суббота, 28 декабря 2013 г.

Тенденции уходящего года и призрачное будущее.

Мировые тенденции.

Если оставить в стороне Сноудена и Bitcoin, то вполне вероятно, что основными мировыми тенденциями информационной безопасности в 2013 можно назвать следующие:
      1.       Развитие и значительное расширение использования компаниями облачных хранилищ.
      2.       Вынос вычислительных ресурсов, за пределы компаний и их аренда у сервисных провайдеров.
      3.       Усиление государственного регулирования в вопросах информационной безопасности.
      4.       Дальнейшая специализация специалистов в области информационной безопасности.
      5.       Усиление влияния и увеличение капитализации теневого рынка. 

Что же стоит ожидать в 2014?

Основными движущими силами рынка ИБ являются:
- Жесткие и все нарастающие требования регуляторов.
- Развитие теневого рынка, и как следствие количество взломов и ущерб от них.
Если рассмотреть грядущий 2014 год то видится, что нынешний президент России и дальше будет стараться укреплять свой авторитет и как следствие авторитет страны. Это может привести к еще более жестким законам, в том числе и в сфере безопасности. С одной стороны ужесточение требований регуляторов может затребовать больше ресурсов на обеспечение этих требований, с другой, как показывает практика, требования могут быть столь абсурдны, что ни как не повлияют на реальный уровень безопасности. Одно можно сказать с уверенностью – количество задач связанных с вопросами «бумажного» соответствия возрастет, и как следствие потребует специалистов для этого направления.
Что касается запада, то можно отметить следующие тенденции:
      1.       Количество собираемых данных службами по всему миру огромно. Но на данный момент стоит задача улучшения качества собираемой информации, и автоматизации ее дальнейшего эффективного анализа. По этой причине, аналитика больших объемов данных будет востребована.
      2.       Ситуация с утечкой данных и дальнейшие злоключения Сноудена безусловно привели к тому, что системы безопасности, контроля и подбора персонала определенных структур пересмотрены, но вряд ли это отразится на всем западном рынке.
3.       На западе четко прослеживается тенденция к специализации и приоритету, прикладным специалистам в области безопасности, что резко отличается по ситуации от рынка СНГ (что частично меняется с переводом подразделений безопасности международных компаний на рынки этих стран). Спрос на высококвалифицированных прикладников в сфере информационной безопасности на западных рынках будет самым высоким.
Если говорить о методологиях и технологиях, то в 2013 обновился рад стандартов. И новые версии  постепенно будут внедряться в компаниях (например, PCI DSS 3.0 и CobIT5).
Удивление у меня лично вызывает малое количество разработок в области количественной оценки эффективности деятельности ИБ (либо у меня не достаточно информации по этому вопросу и я не могу судить объективно). Мне это направление, кажется одним из самых перспективных, так как аналитика на основе статистики инцидентов и расчетов риска пока не дает желаемого устойчивого результата для обоснования затрат на ИБ перед менеджментом компаний. А соблюдение требований регуляторов, имеет мало общего с реальной безопасностью, а для многих направлений бизнеса просто не актуально. 
Что касается систем, то в приоритете будет обеспечение безопасности распределенных систем, облаков, виртуальных структур, шифрования, SIEM, DLP. Не думаю, что произойдет какой-либо качественный скачок по сравнению с теми системами, что используются сейчас.

Тенденции на рынке Украины в 2013.

