Посиделки ПоИБэ — да будет битва!

Нет, ничего лучше, чем забойный баттл. Конечно, если он организован честно. 8 мая будет мероприятие в нашей поибэ. И тема заявлена моя любимая – BYOD против in-house. По старой доброй традиции выскажу ожидания от дискуссии.

Преамбула

Самой теме BYOD – 10 лет в обед. Очень давно ничего не было слышно от адпетов BYOD, тема старая и не хайповая. По критериям безопасности BYOD почти всегда не проходит, к тому же очень дорог, и даже лидеры рынка от него отказываются.

Но у нас случилась эпидемия короновируса, которую многие BYODовцы и примкнувшие к ним удаленщики восприняли, как знак свыше, чтобы вновь напомнить о себе. Думаю, у них появились новые аргументы.

Главные тезисы

Я сам выступал в подобных дебатах, и очень  хотелось бы видеть соблюдение следующих правил:

1. Отсутствие джинсы

Некрасиво, когда один из участников тратит все свое эфирное время на рекламу поставщиков решений для BYOD. Надеюсь, участники воздержатся от этого.

2. Четкость определений

Участники должны говорить на одном языке. Не примешивать к BYOD удаленную работу. Четко определять, что такое информационная система, к которой нужен доступ с личных устройств (кроме почты). Удаленщики должны прокомментировать, почему в период текущей пандемии крупные компании за наличные скупили большое количество ноутбуков для организации удаленной работы своих сотрудников.

3. Четкие критерии

Хотелось бы услышать от участников, почему выгодно именно их решение. Крайне желательно с реальными кейсами. Очень хотелось бы услышать мнение адептов BYOD и удаленной работы о решении IBM об отказе от удаленки и BYOD.

4. Отсутствие популизма

Очень хотелось бы, чтобы участники не скатывались в «за все хорошее, против всего плохого». Не аргументировали свою позицию «мировыми трендами», которых либо не существует, либо они провалились. То, что мобильные устройства сейчас есть даже у младенцев, не аргумент в дискуссии о безопасности удаленного доступа.

И, разумеется, не применять квантор всеобщности – если кому-то лично удобно работать удаленно, это не значит, что будет удобно и всем остальным.

5. Без фуфелов

И, конечно, очень хотелось бы, чтобы участники не пользовались демагогическими приемами. Очень уж популярно у нас в ИБ стало изобретать некий страшный фуфел, который с блеском разбивается и побеждается.

Особенно это касается адептов «неэффективной офисной работы». Если она так неэффективна, то в чем конкретно, сколько это стоит, и как ваше решение поможет это исправить.

С нетерпением жду начала батла. Приходите.

Фриланс в ИБ

В последнее время поднялась тема дополнительного заработка для информационных безопасников. Видимо, бизнес-тренеры и их адепты основательно проникли и в нашу отрасль. А вспомнилось мне это благодаря Рустэму Хайретдинову. Поэтому с него и начнем.

С оказией зашел в Facebook и наткнулся на воспоминания Рустэма Ниловича:

Я не претендую на открытие Америки, но в 2010, когда у меня не было денег на найм мегаспецов, я их арендовал. Мне писали стратегию продвижения, корпоративную брошюру, ядро платформы и другие специфические софты, профессионалы, которые выступали кейноут спикерами на многотысячных конференциях, заведовали кафедрами и работали за многие мильёны на лучшие компании. Они никогда бы не пошли ко мне работать не просто потому, что я бы их не потянул по зарплате, но и по широте и масштабу задач — мои были слишком нишевыми для них. Но я платил за результат, а они могли дать его быстро и не особо напрягаясь, а сами поднять за выходные незапланированных денег на новую дорогую покупку или путешествие в Париж бизнес-классом. Чего уж скрывать, некоторые из них при этом даже нарушали корпоративный трудовой договор, явно запрещающий им делать это.

Потому что это win-win: деньги для них не главное, но обязательное условие, профессионал не работает бесплатно, но плюс к этому они тешат своё тщеславие, участвуют в новом проекте ничем не рискуя, видят плоды своего труда. Я же получаю за календарный месяц (профессионал работает над моим проектом только в свободное от основной работы время) результат работы топового специалиста по цене полугодовой зарплаты посредственного сотрудника той же отрасли — то есть быстрее, качественнее и дешевле, как бы не говорили, что три этих свойства несовместимы.

