ и ИБ устали от классических проектов внедрения, когда три месяца уходит на обследование, еще три на проектирование, потом шесть-восемь недель на поставку и еще четыре месяца на внедрение. Все это крайне затратно, но главное — спустя этот год, потраченный на внедрение, одни бизнес-задачи компании уйдут и придут другие, поменяется ландшафт ИТ. В итоге менеджер может обнаружить, что ошибся в выборе и система, которую он холил и лелеял, не соответствует потребностям компании.


Сервис же хорош тем, что работает, как кран в ванной: открыл, потрогал воду, если не понравилась температура — поменял ее или закрыл кран. И при этом не заплатил за установку всего трубопровода. Получается, что SaaS или в случае с более сложными вещами — аутсорсинг гораздо удобнее, в том числе с операционной точки зрения.


Но при этом нужно очень четко понимать, что возможность отдать информационную безопасность на аутсорсинг не снимает необходимость в наличии соответствующей компетенции внутри компании и не нивелирует ценность внутреннего безопасника.


В 2012 году, когда мы только открывали сервисное направление и начинали строить центр мониторинга Solar JSOC, казалось, что почти любой процесс, связанный с информационной безопасностью, можно отдать на аутсорсинг. Одним из наших первых заказчиков был «Лето Банк» (сейчас «Почта Банк»). Он быстро развивался — открывались десятки отделений в месяц. Так что аутсорсинг ИБ подходил банку как нельзя лучше, ведь услугу можно подключить практически сразу. Однако со временем мы поняли, что некоторые функции ИБ-подразделения правильнее оставлять на стороне заказчика. Невозможно отдать вовне ответственность за обеспечение безопасности. Невозможно передать на аутсорсинг функцию принятия решений.


У компании в штате всегда должен быть человек или скорее даже команда, ответственная за информационную безопасность. Можно передать сервис-провайдеру функцию рук и ног, но мозги на аутсорс не отдашь.


Об ответственности и ответственных


Часто, обращаясь к поставщику ИБ-сервисов, заказчик полагает, что тот возьмет на себя ответственность за информационную безопасность организации в целом. Но это не совсем так.


Мы беремся защищать клиентов от вполне конкретных рисков, определенных векторов и сценариев атак. И соответственно, отвечаем мы не за весь комплекс безопасности, а только за те функции, выполнение которых мы на себя взяли. Ответственность за них прописана в SLA — соглашении об уровне сервисов. Мы обязуемся выявлять инциденты в защищаемых сегментах и реагировать на них определенным образом в течение установленного отрезка времени.


При разговоре с клиентом я часто привожу такую, может быть, не очень точную, но зато понятную аналогию. Предположим, у вас есть площадка e-commerce или интернет-банк. Провайдер предоставляет вам канал связи. Вопрос: отвечает ли он за непрерывность вашего бизнеса в целом? Должен ли он возместить вам ущерб и недополученную прибыль, если, скажем, приедет трактор и оборвет линию связи?


Поэтому, чтобы не возникало разрыва между ожиданиями клиента и возможностями сервис-провайдера, заказчик должен четко понимать, что именно он отдает на аутсорсинг.


О службах ИБ в компаниях


Сила внутреннего безопасника — это четкое понимание бизнеса, структуры компании, финансовых вопросов, которое позволяет ему говорить с другими менеджерами на одном языке.


Безопасник должен понимать, что для руководителя компании бизнес-риск — это отнюдь не вирусное заражение. Бизнес-риск — это, например, активности конкурентов, нарушение основных бизнес-процессов компании, действия фискальных органов, изменение законодательства, проблемы у клиентов, репутационные риски, санкции, в конце концов. Руководители рассуждают именно в такой парадигме, и каждый из этих рисков распадается на операционные составляющие, которые уже могут относиться к сфере ответственности служб ИТ и ИБ.


