Аналитик информационной безопасности «Джи-Эс-Ти» (GST) Анастасия Ершова рассказала, почему выбрала для работы направление ИБ-аутсорсинга, когда работа с заказчиками приносит максимальный результат и какие задачи ей приходится решать ежедневно – от рутинных дел до экстренных ситуаций.
– Анастасия, как вы стали ИБ-аналитиком? Был ли у вас опыт в ИТ или ИБ ранее?
– У меня профильное образование в сфере информационной безопасности. Работа ИБ-аналитиком – это первая работа по специальности, на которую я пришла после окончания Самарского государственного университета. Я узнала о вакансии, подробнее почитала об ИБ-аутсорсинге и принципах работы аналитика, и меня заинтересовали условия и задачи. Еще я увидела перспективность направления ИБ-аутсорсинга. Безопасность нужна каждой компании, а обеспечить ее собственными силами и ресурсами способны не все. Так я и пришла в GST.
В целом у меня было очень четкое желание получить как можно больше разнопланового практического опыта. А где его получать, как не в аутсорсинге ИБ?
– В двух словах расскажите, что такое ИБ-аутсорсинг?
– Аутсорсинг информационной безопасности – это комплексная услуга по защите данных, которую заказчик использует по подписке. В компании клиента устанавливается специализированное ПО, подключается внештатный ИБ-аналитик. Он мониторит ситуацию с внутренней информационной безопасностью в организации, выявляет нарушения, предотвращает инциденты.
Как аналитик я вижу, что ИБ-аутсорсинг изнутри – это комплекс из технической и логической работы. Это тонкое сочетание работы с софтом и взаимодействия с людьми, это мне очень нравится.
– С чего вы начинали свой путь в профессии?
– Сначала прошла обучение на базе учебного центра «СёрчИнформ». Компания – разработчик решений по защите данных, а также франчайзер аутсорсинга ИБ. Обучение аналитиков и сейлов – условие для всех партнеров вендора по франшизе.
Курс содержит практику, теоретические материалы, видеолекции. Кстати, они меня очень выручали и потом – во время первых внедрений. Ну и помогала обратная связь опытного ИБ-специалиста, куратора от вендора. Мы индивидуально разбирали все сложные или непонятные ситуации заказчиков. Да и сегодня я могу обратиться к нему с подобными вопросами, просто сейчас уже чувствую себя и действую уверенно.
У меня не такой большой опыт в ИТ-сфере, поэтому вначале было сложно разобраться с техническими нюансами, например, с определением IP-адресов, расстановкой агентов, настройкой серверов и т.д. И здесь на помощь приходят инженеры «СёрчИнформ», они точечно решают задачи, связанные с ИТ-инфраструктурой заказчика, помогают настроить защитный софт. Сейчас я уже и в этих вопросах хорошо прокачалась и чаще решаю их самостоятельно. Что касается именно защитных систем (DLP и DCAP), то курс позволяет полностью их изучить и сразу использовать с максимальной пользой для заказчика.
Важный момент: после обучения мы в первую очередь протестировали средства ИБ на себе, «СёрчИнформ» выдала лицензии софта для нашей компании. Это очень помогло мне закрепить знания и усовершенствовать рабочие навыки. К слову, и специалисты по продажам тоже «доучились» на такой практике – они увидели сервис изнутри и даже приглашали заказчиков, чтобы продемонстрировать услугу в режиме реального времени. Такой наш собственный «ИБ-полигон» оказывал больший эффект на клиентов, чем сейловые презентации.
– Какими задачами вам приходится заниматься ежедневно?
– Я ежедневно мониторю события информационной безопасности в компании заказчика. DLP- и DCAP-системы контролируют все каналы – сайты и процессы, съемные устройства для хранения (флешки, диски и т.д.), облака, электронную почту и пр. Я на основе аналитики из систем выстраиваю картину происходящего в компании.
Какие документы «гуляют» по папкам и лежат в общедоступном месте, где храниться не должны? Кто из сотрудников копирует на флешку информацию ограниченного доступа? Выявляю мошеннические схемы в компании, отслеживаю конфликты в коллективе, недоработки сотрудников и многое другое.
В начале рабочего дня в первую очередь смотрю персонализированные политики информационной безопасности, которые настроены под конкретную компанию. Далее оцениваю статистические данные, проверяю копирование файлов, манипуляции с важными данными, входы в Tor-браузер, печать конфиденциальных документов. Под особым контролем держу сотрудников из групп риска, например, увольняющихся специалистов, которые могут вынести ценные документы – скопировать, переслать, распечатать или как-то иначе их присвоить.
Обычно группы риска заказчик указывает в опросном листе до использования сервиса. Но даже если такой информации у меня нет, то еще на бесплатном тесте я стараюсь выделить их сама и донести заказчику, почему этих сотрудников важно держать на особом контроле. Тогда еще на этапе пилота клиент получает гораздо больше пользы: он может сразу выявить мошеннические схемы или работу на конкурентов внутри коллектива.
– Из-за чего чаще всего происходят инциденты информационной безопасности?
– По моим наблюдениям, больше половины инцидентов происходит из-за человеческого фактора. Есть, конечно, истории с шифровальщиками и другими инструментами, которые при внедрении в инфраструктуру повреждают данные компании вплоть до полного удаления. Но точкой входа чаще всего бывает рабочий ПК сотрудника. А дальше все зависит от действий пользователя: инцидент может продолжить развитие или остановиться на начальном этапе.
Нарушения в компании могут быть разные. К примеру, нередко встречаю у клиентов сотрудников с «подработкой» или запустивших «боковик». Так, у одного заказчика часть инженеров-проектировщиков во время работы выполняли заказы «на сторону», на которые уходило до 60% рабочего времени. Это серьезные финансовые потери, о которых аналитик обязан сообщить.
