За все хорошее, против всего плохого

Фух, вернулся я с Infosec. Надо сказать, что занесло меня туда случайно. Тем из вас, кто смотрит сериалы (или аниме), должно быть знакомо понятие филера. Это серии, не двигающие основной сюжет, и созданные, чтобы забить время. Я и был таким филером :) Заполнил собой 20 минут, как мог.

Приехал я раньше, чем планировал, и больше общался с коллегами. Идем мы с одним таким коллегой (а он, надо сказать, человек тонко чувствующий), а он говорит: «Посмотри, как на этой выставке все ненавидят друг друга. Они же все прямые конкуренты. В лицо улыбаются, а сами бы разорвали оппонентов на куски».

apocalypse_vasnetsov

Я удивился. Сам-то я абстрагируюсь от этого, по большому счету мне нет дела до мнения окружающих. Бывает, конечно, у меня бомбит на какую-нибудь крайнюю несправедливость, но в целом я глух ко всяким иммонациям и всем этим «веяниям злобы».

И тут у Александра Бондаренко (R-Vision) бомбануло не на шутку. Сам R-Vision участия в выставке не принимал, но по стендам конкурентов прошелся.

Надо сказать, что это обычное явление. У меня на первом ряду сидел Андрей Прозоров и задавал наводящие вопросы.  Андрей сам пробует заниматься расчетами в ИБ, а значит — конкурент. Зачем же мне ему секреты рассказывать, да еще и бесплатно? :)

Но вернемся к R-Vison. Александр написал следующий пост:

bondarenko

Это Александр зашел на стенд Security Vision, видимо, в очередной раз что-нибудь скопировать (кстати, мои поздравления, R-Vision теперь умеет автоматически регистрировать инциденты – редкий функционал в 2016 году).

Там в комментариях Александру пояснили его ошибку. Понятно, что если у вас решение-клон экселя с методикой СТО БР и ручным заведением инцидентов, вы можете его запустить на ноутбуке. А все более или менее сложные решения демонстрируются на слайдах, т.к. для демонстрации той же генерации и обработки инцидентов хорошо бы еще и стенд развернуть. Я был в демо Security Vision – там развернуто 12 источников событий с кучей всяких интересных штук. Везти это все на выставку крайне нецелесообразно. А интернет на выставках всегда нестабильный.

А знаете, что меня поразило? Видимо, мой друг прав. Как-то неуютно стало в нашем поибэ. Кризис что-ли так влияет на всех? Фбешечку вообще невозможно читать, все друг на друга наезжают, ругаются, обижают и обижаются. Как-то не сформировалось у нас единства в комьюнити, этакой профессиональной солидарности. Вот у врачей есть профессиональная солидарность. Наглядней всего она проявляется, если захотите доказать врачебную ошибку. Своих сдают со скрипом.

У нас же каждый сидит на своем суку и смотрит на всех злыми глазами, будто у него кусок хлеба отнимают. Все ненавидят всех, начиная с блогеров и заканчивая ассоциациями и выставками.

Того же Александра можно упрекнуть в лукавстве. Александр! Наверняка, отсутствие стенда на этой конференции перечеркивает наличие решения, которое вы уже видели на всех прошлых конференциях, где мы были! Да и про образование R-Vision говорят много разного, что-то там крайне темное. Но ведь это все не так важно. Конкурируйте в заказчиках, а не постами в твиттере.

Сегодня я встретился с человеком, который уже три года занимается числовой оценкой рисков. И стартом к этому послужило мое выступление 3 года назад. Хотя за 20 минут мы серьезно поспорили о методике, было чертовски здорово (хотя весь спор возник лишь из-за неустоявшихся терминов). Круто, что кто-то встал рядом с тобой и идет схожей дорогой. Именно в объединении лежит залог выздоровления нашей профессии.

Посмотрите, уже идут разговоры о смерти специальности по ИБ, некоторые эксперты уже седлают волну – куда уходить ИБэшникам. Происходит все большее отдаление от задач бизнеса. Отрасль больна, и вместо того, чтобы решать общие для всех проблемы – мы вырываем кусок друг у друга. Окей, ты усидел, твой враг отвалился. С ним отвалились его клиенты и партнеры, и далеко не факт, что они придут тебе. Скорее бизнес забьет на ИБ, и передаст это в ИТ, где другие игроки, и вопросы решаются совершенно иначе.

«Граждане, любите друг дружку! Уважайте друг дружку! О, как заносит» (с) Бургомистр.

Поодиночке потонем все, а выплыть можно только вместе. Надо больше хороших решений, вместе решать жизненно важные вопросы, и выступать единым фронтом перед остальными. А то так и останемся с «рисками неотказуемости».

На этом все. До новых встреч.

Любите обзоры из серии «3 года спустя»?..

…Как люблю их я? Вообще, в литературных жанрах и публицистике, у меня не много фаворитов. Например, я крайне редко читаю обзоры, особенно после премьеры/релиза. Там два варианта, либо все херня, либо понравилось так, что второй куплю. При том, что и те, и другие могут быть проплачены для пиару.

infosek_2В журналистике мне очень нравятся материалы из серии «N лет спустя», особенно, когда автор рассказывает о своих ожиданиях и их реализации. Именно поэтому, всякие модные штуки, должны пройти проверку временем. Вот, был BYOD, и где он сейчас? Можно с чистой совестью сказать, что проверка временем не пройдена.

