Когда «любитель» становится профессионалом? Видимо тогда, когда получает свои первые деньги за выполненную работу! После этого его ждет бесконечно долгий путь повышения профессионального мастерства. Кроме того, я верю, что журналистом, художником, поэтом, режиссером, даже балериной и представлять другие творческие профессии может быть абсолютно любой человек! Но профессиональным журналистом, актером, певцом, художником, поэтом, может только тот, кто работает, так как этого требует и ставит задачу заказчик, режиссер, редактор, продюсер и пр. А самовыражаться можно и даже нужно в свободное от работы время за свои деньги…
И это правило можно было бы смело тиражировать на другие сферы человеческой деятельности, которые на первый взгляд далеки от творчества. В частности много ли творчества может быть работе руководителя службы ИБ? Да бесконечно! Более того, без этого свойства эту работу трудно себе представить. Именно эту истину я вынес с сентябрьского дискуссионного клуба в АНХ, который прошел совместно со Школой IT менеджмента. Но есть одно своеобразное отличие этого рода профессиональной деятельности, без которого невозможно стать настоящим профессионалом в этом жанре: нужно уметь спокойно, а не эмоционально, видеть угрозы там, где их не видит самый изощренный паникер и параноик! Более того, нужно еще уметь убедительно испугать тех от кого зависит решение при защите от этих угроз, исключив из рассмотрения те угрозы, которые не вписываются в принятые для рассмотрения модели.
Особенно это становится актуальным, когда у руководства бизнеса стоит гламурное поколение Top Manager. Мне одному кажется странным, что к управлению крупными промышленными предприятия с длительными циклами (по 30-50 лет) привлечены молодые люди с красивыми дипломами престижных бизнес школ, но с контрактами на 1 год? Как писал в своей книги жизни конструктор Сикорский «Американцы обладают большим умом на короткие дела». Вот и тут аналогичный случай. Как им объяснить про модели угроз вероятность наступления, которых ничтожно мала, но последствия будут катастрофические? Только напугать! Да так чтобы они прочувствовали личную ответственность и масштаб последствий лично для себя. Но далеко не каждый специалист по ИБ даже на руководящей должности способен на подобные смелые шаги и убийственную аргументацию.
Однако пока в среде безопасников продолжает доминировать «ментовской» подход – есть труп будет дело. Попробуйте придти в местный околоток с заявление, что вам угрожают облить кислотой. Ответ предсказуем «вот когда обольют, тогда и приходите». Но подобного отношения к вопросам ИБ уже не достаточно. Время реакции на инцидент становится не позволительно большим, а потери и жертвы (финансовые и не только) настолько высоки, что в профессиональном сообществе должен доминировать подход Prevention. А как этого добиться лучше рассказать не в формате блогов, а в кейсах и примерах реальных практик!
Точка зрения автора может не совпадать с позицией редакции.