Обычно в крупных организациях не хватает специалистов по информационной безопасности. Из-за большого количества используемых технологий и процессов им бывает сложно разобраться во всём наравне с профильными сотрудниками.
Чтобы стратегия информационной безопасности была эффективной, она должна учитывать особенности защищаемых процессов и продуктов. Один из способов продвижения культуры информационной безопасности — использование Security Champions.
Практика Security Champion (далее буду называть по-русски «Чемпион Безопасности») изначально и чаще всего используется в безопасной разработке, но её можно успешно применять и в других направлениях и бизнес-процессах.
Чемпион безопасности — это не отдельная специальность, а роль в команде. Это активные участники команды, которые могут помочь в принятии решений о необходимости привлечения команды по безопасности. Они играют ключевую роль в процессе обеспечения безопасности продукта или услуги и выступают в качестве единого контактного лица по вопросам информационной безопасности в команде.
Очень важно выбрать на эту позицию сотрудника, который искренне увлечён информационной безопасностью и стремится развивать свои профессиональные навыки в этой области.
Штатный специалист по безопасности продолжает обеспечивать функционирование средств защиты информации, но совместно с чемпионом настраивает их с учетом особенностей конкретных продуктов и процессов с четким пониманием всех внутренних нюансов. При этом специалист по безопасности становится ментором чемпиона и обучает его необходимым безопасным подходам. Постепенно чемпион безопасности становится внутри своей команды главным лицом в части безопасности, к которому коллеги могут приходить с вопросами. Таким образом, чемпион берет на себя новые обязанности, но при этом сохраняет за собой текущую позицию и продолжает выполнять свои обычные задачи.
OWASP предлагает следующие шаги по внедрению концепции:
- Определите команды
Для включения лидеров по безопасности в команды необходимо определить задействованные команды и их структуру, используемые технологии, каналы связи и процессы общения о проблемах безопасности. Это позволит установить базовый уровень для оценки улучшений и понять, как команды будут работать вместе для обеспечения безопасности.
- Определите роль
Проанализируйте, насколько хорошо обеспечена безопасность в вашей команде, и определите, что вы хотели бы улучшить. Сформулируйте цели, которых вы планируете достичь в среднесрочной перспективе.
Подумайте, какие задачи могут помочь решить специалисты по безопасности. На основе этого составьте описание роли, которая будет включать в себя следующие обязанности:
- продвижение культуры безопасности;
- содействие в разработке стандартов безопасности;
- помощь в организации мероприятий, связанных с безопасностью;
- моделирование угроз;
- проверка защищенности кода;
- использование средств обеспечения безопасности.
- Назначьте чемпионов
Чемпионом по безопасности должен стать член целевой команды — разработчик, тестировщик или представитель другой профессии. Для успешного внедрения концепции важно получить одобрение руководства на всех уровнях, от руководителя команды до топ-менеджмента.
Совместно с руководителем команды выберите подходящих и мотивированных кандидатов. После этого новый чемпион безопасности должен быть официально назначен и представлен как внутри команды, так и среди сотрудников информационной безопасности.
- Настройка каналов коммуникации
Создайте удобный канал связи и организуйте периодические собрания для всех сотрудников в роли чемпиона безопасности и команды информационной безопасности.
- Создайте надежную базу знаний
Создайте внутреннюю базу знаний, которая будет служить единым источником рекомендаций по безопасности для всех процессов. Она также станет источником вдохновения для чемпионов безопасности. Кроме того, разработайте обучающие программы, которые помогут сотрудникам улучшить свои знания и навыки в этой области.
- Поддерживайте интерес
Поддерживайте мотивацию и интерес сторонников безопасности, чтобы они могли и дальше с энтузиазмом продвигать вопросы безопасности в своих командах. Отмечайте работу, которую выполняют чемпионы безопасности, и рассказывайте об их успехах всей организации.
Внедрение практики Security Champion позволит снизить уровень разобщенности и улучшить коммуникацию между командами разработчиков и службы безопасности.
Практика не предъявляет строгих требований к уровню зрелости процессов безопасности в компании. Она может быть полезна как для организаций с хорошо развитыми процессами безопасности, так и для менее зрелых компаний с базовыми процессами.
Даже если компания только начинает внедрять систему безопасности, введение роли «чемпиона безопасности» может быть полезным. Это поможет подтвердить выбранные подходы к информационной безопасности и затем распространить их на все команды.
Также подписывайтесь на мой телеграм-канал «КиберБезОскара», где вы найдёте больше ссылок на технические материалы.