А тут и мне представился шанс, поучаствовать в таком формате. 21 сентября, в среду, с 15-05 в зале K1 на Infosec – буду делиться своими горестями и радостями по экономической оценке. Три года назад, на круглом столе, я представлял нашу методику, которая добралась до релиза.

Три года, мы были в свободном плавании. За это время улучшилась концепция и методика, реализованы проекты, вскрылись концептуальные проблемы. Понятно, за 20 минут не сделаешь даже введения в проблематику, а о чем-то и не буду рассказывать, ибо коммерческая тайна. :) А то три года назад, наши гуру раскритиковали все и вся, т.к. не было показано главной формулы. :)

Так, что приглашаю всех желающих, окунуться в мир цифр рисков информационной безопасности.

P.S. А в конце неделе, 23 сентября, буду на BISS-саммите. Туда я все-таки пролез, как участник кибербаталий. Буду заниматься дегустацией еды :)

biss

Как убивают четкие инструкции

Так получилось, что в четверг я оказался в Крыму. Там уже успели побывать большинство моих знакомых, а я – первый раз, после присоединения. Это была самая неподготовленная из моих командировок, билет туда был куплен за 8 часов до вылета, а обратный за 20, в самом аэропорту.

Крым, он вообще такой, попасть легко, выбраться сложно. Разница между входом и выходом составила 675%, видимо, окончание сезона – все спешат домой. Дело у меня было в Симферополе, что очень удобно для суточных командировок, т.к. ехать никуда не надо.

Памятник вежливым людям

Памятник вежливым людям

Сам город оставил двойственное впечатление, с одной стороны красиво, с другой – все какое-то незаконченное. Местный Арбат (ул. Карла Маркса) – от силы 200 метров. А главная особенность, что такси в городе не поймаешь можно только заказать по телефону. Не, таксисты стояли в двух местах в центре, но цены ломили, как из Домодедова в Шереметьево в час пик.

Поделал я всякие дела, и забурились мы в кафе Ин Тайм (ул. Карла Маркса, 14), где я попробовал самый офигенный салат Цезарь за последние три года. Цены, чуть ниже московских. Крайне рекомендую. Кстати, хваленные +22 градуса, чувствовались, как +17. Местной особенностью является – предложение пледов, на любой летней веранде, любого кафе.

И, вот, сидим мы – разговариваем с коллегой. И зашла у нас речь о регулировании безопасности. До воссоединения, он работал в государственном банке. Как и у нас, у них банки впереди планеты всей по информационной безопасности, во всяком случае, в области нормативки. У них единый регулятор — Центробанк, и все, кто хочет что-то добавить – идут туда.

Репетиция, видимо, перед выборами

Репетиция, видимо, перед выборами

ЦБ выпускает четкие инструкции, с конкретными мерами. Например, есть инструкция на ИБП, сети питания, заземление (привет, ПЭМИН), криптографию и т.п. Инструкции, крайне подробные. Например, ИБП должен быть в железном ящике, регламентирована толщина листа и как он должен быть сварен (либо сплошной шов, либо прихватами с промежутком не более 25 мм). Или по криптографии, четко обозначены 9 форм журналов и что там должно быть. Что разительно отличается от нас (вопрос знатокам – что такое лицевой счет сертификата?).

Все это проверяется раз в 5 лет специальным контролерами, которые проверяют по тем же прописанным инструкциям.

А все, что не описано – считай и не надо делать. Или надо, но на свое усмотрение. Процедура проверки СЗИ – занимала 3 месяца. Юзали все, в том числе и нашу криптографию.

И, во всем этом благословенном раю определенности, была одна большая бочка дегтя. При таком подходе к регулированию, рынка информационной безопасности в Украине – так и не сформировалось. Не, есть компании, которые вам построят ЦОД в соответствии с инструкциями, но не более. ИБ окончательно стало придатком ИТ, мало имеющая от собственно безопасности.

Нет, ни консалтинга. Ни интеграторов, да, и вендора не особо нужны (за три месяца получил разрешение на импортный МСЭ — и порядок). Такие дела, у наших соседей.

Распрощавшись, я еще немного погулял по городу, и поехал в гостиницу. Т.к. надо было опять вставать в три утра, что бы успеть в аэропорт. Где на прощание, нас ждал приятный сюрприз. За шоколадку, нас посадили в бизнес-класс (в котором правда нас не кормили), поэтому дорога домой была приятна и комфортна.

Завтрак бизнес-классе

Завтрак бизнес-классе

Москва меня встретила дождиком и +6.

Восход

Восход

Дианетика тренингов личностного роста по ИБ

Рекомендуется освежить, вот, эту запись.

3859

Фбешечка в ленте, принесла сегодня ссылку на статью «Когда обман стал нормой?». Статья, какой-то феерический маразм, с не понятным смыслом, неоконченной историей и неясным выводом. Прямо, как я писал.

Зацепился взгляд за фразу:

Сейчас вообще, поколение тренингов и саморазвития. А нас как всегда, ведет не в ту сторону. «Не умеете делать минет? Научим. Вам изменяет муж? Это нормально. Слава богу, он вообще может. У вас высшее образование, а по вечерам вы любите читать Бродского? Ну что за глупости. Живите как дура! Берите карту и дуйте в магаз. Dior сам себя не купит». Откуда это?