Ни на что не намекаю, но похоже опять у крутых специалистов стало больше свободного времени. Главное, чтобы результат работы был измерим и отчуждаем.

Как мы видим, ничего на свете не меняется. Всегда есть люди, которые могут сделать работу, и компании, которые хотели бы получить качественный результат, но не могут себе это позволить по полному прайсу. При обоюдном желании специалист и компания договариваются на сдельную или проектную работу. Собственно, это основа фриланса. Сделал и ушел.

Но мы сразу же сталкиваемся с неудобными моментами, на что и указал Рустэм Нилович: как закрепить договоренности?

Самый очевидный способ – договор. А отношения на договорной основе неудобны обеим сторонам.  Для заказчика основная трудность будет состоять в разработке ТЗ. Если он слабо разбирается в тематике, ТЗ вряд ли будет грамотным. Фрилансер, выполнив условия договора, не захочет еще некоторое, довольно длительное время, сидеть рядом с заказчиком и переделывать работу под его недовольное и неуверенное «а я думал, тут вот так будет, а получилось не так…». Умный фрилансер заберет деньги и уйдет.

Но у него на руках договор, а значит, ему необходимо удовлетворить нужды налоговой, а там, глядишь, на бизнес-класс до Парижа не хватит. Не, фрилансеру это не нужно. Да еще и с работы уволить могут за нарушение корпоративного трудового договора.

Поэтому мы переходим ко второму варианту – по дружбе/по понятиям. Т.е. все то, что должно было быть в договоре, обсуждаем устно, максимум закрепляем письмом, и вперед. Разумеется, деньги тебе заплатят сразу по достижении результата (или не заплатят, ведь при отсутствии договора и такое может быть). Конечно, и у заказчика могут быть проблемы. Рустэм Нилович рекомендует набирать на работу топовых специалистов, но не говорит, как нам оценивать их работу (при условии, что мы не разбираемся в данном вопросе, зачем бы иначе мы искали специалиста). То есть втюхать нам могут абсолютно любой результат – проверить его мы не сможем. Нельзя забывать и про геморрой с обналичкой (ака уход от налогов), но это действительно будет намного дешевле, чем брать сотрудника в штат и платить за него все налоги. Тут Рустэм Нилович прав.

Давайте посчитаем для верности, пользуясь критерием Хайретдинова. Проект фрилансера стоит полугодовой зарплаты среднего специалиста — вот вам и критерий, когда фрилансера брать выгодно. Например, средняя зарплата 60 т.р., то за проект имеет смысл платить не более 300 т.р., если больше – то надо уже крепко думать. За такую сумму топовый специалист в вашу сторону не посмотрит.

Где же в безопасности нам может потребоваться помощь фрилансеров? Рустем Нилович делится с нами опытом. Итак, он заказывал:

  • стратегию продвижения;
  • корпоративную брошюру;
  • ядро платформы;
  • специфический софт.

Начнем со стратегии. Топовый специалист наверняка создаст ее качественной. Вопрос лишь в том, что с ней станет, когда специалист помашет нам рукой, не задерживаясь в штате наших сотрудников. Скорее всего, она осядет мертвым грузом, не внеся изменений в бизнес-процессы компании, зато заказчик сможет писать и говорить о том, что он заказывал стратегию продвижения у топового специалиста.

Корпоративная брошюра, очевидно, не стоит 5 тысяч долларов. Во всяком случае в 2010х, а сейчас да – упаковка все, функционал вторичен.

Софт же стоит, как правило, гораздо дороже указанной суммы, и за выходные его не разработаешь. Но, очевидно, Рустэму Ниловичу очень везет, и ему достались именно такие ребята. Тут тот же вопрос, что и для стратегии – кто будет поддерживать этот софт после ухода фрилансера? Разумеется, все зависит от вида софта, но Рустэм Нилович пишет, что фрилансер разрабатывал ему ядро платформы. Что ж, ему повезло уже дважды.

И последний вопрос – сроки. Ни один работающий фрилансер не подпишется на масштабную работу длительностью в год. Ему нужны легкие и, желательно, быстрые деньги. Подавляющее количество фриланс-проектов, которые я видел, длилось не более 2 месяцев. Что можно успеть сделать за это время? Можно успеть написать почти любой документ или даже пачку документов. Когда я был литературным негром, с трудом укладывался в 6 месяцев на 300 тысяч знаков.

