Константин Саматов - Карьера в информационной безопасности

Другие часто встречающиеся названия конкурентной разведки – бизнес-разведка, деловая разведка, аналитическая разведка, маркетинговая разведка, коммерческая разведка.

Глобально конкурентную разведку можно поделить на два направления – OSINT и HUMINT:

– OSINT (Open source intelligence) – сбор информации из общедоступных источников, прежде всего СМИ и сети Интернет. При этом, при сборе информации очень часто используются различные способы и методы, характерные для мероприятий по анализу защищенности информационных систем, а сама процедура сбора информации из открытых источников обычно является одной из начальных стадий так называемого тестирования на проникновение (Penetration Test), в виду чего указанное направление деятельности и стали относить к информационной безопасности.

– HUMINT (Human intelligence) – сбор информации с использованием людей. По сути сбор информации от человека, в том числе с использованием методов социальной инженерии, которые широко используется при тестировании на проникновение.

Таким образом, видим, что методики конкурентной разведки широко используются специалистами по анализу защищенности, в силу чего, данное направление и стали, возможно ошибочно, относить к информационной безопасности.

Относительно управления репутацией компании – в обычном (штатном) режиме этими вопросами занимаются специалисты по связям с общественностью (Public Relations), но что делать, если, например, в средствах массовой информации оказалась конфиденциальная информация компании или компания подверглась информационной атаке (выброс большого объема негативной информации в СМИ)? На практике, решение этой задачи ложится на плечи специалистов по безопасности компании и, прежде всего, специалистов по информационной безопасности.

Вышеприведенное деление по мерам и должностям, конечно же носит условный характер. Занимая любую из должностей, специалист по защите информации обеспечивает реализацию комплекса правовых, организационных, технических и морально-этических мер.

С точки зрения места информационной безопасности в организационно-штатной структуре компании существует дилемма – относить подразделение информационной безопасности к сфере информационных технологий или к сфере безопасности. В сложившейся практике, в большинстве случаев, подразделение информационной безопасности (служба, отдел, группа и т.п.) входит в структуру подразделения информационных технологий (департамент, управление и т.п.), в редких случаях – в структуру служб безопасности. По мнению автора, это не совсем правильно. Несмотря на то, что в деятельности специалиста по информационной безопасности есть значительный пласт работы, связанный с информационными технологиями, правильнее относить указанное направление деятельности к сфере безопасности и включать в штатную структуру служб безопасности, т.к.:

– как уже рассматривалось в разделе 1, информационная безопасность является частью корпоративной безопасности;

– подчинение специалистов по информационной безопасности руководству служб безопасности минимизирует риск перехода информационных ресурсов под полный контроль подразделения информационных технологий.

Карьера – результат осознанной позиции и поведения человека в трудовой деятельности, связанный с должностным и (или) профессиональным ростом.

Должностной рост – изменение должностного статуса человека, его социальной роли, степени и пространства должностного авторитета. Например, переход на вышестоящую должность или переход с должности исполнителя на должность руководителя.

Профессиональный рост – рост профессиональных знаний, умений и навыков, признание профессиональным сообществом результатов труда в конкретном виде профессиональной деятельности. Иными словами, человек может не менять своей должности, но стать признанным специалистом в сфере своей деятельности. Например, стать экспертом по информационной безопасности.

В большинстве случаев должностной и профессиональный рост идут «рука об руку», но, в ряде случаев, бывают и исключения. Например, когда человек сознательно выбирает более глубокое погружение в ту или иную тематику (т.н. «экспертиза»), отказываясь от руководящих должностей, предусматривающих большой пласт работы, связанной с управлением процессами и людьми.