Comments 26

Добравшись до определенного уровня компетенции и зарплаты я просто не иду на собеседование, если знаю, что надо будет говорить с СБ. Благо рынок в мою пользу. Забавно, что многие HR в банках хорошо понимают эту проблему и стараются оттянуть встречу с особистом, чтоб соискателю уже было жалко все это бросать.

Удваиваю. Работу «правильной» СБ незаметно. А когда после техсобеседования говорят «Вам надо пройти СБ, вот вам анкета», а в анкете чуть ли не родословную до тринадцатого колена требуют, и копии всех возможных документов (половина которых уже есть на руках у эйчара на момент прохождения техсобеса) — создается впечатление, что СБ просто не хочет работать — пусть кандидат сам на себя напишет. А они порешают, и может быть соизволят соблаговолить утвердить.
Послал в итоге лесом. Слишком много хотят за $2500.
После этого здесь обязательно должна появиться статья о том, что политика безопасности, основанная на правиле «всем разрешить» стопроцентно приводит к катастрофе.

Я думаю тут не проблема в самом "все запретить", а в том, что на то чтоб "разрешить" ты должне идти на поклон к прапорщику с кучей бумажек, а потом ждать недели. Вторая засада в том, что ты более квалифицирован, чем он. Очень тяжело объяснить прапору, что тебе нужна другая ОС на компьютере (он вообще не знает, что там может быть не Windows) или что не надо проверять Касперским трафик с maven-central из-за ложных страбатываний и т.д.

Несомненно появится. Хотя получается я так и не донёс мысль. Смысл не в том, чтобы разрешить, а в том, что нужен другой подход к запрещению/разрешению. Идущий от потребностей. В компании, в которой я работаю, есть такое приложение «Безопасный интернет». По сути это браузер открывающийся на удаленной виртуалке. Если что-то и будет заражено, то не на рабочей машине. Да он не идеален, не покрывает всех потребностей, зачастую просто не удобен, но сам ход мысли, по мне, – очень хороший. Вот я считаю, нужно двигаться в эту сторону.
Вопрос серьезней для того, чтобы его замылить косяками бесопасников. У меня компьютер в 91 году закрывался сзади специальной шторой, чтобы нельзя было снять изображение с дисплее. Хотя это был четвертый этаж и не было никаких зданий в километре рядом. :))
Картинка к статье кстати очень удачная(себе скачал:)). Мое личное мнение, что все-таки правильней или не запариваться безопасностью или уже начинать с опечатывания компов, портов и т.п.
Для начала неплохо бы осознать, что вы в статье описываете сразу два направления — экономическую безопасность и информационную. В крупных компаниях приблизительно в 100% случаев это разные подразделения с принципиально разными задачами и персоналом.

Большинство сотрудников СБ, если не все, набираются из МВД, ФСБ, военных и т.д.
Насколько достоверна эта статистика? Сколько в вашей текущей организации сотрудников СБ (ну или ЭБ) и сколько из них — бывшие сотрудники МВД, ФСБ, военные?

Я не хочу обидеть сотрудников СБ, и у меня нет к ним личной неприязни, мести и умысла очернить их
После прочтения составленного вами «кодекса» как-то не очень верится. Возьмите десять своих недостатков или ошибок, увеличьте в десять раз, напишите такой же «кодекс» про себя и проверьте, обидит он вас или нет.

Статья в целом — очередной плач Ярославны, коих здесь было уже.

Спасибо за комментарий.


Для начала неплохо бы осознать, что вы в статье описываете сразу два направления

Да, согласен.


  • Насколько достоверна эта статистика?
  • Сколько в вашей текущей организации сотрудников СБ (ну или ЭБ) и сколько из них — бывшие сотрудники МВД, ФСБ, военные?

Исследования не проводил, мне такую информацию не представляли и получить её не получится, но с теми с кем общался были как раз оттуда


После прочтения составленного вами «кодекса» как-то не очень верится.

Да согласен, тут можно обидится. Но не это цель статьи


Статья в целом — очередной плач Ярославны

Я как-то не одной жалобы не написал


коих здесь было уже

Да тема пересекается, но статьи о разном

Исследования не проводил
Но выводы делаете, причём за всю отрасль.

Каждый программист должен не только уметь хорошо разбираться и пройти тесты/курсы по безопасности и, как минимум, знать все самые популярные способы взлома, которые применяются на его языке программирования
Какие самые популярные способы взлома применяются на вашем языке программирования?

