Джош Фрулингер

Операционная безопасность (Operations Security, OpSec) – процесс оценки и защиты организациями общедоступных данных о себе, которые при должном их анализе грамотным противником и объединении с другими данными позволяет получить общую картину, хранимую организацией в секрете. Дисциплина, имеющая военное происхождение, в цифровой век приобретает жизненно важное значение и для правительственных и частных организаций. Любому директору по безопасности следует задуматься о том, какие меры необходимо принять для совершенствования OpSec.

Термин «операционная безопасность» впервые появился в армии США во время войны во Вьетнаме в результате действий группы Purple Dragon. Там заметили, что противники США словно читают стратегию и тактику американских войск. При этом известно было, что Северный Вьетнам и Вьетконг не обладают силами и средствами, которые позволяли бы расшифровывать передаваемые сообщения. Не имелось у них и разведки для сбора информации изнутри. Таким образом, армия США сама непреднамеренно передавала врагу жизненно важные сведения. В Purple Dragon первыми предложили определение OpSec: «Умение держать информацию о своих силах и слабостях в тайне от враждебных сил».

Со временем эта концепция, распространившаяся из армии и на другие американские министерства и частные компании, была проработана более подробно. У минэнерго, отвечающего за ядерный арсенал государства, имелось собственное определение OpSec: «Операционная безопасность включает процесс определения неклассифицированной или управляемой критически важной информации, требующей защиты в течение какого-то ограниченного или достаточно продолжительного времени… цель OpSec заключается в идентификации, управлении и защите важной неклассифицированной информации о целях, операциях или действиях, а также для организации противодействия стремлению врага мешать достижению этих целей, и выполнению операций или действий».

Провалы OpSec

Пожалуй, один из лучших способов понять, что представляет собой OpSec на практике, заключается в изучении масштабных провалов OpSec – ситуаций, позволивших получить на основе общедоступной информации общую картину, которую субъект этой информации хотел бы держать в секрете.

Начнем с событий, произошедших не так давно. В марте 2017 года, когда Джеймс Коми еще исполнял обязанности директора ФБР, автор публикаций в Gizmodo Эшли Файнберг сумела отследить его учетные записи в Instagram и Twitter, используя всего несколько бит общедоступных данных. Эта история стала классическим примером поиска ключей среди пользователей в социальных сетях. Файнберг знала, что сын Коми Брайен входил в спортивную команду колледжа Кеньон, и обнаружила видео с его участием в Instagram спортивного факультета университета. В одном из комментариев содержалась ссылка на личный Instagram Брайена. Воспользовавшись специально созданной для этого учетной записью, Файнберг отправила запрос на подписку, зная, что в ответ Instagram предоставляет учетные записи, связанные с тем аккаунтом, на который вы хотите подписаться. В данном случае речь шла о заблокированной учетной записи 'reinholdniebuhr', названной в честь теолога, которому была посвящена дипломная работа Джеймса Коми. Файнберг предположила, что это и есть аккаунт Коми. В Twitter оказалось всего несколько учетных записей с различными вариациями имени 'niebuhr', в том числе и запись @projectexile7, названная, судя по всему, в честь программы, направленной на снижение уровня насилия с применением оружия, в реализации которой в 1990-е годы Коми принимал участие. У @projectexile7 имелся всего один подписчик – блогер Бенджамин Уиттс, личный друг Коми. В октябре стало ясно, что выбранный Файнберг путь оказался верным.

Это прекрасный пример того, какие подсказки можно найти в социальных сетях – даже профессионалы в сфере безопасности не всегда понимают, какие следы оставляют за собой. В Facebook и других социальных сетях можно найти информацию, которая с военной точки зрения носит разрушительный характер. Например, несмотря на официальную позицию российских властей, в соответствии с которой повстанцы на востоке Украины действуют сами по себе, российские военные не раз размещали в Instagram фотографии с геотегами, подтверждающими их местонахождение по ту сторону границы. В похожей ситуации популярный фитнес-трекер Strava, загружающий данные в облако, разместил подробную карту маршрутов своих пользователей, проводивших беговые тренировки. А поскольку этот сервис пользуется особенной популярностью у американских солдат, изучение соответствующих карт позволило определить местоположение целого ряда секретных военных баз США.

Провалы OpSec на корпоративном уровне не наносят ущерба национальной безопасности, но могут иметь катастрофические последствия для связанных с ними компаний. Профессионалы в сфере OpSec рассказывают об обнаруженных ими проблемах в блоге Digital Guardian DataInsider. Так, Шай Бредеволд пояснил, как возникают утечки корпоративной информации: «Чрезмерно усердный сотрудник характеризует свою должность таким образом, что это позволяет узнать о пройденной им переподготовке, которая в противном случае была бы скрыта от глаз широкой публики. В женском форуме жены рассказывают о том, какую нагрузку испытывают их мужья в связи с готовящимся в следующем месяце выпуском нового концептуального продукта». Еще одним потенциальным указателем направления могут стать пароли: в условиях, когда бреши в системе безопасности веб-сайтов носят повсеместный характер, многие сочетания имен и паролей пользователей оказываются в общем доступе, чем с удовольствием пользуются хакеры, сравнивающие эти идентификационные данные с данными сотрудников компаний и пытающиеся задействовать полученные пароли в своих интересах.

Процедура OpSec

Американские военные рекомендуют пятиэтапную процедуру, с помощью которой организации могут оценить свои данные и инфраструктуру и выработать план их защиты. В блоге SecurityTrails эта процедура описывается подробно, мы же хотим привести ее краткое резюме.

1. Оцените критически важную для OpSec информацию. Для начала нужно определить, какие данные способны нанести вред вашей организации в случае их попадания в руки противника. Круг этих данных может варьироваться от клиентской информации и финансовых записей до интеллектуальной собственности.

2. Определите типы угроз OpSec. Следующий вопрос, который нужно задать себе: кто является вашим противником? Их круг также может быть широк, начиная от преступных хакеров и заканчивая конкурентами в бизнесе. Учтите, что разных противников могут интересовать разные данные.

3. Проанализируйте уязвимости OpSec. Этот этап должен занимать центральное место в обеспечении безопасности любой организации: проводите полный аудит системы безопасности для выявления слабых мест в вашей инфраструктуре.

4. Оцените риски OpSec. На этом шаге определяются уровни угроз путем анализа влияния уязвимостей, выявленных на третьем этапе, на критически важные данные, полученные на первом этапе, с учетом круга противников, очерченного на втором этапе. Нужно понимать, какой ущерб может нанести использование внешних уязвимостей и насколько вероятна такая атака.

