Merkmale des Informationssicherheitsmanagements in internationalen Unternehmen oder wie ein IB-Beauftragter im Jahr 2022 überleben kann

Haftungsausschluss

Das Schwierigste in diesem Artikel war, einen klaren und nicht spießigen Namen zu wählen. Ich habe das nicht überstanden.

Trotzdem lade ich Kollegen ein, die Unterschiede zwischen einem typischen „IS-Manager“ in einem internationalen Unternehmen und kanonischen russischen Sicherheitskräften zu betrachten.

Das harte Jahr 2022 hat das Geschäft in Russland nicht schwach erschüttert und den gesamten Bereich der IT- und Informationssicherheit erheblich durcheinandergewirbelt. Während die original russischen Sicherheitsspezialisten die neue IS-Doktrin studieren, neue Gesetze aus der Bürokratie in die Weltsprache übersetzen und auf das Top-Management abzielen, haben die IS-Manager internationaler Konzerne viele andere Fragen entdeckt, auf die es noch keine einheitliche Antwort gibt .

Spoiler: Alles, was unten beschrieben wird, ist meine subjektive Meinung, bei der ich mich auf meine bescheidene Erfahrung und die Erfahrung von 2-3 meiner Freunde verlassen habe. Der Text gibt nicht vor, eine objektive Beschreibung des Bereichs der Informationssicherheit zu sein, daher empfehle ich, den Text mit Ironie zu nehmen.

Persönliche Beobachtung: Russische Unternehmen verwenden den Begriff oft “Datenschutz” – als endloser Prozess, und die Sicherheitskräfte selbst sind es Sicherheitsadministratorenwährend sie in internationalen normalerweise formulieren “Informationssicherheit” als unerreichbares Ergebnis, und Spezialisten werden stolz gerufen IB-Manager. Fühle den Unterschied?

Quelle: PeekabooQuelle: Peekaboo

Situation: Isolation von der russischen Realität.

Ich verrate Ihnen ein Geheimnis, ein Sicherheitsbeauftragter in einem internationalen Unternehmen, oder wie wir allgemein als IT-Sicherheitsmanager bezeichnet werden, ist ein echter mittlerer Manager, dessen wichtigstes (und manchmal einziges) Werkzeug Chat und E-Mail sind.

Sie dürfen nicht auf die Server zugreifen, dafür gibt es eine Infrastrukturabteilung. Spezialisten aus der Zentrale kommen (kamen) sogar, um neue Eisenstücke einzuführen.

Alle Antivirenprogramme, Firewalls, Lamellen, Firewalls und andere Überwachungsgeräte werden remote installiert und von der Zentrale aus gesteuert. Manchmal müssen Sie 1-2 Skripte ausführen und JSON zur Überprüfung senden, aber dies ist das technischste Maximum, mit dem Sie umgehen müssen.

Fast niemand darf Politiker managen. Die letzten Admin-Rechte auf der DLP-Konsole wurden bereits 2018 entzogen, sie rollten eine Richtlinie für alle und erlaubten nichts ohne zusätzliche Bestätigung zu ändern. Sogar der Passwort-Manager wurde entfernt. Die Hauptaufgabe des Informationssicherheitsmanagers bestand darin, die Probleme von Benutzern zu lösen, deren Flash-Laufwerke plötzlich nicht mehr funktionierten, ein Wasserzeichen auf gedruckten Dokumenten und in sozialen Medien erschien. Netzwerke waren nicht verfügbar.

Risikomanagement hört sich gut an, aber in Wirklichkeit geht es darum, Dokumentationen zu suchen, zu organisieren und manchmal sogar ins Englische zu übersetzen, Formulare auszufüllen und Probleme für Produkt- / Systembesitzer zu lösen, und die Entscheidungsfindung ist zentralisiert und schwierig.

Pentests: Sie müssen den Eigentümer/Administrator nur um ein Testkonto mit einem Passwort, einem Link zur zu testenden Anwendung und einem Code bitten – senden Sie es an den Auftragnehmer und warten Sie auf einen schön gestalteten Bericht des Auftragnehmers

Compliance – nominell vorhanden, aber ausgedrückt in der Erstellung von Powerpoint-Präsentationen für Benutzer und einmal im Jahr – Abrufen der E-Mails von Kollegen, die vom Management ausgewählt wurden: Ich werde nicht ins Detail gehen und die Ethik nicht-automatischer Kontrollen analysieren, aber ich werde klarstellen dass Sie das Mail-Array auch selbst entladen müssen, fragen Sie ausländische Admins über ein Memo.

Der Schutz personenbezogener Daten ist formal gleich, aber es gibt keinen technischen Schutz als solchen. Es wurden organisatorische und Papierlösungen eingeführt, die die Realität nur halb widerspiegeln und sich dennoch in eine Lösung für die Probleme von Benutzern verwandeln, die vergessen haben, welche Form der Einwilligung relevant ist und mit wem sie einen Zusatz zum Schutz personenbezogener Daten unterzeichnen müssen.

Verschlüsselung? Ja, in 2-5% der Fälle, aber der Informationssicherheitsmanager wird dort nicht zugelassen, er darf höchstens ein Ticket erstellen / ändern und möglicherweise das Zertifikat ausstellen / erneuern. Vielen Dank dafür.