Моя задача – выявить все ситуации, которые вызывают подозрения, сообщить клиенту, и мы совместно с ним оцениваем риски. Все наблюдения и выводы я собираю в отчет для руководителя или другого ответственного лица от заказчика.
– Что вы делаете в случае инцидента?
– Если случается событие, которое может привести к серьезным последствиям для компании, мы срочно сообщаем о нем. Обычно разбираемся день в день. При необходимости ограничиваем доступ к критичным ресурсам, папкам, документам и т.п. То есть снижаем вероятность того, что ситуация усугубится. Я звоню заказчику или отправляю информацию о ситуации, он принимает решение, что делаем дальше. Если инцидент запутанный, продолжаем его расследование. Если же ничего экстренного не происходит, то клиент получает наши отчеты два раза в месяц, а в промежутках мы остаемся на связи. Бывает, что заказчик сам предвидит критичные моменты (например, увольнение скандального сотрудника) и просит усилить контроль именно в этой части.
Из интересных кейсов, которые были за последнее время, хочу рассказать о сливе чертежей с грифом коммерческой тайны. Компания наняла нового инженера, который проработал три месяца. После чего в его переписках появились упоминания о недовольстве заработной платой, а в браузере – просмотр hh.ru. Я присмотрелась к его действиям и заметила, что тот скопировал большое количество чертежей на флешку, были и с грифами. Сообщили руководству об утечке информации. На удивление они отреагировали спокойно, так как всего три организации в России занимаются такой разработкой, и применить чужие чертежи нет возможности. Инженер, видимо, не знал об этом, так как недавно устроился. Эта история кончилась хорошо, но могла и навредить компании.
– Вы мониторите ситуацию сразу в нескольких компаниях, как распределяете время?
– Лучше всего оптимизировать процесс помогает четкое распределение рабочего времени: по 2 часа в день на каждого заказчика. Но при срочных инцидентах или обращениях заказчиков делаю исключение из правила. Если условные два часа на компанию закончились, но от клиента поступил SOS-запрос, то я тут же подключаюсь и смотрю ситуацию.
С опытом работа идет быстрее, так как начинаешь более тонко настраивать политики безопасности, добавлять правила в систему, и они отрабатывают четче. А когда долго сотрудничаешь с конкретным заказчиком, то быстрее ориентируешься в его специфике: знаешь сотрудников, какие у них права доступа к документам, какие ситуации могут привести к нарушениям, а какие действия персонала должны вызвать подозрения. Все это очень помогает управлять собственным рабочим временем.
– Бывает ли что-то, что мешает вам делать свою работу хорошо?
– Моя работа усложняется, когда заказчик не готов предоставлять информацию или работать в связке со мной. Я всегда говорю, что успех ИБ-аутсорсинга – это наша совместная работа, потому что в тестовый период сложно самостоятельно сориентироваться в уникальных задачах и специфике бизнеса заказчика. А незаинтересованность клиента в процессе плохо скажется на результате.
Бывали у нас неоднозначные пилоты, когда получить хороший результат было просто невозможно. Сотрудники со стороны клиента не хотели обсуждать или даже смотреть найденные за тестовый период инциденты, тем более не собирались предпринимать меры по их разрешению. Для меня это очень странная позиция, но как есть.
Многие думают, что внутренняя информационная безопасность – это не так важно, как, например, внешние атаки. Компании используют межсетевые экраны, контролируют трафик, а про то, что происходит внутри, не знают.
А потом приходим мы и показываем заказчику – кто и какие рабочие документы использует в личных целях, какие данные свободно утекают, выявляем откаты и воровство, показываем сколько времени сотрудники тратят на соцсети ежедневно и т.п. 70% заказчиков после отчета по тесту готовы продолжить контроль и приобрести услугу.
– Что вас мотивирует развиваться в профессии ИБ-аналитика?
Меня заряжает живое общение с заказчиками: встречи, обсуждения. Успехи в работе с ними. Видеть, как клиент уже на этапе пилота, не заплатив ни рубля, получает классные результаты, мне вдвойне приятно. Мы выявляли мошенничество, проблемы с хранением и движением информации, нарушения в части трудовой дисциплины, халатное отношение к конфиденциальным данным и пр. И тут же давали клиентам рекомендации, как нивелировать проблемы и избежать их в будущем. Клиенты были приятно удивлены.
Когда заказчик заключает контракт или проявляет интерес к услуге, найденным инцидентам – это показатель в том числе моей качественной работы.
Мотивируют также новые знания. Да, я уже обучилась в университете, прошла курс от «СёрчИнформ» и сдала непростые экзамены. Однако на этом не останавливаюсь и стараюсь совершенствоваться в сфере информационной безопасности. Очень помогает в этом чтение Телеграм-каналов вендоров или ИТ- и ИБ-обозревателей, например, «GIS о кибербезопасности», Anti-Malware, SearchInform и т.д. Коллеги из отделов продаж, ИБ и ИТ всегда готовы помочь и ответить на вопросы, в компании GST мы работаем в команде.
Считаю, что ИБ-аутсорсинг – перспективное направление. Оно будет приобретать все большую популярность, потому что, по сути, заказчик получает сервис по защите бизнеса «под ключ» – сразу и ПО, и ИБ-аналитика. Когда инфобез в профессиональных руках, то беспокоиться не о чем и можно заниматься развитием организации. Для клиентов это удобно и выгодно.
И, конечно, меня мотивирует финансовая составляющая. Все же найти на рынке работу с достойной заработной платой и дополнительной мотивацией за результат в регионе довольно тяжело. Потому в GST я работаю с большим удовольствием.
Реклама ООО "СёрчИнформ". ИНН 7704306397. Erid: 2SDnjeN5Emg