5. Составьте план OpSec. Располагая всей этой информацией, разработайте план, который позволит блокировать имеющиеся уязвимости и сохранить свои данные в безопасности.

Меры для укрепления операционной безопасности

Все вышесказанное звучит несколько абстрактно. А какие конкретные меры можно принять для реализации собственного плана OpSec? HackerCombat рекомендует придерживаться следующих рекомендаций.

— Внедряйте процедуры управления изменениями.

— Ограничивайте доступ к сетевым устройствам по принципу того, что «нужно знать».

— Предоставляйте сотрудникам минимально необходимые права доступа и придерживайтесь правила наименьших привилегий.

— Автоматизируйте операции для устранения слабых мест, обусловленных человеческим фактором.

— Планируйте ответные меры, которые необходимо принимать при возникновении инцидентов, и процедуры восстановления.

В материалах SecurityTrails описываются области, на которые должно быть ориентировано планирование OpSec. Естественно, в первую очередь вам хотелось бы сосредоточиться на важных персональных идентификационных данных, к которым относятся имена, IP-адреса, языки, электронная почта и т.д. Но нельзя забывать и о взаимодействии с людьми – в частности, с вашими собственными коллегами, для которых менталитет OpSec должен стать их второй натурой. Необходимо обучить их ряду приемов, связанных с шифрованием данных и устройств, мониторингом передачи данных и ограничением доступа к некоторым видам данных. Они должны быть осведомлены обо всех ошибках, которые мы упоминали ранее, особенно о тех, которые обусловлены активностью в социальных сетях. Лозунг времен Второй мировой войны «длинный язык корабли топит» в полной мере применим и к вашей сегодняшней организации (распространяясь и на сообщения в Facebook).

Кто осуществляет надзор за OpSec?

И наконец последний вопрос, который, наверное, вас интересует: кто в компании должен отвечать за OpSec? Здесь ситуация постоянно меняется, и лучшим, пожалуй, кандидатом, станет тот, кто заинтересован в этом и обладает соответствующими возможностями, независимо от занимаемой должности и места в организационной иерархии.

Некоммерческая организация Operations Security Professional's Association главной своей целью считает поддержку профессионалов в сфере OpSec. В публикациях из серии «Что работает в OpSec» обобщается накопленный в этой области передовой опыт, позволяющий оценить соответствующие карьерные перспективы и должностные обязанности. Некоторые направляют на OpSec всю свою энергию, тогда как для других это лишь одна из многих областей, к которым они проявляют интерес. Вам же нужно определить, как лучше претворить в жизнь концепцию OpSec в своей организации.

Эпоха доткомов запомнилась как время излишеств, экспериментов, завышенной самооценки и эксцентричных капризов в технологической отрасли. Технологии с тех пор «повзрослели», а вот некоторые должности с причудливыми названиями по-прежнему существуют, и не только в индустрии ИТ. Взять хотя бы невнятного «директора по прогрессу», или вызывающего умиление «главного рассказчика», или откровенно странного «главного чародея». Возможно, присутствие слова «chief», указывающего на принадлежность к топ-менеджменту, делает владельца такой должности счастливым, однако наличие подобных должностей не всегда лучшее решение для бизнеса. Пройдемся по самым странным позициям, встречающимся в штатных расписаниях технологических и других компаний.

Директор по рациональному природопользованию (chief sustainability officer)

К природопользованию необходимо подходить ответственно — спору нет, но, по мнению экспертов, эта должность не «верхнеуровневая», а вспомогательная, как и посты директора по данным, инновациям, закупкам, работе с клиентами и соблюдению нормативных требований.

Основные элементы бизнеса — это создание и выпуск продуктов и услуг, маркетинг и продажи, организация деятельности и управление капиталом. Поэтому круг топ-менеджеров стоит ограничить генеральным директором, директором по операциям, директором по маркетингу, финансовым директором и директором кадровой службы. В идеале высший уровень руководства не должен превышать семь человек. А когда их становится больше — например, добавляется главный по рациональному природопользованию, то это уже не совсем рационально.

Директор по хлопотам (chief worry officer)

На самом деле должности с таким названием нет, но им можно обозначить всех топ-менеджеров со слишком узким кругом обязанностей, вроде директора по рискам или директора по выручке.

Руководители на подобных должностях обычно отвечают за деятельность в узкой области. Но, будучи причисленными к топ-менеджменту, со временем они могут перетянуть одеяло на себя и сбить компанию с пути, определяемого ее основной миссией. С одной стороны, плюрализм мнений первых лиц компании необходим, с другой — все должны двигаться к единой цели, работая над минимизацией рисков, барьеров и любых угроз основному бизнесу, причем эти задачи не должны быть возложены на плечи только какого-то одного руководителя.

Директор по счастью (chief happiness officer)

Бывают должности, название которых можно толковать столь широко, что соответствующий круг обязанностей теряет четкие очертания. Типичный пример — «директор по счастью». Такую должность завели в ряде стартапов, и там она играет роль своеобразного «талисмана». Обычно человек на этом посту призван служить образцом для подражания — воплощением принципов и культуры компании, которые он должен пропагандировать по всей организации. Теоретически в этом нет ничего плохого, но «навешивание» столь крупной и важной задачи на одного человека освобождает остальных топ-менеджеров от ответственности за нее, хотя в реальности они должны решать ее сообща.

Директор по инклюзивности (chief inclusion officer)

Директор по инклюзивности — еще один пример «директоров по хлопотам». Обычно его основная сфера ответственности — забота о соблюдении принципов этнического и культурного разнообразия, которые опять же должны быть не отдельной задачей, а общекорпоративным делом. Во многих компаниях вводят еще одного «главного», потому что искренне стремятся к инклюзивности, хотя это и не лучший способ ее обеспечить. Лучше воздержаться от создания «модной» должности и просто пропагандировать образ мышления, в рамках которого инклюзивность является нормой. Это потребует участия других сотрудников помимо топ-менеджмента — по схеме, аналогичной принципу представления интересов работников в правлении компании, принятому в Германии и некоторых других странах.

Главный рассказчик (chief storyteller)

Должность с таким названием появилась в 2010 году в Microsoft. В обязанности занявшего ее Стива Клейтона входили публичные уточнения и разъяснения клиентам действий корпорации. Это может быть значимым для компании, но не совсем ясно, какие именно руководящие обязанности выполняет такой топ-менеджер. Подобные должности обычно появляются в компании, когда некая функция приобретает особую важность для ее выживания. Примеры: в Wells Fargo и Uber был введен пост директора по этике после ряда скандалов, чтобы продемонстрировать рынку, акционерам, широкой публике и правлению, что в компании работают над решением проблемы.