Als Ergebnis stellt sich heraus, dass der Informationssicherheitsmanager in einem Auslandsamt sitzt, Post sortiert und nach einem einfachen Schema handelt (siehe Abb. 1), und das Nachschlagewerk eines solchen Experten eine Liste von Kontakten für ist alle Aufgaben / Projekte, die sich häufiger ändern als eine typische Aufgabe endet, daher wird die Erfüllung vieler Aufgaben von niemandem überprüft.

Abb.1Abb.1

Dafür erhält der Informationssicherheitsmanager ein sehr sattes Gehalt, eine jährliche Indexierung und eine Reihe zusätzlicher Boni; und er grinst auch jedes Mal, wenn RKN, FSTEC, FSB, das Ministerium für digitale Entwicklung oder irgendeine andere Behörde beginnt, russische Unternehmen/Banken/Industrie im Allgemeinen und Sicherheitsbeamte im Besonderen zu belästigen.

Jedes Mal, wenn Sie IS-Konferenzen besuchen, spüren Sie unwillkürlich, wie sehr sich Ihre Arbeit von der Arbeit rein russischer Sicherheitsbeamter unterscheidet. (Spoiler-Alarm: Sie überlappen sich nicht einmal).

Problem: Der Markt für ausländische Unternehmen brach zusammen, einige verließen den Markt, andere lokalisierten und änderten die Anforderungen an ihre Informationssicherheitsmanager, und andere stellten die Einstellung ein.

Da ist mir zum ersten Mal seit 11 Jahren aufgefallen, dass die Herangehensweise ausländischer Unternehmen, all diese maximale Korporatisierung gut für die Organisation als Ganzes ist, aber nicht immer optimal für jeden einzelnen Spezialisten.

Es scheint, dass Sie Noten „über den Erwartungen“ bekommen, Boni gewinnen, interessante Projekte abschließen und sogar alle möglichen Erfolge erzielen, aber all Ihr Erfolg gilt nur in einem ziemlich engen Bereich, der im Jahr 2022 nicht mehr sorglos erscheint , reich und vielversprechend.

Quelle: PeekabooQuelle: Peekaboo

Es stellte sich die Frage, was als nächstes zu tun ist, was zu tun ist und ob es sich überhaupt lohnt, etwas zu tun?

Lösungsmöglichkeiten:

I. In Ihrem Büro sitzen, bis Sie blau im Gesicht sind, auf eine schnelle Lösung des CBO hoffen, all die daraus resultierenden Schwierigkeiten, und beten, dass das Unternehmen nicht schließen und verschwinden wird. (Relevant für diejenigen, die noch arbeiten).

II. Versuchen Sie, in frisch lokalisierte Firmen einzusteigen, denen plötzlich die Kompetenzen fehlten, die ihre Informationssicherheitsmanager hatten.

Ich persönlich habe es abgetan, denn seien wir ehrlich: Einheimische ausländischer Unternehmen sind theoretisch in der Lage, ein unternehmensweites Informationssicherheitssystem zu verwalten. Es ist jedoch sehr schwierig, ein System von Grund auf neu zu erstellen / neu zu erstellen, ohne die russischen Anbieter und Schutzsysteme tatsächlich zu kennen. Das heißt, es ist natürlich möglich: Namhafte Marktteilnehmer zu googeln, Ausschreibungen durchzuführen und alles mit Hilfe von Anbietern nach und nach umzusetzen. Aber Unternehmen wollen es schnell, übersichtlich und ohne Personalaufstockung (nicht mehr als 1 Wachmann pro Unternehmen!). Natürlich möchten solche neuen Unternehmen, dass erfahrene Informationssicherheitsarchitekten ihre Mitarbeiter verstärken, und nicht dieselben Informationssicherheitsmanager und andere Postmanager, die sie bereits haben.

III. Geben Sie viele der üblichen Leckereien auf und werden Sie ein ganz normaler Wachmann in einem russischen Unternehmen, vorzugsweise einem Öl- und Gasunternehmen. Nicht jeder wird als Führungskraft eingestellt, und das Verhältnis von Beschäftigung und Löhnen wird sich jedenfalls nicht zum Besseren verändern. Obwohl wer weiß.

IV. Option „4A“: Umzug suchen. Es besteht die Meinung, dass dies schwierig ist, da der Bereich der Informationssicherheit stark an lokale Gesetze und Besonderheiten gebunden ist und eine Person von außen große Schwierigkeiten haben wird, sie zu verstehen. Aber es gibt auch gute Neuigkeiten: In vielen internationalen zentralen IT- und Informationssicherheitszentren gibt es viele einfache Ausführende, aber in der Regel nicht genügend kompetente Organisatoren und sogar solche, die wissen, wie man Entscheidungen trifft. Dies kann einem Informationssicherheitsmanager mit Erfahrung in Verhandlungen mit Indern/Malaysiern und anderen IT-Supportteams in die Hände spielen.

Option „4B“ ist radikal: Alles stehen und liegen lassen und als Barkeeper auf Bali bleiben, bis bessere Zeiten kommen. Aber das ist Offtopic.

Statt Ausgabe:

Das Obige ist gegenüber dem Entwurf zerknittert, stark reduziert und spiegelt meine rein persönliche, vielleicht einseitige Erfahrung wider (11 Jahre Informationssicherheit, davon 9 in internationalen Unternehmen). Vielleicht findet es jemand amüsant, aber jemand wird sich entscheiden, es zu widerlegen. In jedem Fall willkommen zu den Kommentaren.

Similar Posts

Leave a Reply

Your email address will not be published.