Манифест информационной безопасности

Когда в какой-либо индустрии происходит технологический скачок, мы быстро к этому привыкаем и уже с удивлением и легким ужасом вспоминаем “как оно было раньше”.
Рынки развиваются в сторону максимального упрощения бизнес-процессов и автоматизации.

Еще буквально 10-15 лет назад рутинные действия, выглядели совсем иначе:

• Заказ еды домой. Необычная задача, найти работающий на доставку ресторан, позвонить им по телефону, продиктовать заказ, обязательно приготовить наличные без сдачи.
• Оплатить коммунальные услуги, придется идти на почту или в банк, а как иначе?
• Открыть в банке счет. Простоять очередь в отделении в рабочие часы, без этого никак!
• Получить государственную услугу? По этому писались целые гайды, где и какую бумагу надо получить, куда и когда нужно идти.

Примеров может быть множество.

IT кардинально меняло правила игры на рынках, двигало и двигает отрасли вперед. Но за этот период, один из самых близких к IT рынков не изменился! Услуги по информационной безопасности — самый консервативный/отсталый рынок связанный с IT.

• Как безопасность может поспевать за отраслями, если не меняется сама?
• Причем тут кадровый голод и в нем ли дело?
• Что с этим нужно делать и причем тут такси?

Это Манифест нового рынка информационной безопасности.
Если вам важна безопасность, добро пожаловать под кат!

Прошлое

Давайте вспомним рынок такси 10-15 лет назад. Типичный заказ:

1. Звоним по известному нам номеру таксопарка.
2. Ищем ориентир/вывеску с адресом, сообщаем оператору и сообщаем адрес куда нам ехать.
3. Узнаем примерное время подачи машины и стоимость, НО они могут измениться.
4. Какая приедет машина? С детским ли креслом? Комфортная ли? Неизвестно, можно сказать оператору, но не факт что это будет учтено.
5. Когда машина найдена и приехала, нам об этом сообщают, но где именно она стоит? Нужно звонить водителю, через оператора и уточнить, ведь только он может объяснить где он.
6. Кто за рулем? Его рейтинг? Ничего подобного не узнаем.
7. Тревожная кнопка? Если что-то идет не так? Отсутствует.
8. Мы выезжаем по маршруту. Сколько нам ехать? Непонятно. Везут ли нас по оптимальному маршруту или возят кругами, чтобы накрутить стоимость поездки по счетчику? Тяжело понять, может в лес.
9. Финальная цена может сильно удивить. Спор? Никакой техподдержки, только мы и водитель.
10. Оплата только наличными, если проблемы со сдачей, придется заехать и разменять где-нибудь, купив ненужную жвачку.
11. А привезли именно туда, куда просили? Водитель знает куда подъехать, где финальная точка? Дорогу покажешь? Придется объяснять или искать вместе.
12. Перенести пункт назначения? Об этом лучше и не думать!

Вот такая череда неопределенностей и неудобств, я постарался расписать их все. Сейчас же вспоминать это немного дико, правда? Хотя в глухих районах весь этот алгоритм единственный возможный до сих пор.

Настоящее

А ваша информационная безопасность (ИБ) не такси из прошлого? Рынок услуг по ИБ по всей стране работает точно также в 2022 году! Да на уровне деревни далекого от цивилизации района. Вот смотрите, со стороны Заказчика:

1. Заказчики чаще всего обращаются к “знакомым” компаниям, если собственных контактов нет, то спрашивают у друзей, а те у своих. Выбор из многих? Практически всегда вслепую.
2. Написание ТЗ — отдельная задача для которой нужен специалист. Донести, что именно вам нужно — бывает крайне сложно, ведь чаще всего вы говорите с посредником (аналог оператора в такси), а не с Исполнителем. Правило испорченного телефона работает тут на “ура”, учтут ли ваши пожелания к машине работе?
3. Кто именно будет выполнять вашу работу? Субподрядчик известной фирмы? Или субподрядчик субподрядчика, о котором вам предпочтут не говорить вовсе? Внештатник субсубподрядчика субподрядчика, которого представят сотрудником первой фирмы, или вовсе вы его не увидите? Такие цепочки могут быть очень длинными, я лично встречал аж 5 звеньев — посредников.
4. Опыт работы финального Исполнителя? Будет отлично “смешан” с опытом компаний посредников. Профессиональные сертификаты — аналогично, что именно за квалификация у того, кто делает работы, вы не узнаете.
5. Любые согласования, например, об окончании одного этапа работ и старте следующего занимают кучу времени, ведь идут по всей цепочке.
6. А, если недовольны качеством работы, с кого спросить? Каждый посредник будет максимально защищать “своего” Исполнителя в цепочке. Расскажет о своем опыте выполнения схожих контрактов, умолчав о другой команде Исполнителей. И закончит общими словами про “лучшие рыночные практики” и что по ТЗ формально выполнено все.
7. А если обратиться ко второму подрядчику? Да, придется заплатить дважды, но на разнице результатов-то можно сделать выводы о реальной ситуации. Да, если не случится так, что субподрядчики у них совпадают, или обращаются они к одним финальным Исполнителям. Тогда получится два разно оформленных, одинаковых по содержанию отчета, возможно, с минимальными изменениями для отвода глаз. Независимой оценкой качества работ даже и не пахнет.
8. Стоимость? Почему она значительно отличается у подрядчиков, если в результате услугу делает один и тот же специалист? А тут плата по счетчику за путь, а не за результат. Да и тарифы у всех разные.

С точки зрения Исполнителя — ситуация не менее неопределенная.