Директор по корпоративной атмосфере (chief experience officer)

Само собой разумеется, что наличие слова «chief» в названии должности не делает занимающего ее человека автоматически участником высшего руководства. Эта должность может называться по-разному: «директор по первым впечатлениям», «директор по работе с посетителями», «директор по комфорту сотрудников», «директор по культуре», «главный евангелист культурных ценностей» и т. д. Но по своим задачам такой руководитель фактически не отличаются от секретаря в приемной.

Возможно, слово «директор» в названии вакансии просто используют как приманку, чтобы привлечь более ценных кандидатов. Но вряд ли это действенный метод, ведь если в вакансии что-то выглядит не слишком понятным, соискатель просто проигнорирует такое объявление.

Директор по вечеринкам (chief party officer)

Иногда название должности просто отражает разлад, который творится в организации. Например, в одной компании был «директор по вечеринкам». Фактически же это был менеджер по операциям, и его дополнительной обязанностью было проведение мероприятий, направленных на повышение морального духа работников, — так называемых проектов большого позитива. На одном таком мероприятии занимались тем, что разбрызгивали краску на стены в офисах, чтобы они не казались слишком унылыми. Почему-то наряду с этими «веселыми проектами» в обязанности «директора по вечеринкам» входило проведение собраний, посвященных обязательному дресс-коду, и учений по пожарной безопасности.

Главный чародей

Историю об этой должности рассказала маркетолог. По словам рассказчицы, она недолго работала на компанию, оказавшуюся фальшивкой. «Главный чародей» был ее основателем и, собственно, главным мошенником. Он обманом убедил инвестора вложить 17 млн долл. в несуществующий ИТ-продукт, о котором рассказывал на конференциях по всему миру. Дочь инвестора получила в компании должность «директора по улыбкам и мечтам».

Компания в итоге лопнула, после того как инвесторы все же выяснили, что продукт вымышленный. Примечательно, что чудаческие названия должностей никого не смутили, поскольку подобные чудачества — обычная «фишка» Кремниевой долины.

Директор по вкусам (chief flavor officer)

И наконец, есть должности со словом «chief», которые не обозначают никакой роли в высшем руководстве, да и какой-либо вообще конкретной роли в организации. Такие должности — что-то вроде почетных университетских степеней.

Пример: компания — производитель напитков Bai наградила Джастина Тимберлейка за его инвестиции должностью «директора по вкусам». Тратит ли он свое время на то, чтобы контролировать, какие вкусоароматические добавки используются в продукции Bai? Журнал Fortune цитирует главу компании Бена Вейсса: «Джастин обладает колоссальным творческим потенциалом. Его действительно волнует качество наших напитков, и в вопросах маркетинга и обновления вкусов у него есть мнение, к которому стоит прислушаться». Другими словами, Джастин Тимберлейк не курирует вкусы напитков Bai.

— Josh Fruhlinger. 9 chiefs you don't need in the C-suite. CIO. October 26, 2018

Состояние информационной безопасности

Безопасность ИТ имеет решающее значение для любого бизнеса, но понятие это настолько всеобъемлющее, что получить представление о реальном положении дел в отрасли и перспективах развития на будущее очень сложно. Вот почему ежегодно издание CSO совместно с компанией PwC проводит опрос руководителей служб технической безопасности во всем мире, с тем чтобы понять какая ситуация сложилась на сегодняшний день.

Опрос «Глобальное состояние информационной безопасности в 2018 году» был проведен среди читателей CIO и CSO, а также клиентов PwC. Соответствующий отчет был составлен по итогам ответов более чем 9,5 тыс. генеральных и финансовых директоров, руководителей информационных служб, директоров по безопасности и информационной безопасности, вице-президентов, ИТ-директоров и специалистов по безопасности из 120 стран.

Результаты проведенного исследования дают ответы на следующие вопросы:

• Кто несет ответственность за безопасность?
• На что тратятся выделяемые средства и какие мероприятия планируются в этой сфере?
• Каковы существующие технологические тенденции, с которыми приходится сталкиваться специалистам по безопасности?
• Как отражается на безопасности взаимодействие различных организаций друг с другом?

Кто отвечает за безопасность?

Люди, возглавляющие направление информационной безопасности, как правило, входят в состав высшего руководства компаний. У 52% компаний, принимавших участие в опросе, имеется должность директора по информационной безопасности, а у 45% – директора по безопасности. Специалисты, занимающие эти должности, подчиняются обычно непосредственно главе организации. Только 24% находятся в подчинении у директора ИТ-службы; все же остальные подчиняются либо генеральному директору (40%), либо совету директоров (27%).

Но, когда мы начинаем спускаться по иерархической пирамиде ниже, ситуация становится более запутанной. Менее чем у половины компаний, принимавших участие в опросе, имеются специальные сотрудники, занимающиеся обеспечением безопасности внутренних бизнес-операций. Только 46% респондентов сообщили об объединении в их организациях вопросов информационной и физической безопасности, лишь у 43% в программу информационной безопасности включены функции конфиденциальности, а более четверти опрошенных не знают, какую позицию по этому поводу занимает их компания.

Ошибки планирования

Число компаний, разрабатывающих конкретные стратегии безопасности, оказалось не так уж велико. Лишь у 56% стратегия информационной безопасности была сформулирована в целом. Что же касается технологий безопасности в специфичных областях, здесь цифры еще хуже – доля не превышает 50%. Перечислим эти области:

• социальные медиа: 44%;
• большие данные: 44%;
• облачные вычисления: 46%;
• мобильные устройства: 47%.

Непосредственное участие в разработке стратегии безопасности в целом советы директоров принимают менее чем у половины компаний. До сих пор во многих организациях советы директоров не имеют никакого отношения к контролю за повседневными операциями.

Безопасность – процесс непрерывный

Многие из будничных, но жизненно необходимых мер безопасности включают в себя повторяющиеся меры – не слишком привлекательные, но зачастую очень важные для подготовки организации к защите от атак. В большом числе организаций такие меры не являются приоритетными, и только около половины опрошенных отметили, что их компании прилагают значительные усилия в этом отношении. Перечислим, каким мерам, имеющим отношение к безопасности, уделяется внимание:

• повышение уровня информированности: 52%;
• программа для выявления важных активов: 46%;
• оценка уязвимости: 46%;
• реакция в рамках управления инцидентами: 46%;
• тестирование на предмет возможностей проникновения: 42%.