Действительно, сейчас мир тренингов и саморазвития возведенного в культ. И это прекрасно. Но обо всем по порядку.

Как вы уже знаете, юность моя происходила в душевных метаниях и маргинальной неге. Как любой нормальный подросток, я пробовал на прочность этот мир. И, нет, мир не оказался прочней. Просто жизнь совершенно не об этом, но это нас уведет далеко от тренингов.

И, в определенный момент моей жизни, решил я сходить в секту. Где наша не пропадала? Разумеется, было боязно, поэтому я выбрал более-менее лайтовых саентологов, а не какую-нибудь Харе-Кришну. Готовился я к этому делу основательно, оставил все вещи дома, взял только проездной и мобильный телефон, что бы позвать на помощь. Кстати, очень важно не брать с собой документы и деньги. У вас появляется шанс соскочить. Оставите данные, и уже не вырвитесь – схема крайне отлаженная, ее, кстати, и скопировали тренинги.

Надо сказать, что каждый тренер – хотел бы организовать секту. Такую настоящую секту, что бы с кучей последователей, что бы машины и квартиры отписывали. В силу разных обстоятельств, они этого не делают – где-то шибко палевно, где-то лучше замаскироваться под бизнес-тренинг. Но главную суть – копируют все, кто-то лучше, кто-то хуже.

pecherskaya

Но вернемся к нашим саентологам. Основа любой секты, выявить причины не идеальности человека. Зашлакованный организм, чакры закрыт, энергетические паразиты. Никому не хочется быть грязным, внушаемым, глупым (о, зацепочка для бизнес-тренингов). Понятно, что во всем этом виноваты не вы, а какой-нибудь ублюдок, который сидит в вас, и с которым надо срочно бороться. Разумеется лишь нашими, проверенными способами.

В саентологии, такими ублюдками выступают энграмы. Энграмы – особая ситуативная память, которая запоминает ситуацию во всей полноте (мысли, чувства, окружение, люди, слова). Если энграма содержит негатив (шок, боль и т.п.) – это очень плохо. Проблема с энграмами в том, что вы не имеет к ней доступа. И если вы попали в обстановку похожую с пережитой, то испытываете все негативные последствия. Все слова, что нам произнесли в этой ситуации, будут действовать на нас как команды, вы более внушаемы в этих ситуациях. И существуют, некие клиры. Если кратко, люди, очистившиеся от всех энграм. У них повышается тонус, улучшается зрение, потенция и все-все-все. Разумеется, что бы стать клиром – надо пройти ряд очищающих процедур. Конечно, за огромные деньги.

По итогу, мозг там чистят капитально. После двухчасовой лекции и разбора моего теста (по итогам, которого стоял вопрос – как я еще жив-то?), считал дедушку Хаббарда родным отцом и учителем. Хорошо, что денег на книжку не было, и паспорта для заполнения анкеты. Так и не стал я саентологом.

Надо понимать, что задача любого тренинга – выкачать с вас бабло, а не научить чему-то полезному. Любой тренинг стоит на этом, если он не по каким-то специализированным прикладным навыкам. Вся эта болтология, лучшие практики от экспертов, повышение личной эффективности – чушь, по сути.

Помниться, как-то на партнерке Infowatch был мастер-класс по приготовлению суши. Вот, это была реальная тема. Где специалист в своем деле, рассказывал неофитам основы. Мастер-класс, наверно, единственный сейчас вариант, обучиться чему-то новому. Т.е. въехать в основы, а дальше думать своей головой.

Несколько отличительны признаков лажовых тренингов:

  • В тренинге есть гуру, который или сам его ведет, или ведет специальный сертифицированный ученик.
  • Тренинг периодический. Это чуть ли не главный маркер, показывающий, что тренер зарабатывает деньги тренингами, а не тем, чему учит. Т.е. зарабатывает, рассказывая, как заработать.
  • Тренинг является частью системы других тренингов. Что бы просветлиться окончательно, надо посетить их все, а лучше и не один раз.
  • Описание тренинга оперирует словами: эффективность, личная эффективность, саморазвитие и т.п. Ну, т.е. какими-то сущностями, которые нельзя измерить (см. тайм-менеджмент).
  • Главное достоинство тренинга, что он от тренера, который провел 400+ тренингов. Т.е. тренер в лучше случае теоретик, в худшем – дилетант с вредными фантазиями.
  • Мощный пиар. От гуру, от участников, расписание следующих курсов на всех углах и т.п.

И так далее. Единственный тренинг, который мне помог – тренинг Гандапаса «Учимся выступать публично». Уже потом, я понял, что это была компиляция потребительских методов и прикладных приемов. Большинство из них обретаются сами, после 2-3 выступлений. Текущая деятельность Радислава, состоит из обогащения через тренинг чуть менее, чем полностью.

radislav-gandapas-self-made-man

Можно ли чему-то научиться на тренингах? Вряд ли. Но главная проблема не в этом. Идти на тренинг (или мастер-класс) надо с определенной задачей или проблемой. Например, вы дизайнер и мучаетесь, какой дизайн сделать финтефлюшечный или минималестичный. В этом случае, конечно, хорошо бы пойти и послушать знающего человека, вопрос, какой ему задать. Хотя лучше всего, знать нужный телефон, напроситься на встречу, и, проставив вискаря, решить все свои метания.