На мой взгляд, то, что безопасник не понимает истинных проблем бизнеса, не умеет слышать руководителя компании, — это сейчас одна из болевых точек многих организаций. На конференциях часто можно слышать выступления ИБ-специалистов, рассказывающих, как обосновать бизнесу необходимость тех или иных средств защиты. По сути — как запугать руководителя и как им манипулировать. Однако в реальности это не сработает: любой бизнес-руководитель на то и руководитель, чтобы пресекать такие вещи.


Именно поэтому безопасник должен говорить с руководителем бизнеса на одном языке, должен уметь построить цепочку от бизнес-рисков до рисков ИБ. Ну и конечно, он должен хорошо понимать, какие риски существуют внутри организации, какими уровнями доступа обладают сотрудники и в чем логика их работы.


Мы периодически встречаемся с сотрудниками служб ИБ, и в разговоре об аутсорсинге они рано или поздно задают вопрос: «А что, нас всех уволят?» Да ничего подобного. Идите, занимайтесь тем, за что вам на самом деле платят деньги, — безопасностью бизнеса, а мы займемся operations.


Об отличии российских бизнес-реалий от западных


Говорят, что в сфере ИТ Россия отстает от Запада на 3–5 лет. И возможно, в отношении разработки новых продуктов, связанных с кибербезопасностью, это утверждение верно. Но тут ничего не поделаешь: у нас в отрасли нет таких инвестиций, чтобы конкурировать с западными корпорациями на должном уровне.


А вот с точки зрения практики обеспечения безопасности мы очень крутые. В России умеют по-настоящему бороться с киберугрозами и ловить злоумышленников. Это наше преимущество. Российским специалистам часто приходится сталкиваться с реальными угрозами и нарабатывать методы их пресечения, что дает ценнейший опыт, к которому за рубежом проявляют большой интерес.


О современных трендах в ИБ


На стороне защиты сейчас можно наблюдать действительно интересные тренды: из-за рубежа идет мода на искусственный интеллект. С одной стороны, я искренне верю, что нейросети и машинное обучение действительно через три, пять, максимум десять лет снимут с людей порядка 90% нагрузки.


Но на данном этапе мы видим, что у безопасника эти технологии пока вызывают скорее негативную реакцию. Предположим, система пару месяцев обучается, затем ее включают и в какой-то момент она сообщает об инциденте. Логично, что у безопасника сразу возникает вопрос: на основании каких признаков система решила, что это инцидент? Нейросеть же не может «объяснить», почему она приняла то или иное решение, и это вызывает у человека некоторое раздражение.


Это естественный этап, который проходит каждая прорывная технология. Чтобы получить широкое распространение, она должна завоевать определенный уровень доверия, и, пока его нет, прорывные изобретения остаются в категории любопытной игрушки. Но я верю, что в будущем машинное обучение станет очень серьезным подспорьем для информационной безопасности.


Сейчас мы сталкиваемся с тем, что даже инженер первой линии центра мониторинга и реагирования на киберугрозы должен очень много знать. Проводя обучение, мы понимаем, что с каждым годом количество информации, которую нужно вложить в его голову, быстро растет. Нам приходится все время интенсифицировать программу обучения, делать гайды, помогающие автоматизировать сбор и отображение всей нужной информации.


Однако всему этому есть предел, и столкнуться с ним придется не через 50 лет, а уже через год-два. Тогда-то мы и будем вынуждены искать технологии, которые станут не просто собирать, очищать и подготавливать информацию, а самостоятельно делать определенные выводы уже на этих ранних этапах.


О карьере и образовании безопасника


Сейчас у нас работает порядка 250 человек. При поиске людей на мониторинг мы очень много работаем с вузами. Забираем студентов с третьего, четвертого, пятого курсов и приглашаем их пройти стажировку в компании. В ходе этой стажировки мы даем студентам базовые практические навыки в области информационной безопасности, рассказываем о типах инцидентов, методах их выявления. Дальше стажер может за год пройти первую линию, перейти на вторую и через два года уже начать заниматься аналитическими задачами. Это хороший трек.


