Путеводитель по карьере в кибербезопасности

2.1.5. Безопасность приложений, программного обеспечения и продуктов
Это направление сосредоточено на обеспечении безопасности элементов, которые организации создают, чтобы продавать их, оказывать с их помощью услуги или поддерживать работу внутренних процессов. Под обеспечением безопасности приложений обычно понимается то, как организации защищают разрабатываемые ими программы.
  
Понятие безопасности программного обеспечения несколько двусмысленное, но в основном оно касается защиты любого ПО, используемого в организации, — разработанного ли внутри нее или приобретенного у стороннего производителя. Безопасность продукта в общем смысле относится к защите любых программных или аппаратных продуктов, продаваемых компанией. Все эти три области объединяет одно: к ним применяется концепция жизненного цикла, на всех этапах которого должны использоваться методы обеспечения безопасности.
Под безопасностью приложений понимается использование методов защиты в рамках жизненного цикла разработки программного обеспечения (SDLC, software development life cycle). Результаты множества исследований, проведенных за несколько десятилетий, показали, что обнаруживать и устранять уязвимости на ранних этапах разработки приложений гораздо дешевле и эффективнее, чем после их запуска в производство.
Со своего появления в 2008 году DevOps подкидывает проблем тем, кто стремится сделать безопасность эффективной частью непрерывной поставки ПО. В культуре DevOps разработчики ПО и персонал, занимающийся поддержкой операций, сотрудничают в рамках модели общей ответственности. Благодаря стремлению специалистов по безопасности внедрить методы ее обеспечения в ранние этапы разработки ПО родилась концепция DevSecOps. Ее практики безопасности также обычно относятся к сфере защиты приложений.
Защита программного обеспечения расширяет сферу защиты приложений, ведь организация может использовать и сторонние программы. Это направление опирается на общность жизненного цикла приобретения и развертывания стороннего ПО и цикла разработки собственного.
Под обеспечением безопасности продукта обычно подразумевается защита продуктов, продаваемых организацией. Иногда это понятие позволяет подчеркнуть тот факт, что продукт — не всегда программы или приложения. Это могут быть также устройства или другие материальные товары, в безопасности которых компания должна убедиться. Опять же, поскольку в их разработке и обновлении используется концепция жизненного цикла, обеспечение безопасности должно быть интегрировано в его этапы.
Специалисты этого направления должны обладать техническими навыками, а также глубоко понимать процесс разработки ПО и продуктов вплоть до уровня кода или компонентов. Во многих случаях такое понимание оказывается обязательным. Специалисту будет трудно внедрять принципы безопасного программирования совместно с разработчиками, если он не написал за свою жизнь ни строчки кода. Кроме того, эмпатия, обусловленная наличием опыта работы в похожей сфере, может оказаться полезной при попытке повлиять на поведение создателей продукта или ПО.
2.1.6. Управление и соблюдение требований
Мы уже познакомились с идеей управления и соблюдения требований ранее в этой главе. К организациям как государственного, так и частного сектора предъявляется все больше отраслевых и правовых требований. Кроме того, в большинстве компаний есть внутренние политики и стандарты, регламентирующие применение необходимых средств защиты, процессов и технологий. Задача специалистов по управлению и соблюдению требований — обеспечить соответствие деятельности всех подразделений организации внешним нормативам и внутренним политикам.
Как правило, такие специалисты занимаются не только кибербезопасностью. Корпоративные политики, а также отраслевые и правительственные требования обычно распространяются на многие области, представляющие интерес для бизнеса. Однако по мере роста числа правил, связанных с конфиденциальностью и безопасностью, растет потребность в квалифицированных кадрах, обладающих знаниями в этой области.
Специалисты этого направления отвечают за административную сторону деятельности организации. Взаимодействие с юридическими и аудиторскими службами для них обычное дело. Им часто приходится интерпретировать законы и другие правила в плане их влияния на бизнес. Кроме того, они оценивают текущий уровень соответствия организации требованиям, анализируют пробелы и разрабатывают рекомендации по их устранению, а также сотрудничают с внутренними и внешними аудиторами, чтобы продемонстрировать соответствие требованиям в ходе регулярных проверок.
Учитывая эти ключевые обязанности, таким специалистам может пригодиться опыт юридической или аудиторской деятельности. Им также необходимы развитые навыки межличностного общения, поскольку их работа требует взаимодействия с техническими специалистами и с высшим руководством. При взаимодействии с командами им может пригодиться технический опыт, однако глубокие знания конкретных технологий им обычно не требуются.
2.1.7. Обучение и повышение осведомленности
В последнее время человеческий фактор играет все более значимую роль в обеспечении кибербезопасности. Многие из наиболее известных атак были успешно осуществлены из-за человеческой ошибки и методов социальной инженерии. Поэтому во всех отраслях и секторах обычным явлением становится обучение сотрудников, клиентов, пользователей и даже представителей широкой общественности, Направление, связанное с обучением и повышением осведомленности, охватывает все способы непосредственного обучения людей современным правилам безопасности.
Большинство средних и крупных организаций уже внедрили подобные программы в той или иной форме. Ценность такого обучения хорошо изучена и общеизвестна, и по многим отраслевым и правительственным постановлениям проводить его обязательно. Содержание учебных программ может варьироваться в зависимости от организации. Где-то обучают под руководством инструктора, где-то используют компьютерные обучающие модули, иногда проводятся соревнования и внутренние маркетинговые кампании. Внедрить и отслеживать эффективность программ обычно поручают команде специалистов, обладающих навыками в области образования.
Однако повышение осведомленности — не единственная форма обучения. Из-за того что кибербезопасности стали уделять огромное внимание, появилось множество учебных программ и университетских курсов, помогающих людям освоить навыки для работы в этой области. На подобных курсах часто преподают профессионалы с большим опытом в сфере кибербезопасности, причем многие из них все еще активно работают в разных ее направлениях.
При подготовке к написанию этой книги мне довелось пообщаться с Габриэль Хемпель, которая имеет обширный опыт в проведении оценки и обеспечении безопасности приложений (в частности, облачных) и выпускает учебные материалы для нескольких организаций. Ее история впечатляет тем, что она попала в сферу кибербезопасности совер шенно нетрадиционным путем: перешла туда из биомедицины. Однако она хорошо понимала связь между этой областью здравоохранения и науки и кибербезопасностью.
Она использует свой разнообразный опыт в различных направлениях кибербезопасности не только для создания качественных образовательных материалов. Несмотря на отсутствие долгой карьеры в этих областях, она смогла превратить полученные знания в контент, позволяющий эффективно обучать других людей. Эта уникальная способность синтезировать информацию и обмениваться ею очень важна для специалиста по кибербезопасности.
  
Таким образом, человек с опытом работы в сфере образования и с техническими знаниями, позволяющими ему понимать концепции кибербезопасности, может с успехом играть любую из этих ролей. Помимо непосредственно навыков инструктирования этим людям не помешает умение разрабатывать программы обучения и учебные планы.