Посмотрите вокруг, вспомните школу, институт. Групповое обучение, крайне неэффективно. Кто-то не догоняет, кому-то скучно т.к. на месте топчемся, интересующий момент до конца не разберешь – он интересен только тебе. И еще множество причин. В группе хорошо ОФП заниматься, хоть не скучно. Во всем остальном, все выбрали бы индивидуальные занятия.

Вы никогда не измените свою жизнь через тренинги. Сама система тренингов заточена на то, что бы ваши результаты были лишь внутри тренинга, с конкретной группой. Она будет вас поддерживать, и она же будет вас затягивать на следующий тренинг. А то, что на работе ваши навыки продаж не работают, так это процессы выстроены не так. Но на нашем вечернем занятии, у тебя все получиться. Приходи, касса работает до 20-00.

Вы такой, какой есть. В вас заложено ваше воспитание, школа, институт, дворовые друзья, гельштат ваших родителей и гены, которые влияют в 5 раз сильнее, чем любое воспитание. И, вы думаете, что какой-то дядя, за 8 часов и 20 000 рублей, вас изменит? За это время, вам можно продать лишь иллюзии, что вы не такой как все, что вы развиваетесь, не то, что остальное быдло.

Полезным тренером может быть лишь профессионал своего дела. Но, если он профессионал, у него нет времени делать тренинги каждую неделю. В лучшем случае, раз в квартал. Не маловажный вопрос, а зачем это ему? Зачем ему плодить конкурентов, разжевывая то, что он постигал годами? Просто задайте себе этот вопрос.

А, самое печальное, что тема тренингов добралась и до нашей поИБэ. Атака идет с двух флангов. Первый – это тренинги общей направленности. Попавшие в паутину, начинают активно ее рекламировать. И, на деловых переговорах, уже можно услышать, кто какую сегодня «лягушку съел». А, иногда, уже проскальзывает и «ваши материалы не отвечают нашей методике продаж СПОР – вам надо доработать их».

Второе – это активное продвижение собственных тренингов по нашей тематике. Я помню, как один «бизнес-консультант по ИБ», рекомендовал всем безопасникам подойти к генеральному директору, и предложить перевести сотрудников на удаленную работу. Мол – «это выгодно, я посчитал, экономим на электроэнергии, и производительность вырастит! А еще BYOD! Совсем шикарно заживем». Понятно, что маразматичность таких предложений зашкаливает. Будь, это какой-нибудь дурачок, никто бы и не заметил. А это один из уважаемых гуру поИБэ. И самое главное – с гуру, взятки гладки. Он ведь пример приводил, а «Кирпич, дурачок, взял и сделал».

Не смотря ни на что, тренинги – это великое благо. Они позволяют вам, получить существенное преимущество перед их посетителями. Точно также как нет ни одного одинакового проекта, нет и одинакового приложения опыта, своего или чужого. В каждой ситуации надо думать своей башкой. И лучше бы, что бы она не была замусорена дорогим треннингом.

До новых встреч.

 

P.S. ОБЪЯВЛЕНИЕ. Тренинг с 10 сентября переноситься на 21.

Про национализм

Кривая дорожка веб-серфинга вывела меня в жжешечку. Полазив там немного, наткнулся на знакомые когда-то лица. Что удивительно, 8 лет ребят не видел, а за 8 лет ничего не изменилось. Люди все также пишут за национализм, все то же самое и теми же словами.

Надо сказать, что когда-то мне все это казалось правильным. И я сам, если и не был националистом, то был, как минимум сочувствующим. Вообще, юность у меня была довольна маргинальная. Было там и место правым идеям.

Сложно сказать, когда это все началось. Но я точно помню, как все это закончилось. Но обо всем по порядку.

Если кто не знает, у нас есть целый пласт людей придерживающихся националистических идей. Это «Россия – для русских, Москва – для москвичей». Люди эти внутри себя крайне неоднородны, есть православные националисты, белогвардейцы, сатанисты-социалисты и целая толпа еще течений и ручейков. Когда эти группки собираются вмести для чего-то совместного, сразу начинается срач о понятиях, кто и как правильно понимает Русскую Идею. Долго-долго пишется какой-нибудь меморандум или доктрина, и лишь после этого они могут что-нибудь вмести сделать.

Мечта всякого националиста

Мечта всякого националиста

Понятно, что при такой разношерстности – срач может вызвать совершенно любой вопрос. Про Сталина. Про Гитлера. Про религию. Иногда доходило до того, что обиженные группки выходили на акции вмести со своими идейными противниками – либералами. Точек соприкосновения, крайне мало.

Когда ты внутри темы, это кажется все очень важным и стоящим. Пишутся сотни статей, строчится тысяча комментарием. Иногда издают газеты, еще реже книги. Нагоняется какая-то движуха.

А самая любимая тема для обсуждения – «когда мы придем к власти, то…». Тут полет фантазии неисчерпаем. Многие националисты верят, что ходя на митинги, они устроят революцию. Что народ их обязательно поддержит, т.к. уже мочи нет. А главным зашкваром считают совместные фото с либералами и около американского посольства.

И, вот, в какой-то момент мне стало казаться все это очень правильным. Я писал по этой теме в блоге, читал разное, срался на многочисленных форумах с оппонентами. На митинги не ходил, т.к. учился и работал. Но со временем, сильно разочаровался в движении, а сама идея оказалась ложной.