2013 год принес определенные перемены в экономике Украины, что впоследствии сказалось и на рынке информационной безопасности. С рынка в спешном порядке ретировались с десяток западных банков. Основными покупателями их активов (и невозвратных кредитов) стали представители украинского бизнеса, усилили влияние и российские структуры. Часть банков объявила о слияниях. За редким исключением упали доходы холдингов от экспорта. Страховые компании тоже не проявляют оптимизма. Все это привело к определенным изменениям и на рынке информационной безопасности.
После продажи банков западными компаниями, а так же вследствие их слияний и усиления восточного влияния, преобладает переход к перестроению безопасности с участием большего количества представителей СБУ и прочих структур со всеми последующими методами и принципами работы, имеющими мало общего с мировыми стандартами и лучшими практиками. Это дополняется уменьшением бюджетов на профильные ИТ системы для нужд информационной безопасности. Информационная безопасность продолжает использовать системы, которые были куплены на деньги, выделенные в предыдущие годы. Эта тенденция сохранится и в 2014 году. Высококвалифицированные специалисты информационной безопасности, скорее всего, будут покидать такие банки, и искать новое место работы (кто планирует развиваться в сфере ИБ). Но сделать им это будет не так то и просто, так как рост и как следствие заинтересованность в наборе профессионалов демонстрируют в основном ИТ компании работающие на запад. Но в таких ИТ компаниях зачастую не нужен такой уровень безопасности как в банках. «Растущий» бизнес представителей власти, редко требует такого типа специалистов, а там где они нужны – они уже есть. Про страховые компании – было сказано ранее. Не улучшит ситуацию и объединение банков, так как в таком случае в части специалистов безопасности так же отпадет необходимость, и они пополнят ряды ищущих.
Хочется отметить тенденцию, по переводу подразделений безопасности международных компаний на Украину. В частности Samsung сейчас активно набирает прозападных узкоспециализированных аналитиков в области безопасности. Но это ниша скорее для выпускников ВУЗов, чем для опытных специалистов.
Еще одна сфера для работы специалистов ИБ – это интеграторы. Но как в этом году, так и в 2014 получение ими высоких прибылей вряд ли будет возможно, и расширение штата таких компаний кажется сомнительным. И вряд ли на эту сферу (как и на другие выше перечисленные) повлияет обещанный кредит в 15 млрд «братскому народу».
По выше перечисленным причинам часть специалистов ИБ переквалифицируются в смежные специальности, а часть просто уедет из страны на более перспективные рынки.

воскресенье, 22 декабря 2013 г.

Интересно о безопасности – декабрь 2013


    1.       Динамический контроль доступа интересно описан тут и тут.

    2.       Анализ рисков по OWASP.

    3.       Agile Security.


    5.       Парольная скорость.

    6.       Описание и использование менеджера паролей KeePass тут и тут.


    8.       Методы анонимности в сети тут, тут, тут и тут

воскресенье, 8 декабря 2013 г.

Почему не стоит учиться на специалиста по информационной безопасности?

В свете происходящих на Украине событий, хотелось бы написать о политической ситуации в стране, своих выводах и взглядах на происходящее, но профессиональный блог не лучшее для этого место. По этой причине оставим политические взгляды для личного общения и рассмотрим такую сферу деятельности как информационная безопасность.
Не так давно были замечены несколько статей о том, как важна безопасность для компаний, а  рынку не хватает специалистов по информационной безопасности и защите информации. Вот одна из таких статей.
Как специалиста данной сферы, меня заинтересовало действительно ли это так? По моему субъективному мнению, это имеет мало общего с реальностью. А реальность такова, что статистика по количеству соискателей на одну вакансию и уровню заработной платы за первый квартал 2013 года на Украине для специалистов по информационной безопасности совсем не радует.
Как видно, специалисты по информационной безопасности одна из самых низко оплачиваемых специализаций в ИТ. И я бы даже сказал, что эта информация не только не радует, но и даже угнетает. Радует, только то, что аутсорсинг ИТ – это одна из не многих отраслей, которая все еще жива на Украине. Совсем печально было бы пойти учиться, например, по призванию на учителя географии и получать 200 долларов.
Так почему же получается ситуация, когда с одной стороны много шума про взломы, необходимость защиты ресурсов компаний и недостаток специалистов, а с другой относительно низкие заработки и единичные вакансии?
Специальность «Информационная безопасность» или «Защита информации» представлена на Украине малым количеством технических ВУЗов. До недавнего времени их было менее 10 на всю Украину. Даже если каждая кафедра готовит по несколько групп в год, и не забыть про заочников, то это около 500 человек в год. Не так уж и много для страны с населением 45 млн. человек. Когда я заканчивал КПИ в 2010 году, то по специальности «Защита информации в компьютерных системах и сетях» выпуск магистров стационара был около 15 человек. Совсем не много.