1. Что нужно Заказчику, порой понять бывает сложно. ТЗ же написано на свой лад кем-то из посредников. Связаться напрямую — не всегда возможно.
2. А заказ точно легальный? Имеет ли фирма “А”, с которой у Исполнителя договор, право выполнять эти работы у Заказчика, или дело тут темное? Нужно как-то проверить, ведь всю цепочку договоров, скорее всего, не покажут, по экономическим причинам.
3. Точно ли заплатят оговоренную сумму? А если посредника не устроит результат? Дальше только суд, независимую оценку не получить.
4. Заказчик просит обосновать стоимость проекта и называет какую-то большую сумму? Сложная задача, если весь проект делает один человек и получит за это гораздо меньше, возможно даже ежемесячную зарплату.
5. Согласовать какие-то потенциально рисковые, но важные проверки? Сделать что-то за рамками работ, но что может быть полезно Заказчику? Это столько согласований по пути, что лучше даже не пытаться.
6. В найме зарплаты в одном отделе с равной квалификацией отличаются на порядок, почему? Таков рынок, как договоришься. То что внештатник получает за такой же недельный проект, сумму зарплаты штатных сотрудников за месяц — бывает, так договорился.

В итоге и Заказчик и Исполнитель получают сервис и неопределенность на уровне заказа такси 10-15 лет назад. О какой эффективной работе индустрии может идти речь?

Также в доковидные времена в ИБ было очень сложно найти удаленную работу. Почему? Все “так привыкли”, даже на вакансиях, способных весь объем работы выполнять удаленно. Консерватизм, в отличии от остального около IT.

Немалую роль играет то, что преимущественно на руководящих позициях находятся люди с “силовым” прошлым, их менталитет и привычки сопротивляются инновациям. Часто люди из этой среды видят в любых изменениях лишь риски, значительно их завышая.

Будущее

Uber — изменил рынок такси, совершил технологический рывок. Монополизировал его в ряде стран, автоматизировал его, но, к сожалению, снизил планку навыков для водителей. Про индусов-водителей в Нью-Йорке знают все.

С услугами по безопасности именно так нельзя, новому рынку нужны только профессионалы. Хотя аналитики пишут, что специалистов по безопасности в стране недостаточно. Но может, дело в неэффективных бизнес-процессах?

Рынку нужен технологический рывок, нужны гарантии для всех сторон, прозрачность и сервис уровня Uber Elite.

Нужна доверенная третья сторона — гарант. Площадка-агрегатор услуг, которая сможет создать конкурентный, надежный и прозрачный рынок услуг по информационной безопасности.

Главные задачи Площадки-агрегатора:

• Избавить от цепочек посредников, организовать работу Заказчиков и Исполнителей напрямую под контролем Площадки.
• Предоставить экспертное независимое мнение, решение всех спорных вопросов.
• Гарантировать качество предоставляемых услуг.
• Гарантировать легальность предлагаемых заказов.
• Снизить среднюю стоимость работ для Заказчиков, максимизировать вознаграждение Исполнителю.
• Поднять эффективность коммуникаций, снизить простои.
• Предоставить возможность любому профессионалу в ИБ работать на себя.

Созданный новый рынок услуг по информационной безопасности должен сломать, наконец, порочную схему “делают 1000, а их продают 10 000” (Спасибо за цитату Луке Сафонову LukaSafonov ^[1] ). Это снизит среднюю стоимость услуг по ИБ, сделает их доступнее для малого бизнеса, а значит, повысит уровень защищенности коммерческого сектора в целом.

Почему это возможно?
Стоимость проекта системного-интегратора или ИБ-компании, как правило, на один порядок превышает размер заработной платы специалиста, непосредственно выполняющего данные работы. И все, что ему для этого нужно, это его мозги ^[2], ноутбук и интернет. Иногда очень помогает не дешевое ПО, но и тут вопрос решаемый. Да, существуют проектные расходы в виде документационного сопровождения, налогов и стоимости продаж. Но это не стоит 90% стоимости контракта.

Пример:
Александр — Penetration Tester с хорошим бекграундом, он получает заработную плату в 200 тысяч рублей, и за месяц делает 2-3 проекта в уважаемой компании. Сама же компания продает эти проекты по 1,2-1,5 миллиона для крупных Заказчиков. Стоят ли проектные расходы эту разницу? Захотел бы Александр дополнительно работать на себя и выполнять такие же проекты по более низкой цене, но за 80% стоимости на Площадке-агрегаторе? Мой опрос широкого круга безопасников показал, что все хотели бы.

Стоимость услуг Площадки должна быть минимальна, а значит, и расходы.

• без отдела продаж;
• максимум автоматизации бизнес-процессов.

Утопия? Нет, подобные площадки уже начинают появляться во многих отраслях, например:

• Финуслуги и Банки.ру (финансы).
• Booking и travelata (туризм).
• OZON и Амазон (покупки).
• Авто.ру и Дром.ру (Автомобили).
• Фриланс-платформы (IT, но не ИБ).

И многое другое.

Лучше, чем такси

Для взлета Площадки-агрегатора и качественного изменения рынка нужна значительная информационная поддержка ИБ-комьюнити, а также значительный кредит доверия на первых этапах. Опытные Исполнители и прогрессивные Заказчики.

Уверен, в России все это есть. Время для изменений пришло, рынок должен начать меняться, иначе стагнация и неизбежное фатальное отставание.

Неизбежно окончание эры хаотичного рынка услуг по ИБ, грядет эра порядка.

Автор: Бочкарев Антон

Источник ^[3]