Ну и по поводу ситуации в целом:
1. СБ — это просто структурное подразделение компании. Где-то оно обладает особенным авторитетом, где-то об неё IT с кадрами ноги вытирают — это зависит от конкретной организации. Но в любом случае СБ действует в рамках полномочий, которые ей выдало руководство этой организации.
2. Цели и методы работы СБ определяются руководством. Обоснуйте бизнесу, почему вы такой классный и как много для компании значите — и для вас сделают исключение, СБ будет тихо курить в уголке, а вы — наслаждаться жизнью. Это касается как отдельных личностей, так и отделов / департаментов / направлений деятельности внутри организации.
Не получается? Ну, значит, бизнес не считает, что риски, связанные с выдачей вам таких прав, целесообразны. Что, в свою очередь, означает, что либо не такой уж вы и классный, либо вы / ваш начальник / ЗГД по вашему направлению не способны донести свою точку зрения до руководства. В обоих случаях виновата не СБ, а либо раздутое самомнение, либо отсутствие необходимых лидерских качеств (работнику такое ещё простительно, руководителям высшего звена — уже вряд ли).
3. «Установить такие правила, которые устроят всех» невозможно в принципе. Во-первых, все разные, и одному нужны соцсети и гаджеты, второму — торренты, третьему — работать из дома, четвёртому — права администратора. Во-вторых, пользователям всегда хочется значительно больше, чем нужно для производственной деятельности, и какие-то ограничения необходимы.
4. Предложенные вами меры (нанять в СБ психолога, провести интересное обучение, повышать компетенции пользователей и сотрудников СБ) имеют право на жизнь, но здесь решение опять же принимает руководство компании. Если такое не внедряется — значит, бизнес не в восторге от идеи потратить ещё пару (десятков?) миллионов на психологов и тренинги.
И все же повышение осведомленности сотрудников в области ИБ несомненно является одной из лучших практик, рекомендовано как российскими так и международными стандартами. Если этого нету — это явная недоработка СБ, раз уж ИБ к ним относятся =)

Безусловно является. И безусловно надо бы его проводить. Но это стоит (а) денег и (б) времени безопасников. А в большинстве организаций народу в ИБ и так не хватает, они по горло загружены согласованием заявок, настройкой СЗИ, анализом логов и тому подобным.
В идеальном розовом мире в структуре ИБ должно быть несколько разных отделов, которые занимаются разными задачами. Кто-то заявки рассматривает, кто-то СЗИ настраивает, кто-то разрабатывает новые политики безопасности, кто-то логи смотрит, кто-то занимается обучением сотрудников и повышением их осведомлённости.
Но это возможно только в крупных компаниях, которые ещё и всерьёз подходят к вопросам обеспечения ИБ, коих на рынке единицы.

Я согласен с вами.
Хочу немного уточнить, я не жалуюсь на СБ, мне просто кажутся не очень эффективны способы их работы. И я просто решил поделиться своим мнением и посмотреть, согласен ли кто-нибудь с такой точкой зрения.
Спасибо за то, что поделились вашей точкой зрения
Цели и методы работы СБ определяются руководством. Обоснуйте бизнесу, почему вы такой классный и как много для компании значите — и для вас сделают исключение, СБ будет тихо курить в уголке, а вы — наслаждаться жизнью.

Не соглашусь. Глупое руководство так будет делать, которому, в принципе, плевать на безопасность. Я классный. Я это сам знаю. Перед моим возвращением в Россию я был одним из создателей крупной западной компании, которая вот уже 17 лет успешна на глобальном рынке и с 50 тысяч евро стартового капитала имеет сейчас собственный оборот свыше 5 миллиардов евро в год. Я в этой компании занимал одну из самых ключевых позиций с самого основания до самого ухода. Не хвастаюсь, а определяю свою значимость и опыт. Так вот, придя в довольно крупную российскую компанию, куда меня эта компания сама пригласила, после беседы с владельцем компании я все же прошел и тесты СБ, и беседу со специально приглашенным психологом из МГУ. Пять больших тестов в течение всего дня. Прошел успешно. Получил руководящую должность. Владелец был рад, что я прошел тесты. Несмотря на его личное желание принять меня на работу, результат тестов был важен. Если бы где-то завалил, не взяли бы, несмотря ни на что. Я считаю это нормальной практикой. Руководящий сотрудник должен проходить больше проверок, подчиненные меньше. У нас все проходят СБ. Это обязательно. И я сам убедился, что это верно. По моему настоянию были приняты таки два сотрудника однажды против решения СБ. Очень настаивал, лично убеждал владельца компании. И результат — оба сотрудника уже не работают. Один сам ушел, второго уволили по несоответствию. С тех пор я доверяю решению нашей СБ.
Взломать/сломать крупную организацию через сотрудников гораздо быстрее и дешевле, чем через фаерволы и гаджеты.

