Безопасный бизнес-партнер
Настало время поговорить про еще одну важную роль и практику в мире зрелой кибербезопасности – Security Business Partner. Культура безопасных партнеров уже достаточно хорошо развита в иностранных компаниях, а особенно в БигТехе. Наши компании тоже пытаются не отставать от международных тенденций, поэтому вы уже можете найти немало соответствующих вакансий в ФинТехе и Телекоме, например.
Ну а теперь давайте разбираться, что это за безопасный бизнес-партнер. Суть роли заключается в том, чтобы создать единое входное окно для команд продуктовой разработки. То есть, если у разработчика, тимлида, системного аналитика или любого другого члена продуктовой команды возникает вопрос/проблема, прямо или косвенно связанная с безопасностью, то решить ее должен тот самый партнер.
Вопросы и задачи могут быть максимально разнообразные – выбор криптостойкого алгоритма шифрования в разрабатываемом сервисе, инцидент ИБ на продакшене, проектирование безопасной архитектуры, проработка алгоритма маскирования персональных данных и так далее. Security Business Partner должен приложить все усилия для того, чтобы решить любую задачу от продуктовой команды и помочь в итоге бизнесу. Он может это делать как своими руками, так и привлекая своих коллег из ИБ (инженеров средств защиты информации, сетевых инженеров, пентестеров и прочих), контролируя процесс и отвечая за результат.
Для того, чтобы делать это быстро и эффективно, партнер должен понимать, как работает тот или иной продукт, за которым он закреплен. Он должен знать его технологический стек, понимать бизнес-логику и легко ориентироваться в его архитектуре. Всё это помогает ускорять/упрощать процессы, связанные с оперативным реагированием на инциденты, открытием нужных доступов и выбором безопасных решений, что ощутимо сокращает t2m и помогает быстрее зарабатывать бизнесу деньги с меньшими рисками информационной безопасности.
Ну а если параллельно с культурой Security Business Partner внедрить еще и роль Security Champion (подробнее обсуждали в этом посте) в командах, то получится настоящий супер-эффективный коктейль безопасности и дуэт, достойный Бэтмена и Робина. К слову о Чемпионах безопасности, я тут написал статью на хабр по этой теме, так что вэлкам, если интересно.
#Мнение
Твой Пакет Безопасности
Настало время поговорить про еще одну важную роль и практику в мире зрелой кибербезопасности – Security Business Partner. Культура безопасных партнеров уже достаточно хорошо развита в иностранных компаниях, а особенно в БигТехе. Наши компании тоже пытаются не отставать от международных тенденций, поэтому вы уже можете найти немало соответствующих вакансий в ФинТехе и Телекоме, например.
Ну а теперь давайте разбираться, что это за безопасный бизнес-партнер. Суть роли заключается в том, чтобы создать единое входное окно для команд продуктовой разработки. То есть, если у разработчика, тимлида, системного аналитика или любого другого члена продуктовой команды возникает вопрос/проблема, прямо или косвенно связанная с безопасностью, то решить ее должен тот самый партнер.
Вопросы и задачи могут быть максимально разнообразные – выбор криптостойкого алгоритма шифрования в разрабатываемом сервисе, инцидент ИБ на продакшене, проектирование безопасной архитектуры, проработка алгоритма маскирования персональных данных и так далее. Security Business Partner должен приложить все усилия для того, чтобы решить любую задачу от продуктовой команды и помочь в итоге бизнесу. Он может это делать как своими руками, так и привлекая своих коллег из ИБ (инженеров средств защиты информации, сетевых инженеров, пентестеров и прочих), контролируя процесс и отвечая за результат.
Для того, чтобы делать это быстро и эффективно, партнер должен понимать, как работает тот или иной продукт, за которым он закреплен. Он должен знать его технологический стек, понимать бизнес-логику и легко ориентироваться в его архитектуре. Всё это помогает ускорять/упрощать процессы, связанные с оперативным реагированием на инциденты, открытием нужных доступов и выбором безопасных решений, что ощутимо сокращает t2m и помогает быстрее зарабатывать бизнесу деньги с меньшими рисками информационной безопасности.
Ну а если параллельно с культурой Security Business Partner внедрить еще и роль Security Champion (подробнее обсуждали в этом посте) в командах, то получится настоящий супер-эффективный коктейль безопасности и дуэт, достойный Бэтмена и Робина. К слову о Чемпионах безопасности, я тут написал статью на хабр по этой теме, так что вэлкам, если интересно.
#Мнение
Твой Пакет Безопасности