Программирование же обычно занимает гораздо больше времени, оно затратнее в коммуникациях как для исполнителя, так и для заказчика. Представляете, сколько времени уйдет на написание ядра неизвестного тебе софта? Я не представляю. Может быть, действительно пара вечеров, а потом можно и в Париж.

В любом случае хочу сказать Рустэму Ниловичу спасибо за интересную историю. Надеюсь, она реальная, а не написана для коротания долгих карантинных вечеров.

В следующий раз рассмотрим фриланс и фрилансеров на примерах. До новых встреч.

P.S. Для истории:

Паразиты&ИБ

Сегодня у нас не про ИБ, но разве что чуть-чуть. Сегодня у нас про фильмы, и как информационная безопасность на них похожа. Конечно, можно было бы взять что-нибудь эпичное (вроде, Джокера), и рассказать, как наша ИБ сходила медленно с ума, работая за три копейки, пинаяемая модными подростками, но произошел общий бунт и мы возглавляем его, носимые на руках (нет). А, вот, на что наша отрасль похожа, так это на оскороносный фильм «Паразиты». Об этом и поговорим.

Надо сказать, что я посмотрел всех претендентов на Оскар до премии в кино (за исключением Паразитов). Все фильмы мне фильмы мне понравились, некоторые прямо очень-очень. В этом году вообще очень сильный состав, но выиграл, кто выиграл. И я, разумеется, решил к этому шедевру прикоснуться.

Скажу сразу, фильм хороший, для корейских, наверняка, так и отличный. Общая визуальная составляющая на высшем уровне (вроде, за нее в первую очередь и дали). История в духе Тарантино, могла бы даже понравиться и осесть в коллекции, финал с потугами на вечные социальные проблемы о материальном неравенстве и классовой ненависти. Но…

Надо сказать, что фильм я смотрел вдумчиво в три приема. Первый раз я остановился на моменте, как мама устроилась на работу. В этой части я прямо орал. Фильм виделся этакой вариацией на «Поймай меня, если сможешь». В серьез виделась логика в поступках главных героев, которые старались улучшить свою жизнь всеми доступными способами. И пусть герои действуют, переступая через головы других, но зато каков реализм. Ведь именно история, в которую веришь, является лучшей. Тут фильм мог превратиться либо в комедийный, либо с оттенками драмы. Про милых, или не очень мошенников. И сюжет можно было бы поворачивать и так и эдак, например, героев могло в конце ждать неминуемое фиаско. Но это не про фильм Паразиты.

Второй раз я прервался, когда хозяева вернулись с кемпинга. Эта часть фильма просто трешак. Где-то даже задорный. Разумеется, эту часть запускает приход старой экономки и огромный рояль в кустах. Спойлерить не буду, сами посмотрите. Да, этот ход поддает драйву всему действу, иначе был все грозило скатиться в черт пойми что. Посудите сами, умные и талантливые мошенники решили устроить пьянку в доме людей, которые вытащили их из бедности. Хм… что могло бы пойти не так? Если после первой части, я думал что нас ждет какой-нибудь крутой обман или афера, например, женить сына на дочери хозяев, перед этим устранив любым способом (добрым – и вот, вам комедия, через убийство – реалистичная драмма) остальных. То в конце второй части ожидал что-то в духе Бешенных псов, где все друг друга мочат и (не)получают по заслугам. Здесь уже в голос не орал, но было интересно.

Финальная часть – полный провал. Более банальной и ординарной развязки придумать было сложно. Гениальные оборванцы начинают вести себя, как непроходимые тупицы и получают два раза камне по голове. Хозяина дома убивают, потому что наши мошенники не могут постирать одежду с кондиционером или залить себя духами, хотя деньги у них на это были. Хозяева дома вообще предстают самыми положительными героями, они работают, давая возможность заработать другим, а их работники их обманывают и в темную эксплуатируют. За это хозяева расплачиваются психозами детей и в итоге смертью. Вот, уж действительно – не делай добра, не получишь зла.

В фильм пытались притянуть социальный подтекст, но вся классовая ненависть между героями и хозяевами надумана. Хозяева не давали поводов для ненависти, обращались с героями нормально, не грубили и не хамили. И, вдруг, за десять минут до конца фильма, наши бедные герои их возненавидели. С таким же успехом они могли сменить пол, или уйти в секту. Предпосылки теже самые были.