Куда и почему уходят деньги?

Вопросы информационной безопасности в организациях зачастую считают поглотителями финансовых средств, далеко не всегда приносящими желаемую отдачу. Чем определяется выбор направлений затрат в компаниях, принимавших участие в нашем опросе? Приведем пару довольно интересных результатов:

• 49% опрошенных утверждают, что затраты на безопасность зависят исключительно от оценки рисков; 
• 66% отметили, что в их организациях расходы определяются доходами каждого из направлений бизнеса.

Возникает вопрос: ведется ли в компаниях «борьба с пожарами» повсюду, где они появляются, или же защитить стремятся лишь наиболее ценные активы? Интересно также, какова степень распыления расходов между разобщенными активами. В любом случае высокотехнологичные операции нуждаются в защите: 59% опрошенных заявили, что после перевода экосистемы бизнеса на цифровые рельсы их компании стали инвестировать в безопасность больше.

Защита облака

Несмотря на то что только у 46% компаний имеется стратегия обеспечения безопасности облачных вычислений, переход в облако происходит, и происходит быстро. Уже сейчас 46% опрошенных утверждают, что большая часть ИТ-сервисов у них доставляется через облако, а 60% рассчитывают на то, что это произойдет в течение ближайших пяти лет. Если говорить о данных, то тут положение дел меняется еще быстрее: 40% уже хранят важные данные в различных облачных ресурсах, а 36% планируют проделать это в ближайшие год-полтора.

А теперь перейдем к использованию моделей облачных вычислений (учтите, что каждой из них присущи свои собственные проблемы, связанные с безопасностью):

• публичное облако: 34%;
• частное облако: 55%;
• гибридная модель: 29%.

Роботы и гаджеты

Роботы, устройства Интернета вещей и другие распределенные встроенные системы начинают из произведений научной фантастики перемещаться в реальный мир и нуждаются в защите. Некоторые компании уже внедряют у себя роботов, и их беспокойство в отношении угроз безопасности вполне обоснованно: 40% опасаются кибератак, которые могут привести к нарушению производственных процессов, а 22% говорят даже о потенциальной угрозе жизни людей.

Гаджеты Интернета вещей, наверное, не столь опасны для жизни, но это не может стать поводом для самоуспокоения. 67% компаний уже имеют или планируют стратегию в отношении Интернета вещей, но только 34% оценивают риски Интернета вещей для бизнеса. Кто конкретно отвечает за безопасность Интернета вещей? Ответы респондентов таковы: 29% указывают на директора по информационной безопасности, 20% – на инженерный персонал, а 17% называют ответственным директора по рискам.

Взаимодействие с другими организациями

В области безопасности всегда полезно знать о лучших достижениях отрасли, даже если для этого приходится поддерживать связь с конкурентами. Существуют официальные отраслевые объединения, помогающие получать необходимую информацию, и 37% компаний принимают участие в их работе. В целом 58% организаций так или иначе поддерживают связь с другими компаниями.

Какой информацией они готовы делиться? Здесь также существуют определенные градации, и результаты нашего опроса помогают понять, какие сведения организации считают полезными для себя:

• внутренняя информация об угрозах: 70%;
• тактики, технологии и процедуры нейтрализации угроз: 56%;
• внутренние инциденты в области безопасности: 55%;
• тактики реакции на инциденты: 44%;
• изучение угроз: 30%.

Приносит ли такая кооперация свои плоды? Только 37% опрошенных считают, что соответствующие усилия помогли им повысить уровень своей осведомленности об угрозах и способах эффективного противостояния им.

Внешние поставщики

ИТ становятся все более взаимозависимыми, особенно в свете передачи многих функций поставщикам облачных сервисов. В компаниях не обходят своим вниманием и возникающие при этом вопросы: 38% организаций ежегодно проводят оценку безопасности своих поставщиков, а 56% делают это дважды в год или даже чаще. Вместе с тем только 39% опрошенных считают себя «хорошо подготовленными» с точки зрения защиты важных данных в облаке или в среде независимых поставщиков.

Результаты опроса объясняют, почему им не хватает уверенности. Только 46% респондентов проводят аудит внешних поставщиков, позволяющий гарантировать защиту клиентских данных. И лишь 46% компаний требуют от поставщиков услуг соблюдения утвержденной политики конфиденциальности.

Драгоценные данные

Компании начинают понимать, что клиентские данные являются одним из самых ценных активов, а их утечка может привести к фатальным последствиям. К сожалению, лишь около половины организаций принимают меры для защиты этой информации:

• 53% компаний требуют от сотрудников изучения политики конфиденциальности и принятия мер по защите соответствующих данных;
• 49% ограничивают возможности сбора персональной информации, ее хранения и доступа к ней тем минимальным объемом, который необходим сотрудникам для выполнения их легитимных функций;
• 51% следят за процессом сбора, передачи и хранения персональных данных своими сотрудниками.

Тем не менее можно утверждать, что компании постепенно начинают осознавать приоритетность культуры защиты конфиденциальной информации: 67% опрошенных сообщили, что за соблюдением соответствующих правил следит директор по конфиденциальности или специальный сотрудник, а 12% планируют ввести у себя такую должность в течение ближайшего года.

– Josh Fruhlinger. Information security, 2018: What we have here is a failure to plan. CSO. October 18, 2017

Незащищенные филиалы

Блестящий облик штаб-квартиры компании, оборудованной самыми современными компьютерами, вполне подходит на роль привлекательной рекламной картинки вашего корпоративного сайта. Но все мы знаем, что большая часть повседневной работы крупных организаций выполняется в удаленных филиалах – маленьких, плохо оснащенных и недоукомплектованных. Кроме того, многие сотрудники с удовольствием используют Интернет для работы из дома. Зачастую такие удаленные работники становятся причиной нешуточной головной боли для технических специалистов, отвечающих за безопасность активов компании. Попытаемся прояснить возникающие сегодня угрозы и возможные пути их устранения.

Домашним офисам требуется помощь

Домашний офис – настоящее минное поле с точки зрения безопасности. Подключенные домашние устройства контролируются в гораздо меньшей степени. Поэтому у каждой организации должны быть политики, процедуры и инструкции по использованию корпоративных ресурсов за пределами офиса.