Сложно всё это.., да и вообще работа с людьми самая сложная. Всем мир)
Не увидел ничего плохого в действиях СБ. Тут вопрос больше в собственной вовлечённости сотрудника (в данном случае сотрудника СБ) в процесс, будь то принятие на работу или доступ к действиям. Описанные проблемы скорее вопрос коммуникабельности или мотивации определённых сотрудников (в данном случае сотрудника СБ).
Не раз сталкивался с подобными проблемами при взаимодействия не только с СБ но и с юридическим отделом (виноваты если договор не исполнен и предъявить исполнителю ничего не можем), финансовым (виноват если необоснованные траты), снабжением и т.д. По моему опыту, проблемы возникают с 1-2 отделами, если с бОльшими «не выжить» ни тебе ни компании. Причём с СБ работа более менее налажена была.
При обращении к «тыжпрограммисту» тоже никто не понимает что толком спросить и почему он при этом не может сразу всё предоставить, починить и сделать. Ему тоже нужны какие-то данные, какая-то «ненужная» инфа от тебя, требует какие-то пароли логины, номера почему-то не устанавливает ту или иную прогу, не даёт полный доступ и т.д. И здесь всё зависит от IT-специалиста, как он наладит взаимосвязь с отделами. Если не наладит так и останется «тыжпрограммистом» у которого все виноваты что его так называют.
Спасибо за хороший комментарий.
Хотелось бы узнать ваше мнение, а нужно ли сотруднику СБ/ЭБ быть вовлеченным в процесс? Или такое вовлечение излишне и затраты, которые нужны для того, чтобы провести такую реструктуризацию принципиально не изменят уровень безопасности?
Сложно судить со стороны. Есть потребность компании в твоём продукте и в информационной безопасности. И то и другое не должно друг другу мешать.
Т.К. сотрудники СБ чаще выполняют установки чем пишут, тем более в IT. Я бы попробовал сам написать установки безопасности и попросил бы СБ следовать им т.к. это увеличит их и вашу продуктивность. А СБ использовать как инструмент. Если ты ответственен за любой доступ или действие которое ты делегировал, все «инструменты» службы безопасности вдруг могут стать полезными)
Про «в четвертых» — есть же куча средств для поддержки Bring-Your-Own-Device — и карантинные системы с агентами (=не пустим ноут в сеть пока не поймем что там винда и антивирус обновлены) и MDM-системы для мобильного железа (установка софта, политик (гнать трафик через корпоративную проксю, с инспекций https, выключить камеру,etc), контроль поведения, ну да — с точки зрения пользователя часто перебор СБ давать право например делать remote wipe его личного дейвайса), особенно у Apple и Samsung все это хорошо сделано.
А вы проверьте свою «крупную компанию», просто наняв Кевина Митника)))
К большому сожалению 80% разработчиков о безопасности не задумываются, или думают ооочень поверхностно. У всех сроки горят, как говорится херак, херак, и в продакшн. А об обычных пользователях я вообще молчу. У СБ обычно нет возможности работать «с каждым» пользователем в отдельности, поэтому приходится грубо работать с «серой массой»
Давно когда работал в банка у нас СБшник был не традиционный :) он был веселый, всегда спрашивал как дела, как здоровье, на столе стояла вазочка с конфетками, когда заходишь к нему, он всегда сразу угощал сладеньким, чайку предлагал. Но если ты косячил он превращался в злобного дядю и карал жестоко :)

И тоже помню бесило, когда все действия согласовывали с СБшниками, а они большинство были в ИТ не сильно далекие, многие пришли из УВД, а там в ИТ попали ввиду различных контузий или дефектов по здоровью. И бывало по часу сидели разжевывали им новую хранимую процедуру, и что в ней изменилось и для чего, и что это будет работать и это не магия. Хотя причем можно было хрень наговорить, главно делать это с уверенным лицом и они согласовывали.

судя по заголовку ожидал статью про уязвимости в системе безопасности крупных компаний)

Безопасный — не значит удобный. (не путать красоту с пересечением ума)

Ну извините, СБ — им тоже надо как-то бизнесу доказать, что жуют свой хлеб не просто так.
Да и вообще — чужая работа обычно кажется легче

ЗЫ: я не из СБ :)
Only those users with full accounts are able to leave comments. Log in, please.