Поговорили с руководителем архитектуры ИБ в МТС, создателем телеграм-канала Пакет Безопасности и автором курса Основы информационной безопасности Романом Паниным о роли Security Champion-а — Чемпиона безопасности. Как раз сейчас Роман внедряет Чемпионов в своей компании, поэтому с энтузиазмом поделился своим видением.
Сегодня мы заострим свое внимание на специализации в кибербезопасности, которая помогает правильно масштабировать безопасные процессы в компаниях, продуктах и командах, — Security Champion (Чемпион безопасности).
Эта роль постепенно начинает набирать обороты в больших энтерпрайзах (MAANG, MULA и прочий BigTech), но даже там уровень зрелости подобной культуры достаточно сильно разнится, как и ее трактовка.
В нашей стране ситуация не лучше, так как некоторые российские компании пытаются выстраивать практики Чемпионов безопасности, подглядывая за примером западных коллег. В результате мы имеем низкий уровень распространения данной культуры в РФ-компаниях. Там же, где эти практики внедрены, сложно сказать, насколько качественно и правильно все сделано.
На данный момент единой парадигмы с одним рабочим альманахом по внедрению инициативы Security Champion-ов не существует. Да, об этом пишут небезызвестные OWASP, многие CISO крупных компаний в своих личных блогах, о Чемпионах иногда упоминают на профильных конференциях и митапах. Однако первоисточника или выверенного манифеста нет.
Кто такой Чемпион безопасности?
Security Champion контролирует ключевые процессы и состояние ИБ именно в своей команде и продукте. Такой подход помогает масштабировать практики кибербезопасности в быстрорастущих или больших компаниях без необходимости бесконечно раздувать штат безопасников.
Чемпион, помимо своих прямых обязанностей по должности (разработчик, тестировщик, аналитик и т. д.), несет ответственность за состояние продукта и команды с точки зрения кибербезопасности. Если точнее:
соответствие продукта/системы требованиям, предъявленным со стороны юнита ИБ;
своевременное выполнение задач технического долга по ИБ;
регулярное взаимодействие с сотрудниками из отдела безопасности;
регулярный чекап продукта/системы (проверка уязвимостей ИБ, обнаруженных соответствующими сканерами и анализаторами);
координация своей команды в части вопросов по кибербезопасности;
оповещение сотрудников-безопасников о появившихся инцидентах.
Разберем на примере, как может выглядеть Чемпион в рамках обычной продуктовой команды.
Для этого представим стандартную команду разработки мобильного приложения. В команде есть бизнес-аналитик (общается с бизнесом и формулирует требования к функциональности), разработчик (создает то самое приложение в соответствии с требованиями), тестировщик/QA (отвечает за качество финального продукта и проверяет выполнение всех требований) и проектный менеджер (следит за тем, чтобы все работали слаженно, а сроки не нарушались).
Тут нет кибербезопасников; они часто сидят в другом отделе, чтобы не допустить конфликта интересов. Именно поэтому в команде нужен Security Champion, который будет коммуницировать с юнитом ИБ, отвечать за выполнение поступивших от него задач и доносить до своей команды важные вещи, связанные с безопасностью.
Во избежание лишнего дискомфорта формат взаимодействия Чемпиона с юнитом ИБ должен быть четко оговорен. Обычно это регулярные встречи (в составе Чемпиона, Офицера безопасности и СТО продукта) для обсуждения накопившихся вопросов с обеих сторон и мониторинга текущего уровня зрелости ИБ.
Чемпион может в любое время обращаться по вопросам ИБ к своему Офицеру безопасности (обычно такой человек закреплен за продуктом). Аналогичное правило должно работать и в обратную сторону, так как в случае возникновения критической уязвимости ее нужно закрыть в короткие сроки — и не без помощи Чемпиона.
Конечно, в случае острой необходимости кибербезопасники могут собирать встречи со всей командой, но обычно это не так эффективно.
В идеальном мире свой Security Champion должен быть у каждой продуктовой команды разработки. Продуктом может быть что угодно: мобильное приложение, сервис для партнеров, внутренняя CRM — не важно. Все вышеописанные обязанности занимают у члена команды разработки в разы меньше времени, чем у безопасника. Ведь Чемпион живет внутри команды и продукта, участвует в планировании бэклога, знает о будущих фичах и проблемных местах, понимает бизнес-логику и т. д.
Бывают случаи, когда культура Чемпиона безопасности начинает выстраиваться органично и без наличия юнита ИБ. Чаще всего такая практика бывает в стартапах. Чемпиону в этом случае придется самому постигать кибербез и преодолевать встающие перед ним барьеры. Это сложно, но возможно. Такой Чемпион обычно становится CISO или Security Business Partner-ом.
Преимущества Чемпиона
Сам Чемпион получает:
Повышение заработной платы за взятие на себя дополнительной нагрузки/ответственности
Менторинг со стороны сотрудников юнита ИБ
Повышение своих компетенций в вопросах кибербезопасности (освоение технологий, инструментов, практик)
Повышение собственной стоимости на рынке труда, что следует из предыдущего пункта.