Итоговый монолог сына – крайне спорен для оскораносного кино. «Достать денег любыми способами, но не через труд и учебу». Т.е. скорее всего, нелегально, путем обмана и криминала. Грустно.

Главный итог по фильму Паразиты, что он заявляет много чего (и комедию, и драму, и триллер), но ничего не доводит до конца. Например, линия друга-студента так и почила в бозе. Да, героев настигает возмездие, но не благодаря их действиям, а тупости (кто просил сына спускаться в подвал?) и роялям в кустах (не открой они старой экономке, можно было бы обойтись без массовых убийств). И сын не извлек выводов из данной истории, воруй-убивай, честный труд побоку. Фильм красивый, и один раз его точно стоит посмотреть, но заслуживает ли он Оскара – большой вопрос.

И, вот, досмотрев фильм – я подумал, что у нас все как в Паразитах. Дикая смесь услуг и продуктов, без четкой идентификации. Да, мы межсетевой экран, но с функциями DLP. А наша DLP это DLP, но с функциями SIEM. И так далее. Само по себе это ни хорошо, и ни плохо. Но эта каша переносится на всю отрасль.

Так у нас есть крупные и не очень вендора, которые ходят и продают сами. Зачем вендору штатные аккаунты в большом количестве я затрудняюсь сказать. Разумеется, возникают всякие паскудные истории, когда вендор уводит у интегратора заказчика, что не добавляет здоровья рынку и репутации производителю. Интеграторы у нас не лучше, спроси любого, что ты умеешь делать и получишь ответ «Все!». В таких, случаях хочется спросить, а что из этого ты умеешь делать хорошо? Кстати, знаете как определить хорошего исполнителя от всеумеющего? У всеумеющего на сайте соседствуют услуги по ISO 27000 и защите АСУ ТП.

И так в нашей поибешечке во многом, а хочется чего-нибудь настоящего. Ну, хотя бы в стиле Джокера, не говоря об «Однажды в Голливуде».

Всего вам доброго.

Первое свидание с мужчиной

Здравствуйте, здравствуйте, мои дорогие. В период долгой разлуки имел массу времени подумать о жизни нашей бренной вообще и нашей поибешечке в частности. И кривая мыслительного процесса завела к теме, с которой хоть раз в жизни столкнётся любой мужчина – свидание с другим мужчиной. Где бы я ни был, куда бы ни заходил – везде наблюдал одну-две парочки, мило о чем-то общающихся. Предлагаю эту тему обсудить.

Эти разные незнакомцы

Говоря о первом свидании, мы в первую очередь говорим о незнакомых или мало знакомых людях, с которыми, наконец, остаемся вдвоем. Так уж получилось, что на нашей планете только два гендера – мужчины и женщины, и ограничивать себя только женщинами — это мизандрия. Это название ненависти к мужчинам, а мужчина с мизандрией должен ненавидеть и себя лично, что не добавляет душевного здоровья и серьезно сдвигает чердак. Сложно жить ненавидя себя, так и руки на себя наложить недолго.

Значит, определились, для общего здоровья встречаться с мужчинами нужно. И множество этих встреч будет происходить тет-а-тет, в приватной обстановке, чтобы лучше понять собеседника. А так как мы говорим о незнакомцах, то рано или поздно у вас будет первое свидание. И здесь вас может поджидать множество неочевидных моментов, которые могут разрушить нарождающуюся крепкую мужскую дружбу. Это уже потом, когда ваши отношения претерпят временные кризисы (обычно это 1 месяц – «влюбленность», 3 месяца – «страсть», 1 год – «остывание» и 3 года – «новые ощущения»), вы уже сами станете разбираться, как вести себя с тем или иным партнером, но в самом начале можно наделать ошибок.

Как выбрать место?

Как вы понимаете – выбор места очень важен. Разумеется, сразу отметаем – встретиться у вас дома. Это сопряжено с определенным дискомфортом: надо убираться, носки собрать, да и пожрать надо что-то соорудить. Вряд ли заказанная пицца или пельмени настроят партнера на нужный лад. Плюсом не надо забывать о семье: жена и дети не поспособствуют приватности и доверительному разговору.