Начнем со второстепенных причин.

Все движение националистов, какое-то неконкретное. Дел мало, разговоров много. В порядке вещей значимым делом считается написание огромной статьи на 40-50 страниц о том, «как будет хорошо, когда мы придем к власти». А ее потом прочитают, и все начнут усираться по какому-нибудь (не)значительному пункту. Выйдет ответная статья, потом ответ на комментарии и так по кругу.

Большинство в верхушке националистов профессиональные лентяи, это «политики», в лучшем случае оппозиционные журналисты или фрилансеры. Конечно, такие длинные телеги на работе не попишешь, там работать надо. Пяток писателей и студенты. Постоянно идет сбор средств на «правое дело» или «узникам совести». При том, что деньги все любят. Как-то был эпичный срач, как один известный националист занял 400 долларов на обед в дорогом ресторане у другого, и не отдал.

Проталкиваемый писок зашкваренных дел. При том, что он может сильно отличаться от группы к группе. Например, может считаться недопустимым общаться с не-русскими, вообще по любым вопросам. В некоторых случае этот список некошерных дел, может быть пожестче иных религиозных заповедей.

Не шибко приятная там атмосфера, вроде люди умные собираются, иногда говорят здравые вещи. Но все разговоры лишь про политику. Это крайне утомляет.

При этом националисты все никак не могут договориться о том, кто же такие русские есть. Как отличить русского от не русского? Вообще, любой национализм в первую очередь стоит на «чистоте крови». Вот, баски себя отлично идентифицируют от испанцев, или курды от турок. Копий на эту тему было сломано дофигища. В итоге срачей, оказалось, что большинство лидеров националистов – евреи.

Собственно первым делом, я пересмотрел вопрос «Москва – для москвичей». Случилось это в 2008 году, я уже учился на второй вышке, и общался с сокурсницей. Девушка из Оренбурга, оказалось, владеет двумя языками, медаль, красный диплом, работа в большой четверке, сейчас вторая вышка. Приехала в столицу пробиваться. Мне даже стало немного неудобно, поскольку тогда я общался с людьми, довольно узких знаний, навыков и опыта. Да, и посмотрев на своих соседей-алкашей, как-то стало грустно. Теперь я всем, кто жалуется, советую ехать в Москву. Не хочешь, как хочешь. А хочешь, так давай.

"Ломая лед" по Андрею Прозорову

А буквально через пару месяцев, я попрощался и с националистическими идеями. Причина проста – делить людей по месту рождения, крайне не продуктивное занятие. Возвращаясь к русским, оказалось, что единственным признаком нас объединяющим является русский язык. Если ты думаешь и говоришь на русском, ты русский. И никакой «чистоты крови», все утверждающие обратное идут курить историю Арапа Петра Великого и его отношение к великой русской литературе.

А, если читать историю внимательно, то выясниться, что мы действительно многонациональная страна. Из-за размеров нашей страны, основным экспансионным методом у нас была ассимиляция коренных народов. Которая происходит через язык и культуру.

Этнография даже знает несколько окончательно обрусевших народов (кстати, одни из них чукчи, которые до присоединения были крайне воинственными, и заставляли себя уважать). Где-то процесс уже подходил к концу, а где-то просто не успели (например, на вновь присоединенных территориях).

Сейчас я условно разделяю людей на – культурных и не-культурных. С культурными людьми, какой бы национальности они ни были, я хотел бы общаться как можно больше. А не-культурных не хотел бы видеть рядом с собой.

На этом все. До новых встреч.

P.S. В период моего националистического обострения, было у меня два друга – один еврей, другой либерал. Один супердорогой аналитик, другой врач психиатр и технический директор компании топ-100. Зашквар ужасный. Они оба были старше меня, и когда мы собирались, разумеется, разговаривали про политику. Когда мы спорили, они оба говорили, что это пройдет. Действительно прошло. Теперь я на их месте, и также разговариваю с радикальными молодыми людьми.

Суть стартапов

Закончился мой поход в Кибербитва, я с треском проиграл. Из положительных моментов, меня все же пустят постоять на BISA и может быть даже покормят. Обсуждали мы тему сложную, и я примерил на себя роль жопоголика («Шеф, шеф, все пропало! Гипс снимают, клиент уезжает!»). И где-то в середине, все сместилось немного на обсуждение стартапов вообще, и в ИБ в частности.

Надо сказать, что вещь это премерзкая и гадкая. Во всяком случае, в тех проявлениях, что мне доводилось видеть. Я шибко никогда не интересовался стартапами и стартаперами. Долгое время для меня это было синонимом молодого предпринимателя. Обратил мое внимание на это Михаил Забулонов, человек крайне сведущий в наших поибешных и итишных делах. Человек абсолютно незаметный в блогосфере, как говориться – известный в узких кругах. Тогда он возглавлял отдел, в котором я работал. Кстати, как-нибудь я расскажу обо всех своих начальниках, которые, за единственным исключением, были люди уникальные, и я много у них почерпнул.