Аналитики — это своего рода «белая кость», они создают ценность компании. Это инженеры, которые умеют видеть качество информационной системы с архитектурной точки зрения, а с точки зрения безопасности — понимать векторы атак и методы противодействия им. Это очень востребованная профессия с очень высокими зарплатами.


Вообще, хороших аналитиков в России сейчас два, может быть, три десятка — по крайней мере, таких, которые действительно могут обеспечить защиту от кибератак. У них отличный кругозор в области информационных технологий, идеальное знание сети и архитектуры операционных систем, глубокое понимание механизмов атак и так далее. Такие специалисты будут востребованы и через три года, и через пять лет.


О проблемах больших зарплат и ожиданий


Сейчас рынок труда в разработке и кибербезопасности сильно перегрет. Из-за этого возникает неприятная тенденция и определенная ловушка для молодых специалистов: опережающий спрос на кадры и готовность работодателей перекупать их друг у друга приводит к опасному превышению зарплат людей над стоимостью их реального опыта, то есть их личной «капитализацией».


Предположим, мы берем специалиста на 100 тысяч рублей, он работает три месяца, пишет в своем резюме о знании Java, Scala и Python, после чего может запросить зарплату уже в 200 тысяч. Дальше некоторая «магия» на собеседовании — о том, как себя продать работодателю, много написано в интернете, — и вот его берут и на 200, и на 250, а если повезет в поисках, то и на 300 тысяч. Но реального опыта у него по-прежнему три месяца, а новый работодатель ожидает, что компетенции сотрудника будут соответствовать его зарплате. Так что в долгосрочной перспективе эта стратегия оказывается проигрышной — как и всегда, когда человек перестает искать развития, новых вызовов и знаний, фокусируясь на сиюминутных заработках.


Моя рекомендация ребятам, которые только начинают, — выбирать профессиональный коллектив, людей, за которыми можно расти, и амбициозные задачи. Это два главных фактора, мотивирующих человека развиваться и расти над собой. И когда специалист переходит от простого кодинга к пониманию архитектуры и внесению своих идей, тогда, конечно, он будет много зарабатывать и его личная стоимость будет принципиально другой.