Часто уязвимым местом для атаки становится скромный домашний маршрутизатор. Пользователям необходимо сменить присваиваемое по умолчанию имя admin, задать надежный пароль и контролировать своевременное обновление прошивки маршрутизатора. А организациям следует поощрять удаленных работников, следящих за безопасностью своих маршрутизаторов.

Ваши устройства могут вас подвести

Впрочем, в обновлении нуждаются не только маршрутизаторы: любое домашнее устройство может стать лазейкой для желающих проникнуть в рабочую машину, если вы принесете ее домой.

«Однажды я беседовал с сотрудником морской полиции, который расследовал взлом ноутбука одного морского офицера через портативный компьютер его дочери», – признался Эндрю Хей, возглавляющий в компании DataGravity ИТ-службу и службу безопасности.

Опасности маленького офиса

Но если большинству людей понятно, что дома нужно принимать соответствующие меры предосторожности, то сотрудникам филиалов и удаленных офисов угрожает гораздо более серьезная опасность – ведь люди полагают, что находятся «на работе», а значит, защищены. В действительности же все обстоит совсем не так. «Конечно, корпоративная ИТ-служба должна следить за всем, что происходит в офисе, но в большой сети такой контроль может оказаться весьма проблематичным, не говоря уже об удаленных филиалах», – подчеркнул руководитель направления глобальных угроз компании Trend Micro Джон Клэй.

Во многих случаях филиалы оказываются брошенными на произвол судьбы: у подавляющего числа крупных предприятий имеются отличные решения и специалисты, следящие за их большими сетями, что же касается филиалов, то их оснащение ограничено брандмауэрами и антивирусным программным обеспечением.

Дилемма персонала

Проблема укомплектованности небольших офисов заключается в том, что от технических специалистов на местах требуется умение работать самостоятельно и без какого-либо присмотра. То есть фактически человек, занимающийся поддержкой небольшого офиса, принимает на себя еще и функции руководителя. А это приводит к неэффективным затратам времени с точки зрения технического специалиста, может вызвать недовольство и работодателя, и сотрудника и стать причиной текучки кадров на данной позиции, может также появиться ощущение, что сотрудники вымогают завышенную зарплату.

Пренебрежение безопасностью

«В результате мерами безопасности многие начинают пренебрегать, – заметил Джошуа Крамбо, директор компании PeopleSec, которая занимается проверкой в филиалах персональной, физической и кибербезопасности и зачастую обнаруживает ее несоответствие принятым стандартам. – Компьютеры в удаленных филиалах защищены, как правило, хуже, чем в штаб-квартире. Не раз мне приходилось наблюдать отсутствие защиты BIOS, повторное использование паролей локального администратора и размещение сетевых разъемов в местах общего пользования».

Но и это еще не все. «Физической безопасности здесь уделяют меньше внимания, чем в головном офисе, – добавил Крамбо. – Для атакующего не составляет никакого труда зайти в помещение и подключиться к сетевому оборудованию. Я лично много раз приходил в удаленные филиалы и подключался к их локальной сети без какого-либо разрешения».

Централизованное управление

Чтобы навести порядок, необходимо использовать программное обеспечение, позволяющее контролировать ситуацию и внедрять политики безопасности удаленно. ИТ-службам рекомендуется выбирать решения, управляемые централизованно и поддерживающие типовые шаблоны, поскольку тогда упрощаются настройка конфигурации и безошибочное развертывание соответствующих средств на всех узлах. Кроме того, это облегчает своевременное обновление компонентов безопасности и их администрирование.

Повседневная поддержка сетей филиалов предполагает наличие не только удаленного доступа, но и автоматизации. Автоматизируя как можно больше процессов и выстраивая инфраструктуру, позволяющую осуществлять удаленную настройку конфигурации, вы сможете следить за всем, что происходит в филиалах.

Машинный контроль

Внешнее управление и интеллектуальные системы мониторинга, осуществляющие контроль за сетевым оборудованием, заметно укрепляют безопасность сетей филиалов даже при отсутствии там технического персонала. То же самое относится и к физической инфраструктуре.

Интеллектуальные системы управления используют массив датчиков, защищающих удаленные сети от несанкционированного проникновения, от природных и техногенных катастроф. Сигнал тревоги подается при открытии дверей и в случаях, когда возникает риск затопления оборудования. Большинство предприятий захотят, очевидно, добавить к этому автоматическое управление энергоснабжением и переадресацию в случае чрезмерного повышения температуры, влажности и при наличии других факторов риска.

Мобильная автоматизация

Аналогичным образом централизованное управление и автоматизацию следует применять и к мобильным устройствам. Обычно такие средства следят за тем, какие приложения устанавливаются на устройстве, и могут при необходимости блокировать установку программного обеспечения, тем самым защищая устройства.

Вы можете обучить персонал всему, что сочтете нужным, внедрить на местах необходимые политики и процедуры, но без удаленного контроля и управления мобильными устройствами компании риск возникновения слабого звена, открывающего возможность к совершению вредоносных действий в корпоративной сети, остается слишком высок.

Хранение данных в целости и безопасности

Помимо автоматизации, эксперты предлагают использовать целый ряд специальных технологий, обеспечивающих безопасность удаленной работы. И особое значение они придают шифрованию связи: «Дистанционная работа несет в себе определенные риски, поскольку вам приходится искать способы подключения к домашней системе. И такая точка подключения становится еще одним слабым звеном».

Облачные решения и приложения очень часто используются для связи удаленных офисов с корпоративной системой, но это порождает целый клубок проблем с безопасностью. Поэтому организациям необходимо иметь план восстановления данных SaaS с использованием решений автоматического резервного копирования, предлагаемых независимыми игроками.

Облако средств безопасности

У облачных сервисов тоже имеются уязвимые места, но существуют сетевые и облачные инструменты, помогающие блокировать атаки. Предприятиям нужно перестать использовать только те средства, которые развернуты на их собственной территории. Конечно, выход за рамки физического брандмауэра сопряжен с определенными рисками, но, когда компания перемещает межсетевой экран в сеть, в облако, у нее появляется возможность защищать корпоративные активы вне зависимости от того, где находятся ее сотрудники.

Интеграция функций безопасности с сетями филиалов – использование элементов SD-Security, встроенных в SD-WAN, – позволяет значительно улучшить управление и разгрузить сотрудников ИТ-службы.