Стояли мы как-то в курилке, обсуждали разные тактические вопросы, и зашла у нас речь про один из наших поибешных стартапов. Мы обсуждали, стоит их включать в наш портфель или нет. Слово за слово, перешли на наших внутренних молодых разработчиков. И Михаил сказал фразу, которую я запомнил (в сокращении, а то меня больше никогда никуда не возьмут работать):

«Разница между стартапером и (молодым) предпринимателем в том, что предприниматель продает продукт, а стартапер – себя. Цель предпринимателя – прибыль, стартапера – убытки.»

Все это сопровождалось рядом веских фактов из жизни уважаемых на рынке компаний. Я темой заинтересовался, и занялся своим любимым делом – наблюдением. И сейчас расскажу вам о своих выводах.

Как люди решают открыть свое дело? Кому-то надоедает работать на дядю, у кого-то есть крутая идея (идя все жизни), которая ему кажется стоящей и он бросается в пучину бизнеса. Мотивы самые разные. И, вот, начинающий предприниматель решает продавать новый продукт (с услугами все немного по-другому). Человек ищет единомышленников, делает прототип или опытную партию. Ищет деньги, зачастую кредитные, или продает что-нибудь не нужное. Находит первых покупателей, и если товар стоящий: покупателей становиться больше, равно как и денег. И дальше все по классике рыночной экономики.

Глобальная цель предпринимателя – прибыль. Локальная – выход в точку безубыточности, и расширение доли рынка.

Что же делает стартапер? Стартапер делает красивый сайт на 3 языках, заказывает себе бархатные визитки и делает красивую презентацию. Помниться лет 5 назад была история, как очередной стартапер замутив очередной стартап – продал квартиру в Москве, что бы заказать дизайн сайта у Лебедева. О чем не преминул всем сообщить.

Да, старатперы не хотят сидеть в одном бизнесе, им надо открывать стартапы. Какое мероприятие их не посмотрите, какие новости не прочитай – наткнешься на человека с характеристикой «опытный стартапер».

Чем он все это делает? Конечно, чтобы найти инвестора. Стартапер не готов взять кредит под залог квартиры, и строить свое дело. Видимо, подсознательно чувствует, что идеи гнилые. Стартапер хочет продаться какому-нибудь инвестфонду, за большую долю. Инвестфонду, кажется, что он в выгребной яме отыщет жемчужину (не своими же деньгами рискует). Это не происходит, почти, никогда. Поскольку ни один дурак, не будет стоящую идею реализовывать с неизвестными людьми, которые еще и будут вмешиваться в рабочий процесс. На стоящую идею вы быстро найдете себе единственного инвестора, и общаться будете только с ним, а не с безликим инвесткомитетом.

А, вот, всякая лажа и срединные идеи, крайне нуждаются в быстрой продаже. Т.к. людей много, мыслей мало – и пока вы придумали очередной мессенджер, еще тысячи уже делают это по всеми миру.

Поэтому стартапер оформляет идею в кучу красивых слайдов, пишет бизнес-план на 2 млн. баксов и идет по инвестфондам. В итоге продав идею и получив деньги, стартапер вливается в тусовку стартаперов, где они живо обсуждают особенности стартаповедения за яблочным смузи. Да, разумеется все это происходит в модном коворкинге. Кстати, об инвестфондах (наших разумеется). Такое ощущение, что они делают большую прибыль на всяких обучениях и поместной сдачи коворкингов стартаперам, чем от основной деятельности.

Именно поэтому стартапера не интересует прибыль. Он уже получил свои деньги, продав долю. Конечно, в идеале продать 95% и свалить через годик. Развалиться все? «Ну, так я ж ушел. Вот, новый бизнес мучу, здесь я до конца.»

Высший пилотаж стартапера, при колоссальных убытках, все повернуть на привлечение больших инвестиций. Там где предпринимателю при 1% убытков, будут грозить кулаком и обещать различные кары, стартапер при 150 млн. убытков улыбнется, и проведет презентацию для инвесторов о том, что необходимо еще 120 млн.

Возьмите Маска и Тесла – полный развал проекта и освоение денег. Один маркетинг и технологии, отстающие на два поколения. Или тот же Маск и SpaceX. Или Элизабет Холмс и Theranos, там до прямого вранья опустились. Денег кучу угрохали, компания в предбанкротном состоянии, а Элизабет успешная женщина предприниматель. Глядишь, скоро новый стартап замутит. В наших стартапах все точно также, масштаба поменьше.

А ключевая разница лишь одна. Предприниматель, выводя новый продукт, ищет покупателя. Если у него нет покупателя, и продукта — нет. Как уж это будет, зависит от товара. Понятно, что стартаперу клиент не нужен, и даже вреден (инвестфонд денег не даст). Главное получить деньги, два года разрабатывать осваивать бюджет, а там и новый можно стартам замутить.

На кибербитве, пробовали обосновать тезис, что крупные компании , через покупку стартапов двигают свои технологии. За большие деньги, разумеется.  Этот тезис довольно спорный. Если откинуть недружественные поглощения, покупки с целью уничтожения конкурента, и просто случаев, когда стараперами называют всех, даже предпринимателей. То картина печальная.

Вот, Intel купил McAfee, которая до этого купила Stonesoft. Помаялся пару лет, и продал. Или Microsoft купил Nokia, помаялся и продал. Деятельность, организуемая с целью подороже продаться, ни к чему путевому, как правило, не приводит. Рынок двигают энтузиасты, которые бы и без корпораций с инвестфондами себе бы долю рынка выбили, ибо делают что-то конкретное и, иногда, нужное.