Также не стоит устраивать свидание на работе. Из минусов: никакая еда, чай-печеньки вообще ни о чем, а, как известно, путь к сердцу мужчины лежит через желудок. Минус номер два: время бронирования переговорок ограниченно, час, максимум два. А что можно успеть за это время?

Поэтому наш выбор – ресторан, кафе. Там вкусно кормят, можно расслабиться, а если позволяет время дня — немного выпить. К тому же всегда можно найти уединенный уголок, где никто не помешает вашему знакомству.

Для хорошего вечера ресторан должен удовлетворять трем из четырех условий (лучше, конечно, всем):

  • В меню должно быть хорошее мясо;
  • Пиво;
  • Виски;
  • Кальян.

Как задать тон встрече?

Если есть какой-нибудь нейтральный повод – Новый год, 23 февраля, День победы, — можно купить подарок. Так вашему партнеру будет проще настроиться на позитивный лад.

Что дарить? Тут уж смотрите сами, в зависимости от ваших финансовых возможностей и соответствия ситуации. Можете подарить ежедневник или iPhone. Цветы при первой встрече лучше не дарить, т.к. сложно угадать, какие именно мужчине нравятся.

О чем общаться?

Обычно в первые 5-10 минут становится понятно, ваш это человек или нет. Если человек закрыт, отвечает односложно – можно поговорить о чем-то нейтральном: погода, дороги, общие знакомые. Можно немного выпить, чтобы партнер расслабился. Если ничто не помогло, то не судьба. Лучше расстаться, и начать поиск в другом месте.

Если же человек раскрепостился, то дальше уж сами. Небольшая ссылка в помощь.

Надо ли платить на первом свидании?

Все мясо съедено, а виски выпито, жена написывает смски «когда будешь?». Пора закругляться. Вам приносят счет, и возникает ситуация – а кто будет платить? Тут возможны варианты.

Вариант 1

У нас уже давно завершились все возможные революции от социалистической до сексуальной, поэтому вы можете заплатить каждый за себя. Равноправный, но плохой вариант. Вряд ли ваши отношения будут теплыми и перейдут на другую стадию.

Вариант 2

Разделить чек пополам. Хороший вариант, если вы встретились с коллегой по работе и равны в статусе. Может стать началом хорошей дружбы. Но вряд ли вам удастся таким способом завладеть партнером целиком, он может легко найти связи на стороне.

Вариант 3

Оплатить чек самому. Тем самым вы показываете свое благое расположение к партнеру. Он вряд ли это забудет, но велик шанс напороться на альфонса, которому важны не вы, а ваши деньги и подарки.

И, разумеется, вы должны оплачивать счета молодых людей, которых вы затащили в пафосный ресторан, который им в обычной жизни не по карману. Ну, это как назначить встречу студенту в Бизоне.

Вариант 4

Позволить заплатить за вас. Чаще всего происходит, когда вы сам – молодой и горячий, но без денег. Тут уже смотрите сами, если вашего партнера это не обременяет, то можно и согласиться.

В нашей поибешечке, многое зависит, с кем вы встречаетесь и где работаете. Если в вендоре или интеграторе, то чаще будете платить вы. Поэтому не забудьте озаботиться представительскими расходами. Чтобы не улететь в трубу, заказчиков, с которыми мало шансов, можно водить по кофейням или на бизнес-ланчи.

Если вы заказчик, то, скорее всего, платить будут за вас, возить на такси и подливать безмерные дозы алкоголя. Тут уже вы сможете выбирать, кто вам мил, а кто нет.

А как вы поступаете с чеком на первом свидании?

Инвентаризация рисков ИБ: нормативные, методические и практические аспекты

Управление риском в широком смысле слова, и рисками информационной безопасности в частности, – это то, чем мы с вами занимаемся каждый день. Зачастую это происходит неосознанно, на автомате, однако, тем не менее, дает реальные результаты. Конечный результат управления риском – предотвращение ущерба объекту риска: вам, вашей семье, вашей компании, отдельным процессам, отрасли или государству в целом.

Вы можете подумать, что к вашей компании не применимо большинство рисков и уж точно никакого отношения не имеют риски информационной безопасности, т.к. «компания небольшая и брать нечего». Но даже в этом случае у вас есть ценный актив.

Можно украсть информацию о вашей производственной деятельности: закупочные цены, если вы что-то продаете, ноу-хау и секреты, если что-то производите. Даже ваши планы закупок могут представлять интерес.