Проблемы вне технической сферы

Технические решения – далеко не единственный и даже не лучший способ поддержания безопасности. Нужно понимать, что филиалы находятся в невыгодном положении. «Если официальная связь поддерживается через систему онлайн-обучения независимо от конкретного местоположения, то формально можно рапортовать о прохождении обучения всеми сотрудниками, – указал Том Пендергаст, разрабатывающий в компании MediaPro стратегию в области безопасности, конфиденциальности и соблюдения нормативных требований. – Но есть ведь еще и неформальная сторона: обсуждение недавних фишинговых атак, нового видео об Интернете вещей, а также личное общение с руководством и ИТ-специалистами. Всего этого филиалы лишены».

Кто там на земле?

Присутствие в филиале человека, имеющего в своем послужном списке упоминание о кибербезопасности, помогает повысить общую культуру безопасности организации даже при отсутствии на местах соответствующих ИТ-специалистов, работающих полный рабочий день.

Закрепление функций приема и установки средств безопасности за сотрудником филиала может оказаться весьма полезным. Причем сотрудник не обязательно должен быть ИТ-специалистом. Это может быть офис-менеджер или представитель каких-то других подразделений – продаж, маркетинга, поддержки клиентов и т. д. Подготовка соответствующих средств в этом случае проводится в центральном офисе, а их развертывание на месте выполняется человеком, о котором только что шла речь.

***

В конечном итоге риски, связанные с удаленными офисами, должны заставить персонал ИТ-службы сосредоточиться на поставленных целях. Профессионалам в области безопасности нужно обеспечить сохранность активов компании, а для этого им следует поменьше думать о домашней среде и сконцентрироваться на оконечных узлах подключения к корпоративной сети.

Риски компьютерной безопасности касаются каждого конечного пользователя и не зависят от применяемых ими систем. Ваш персонал может подключаться к корпоративной системе из разных мест. Задача заключается в том, чтобы обеспечить безопасность взаимодействия между вашими системами и всеми авторизованными и неавторизованными оконечными узлами, через которые происходит регистрация. В большинстве случаев в удаленных офисах не появляются существенные новые риски, а лишь акцентируются уже существующие, связанные с облаком.

– Josh Fruhlinger.How to keep branch offices as secure as corporate HQ. CSO. January 23, 2017

Почему вопросам безопасности перед слиянием или поглощением (Mergers and Acquisitions, M&A) уделяется так много внимания? Эксперты привели сразу несколько примеров кошмарных сценариев, когда компания с хорошим уровнем кибербезопасности приобретала организацию, у которой уже имелись серьезные бреши. Был случай проникновения к покупателю вредоносного кода из приобретаемой компании. Об этом никто не знал почти год, выяснилось же все только при подсчете нанесенного ущерба. Исходный код был украден, продукт скомпрометирован, репутация пострадала.

Вот еще один пример. Samsung за 250 млн долл. купила компанию LoopPay, средства которой должны были стать ключевым компонентом мобильной платежной системы. На протяжении долгого времени в программном обеспечении LoopPay присутствовала брешь, и обнаружена она была всего за месяц до совершения сделки.

Как приобретающей (или приобретаемой) компании избежать подобных проблем? Вот на что следует обратить внимание до, во время и после приобретения. Советы полезны и при реорганизации и трансформации компаний, в т.ч. и географически распределенных, а также при их консолидации.

Раннее планирование

Перед слиянием специалисты по безопасности из обеих компаний должны поближе познакомиться друг с другом и обсудить сопряженные со сделкой риски. Необходимо разработать общий план как можно быстрее. Есть много областей, которые требуют изучения, а время весьма ограниченно. Необходимо вырабатывать маршруты для планируемых блоков по каждой из задач и заранее согласовывать их с приобретаемой стороной.

Публичная информация может сыграть вам на руку

В начале процесса слияния вы не будете обладать информацией о другой компании, но на первых порах этого и так важно. Общедоступные записи, поиск в Интернете, изучение баз данных, содержащих сведения об угрозах, и изучение социальных медиа – все это окажется весьма полезным для выявления уязвимостей и поиска свидетельств о проблемах с безопасностью в приобретаемой компании.

Целью хакеров может оказаться сама информация о слиянии

Деликатная природа информации о слиянии подразумевает, что добыча таких сведений уже сама по себе может стать целью взлома, поэтому для обеспечения безопасности соответствующих данных нужно разработать специальный план. Вы должны знать, где находятся документы о слиянии, кто имеет к ним доступ, кто обращается к документам и является ли получаемый доступ легитимным.

Предоставление доступа к системам и конфиденциальным данным требует повышенной осторожности. До момента закрытия сделки необходимо контролировать обмен информацией и обеспечивать защищенность конфиденциальных документов и систем.

Задавайте конкретные вопросы

Запрашивайте конкретную информацию, позволяющую получить представление о том, как вел себя потенциальный партнер по слиянию в прошлом:

• Как проводится обучение сотрудников и партнеров по вопросам политик безопасности и снижения рисков при работе с электронной почтой? Какие меры принимаются для снижения рисков?
• Участвуют ли руководители высшего звена в мероприятиях, призванных обеспечить безопасность данных? Вовлечены ли они в разработку процедур повышения безопасности данных?
• Происходили ли случаи кражи конфиденциальных данных? Если да, то что было сделано для исключения подобных повторений?

Все полученные сведения помогут понять, какого рода конфиденциальная информация хранится в другой компании, как организована ее защита и какие коррективы необходимо внести в принимаемые меры безопасности.

Добейтесь максимальной прозрачности

Цель всех вышеперечисленных вопросов – получить полное представление о состоянии обеих сетей перед слиянием. Когда сети связываются друг с другом, вредоносные программы, находящиеся в одной сети, начинают проникать в другую. Зная поведение каждой из сетей, можно выработать представление о том, как должна выглядеть объединенная сеть.

До начала процесса слияния полезно также получить запрашиваемые отзывы, внутреннюю документацию и информацию об инвестициях, с тем чтобы оперативно вносить коррективы при возникновении новых вопросов.

Больше компаний – больше проблем

Процесс слияния затрагивает не только объединяемые компании. Речь идет о банкирах, юристах, поставщиках, подрядчиках, субподрядчиках и прочих участниках по обе стороны сделки. Очень быстро вы обнаружите, что слияние двух корпоративных единиц выливается в слияние двух корпоративных экосистем. И вы получите не только людей, активы, культуру и клиентов, но и унаследованные бреши.

Трудности приобретаемой компании

Зачастую приобретаемая компания находится в затруднительном положении, и у нее нет возможности проводить необходимые инвестиции в критически важные для себя области. Из-за этого нередко выявляются порочные практики, устаревшие и незащищенные активы, а также отсутствие контроля за состоянием активов с точки зрения безопасности.