Команда получает:
Упрощение и ускорение взаимодействий с отделом безопасности
Компетенции ИБ непосредственно в своей команде/продукте
Экономию времени из-за отсутствия коллективных созвонов с Офицерами безопасности (Чемпион берет общение с безопасниками на себя).
Юнит ИБ получает:
Экономию человеческих ресурсов из-за перераспределения ответственности и задач между Офицером безопасности и Чемпионом.
Экономию времени на итеративное изучение бизнес-специфики продукта.
Как можно увидеть, все в выигрыше. Для компании в целом наличие культуры Чемпионов безопасности означает достаточно зрелый уровень развития ИБ, а также может избавить компанию от излишних трат на расширение штата безопасников (поверьте, стоимость работы одного кибербеза будет в разы выше, чем та самая прибавка к зарплате Чемпиона).
Чемпион минимизирует рассинхрон между юнитами ИТ и ИБ, из-за которого зачастую возникают конфликты, и замедляется процесс разработки.
Проблемы внедрения роли Чемпиона
Может казаться, что внедрение Чемпиона будет избыточным, ведь в компании и так есть безопасники, которые должны заниматься ИБ. Это так, но есть несколько нюансов.
Нюанс первый. Компании, штат, продукты и их количество часто растут настолько стремительно, что контролировать все это хозяйство становится все сложнее. В этом случае перед руководством встает выбор: синхронно расширять штат кибербезопасников или начать применять гибкие практики для более эффективного масштабирования процессов ИБ (внедрение Чемпиона и Security Business Partner, применение автоматизированных инструментов безопасности).
Нюанс второй. Продуктовая разработка и безопасность зачастую говорят на разных языках: первых интересует быстрая выкатка новых фич в продакшн, вторых — безопасность всего производства ПО, в том числе и новых фич. В идеальном мире все работают как одна команда, но реальность полна разочарований такова, что юниты ИТ и ИБ работают в рассинхроне и замедляют друг друга. В такой ситуации бизнес только и успевает мирить этих ребят, чтобы наконец-то начать зарабатывать деньги.
Все эти проблемы может решить правильное внедрение Security Champion-а. Чемпион безопасности выступает в роли API, через которое и происходит взаимодействие двух юнитов. Это одновременно уменьшает Time to Market и снижает вероятность конфликта интересов.
Только представьте: в каждой команде появляется свой мини-безопасник, благодаря которому один Офицер безопасности может контролировать уже не 5 продуктов/систем, а, например, 15, так как часть его нагрузки делегирована Чемпиону.
Самому кибербезопаснику больше не придется из раза в раз садиться со всей командой за один стол и пытаться понять: что в продукте уже сделано, что с уровнем зрелости ИБ, какие подводные камни, нюансы бизнеса и т. д.
Будет ли скучать юнит ИБ после внедрения Чемпионов? Можно абсолютно точно сказать: нет. Во-первых, безопасники смогут взять на себя больше продуктовых команд и систем. Во-вторых, у отдела кибербезопасности появится время на улучшение существующих процессов ИБ, на внедрение новых полезных практик. Сложно найти компании, где кибербезопасникам на все хватает времени; они работают в постоянной нагрузке, потому что бизнес довольно часто непропорционально закладывает финансирование на развитие юнитов ИТ и ИБ.
Практическая польза от Чемпиона
Сейчас Роман внедряет у себя в компании культуру Security Champion-ов. Основываясь на прошлом опыте внедрения, он ожидает разгрузки специалистов по ИБ минимум на 30% от текущего состояния, а также заметного ускорения различных процедур согласования с юнитом ИБ.
Регулярные встречи Чемпиона с Офицером позволят всем причастным быть в курсе последних событий и эффективно держать руку на пульсе. Вдобавок это будет экономить время всей команды продуктовой разработки, так как им не придется ходить митинги расширенным составом.
Заключение
Тяжело ли нести бремя Security Champion-а? Скорее нет, чем да. В особенности, если сам Чемпион правильно замотивирован и понимает ценность своей роли для команды и продукта. А если он при этом еще и удовольствие получает, то тут и так все ясно.
Иметь в наборе специфичные навыки для того, чтобы стать Чемпионом, не нужно. Будет неплохо, если у человека есть бэкграунд в кибербезе, но это совсем не обязательно. Главное — желание и мотивация, а всем остальным поделятся коллеги из юнита ИБ. Они покажут, какие процессы и как внедрять, расскажут об инструментах безопасной разработки ПО, а также дадут базу кибербезопасности в понятном виде.
У Романа за плечами — 9+ лет опыта в кибербезе и ИТ. Внедряя роль Security Champion-а в МТС, он точно уверен в положительном результате: ускорении разработки, усилении эффективности взаимодействия между командами, разгрузке специалистов и сокращении расходов. Если и вы хотите увеличить эффективность работы, повысить зрелость культуры ИБ и прокачать цифровую гигиену в своей организации — предлагаем ознакомиться с курсом Основы информационной безопасности.
Мы добавили к классическому формату видеокурса AMA-сессию со спикером, которая пройдет 20 апреля: https://slurm.club/4021lcq