Можно украсть персональные данные сотрудников и клиентов – их можно продать или оформить множество потребительских кредитов.

Можно получить доступ к банк-клиенту.

Можно воровать вычислительные мощности на ваших серверах, например, чтобы майнить биткоины, разместить там свой сервер или просто рассылать спам.

Можно просто воровать ваш интернет.

Чтобы этого не случилось, нужно обеспечить выполнение правил ИБ. Но прежде всего, необходимо выявить какие риски существуют и оценить возможный ущерб.

Заранее посчитанные риски

Классическое определение риска гласит:

Риск (от лат. resecō — «отсекать», «сокращать» или др.-греч. ῥιζικόν — «опасность») — сочетание вероятности и последствий наступления неблагоприятных событий.

А его формулу записывают так: Величина риска = вероятность события * размер ущерба

Вероятность в данном случае – вещь сугубо субъективная. Мы склонны перестраховываться, не понимая, что перед нами лишь иллюзия опасности. Причина этому уходит корнями глубоко в древность, а точнее к тем инстинктам, что принимают камень за льва. Здесь не страшно ошибиться и обознаться, однако эта ошибка дает шанс убежать от реального льва. Поэтому в первом приближении будем рассматривать риски лишь с точки зрения ущерба.

Для большого количества рисков уже посчитаны вероятность и ущерб. Существуют даже целые области математики, рассчитывающие риски для определенных отраслей. Например, есть актуарная математика, занимающаяся методами расчета, связанными со страхованием различных рисков, скажем, расчет риска дожития.

Или еще пример: известный расчет риска гибели в процессе авиапутешествия. Вероятность того, что пассажир, севший в самолет, погибнет в авиакатастрофе, составляет примерно 1/8 000 000. Таким образом, если пассажир будет садиться каждый день на случайный рейс, ему понадобится 21 000 лет, чтобы погибнуть.

Далее мы не будем рассматривать заранее известные и просчитанные риски, т.к. это не принесет практической пользы.

Инвентаризация рисков

Все основополагающие понятия в управлении риском мы повторили. Теперь же приступим к определению первого этапа – инвентаризации, или, если вы впервые выявляете риски, идентификации рисков. Чтобы не запутаться: выявляете риски первый раз для любого объекта – производите идентификацию рисков, все последующие работы по выявлению и пересмотру – инвентаризация рисков.

Идентификация рисков – это процесс (бесконечный процесс) определения факторов, событий, ситуаций, которые могут нанести ущерб.

Для успешной идентификации риска достаточно ответить на три простых вопроса:

  1. Какой будет ущерб?
  2. Какое событие/действие должно произойти, чтобы мы понесли ущерб?
  3. В отношении какого объекта должно произойти событие, чтобы мы понесли ущерб?

Вы могли заметить, что вопросы выражают обратную последовательность действий: ущерб <- действие <- объект. Этот способ используется для простоты. Когда вы станете опытнее, сможете использовать прямую схему: объект -> действие -> ущерб.

Объект риска

Объектом ущерба может выступать:

  • компания или ее часть;
  • бизнес-процесс;
  • информационная система;
  • банк данных или информация;
  • инфраструктура;
  • человек и т. д.

Объектом может быть вообще любой предмет, материальный или нематериальный актив, негативные действия по отношению к которому принесут ущерб.

Действие риска

Действия над объектом – перечень негативных операций над объектом, которые приводят к ущербу. К общим негативным операциям можно отнести кражу объекта или его части, повреждение или уничтожение, разглашение, несанкционированное использование и так далее.

В информационной безопасности выделяют следующие действия.

  1. Нарушение конфиденциальности – мы получаем ущерб от того, что что-то стало известно. Например, наша секретная формула стала известна конкурентам.
  2. Нарушение целостности – мы получаем ущерб от того, что наши данные неполны и/или изменены. Например, компьютерный вирус поменял все 0 на 9 в бухгалтерском отчете, что на один порядок увеличило налоговые выплаты.
  3. Нарушение доступности – мы получаем ущерб от того, что в определенный момент не получили доступ к нужной информации или услуге. Например, у нас не было доступа в интернет, чтобы выиграть очень важный аукцион, или мы вовремя не ответили на запрос контролирующих органов, потому что у нас свет отключили.