Всего вам доброго.

 

UPD: Свежий пример из жизни стартаперов

Кибербитва — полуфинал

Продолжаю поход к бесплатной столовой на BISA Summit в этом году. Первый раз выиграл на тоненького. Всегда тяжело быть первым.

980_320

Сейчас будет все по другому. И тема горячая (кого же можно назвать ИБ вендором, и как они вообще живут), и соперники опытные. С легкой руки организаторов все свелось к противостоянию:  Солар или Дмитрий Дудко?! :)

Конечно, немного лестно. Можно привести много аллегорий подобного противостояния: одиночка против безликой страшной силы, или Леонид против персов. Но надеюсь у нас будет все менее фатально.

Биться будем в следующих раундах:

  • Все чаще ИБ-вендор реализует проекты самостоятельно. В чем плюсы и минусы смещения в сторону внедрения собственными силами?
  • В поведении ИБ-вендора все чаще прослеживается желание усидеть на нескольких стульях, увеличивая перечень предлагаемых им продуктов. В чем причины подобных решений? Какие плюсы и минусы от количества «стульев», на которых им хочется удержаться?
  • Каким образом расширение продуктовой линейки ИБ-вендора влияет на качество продуктов, сервисов и поддержки?
  • Каким образом объем рынка ИБ зависит от качества предлагаемых продуктов?
  • Как выглядит нефункциональная конкуренция между вендорами?

Регистрация на мероприятие

Приходите поддержать нас, завтра в 11-00.

Быть и казаться

Лето, что-то совсем некогда писать. Да, и к кибербэтлу надо готовиться… Кстати, на пропустите, в эту среду буду резать правду матку про ИБ-вендоров.

tobe

Как-то много чего хочется рассказать, но всегда в рамках. Одно просят не рассказывать хорошие люди, другое такая чернуха, что так плохо, что даже хорошо. Не про сатанистов же вам рассказывать.

Увидел я тут как-то в фбешечке, массовую миграцию специалистов от одного вендора к другому (прямому конкуренту). Это были не технические специалисты, у которых особая ситуация. А те люди, которые общаются с клиентами и рынком. Ну, мигрируют и мигрируют, делов-то.

А потом подумал, что же они будут людям в глаза говорить? Мол, раньше я вам в глаза врал. Но теперь зуб даю, продукт хороший! Ух, я бы на это посмотрел. На этом фоне, решил спросить у людей продаж, пресейла и общения с заказчиками, что они на этот счет думаю.

И открылась мне правда. Оказывается,  рынок у нас настолько честный, что каждый, приходя к заказчику, говорит исключительно о своих плюсах. Ситуаций, когда просят сравнения с конкурентами не бывает, и вообще переходить к прямым конкурентам не западло.

Разумеется, есть ряд ситуаций, когда переходить не западло. Например, вы работали в лидере рынка, и пошли делать собственный продукт с блэк-джеком и шлюхами. Или наоборот, вы перешли к лидеру рынка, за заслуги и личные качества (ну или вашу компанию купили). Тут вопросов нет.

Но переход от лидера рынка в годовалый старт-ап, в котором все места уже поделены, и который себя позиционируется перпендикулярно всему, что вы делали… Хотя наверно за деньги и не такое может быть.

На волне всего этого. Подумалось мне о вечной дихотомии добра и зла быть и казаться. Надо сказать, что вполне вероятно, что мы все живем в матрице, и все вокруг нам лишь кажется.  Индивиду много, что о себе кажется – умный, красивый, богатый, гений и т.п. Чем больше подтверждений этого индивид получает, тем больше ему кажется. Я думаю, все видели мам и бабушек, которые говорили своим чадам – ты такой умный, красивый и далее по списку. Большинство привыкают, становятся отличниками в школе, заканчивают университеты с золотой медалью, и… пшик. Выбиваются в люди единицы. Остальные становятся инфантильными непризнанными «гениями».

Аналогично и у нас в поибэ. Многим кажется, что они эксперты. А на самом деле диванные безопасники с большим количеством времени. Многие думаю, что они ИБ-вендора. А нас cамом деле 20 лет клепают средства защиты,  внедрив у себя SDL (цикл безопасной разработки) лишь в 2016 году, да и то по указке регулятора.

Или другой пример, компания Solar выложила в открытый доступ свой сейл-гад. Понятно, что это я виноват, что он недработан. Т.е. кому-то казалось, что он сделал хорошо, а потом обиделся, когда это оказалось не так.

solar-fail

Какой интересный продукт. С одной стороны умеет то, что в него не заложено. А, с другой, имеет коннекторы ко всем системам на земле, даже тем, что еще не написаны.

И самое замечательное в этом, что выхода из этого замкнутого круга нет. Подтверждение бытия, может быть лишь постфактум. То самое давление результата над процессом.  Как понятно, результат имеет четкие координаты на временной шкале. И чем далее вы от них удаляетесь, тем больше вам кажется.

Всего вам доброго.

Темы битвы: цена ИБ

Плавно добираюсь до экватора, после угроз и компетенций, мы скакнули к деньгам.

Как выглядит миф о затратах на безопасность? ИБ это дорого или доступно?

