Ими не рождаются, ими становятся: кто такой Security Champion и где компании его найти

[BOOX]

Безопасная разработка ПО предполагает, что все уязвимости будут выявлены и исправлены до того, как их найдут злоумышленники.


При этом желательно уделять внимание вопросу безопасности продукта на всех фазах жизненного цикла ПО: от определений потребностей и планирования до развертывания. Такой подход позволяет снизить затраты компании и риски благодаря выявлению слабых мест на ранних этапах. В команде разработчиков контролем безопасности занимается Security Champion.

Кто такой Security Champion​

В России «секьюрити чемпионами» обычно называют сотрудников команды разработки, которые отстаивают интересы ИБ-отдела в процессе создания продукта. Тогда как в международных ресурсах security champion называют любого специалиста компании, готового продвигать ИБ для непрофильных сотрудников.

Даже если в компании нет позиции Security Champion, он может присутствовать в команде неофициально в том или ином виде. Так как это не отдельный специалист, а роль, которую играет один или несколько из участников. Потенциальный «чемпион» участвует в разработке и находится внутри процессов, но также понимает важность кибербезопасности и достаточно инициативен, чтобы доносить ее до коллег.

Внедрение в компанию понятия «security champion» для таких инициативных специалистов оказывает необходимую им поддержку: поднятие статуса особым званием, привлечение внимания к их деятельности, популяризация и, как следствие, повышение осведомленности о процессах безопасной разработки в команде разработки. Иногда даже наделение определенными полномочиями играет ключевую роль для вступления на путь создания более безопасного продукта.

Причина нехватки security champion заключается не в отсутствии инициативных специалистов, а в отсутствии у руководства осведомленности о пользе таких специалистов. Как только внутри компании созревает спрос на security champion, сразу же возникнет предложение в лице уже частично исполняющего такие обязанности специалиста.

Потребность в «секьюрити чемпионах» возникает из-за нехватки квалифицированных ИБ-кадров. На одного специалиста по кибербезопасности в компании может приходиться несколько десятков разработчиков ПО. Выявить все слабые места на ранних этапах разработки, до тестирования, в таких условиях затруднительно.

Преимущества наличия Security Champion для компании​

Одно из явных преимуществ наличия Security Champion в компании — экономия ресурсов как финансовых, так и временных. Практика внедрения Security Champion поможет улучшить защиту продуктов, снизить риски и сделать команды разработчиков более эффективными и автономными.

Самая очевидная выгода для компании — это отсутствие переплаты за ошибки в разрабатываемом продукте на ранних этапах его создания. На такие ошибки тратятся дважды: первый раз компания оплачивает человеко-часы на написание ошибок в коде, а второй раз — на поиск и исправление. Иначе, в самом негативном варианте, затраты идут на покрытие ущерба от проэксплуатированной уязвимости.

Не менее значимая выгода — это более прозрачный процесс разработки, понятная инфраструктура среды разработки, чистый код и показательный учет ошибок и уязвимостей, который можно посчитать и перевести в количественный показатель сэкономленного ресурса (деньги, часы работы, покрытые риски). Это происходит потому, что большая часть практик процессов безопасной разработки нацелена на сокращение неопределенности в инструментах, ресурсах и процессах разработки.

Готового чемпиона взять в компанию со стороны не получится — как минимум специалисту, желающему стать связующим звеном между ИБ отделом и разработчиками, потребуется время, чтобы стать частью команды и погрузиться в процессы. Если назначать специалиста внутри компании, можно встретить сопротивление: сотрудник IT-отдела может быть не заинтересован появлением дополнительных обязанностей, а команда — выделением своего ресурса.

Данная практика успешно работает, если выдвигать Чемпиона из имеющихся сотрудников. Найм специалиста извне практически невозможен, так как на рынке нет резюме, занимающих или ожидающих данную роль. Второй момент, это время, которое потребуется новому сотруднику, чтобы вникнуть в процессы и продукты компании, только после этого он сможет примерить на себя роль Чемпиона безопасности.

Есть много рабочих кейсов компаний, внедривших у себя программу Security champion, как правило, включающую в себя: конкурс среди сотрудников, отбор успешных кандидатов, создание общей базы знаний и проведение тренингов.

Найти сотрудника на роль «секьюрити чемпиона» сложно и для этого необходимо привлечь HR-отдел и поговорить с командой. Прежде всего претендент должен быть сам заинтересован в создании безопасного продукта и стремиться к развитию в ИБ. Стимулировать инициативных сотрудников примерить на себя роль «секьюрити чемпиона» можно с помощью различных бонусов.

Навыки и качества Security Champion​

Прежде всего Security Champion — это уже готовый специалист с достаточным опытом и знаниями как в разработке, так и в информационной безопасности, смежных областях. Так как сотруднику предстоит разрешать конфликт интересов между командой разработчиков и ИБ-отдела, то желательно, чтобы он обладал определенными лидерскими качествами, в том числе инициативностью, коммуникабельностью и самостоятельностью.

Для начала стоит прояснить, что Security Champion – не отдельная специальность, как, например, программист или тестировщик, это роль в команде, как «дежурный по безопасности». Роль Security Champion предполагает наличие как технических (hard), так и гибких (soft) навыков, при этом сотрудник должен быть ответственным за безопасность процесса разработки. «Чемпионы» должны понимать процессы, цели и особенности текущей разработки, уметь работать с различными инструментами, а также знать основные уязвимости и структуру процессов безопасной разработки. В то же время такой человек должен быть хорошим организатором, чтобы выстроить и наладить сам процесс безопасной разработки. Таких квалифицированных и мотивированных сотрудников обычно мало. Поэтому эффективнее всего «выращивать» их внутри компании, формируя культуру безопасной разработки и четко предъявляя требования по безопасности в дополнение к основному функционалу.

Заключение​

Если в компании есть свой отдел информационной безопасности, и он не состоит из одного человека – скорее всего среди этих людей уже есть потенциальный чемпион безопасности. Но чтобы он смог полноценно раскрыться, критически важно, чтобы руководство компании понимало значимость ИБ для собственных бизнес-процессов.

Практика Security Champion непроста и не гарантирует мгновенного выхода безопасной разработки на новый уровень, но в долгосрочной перспективе поможет ускорить выпуск релизов за счет создания более безопасного программного обеспечения. Кроме того, культура безопасной разработки будет постепенно укрепляться внутри команды.

Так как готовых «секьюрити чемпионов» на рынке нет, то искать их извне бессмысленно, сотрудника на эту роль нужно вырастить в компании.

Для просмотра ссылки необходимо нажать Вход или Регистрация