Документируйте все тщательно и заблаговременно

Отсутствие документации в компании может породить настоящий хаос. Масса неожиданных проблем возникла из-за слабо документированной сети у одной из сторон. Не были стандартизованы технологические процессы, не выдавались даже разрешения на доступ к ресурсам. Когда пришло время объединяться, также выяснилось, что системы не работают так, как было запланировано.

Автоматизируйте свои процессы

Нужно понимать, кто и к каким данным имеет доступ в присоединяемой компании. Для этого необходимо автоматизировать процессы: вы должны создавать роли, политики и процедуры, после введения в действие которых отпала бы потребность постоянно вносить изменения в права доступа.

Унифицированный набор политик безопасности может быть дополнен инструментами автоматизации. Слияния всегда предполагают наличие множества поставщиков и унаследованных политик. Встроенные инструменты управления, как правило, не позволяют составить полное представление о происходящем, и вам понадобятся лучшие решения от независимых поставщиков управляющих платформ.

Кто за что отвечает

Вопросы кибербезопасности по большей части вращаются вокруг контроля за ресурсами, а люди, наделенные полномочиями, не готовы отказаться от них при смене организации. Инвентаризация активов, показывающая, кто к чему имеет доступ, имеет особое значение, и именно ее чаще всего не делают. Вам придется иметь дело с администраторами, которые весьма неохотно пускают кого-либо в свою вотчину, не склонны ослаблять ограничения и даже предпочитают не рассказывать никому о существующих системах. Но для создания единой инфраструктуры в любом случае придется проводить всеобщую инвентаризацию и определять права доступа.

Также рекомендуется использовать специализированные решения для управления привилегированными записями, позволяющие видеть, у кого хранятся «ключи от царства».

Следите за людьми, которые пытаются делать все по-старому

За сохранение прежних порядков будут бороться не только администраторы, но и обычные пользователи. Эти люди будут пытаться делать все так, как привыкли, игнорируя новые правила. Речь может идти, например, о несанкционированном использовании какой-нибудь системы совместного доступа к файлам. Подобные попытки необходимо пресекать.

Держите системы под замком, даже если планируете от них отказаться

План слияния, очевидно, должен предусматривать консолидацию имеющихся систем и вывод части из них из эксплуатации. Но процесс может затянуться, и все это время необходимо заботиться о безопасности систем, даже если вскоре они перестанут использоваться.

Временные меры могут оказаться необходимыми

Возможно, понадобится переходный период, в течение которого обе сети объединяемых компаний будут работать параллельно, и нужно принять меры к тому, чтобы в это время сотрудники не испытывали особых неудобств.

Временный доступ к ресурсам имеет смысл предоставлять таким образом, чтобы не открывать обе сети в полном объеме, а ограничиться лишь минимальными полномочиями, необходимыми для работы. Добиться этого можно, например, путем создания федерации контролируемых пользовательских групп с выделением им ресурсов Citrix, RDP и других технологий удаленного доступа.

Не забывайте о человеческом факторе

Многие интеграционные инициативы проваливались как раз из-за культурных, а не из-за технических различий. Подумайте о так называемом курсе разрушения старой культуры для сотрудников приобретаемой компании — обобщите основные принципы, присущие вашей компании, и поделитесь этим опытом.

В период слияния многие сотрудники опасаются, что их навыки окажутся устаревшими и ненужными, что организацию ждет сокращение кадров. Простейший способ выявить подобные угрозы – мониторинг привилегированных учетных записей.

Следите за утечкой мозгов

Для безопасного функционирования объединенной сети важна преемственность, поэтому необходимо принять меры для предотвращения массового бегства. Чтобы избежать утечки мозгов, нужно использовать все имеющиеся средства и как можно безболезненней интегрировать людей в объединенную компанию. Слияние, выводящее на ведущие роли сотрудников приобретающей компании, скорее всего, закончится тем, что персонал приобретаемой компании начнет уходить. В итоге преемственность, столь необходимую для безопасной деятельности нового предприятия, обеспечить не удастся.

Жизнь вносит коррективы, и их следует учитывать

Вы можете и должны планировать все с самого начала, но в процессе слияния наверняка где-то придется и импровизировать. После объединения компаний многое меняется: руководители, игравшие ведущую стратегическую роль, могут уйти или переключиться на другие задачи, а значит, придется искать новые подходы. Даже при наличии самых лучших намерений перед началом слияния в процессе интеграции происходят изменения, заставляющие организацию пересматривать свою стратегию безопасности.

– Josh Fruhlinger. How to keep IT security at the forefront during a merger. CSO. Sep 19, 2016

Из каких людей должна состоять команда ИТ-службы, чтобы стать лучшей? Какие роли эти люди должны играть? Такие вопросы были заданы экспертам, и они поделились своими представлениями о «супергероях» команды мечты.

Одно из важных жизненных правил гласит: «лучше быть здоровым и богатым, чем бедным и больным». Олег Вайнберг, бизнес-консультант и бизнес-тренер, партнер консалтинговой компании BV-Group, считает: «Лучше иметь команду из 19 ИТ-специалистов, из которых ежедневно задействована примерно треть, чем их не иметь. Еще бы придумать, чем занять тех, кто не нужен ежедневно. А если добавить туда эникейщиков (шуточное название работников, обязанностью которых является техническая поддержка пользователей компьютеров внутри компании; со временем эникейщик, если он продолжает обу­чаться в сфере ИТ, может стать программистом или админом. — Прим. ред.), службу поддержки пользователей, если в организации больше одной системы и программистов надо больше чем один, можно легко довести команду до 30 человек. Что и говорить, с меньшим количеством нет смысла и начинать. В общем, есть о чем переговорить с генеральным директором».

Генерал

Руководит армией генерал, но его задача — не просто отдавать приказы. Он берет на себя ответственность за внедрение новых идей и технологий, а также за кооперацию с другими бизнес-подразделениями. Он дружелюбен и с удовольствием взаимодействует с другими, но при этом имеет собственное мнение. Обычно его любят коллеги, но если он чем-то увлечен, то может быть чересчур властным. Он должен подробно знать роли всех участников команды и предоставлять каждому возможность сосредоточиться только на своей специальности, без отвлечения на другие дела.

Энтузиаст технологий

Энтузиаст всегда в курсе самых новых технологий — прекрасный источник идей для вашей команды — он не только знает о новшествах, но и принимает решения о том, стоят ли они тестирования и внедрения.