Сейчас ИБ – это недорого и недоступно. За 10 лет в безопасности, работая и в заказчиках, и в интеграторах, и в вендорах, мне довелось увидеть всякое. Я работал в заказчиках, в которых из всей безопасности был антивирус, межсетевой экран, снифер и, ближе к концу, сканер уязвимостей. И нормально, я делал honey-pot, реинженерил SAP и занимался другими интересными вещами, вроде соблюдения порядка на корпоративах.

security_comp

Чуть позже был у меня проект, в одном крупном ведомстве. Я проводил аудит рисков, с целью определения необходимости наличия DLP решения. Там было все плохо, и одной из угроз было – копирование информации на флешку. Любой безопасник вам скажет, что это страшная угроза. Так сказал и я.

В мерах противодействия я написал:

  1. Рекомендуется отключить USB
  2. Установить DLP

Старшие товарищи посоветовали мне убрать первый пункт. Потому что в ведомстве бы так и поступили. Им было проще и понятнее отрезать провода на всех компах, чем возиться со всей этой безопасностью.

Лишь с помощью нечеловеческой воли и маркетинговых страхов, про злых хакеров, все сложилось удачно.

Когда я был студентом, я считал байкой историю о самом безопасном компьютере, который выключенный зарыт на три метра. Но если действовать в парадигме «все увеличивающихся угроз», именно к этому мы и загоним бюджетодержателей.

Кстати, у нас есть цела отрасль, работающая именно с «закопанными» компьютерами – работа с грифованной информацией. Там в порядке вещей, прийти с утра, достать жесткий диск из сейфа сейчас, и выходя на перекур, сдавать его обратно в сейф под роспись. Всех средств защиты – защита от НСД.

Все космические бюджеты (хотя какие они космические? посмотрите на ИТ), происходят от попыток скрестить ужа с ежом. Мы объявляем достойную защиты информацию, и гоняем ее в сетях общего пользования и ЛВС для офис-менеджеров. Конечно, в этом случае нам потребуется защититься от всего на свете (см. вопрос 1), спеки растут, денег не дают.

В 2014 году, в одном ретейле случился инцидент. В открытый доступ были выложены данные о планируемой акции скидок. Это, вот, серьезный инцидент. Можно сразу идти выбивать много денег. Проблема ровно одна – ретйел (продуктовый) между собой не конкурирует в отпускных ценах. Это легко проверить и без инсайда, сравните цены в 2-3 магазинах крупных сетей вашего района. Где-то будет пониже на что-то, и там же будет повыше на что-то другое. Люди ходят в свой магазин вне зависимости от того есть там акции или нет. Кстати, особенно часто ходят в дорогие магазины, особенно люди с небольшими доходами.

И малая доступность ИБ, связана все с теми же страхами. Если руководство запугано, оно пытается найти деньги и высококлассных специалистов. Как только заканчиваются деньги, сразу прекращается ИБ. Я не открою большой тайны, что никому не выгодны дешевые средства защиты. Вендорам и интеграторам, т.к. маржи мало. Безопасникам, т.к. надо обосновывать свою полезность. Руководителям, т.к. «дешевое не может быть качественным». А на дорогое денег нет.

Так и живем.

Темы битвы: безопасники глупеют?

Второй вопрос, который хотел поднять Олег Седов – про компетенции. По мне, так вопрос немного выбивается из темы битвы, про это можно говорить долго и упорно. Но пусть будет.

fool

2.      Что сдерживает рост компетенций в ИБ?

(У нас с Олегом Губкой были разные точки зрения – он считает, что компетенции снижаются, потому что технологий много новых, угрозы растут и по классике. Но так получилось, что я говорил первым.)

Тут все просто. Рост компетенций ничего не сдерживает. И тем более снижение компетенций — не связано с усложнением угроз. Просто наша профессия «вышла в тираж».

Прошло уже 15 лет, с момента начала подготовки первых специалистов поИБэ в наших ВУЗах. Я знаю, я там был. 15 лет большой срок, за это время обкатались методики, выстроилась нормативка. И, видимо, кто-то распространяет идею, что в безопасности можно много заработать. Последний CISO-саммит – это подтвердил.

grafic

На картинке представлена разбивка зарплат. Мб кому-то 50 т.р. покажется немного, но это в среднем по стране. Моя теща, работая на двух ставках в провинциальном ВУЗе, получает 10 т.р., безопасник в том же городе получает 22.

К нам вливается все больше людей, которые не относят себя к безопасникам. Они идут сюда за деньгами, а если кризис какой, то свободно уходят. Понятно, что это сильно разбавляет компетенцию. Еще 5 лет назад, строка в резюме «умею в ЗПД» — была конкурентным преимуществом. Сейчас минимально необходимое требование. И как вышла в тираж ЗПД, так специальность в целом отправилась за ней.

Уже в 2010 году, я видел безопасников, единственной функцией, которых было выпускать ЭЦП. Данный человек прилично получал, и считал, что с безопасностью у них все хорошо, ведь они используют сертифицированную крипто-библиотеку, какие тут другие угрозы?

Только не надо думать, что это плохо. Лично я вижу в этом огромную возможность для рывка вперед. Но это мы уже совсем в сторону уйдем.

А, пока имеет, что есть. Компетенции снижаются. Скоро будет, как в анекдоте: преподавать поставил всем пятерки автоматом. И на вопрос – почему? Ответил – чем меньше вы знаете, тем ценнее я, как специалист.

Всего вам доброго.