Источник новостиgoogle.com
Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Содержание статьи Об ответственности и ответственных Об отличии российских бизнес-реалий от западных О карьере и образовании безопасника Xakep.ru побеседовал с директором компании Solar Security — одной из немногих в России, предлагающих безопасность в качестве услуги. У Игоря Ляпунова уникальный взгляд на индустрию и происходящие в ней процессы, которым он с нами и поделился. Игорь Ляпунов, генеральный директор Solar Security Об аутсорсинге Руководители служб ИТ и ИБ устали от классических проектов внедрения, когда три месяца уходит на обследование, еще три на проектирование, потом шесть-восемь недель на поставку и еще четыре месяца на внедрение. Все это крайне затратно, но главное — спустя этот год, потраченный на внедрение, одни бизнес-задачи компании уйдут и придут другие, поменяется ландшафт ИТ. В итоге менеджер может обнаружить, что ошибся в выборе и система, которую он холил и лелеял, не соответствует потребностям компании. Сервис же хорош тем, что работает, как кран в ванной: открыл, потрогал воду, если не понравилась температура — поменял ее или закрыл кран. И при этом не заплатил за установку всего трубопровода. Получается, что SaaS или в случае с более сложными вещами — аутсорсинг гораздо удобнее, в том числе с операционной точки зрения. Но при этом нужно очень четко понимать, что возможность отдать информационную безопасность на аутсорсинг не снимает необходимость в наличии соответствующей компетенции внутри компании и не нивелирует ценность внутреннего безопасника. В 2012 году, когда мы только открывали сервисное направление и начинали строить центр мониторинга Solar JSOC, казалось, что почти любой процесс, связанный с информационной безопасностью, можно отдать на аутсорсинг. Одним из наших первых заказчиков был «Лето Банк» (сейчас «Почта Банк»). Он быстро развивался — открывались десятки отделений в месяц. Так что аутсорсинг ИБ подходил банку как нельзя лучше, ведь услугу можно подключить практически сразу. Однако со временем мы поняли, что некоторые функции ИБ-подразделения правильнее оставлять на стороне заказчика. Невозможно отдать вовне ответственность за обеспечение безопасности. Невозможно передать на аутсорсинг функцию принятия решений. У компании в штате всегда должен быть человек или скорее даже команда, ответственная за информационную безопасность. Можно передать сервис-провайдеру функцию рук и ног, но мозги на аутсорс не отдашь. Об ответственности и ответственных Часто, обращаясь к поставщику ИБ-сервисов, заказчик полагает, что тот возьмет на себя ответственность за информационную безопасность организации в целом. Но это не совсем так. Мы беремся защищать клиентов от вполне конкретных рисков, определенных векторов и сценариев атак. И соответственно, отвечаем мы не за весь комплекс безопасности, а только за те функции, выполнение которых мы на себя взяли. Ответственность за них прописана в SLA — соглашении об уровне сервисов. Мы обязуемся выявлять инциденты в защищаемых сегментах и реагировать на них определенным образом в течение установленного отрезка времени. При разговоре с клиентом я часто привожу такую, может быть, не очень точную, но зато понятную аналогию. Предположим, у вас есть площадка e-commerce или интернет-банк. Провайдер предоставляет вам канал связи. Вопрос: отвечает ли он за непрерывность вашего бизнеса в целом? Должен ли он возместить вам ущерб и недополученную прибыль, если, скажем, приедет трактор и оборвет линию связи? Поэтому, чтобы не возникало разрыва между ожиданиями клиента и возможностями сервис-провайдера, заказчик должен четко понимать, что именно он отдает на аутсорсинг. О службах ИБ в компаниях Сила внутреннего безопасника — это четкое понимание бизнеса, структуры компании, финансовых вопросов, которое позволяет ему говорить с другими менеджерами на одном языке. Безопасник должен понимать, что для руководителя компании бизнес-риск — это отнюдь не вирусное заражение. Бизнес-риск — это, например, активности конкурентов, нарушение основных бизнес-процессов компании, действия фискальных органов, изменение законодательства, проблемы у клиентов, репутационные риски, санкции, в конце концов. Руководители рассуждают именно в такой парадигме, и каждый из этих рисков распадается на операционные составляющие, которые уже могут относиться к сфере ответственности служб ИТ и ИБ. На мой взгляд, то, что безопасник не понимает истинных проблем бизнеса, не умеет слышать руководителя компании, — это сейчас одна из болевых точек многих организаций. На конференциях часто можно слышать выступления ИБ-специалистов, рассказывающих, как обосновать бизнесу необходимость тех или иных средств защиты. По сути — как запугать руководителя и как им манипулировать. Однако в реальности это не сработает: любой бизнес-руководитель на то и руководитель, чтобы пресекать такие вещи. Именно поэтому безопасник должен говорить с руководителем бизнеса на одном языке, должен уметь построить цепочку от бизнес-рисков до рисков ИБ. Ну и конечно, он должен хорошо понимать, какие риски существуют внутри организации, какими