Он сообщит о найденном им подкасте или ветке Reddit, где обсуждается, как устранить как раз ту проблему, над которой вы бьетесь. Энтузиасты шлют много писем с вопросами вроде «Видел эту статью на TechCrunch?» и иногда создают новые проблемы, принося непроверенный инструмент в стадии бета-версии, но в итоге сами же все и исправят.

Евангелист

Для каждого проекта нужен хотя бы один человек, твердо уверенный в ценности замысла, тот, кто способен страстно убеждать скептиков, что идея стоила инвестиций. Евангелист должен иметь технические навыки и сам принимать участие в планировании или реализации, иначе его энтузиазм не будет убедительным.

Дизайнер

Человек, хорошо представляющий себе, какие возможности появятся благодаря реализации проекта. Идеи, сформировавшиеся в голове руководителя в виде схематичного плана, дизайнер способен расписывать так, что дух захватывает. Дизайнер умеет доводить замыслы до сведения слушателей и знает, как изложить их инженерам.

Прототипировщик кода

Чтобы превратить макет в работоспособный код, позволяющий проверить концепцию в действии, нужен опытный прототипировщик. Возможно, он не блестящий алгоритмист, не эксперт в области кибербезопасности и т. д., но он может быстро воплотить замысел дизайнера в реальный прототип, хотя бы частично работающий. И нередко прототипирование может быть скрытым талантом кого-то из участников вашей команды, так что не жалейте сил, помогая ему раскрыться.

Алгоритмист

Чтобы код стал по-настоящему блестящим, нужен эксперт по алгоритмам. Такой человек сможет для любой задачи реализовать алгоритмы, обеспечивающие максимум эффективности при минимуме затрат.

Механик

Чтобы все системы работали бесперебойно, нужен кто-то для устранения проблем по мере их возникновения — как в коде, так и в компьютерах. Опытный механик быстро выполнит диагностику и устранит неполадки.

Сисадмин-«суперзвезда»

Сисадмины — это особый подвид механиков, но настоящие «звезды» среди них не только следят, чтобы все работало. Они повышают результативность компании, помогая использовать преимущества новых технологий на благо бизнеса, улучшать ИТ-инфраструктуру и ускорять вывод продуктов на рынок.

Программист-«танк»

Такой программист продвигается вперед с пугающей сосредоточенностью. Он может засиживаться над кодом чуть ли не до рассвета. Но он вкалывает невероятное количество часов в неделю, делая непростую работу по воплощению идеи в реальность.

Дезинсектор

Если вы хотите, чтобы финальный продукт был безупречным, вам в команде необходим «дезинсектор». На эту роль подойдет кто-то предельно дотошный, и даже если он будет вставлять палки в колеса графика, вы будете готовы довериться его чутью и позволите задержать выпуск продукта до тех пор, пока все «баги» не будут уничтожены.

Директор по результатам

В команде нужен специальный человек, способный не только с самого начала выяснить требования бизнес-заказчиков, но и постоянно на протяжении всего проекта напоминать участникам команды о том, ради чего они работают. Это может быть непросто — из-за языкового барьера между носителями бизнес-диалекта и технического жаргона, «скрытности» заказчиков или несостыковок в планировании. Директор по результатам позаботится о том, чтобы о конечных целях помнили на каждом шагу.

Учитель

Не у всех в команде одинаковый уровень и набор навыков, но если повезет, то хотя бы один участник будет брать новичков под опеку и вводить их в курс дела. Этот сотрудник отлично справляется с тем, чтобы помогать специалистам с меньшим стажем добиваться большего.

Катализатор перемен

Если команда погрязнет в рутине, на помощь придет тот, кто жаждет перемен и тянет всех за собой вперед. Ценного навыка управлять переменами недостает многим топ-менеджерам. Нужен участник, умеющий убеждать вышестоящее начальство в пользе перемен в отделе ИТ для организации и для них лично, а коллег — в преимуществах облачных и других новых инструментов.

Организатор

Когда подует ветер перемен, нужен кто-то, кто будет смотреть за тем, чтобы все движущиеся части работали упорядоченно. Организатор способен уследить за каждой из мелочей, которые зачастую упускаются в суматохе. Это тот, кому можно доверить составление детального плана и кто позаботится о его выполнении, параллельно документируя ход проекта.

Поборник стандартов

Каждой команде нужен организатор определенного рода: тот, кто любит стандарты процессов, кто знает наизусть ISO 27001, ISO 9000 и ITIL и следит, чтобы им следовали при любых изменениях, вносимых в существующую инфраструктуру, сеть, безопасность или стек приложений. Он знает, что все перемены должны быть тщательно спланированы, задокументированы и проконтролированы. Поборник процессов следит за порядком и здравомыслием, благодаря которым проект остается на плаву.

Импровизатор

Его кабинет завален планами прототипирования новых технологий, которые когда-либо привлекли его внимание. Многие из них оказывались для компании бесполезными, но раз или два в год что-то приживается и запускается в работу, чтобы потом найти применение. Этот человек не боится сделать «на коленке» мобильное приложение, помогающее в работе коллегам. Его главное качество — способность к импровизации: он знает, что нужно делать, если все вдруг пошло не по плану, и предложит нестандартное решение.

Миротворец

Чтобы обеспечить равновесие между двумя предыдущими участниками и не только, нужен «миротворец», который заставит всех относиться друг к другу уважительно. Он понимает потребность в «двухскоростных ИТ» — то, что компании необходимо следовать процессам и стандартам, когда речь идет об основных бизнес-функциях, но что в то же время ей нужны способы проверять новые технологии, которые могут улучшить результаты или дать новые источники дохода. Он умеет оценивать опытные проекты и объяснять, как их можно интегрировать в повседневную работу компании.

Коммуникатор

Каким бы талантливым программистом вы ни были, если вы не умеете общаться устно и письменно, то будете испытывать затруднения, работая в команде. Нужен участник, достаточно подкованный технически, но при этом наделенный способностью к общению и обладающий социальными навыками. Ведь даже самая блестящая новинка, если о ней никто не будет знать, может прекратить свое существование, пылясь на полке.

Гаврош

Вряд ли вас устроит команда, состоящая из одних «роботов»-трудоголиков. Но и команда сачков вам тоже не нужна. Понадобится кто-то, у кого, как у популярной в 80-е стрижке «гаврош», две ипостаси: бизнес и вечеринка. Рабочие обязанности он выполняет в режиме «короткой стрижки», а когда приходит время отдыха, то «распускает» гриву.

- Josh Fruhlinger. Meet the IT dream team. ITworld. Mar 26, 2015