Про Всероссийский кейс-чемпионат по ИБ 2015

В последнее время становится все больше мероприятий по ИБ, ориентированных на молодых, активных и толковых специалистов. Это и игры CTF (например,  ctfnews.ru  , ctftime.org ), и технические конференции ZeroNights и Positive Hack Days, а также многие другие... Мои друзья и коллеги из RISC пошли схожим путем и провели (уже 2й раз)  Всероссийский кейс-чемпионат по информационной безопасности  (для студентов).

"Всероссийский кейс-чемпионат по информационной безопасности — единственное в своем роде мероприятие для студентов и аспирантов, которое проходит в формате case-study. Изучив основы информационной безопасности, молодые специалисты зачастую не имеют практических навыков и опыта решений реальных задач. Метод ситуационного анализа широко используется в бизнес-образовании и сегодня считается одним из самых эффективных способов обучения. За короткий период времени студентам предлагается решить кейс, взятый из практики российских и зарубежных специалистов по ИБ (Chief Information Security Officer). Кейс-чемпионат – это возможность проверить, насколько хорошо студенты усвоили теорию и готовы ли столкнуться с реальными проблемами безопасности в организации."

Сначала команды удаленно решают отборочный кейс, а затем самые сильные из них приглашаются на финал в Санкт-Петербург. В этом году более 100 команд подали заявки на участие, а в финале боролись всего 12 команд. Я приехал именно на итоговое состязание, которое происходило 28.11.2015 в Университете ИТМО.

В рамках финального кейса, необходимо было разработать программы повышения осведомленности в области ИБ для заданной организации. Вот краткое содержание кейса:

На мой взгляд, кейс получился слишком общим, и скорее творческим, нежели управленческим. В явном виде не были заданы ограничение ни по бюджету, ни по корпоративной культуре, ни по интересам стейкхолдеров. Не было "подводных камней" и неразрешимых противоречий в сценарии... Ну, ладно, все равно было интересно!

Решения кейса команды представляли в виде презентаций. Меня в члены жюри не пустили, там были только действующие CISO. Ну, ничего, я построю свой лунапарк с преферансом и барышнями.

В итоге победила команда TeamVolk, они на фото ниже. Кстати, они эффектно выделялись на фоне других команд одинаковыми тематическими футболками.

Второе и третье места заняли 5YearsAtFCS и Ириски соответственно.

Я решил тоже не сидеть без дела во время докладов и оценивал все команды по своей персональной шкале. Для этого я определил "10 критериев успешности":

1. Четкое представление цели программы повышения осведомленности и обоснование ее необходимости.
2. Понимание и демонстрация того, что повышение осведомленности - процесс. Упоминание цикла непрерывного совершенствования PDCA было большим плюсом. 
3. Оценка необходимых финансовых средств на реализацию программы, определение приоритетов.
4. Оценка необходимых трудозатрат на реализацию тех или иных мероприятий, определение приоритетов.
5. Фокус на обучение сотрудников правилам обработки и защиты информации, составляющей коммерческую тайну.
6. Фокус на обучение сотрудников правилам обработки и защиты ПДн (это актуально для любых компаний).
7. Фокус на обучение сотрудников правилам реагирования на инциденты ИБ. 
8. Упоминание "лучших практик" в области повышения осведомленности по ИБ. А именно, NIST 800-50 и материалов SANS . А вот знание ISO 27001 я в этом пункте не засчитывал (и так должны его все знать).
9. Подготовка примеров мотивирующих сотрудников плакатов или упоминание каких-то неожиданных и креативных идей по повышению осведомленности.
10. Общее впечатление от презентации.

• По моему мнению,  ни одна команда не справилась с заданием. И тут дело даже не в крайне низких итоговых оценках, никто не смог перейти даже 10-балльный рубеж. Проблема в том, что именно ПРОГРАММУ повышения осведомленности ни одна команда так и не сумела продемонстрировать. Можно позанудствовать и вспомнить, например, положения PMBOK5: "Программа — ряд связанных друг с другом проектов, подпрограмм и операций программы, управление которыми координируется для получения выгод, которые были бы недоступны при управлении ими по отдельности. Программы могут содержать элементы работ, имеющих к ним отношение, но лежащих за пределами содержания отдельных проектов программы. Проект может быть или не быть частью программы, но программа всегда содержит проекты. Проекты в рамках программы связаны посредством общего конечного результата или совместных возможностей." Но могу сказать проще, я ожидал, что участники смогут четко определить и рассказать про:
• цели и задачи программы; - не справились
• заинтересованных лиц и их ожидания; - не справились, хотя одна из команд так и называлась (Stakeholders)
• временные ограничения (длительность программы);  - не справились
• ориентировочный бюджет (или даже варианты бюджета);  - не справились
• оценку величины трудозатрат на реализацию проектов и обеспечение процедур;  - не справились
• основные элементы процесса повышения осведомленности (что его запускает, что определяет требования к нему, входы и выходы и пр.);  - не справились
• основные фокусы (темы) программы обучения. - в целом, справились, но абсолютно все забыли про управление инцидентами
• В целом, мне даже пришлось завышать оценки по первым 4 столбцам... 
• Лишь одна команда (Stakeholders) попыталась финансово оценить затраты и ROI. Только сделали это с грубыми ошибками и мелкими неточностями, но это было простительно из-за малого времени на подготовку. Показалось, что ребята не слишком хорошо понимают, что в итоге насчитали. На вопрос жюри про приоритеты мер, можно было сказать, например, что "берем максимальные по ROI", но они отвечали лишь общими словами...

• Всего 2 команды сказали что-то конкретное про PDCA, что надо оценивать и совершенствовать процесс. Молодцы. 
• 27001 вспомнили тоже всего 2-3 команды. Ссылки на другие "лучшие практики" не звучали.

• Порадовало, что все команды делали слайды презентаций. У кого-то это получалось чуть лучше, у кого-то чуть хуже. На мой взгляд лучшие слайды (по содержанию, структуре и визуальному наполнению) были у команды Dandelions, ее хотел выложить в блог. Но, как я уже упомянул, свою презентацию ребята мне не выслали...
• Сами презентации (выступления) были, ожидаемо, не слишком высокого уровня. Ребята очень волновались. Однако хорошие коммуникативные навыки вполне привлекали дополнительные баллы. Так, лучшим оратором оказался представитель команды 5YearsAtFCS, это помогло им в общем зачете...
• Очень хорошо, что все участники вполне правильно и уверенно отвечали на дополнительные вопросы.

К сожалению, еще раз нашел подтверждение, что учат студентов скорее не тому, что им пригодится в реальной жизни (работе). И лишь единицы занимаются самостоятельным поиском актуальных знаний и навыков. Очень рекомендую студентам посмотреть м ою презентацию про работу и карьеру в ИБ , которую я рассказывал в конце мероприятия. На нее, кстати, остались меньше половины участников... Их выбор.
Подводя итог, могу сказать, что само мероприятие мне очень понравилось. Маша - молодец! С удовольствием приму в нем участие и на следующий год. И вам рекомендую!