уровнями доступа обладают сотрудники и в чем логика их работы. Мы периодически встречаемся с сотрудниками служб ИБ, и в разговоре об аутсорсинге они рано или поздно задают вопрос: «А что, нас всех уволят?» Да ничего подобного. Идите, занимайтесь тем, за что вам на самом деле платят деньги, — безопасностью бизнеса, а мы займемся operations. Об отличии российских бизнес-реалий от западных Говорят, что в сфере ИТ Россия отстает от Запада на 3–5 лет. И возможно, в отношении разработки новых продуктов, связанных с кибербезопасностью, это утверждение верно. Но тут ничего не поделаешь: у нас в отрасли нет таких инвестиций, чтобы конкурировать с западными корпорациями на должном уровне. А вот с точки зрения практики обеспечения безопасности мы очень крутые. В России умеют по-настоящему бороться с киберугрозами и ловить злоумышленников. Это наше преимущество. Российским специалистам часто приходится сталкиваться с реальными угрозами и нарабатывать методы их пресечения, что дает ценнейший опыт, к которому за рубежом проявляют большой интерес. О современных трендах в ИБ На стороне защиты сейчас можно наблюдать действительно интересные тренды: из-за рубежа идет мода на искусственный интеллект. С одной стороны, я искренне верю, что нейросети и машинное обучение действительно через три, пять, максимум десять лет снимут с людей порядка 90% нагрузки. Но на данном этапе мы видим, что у безопасника эти технологии пока вызывают скорее негативную реакцию. Предположим, система пару месяцев обучается, затем ее включают и в какой-то момент она сообщает об инциденте. Логично, что у безопасника сразу возникает вопрос: на основании каких признаков система решила, что это инцидент? Нейросеть же не может «объяснить», почему она приняла то или иное решение, и это вызывает у человека некоторое раздражение. Это естественный этап, который проходит каждая прорывная технология. Чтобы получить широкое распространение, она должна завоевать определенный уровень доверия, и, пока его нет, прорывные изобретения остаются в категории любопытной игрушки. Но я верю, что в будущем машинное обучение станет очень серьезным подспорьем для информационной безопасности. Сейчас мы сталкиваемся с тем, что даже инженер первой линии центра мониторинга и реагирования на киберугрозы должен очень много знать. Проводя обучение, мы понимаем, что с каждым годом количество информации, которую нужно вложить в его голову, быстро растет. Нам приходится все время интенсифицировать программу обучения, делать гайды, помогающие автоматизировать сбор и отображение всей нужной информации. Однако всему этому есть предел, и столкнуться с ним придется не через 50 лет, а уже через год-два. Тогда-то мы и будем вынуждены искать технологии, которые станут не просто собирать, очищать и подготавливать информацию, а самостоятельно делать определенные выводы уже на этих ранних этапах. О карьере и образовании безопасника Сейчас у нас работает порядка 250 человек. При поиске людей на мониторинг мы очень много работаем с вузами. Забираем студентов с третьего, четвертого, пятого курсов и приглашаем их пройти стажировку в компании. В ходе этой стажировки мы даем студентам базовые практические навыки в области информационной безопасности, рассказываем о типах инцидентов, методах их выявления. Дальше стажер может за год пройти первую линию, перейти на вторую и через два года уже начать заниматься аналитическими задачами. Это хороший трек. Аналитики — это своего рода «белая кость», они создают ценность компании. Это инженеры, которые умеют видеть качество информационной системы с архитектурной точки зрения, а с точки зрения безопасности — понимать векторы атак и методы противодействия им. Это очень востребованная профессия с очень высокими зарплатами. Вообще, хороших аналитиков в России сейчас два, может быть, три десятка — по крайней мере, таких, которые действительно могут обеспечить защиту от кибератак. У них отличный кругозор в области информационных технологий, идеальное знание сети и архитектуры операционных систем, глубокое понимание механизмов атак и так далее. Такие специалисты будут востребованы и через три года, и через пять лет. О проблемах больших зарплат и ожиданий Сейчас рынок труда в разработке и кибербезопасности сильно перегрет. Из-за этого возникает неприятная тенденция и определенная ловушка для молодых специалистов: опережающий спрос на кадры и готовность работодателей перекупать их друг у друга приводит к опасному превышению зарплат людей над стоимостью их реального опыта, то есть их личной «капитализацией». Предположим, мы берем специалиста на 100 тысяч рублей, он работает три месяца, пишет в своем резюме о знании Java, Scala и Python, после чего может запросить зарплату уже в 200 тысяч. Дальше некоторая «магия» на собеседовании — о том, как себя продать работодателю, много написано в интернете, — и вот его берут и на 200, и на 250, а если повезет в поисках, то и на 300 тысяч. Но реального опыта у него по-прежнему три месяца, а новый работодатель
CSS, очень должен может через которые
0

Смотрите также

А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация