Помните вселенную "Звездного пути" (Star Trek), в которой курсантам Звездного флота предлагали пройти тест "Кобаяси Мару", который моделировал изначально проигрышную ситуацию, которая должна была показать характер и качества курсантов? Так вот когда я готовился к киберучениям для сочинского "Кода ИБ. Профи", которые пройдут уже в эту пятницу, мне вспомнился этот тест. Но немного в другом контексте. Почему бы его не модифицировать под информационную безопасность и не использовать при приеме на работу?
По сюжету «Кобаяси Мару» является космическим гражданским кораблем, который находясь в нейтральной космической зоне расы клингонов, оказался поврежден. У клингонов с людьми идет длительное конфликт и поэтому вмешательство тестируемого курсанта может негативно сказаться на развитии событий. Если попытаться спасти пассажиров «Кобаяси Мару», нарушив нейтралитет с клингонами, то это спровоцирует их на агрессию и возможно военный конфликт. Если выбрать невмешательство, то это значит дать гражданскому судну погибнуть. Это классическая дилемма с двумя безвыходными и негативными сценариями развития событий и надо выбрать из них только один. При этом в фильме компьютер, который и моделирует данную игру с курсантами, запрограммирован на проигрыш курсанта.
Вот мне и пришла в голову мысль, почему бы не использовать эту идею при приеме на работу специалистов по кибербезопасности. Вместо проверки знаний числа уровней модели OSI, нормативных документов ФСТЭК, рынка кибербезопасности и тому подобной чепухи, мало нужной в реальной работе безопасника, стоит задавать сценарии и проверять, по какому пути пойдет кандидат. Например, такой сценарий: "Осень. Вы планируете бюджет отдела ИБ на следующий год и среди прочего перед вами встает вопрос - заложить ли деньги на выполнение закона "О персональных данных" в размере 7 миллионов рублей, которые будут потрачены на аудит текущей ситуации приглашенным лицензиатом ФСТЭК, разработку проекта защиты ПДн и приобретение средств защиты информации?
Вопрос достаточно простой на первый взгляд и он рано или поздно встает почти перед каждым безопасником (разница только в сумме). Вы можете пойти по традиционному пути и заложить эти деньги по принципу "так положено". А можете пойти по принципу "а вдруг" и договориться, что деньги будут выделены, если организация попадет в перечень плановых проверок РКН (но тогда причем тут лицензиат ФСТЭК и защита ПДн?). А можно пойти по бизнес-сценарию и принять как данность, что даже в худшем сценарии развития событий сумма штрафа составит на порядок меньшие деньги заложенных в бюджет и можно принять риск несоответствия, потратив деньги на более реальные бизнесу нужды. Причем тут нет правильного ответа (все как в тесте "Кобаяси Мару"). В любом случае вы что-то теряете - деньги бюджета на бесполезное приведение себя в соответствие или репутацию в случае прихода регулятора и сумму штрафа? Что выберет кандидат? На выбор будет влиять его бизнес- или compliance-ориентированность, которая и может стать предметом анализа в рамках данного теста.
Чем не идея? Среди других тестов "Кобаяси Мару" в ИБ может быть проверка дилемм "отечественное или зарубежное средство защиты", "open source vs коммерческое ПО", "своя система защиты vs аутсорсинг"...
ЗЫ. В фильме Джеймс Кирк проходит этот тест (единственный курсант в оригинальной вселенной "Звездного пути") просто "взломав" компьютер и изменив программу. Это позволяет проверить если не характер, то оригинальность мышления кандидата, что тоже может быть одной из задач теста.
Вот мне и пришла в голову мысль, почему бы не использовать эту идею при приеме на работу специалистов по кибербезопасности. Вместо проверки знаний числа уровней модели OSI, нормативных документов ФСТЭК, рынка кибербезопасности и тому подобной чепухи, мало нужной в реальной работе безопасника, стоит задавать сценарии и проверять, по какому пути пойдет кандидат. Например, такой сценарий: "Осень. Вы планируете бюджет отдела ИБ на следующий год и среди прочего перед вами встает вопрос - заложить ли деньги на выполнение закона "О персональных данных" в размере 7 миллионов рублей, которые будут потрачены на аудит текущей ситуации приглашенным лицензиатом ФСТЭК, разработку проекта защиты ПДн и приобретение средств защиты информации?
Вопрос достаточно простой на первый взгляд и он рано или поздно встает почти перед каждым безопасником (разница только в сумме). Вы можете пойти по традиционному пути и заложить эти деньги по принципу "так положено". А можете пойти по принципу "а вдруг" и договориться, что деньги будут выделены, если организация попадет в перечень плановых проверок РКН (но тогда причем тут лицензиат ФСТЭК и защита ПДн?). А можно пойти по бизнес-сценарию и принять как данность, что даже в худшем сценарии развития событий сумма штрафа составит на порядок меньшие деньги заложенных в бюджет и можно принять риск несоответствия, потратив деньги на более реальные бизнесу нужды. Причем тут нет правильного ответа (все как в тесте "Кобаяси Мару"). В любом случае вы что-то теряете - деньги бюджета на бесполезное приведение себя в соответствие или репутацию в случае прихода регулятора и сумму штрафа? Что выберет кандидат? На выбор будет влиять его бизнес- или compliance-ориентированность, которая и может стать предметом анализа в рамках данного теста.
Чем не идея? Среди других тестов "Кобаяси Мару" в ИБ может быть проверка дилемм "отечественное или зарубежное средство защиты", "open source vs коммерческое ПО", "своя система защиты vs аутсорсинг"...
ЗЫ. В фильме Джеймс Кирк проходит этот тест (единственный курсант в оригинальной вселенной "Звездного пути") просто "взломав" компьютер и изменив программу. Это позволяет проверить если не характер, то оригинальность мышления кандидата, что тоже может быть одной из задач теста.