Источник действия – нарушитель

Чтобы в конце не запутаться, сформируйте для себя модель нарушителя. Речь о перечне источников действий, которые могут нанести ущерб. На первом этапе достаточно будет просто выявить группы нарушителей, например, сотрудники, конкуренты, хакеры, стихийные бедствия, технологенные факторы, «человеческий фактор» (глупость/некомпетентность) и так далее.

Выявить основные группы потенциальных нарушителей поможет понимание мотивов этих группы (за исключением техногенных и природных факторов, разумеется). Мне в этом помогает простая модель поведения субъекта (в порядке убывания):

  • финансовый интерес;
  • межличностные интересы;
  • доминантность.

К первой категории относится 95% потенциальных нарушений. Мир преступлений (а особенно киберпреступлений) изменился в прагматическую сторону, если из определенного действия нельзя извлечь материальную выгоду, то найдется очень мало желающих этим заниматься.

Ко второй категории относятся все случаи слежки, например, чтобы добиться внимания женщины или отомстить обидчику.

«Вершиной» мотивов является доминирование, когда те или иные действия совершаются «просто потому, что я могу». Например, обесточивание целого здания.

Теперь вы можете записать каждый риск примерно в таком виде:

Объект воздействия Нарушитель Действие Ущерб
1 Ноу-хау компании Сотрудники Кража Средний
2 Ноу-хау компании Конкуренты Кража Катастрофический
3 директор по ИТ и ИБ Техногенные факторы Пропажа информации с телефона владельца Катастрофический

Ущерб от риска

В завершение мы должны оценить ущерб. Оценку нужно производить в деньгах. В третьей строке таблицы мы описали риск увольнения директора по ИТ и ИБ. Это будет не только личной трагедией для топ-менеджеров, но и принесет ущерб компании, которой, как минимум, придется искать новых сотрудников.

В первом приближении можно остановиться на качественной оценке ущерба с градацией «незначительный-средний-высокий-очень высокий».

Методы инвентаризации рисков

Существует два больших множества методов инвентаризации рисков. Первое множество –отраслевые, или стандартизированные, методы.

Во многих отраслях и направлениях уже сформированы базы рисков, которые могут быть отнесены к тем или иным объектам. Например, в информационной безопасности можно воспользоваться Банком данных угроз безопасности информации ФСТЭК России. Каждый риск (угроза) имеет описание: объект, источник угрозы (нарушитель), описание (действие), последствия реализации угрозы (ущерб).

Задав в поиске «источники угроз и последствия», вы можете сделать первоначальную выборку угроз (в данном случае информационной безопасности) и начать с ними предметную работу.

Методик и стандартов определения рисков информационной безопасности достаточно. Если вы захотите лучше разбираться в рисках, то можно рекомендовать серию стандартов ISO 2700x, полностью посвященных рискам и риск-менеджменту.

Второе множество методов идентификации рисков я называю «рабоче-крестьянскими» – они являются родственными методам «что если?» (самым ярким представителем которых является методология SWIFT). Данные методы требуют больше времени для определения рисков, но лишены недостатков стандартизированных методов, т.к. учитывают особенности конкретного объекта.

Заключение

После проведения инвентаризации рисков, вам потребуется оценить последствия (ущерб) и выработать защитные меры от рисков. По отношению к выявленным рискам возможны следующие защитные действия:

  • ликвидация риска (например, за счет устранения причины);
  • уменьшение риска (например, за счет использования дополнительных защитных средств);
  • принятие риска (и выработка плана действия в соответствующих условиях);
  • переадресация риска (например, путем заключения страхового соглашения).

Этап инвентаризации рисков является ключевым для любого вида деятельности, чем больше рисков вы предусмотрите, тем менее разрушительными будут последствия от свершившихся рисков. Желаю вам, что бы вас не касались риски с катастрофическими последствиями.

3 декабря 2018 года, для журнала Connect WIT 2018 № 11-12

Как сделать стандарт за 10 дней. Часть вторая. Скучная

Как сделать стандарт за 10 дней, я рассказывал раньше. Сейчас я хотел бы рассказать о терминологии и названиях документов, их значении и разных подходах к составлению документации. Конечно, все знают, что полезно разбираться в документах, но не у всех хватает терпения вникнуть в них. Я расскажу, как меня засудили как раз за это. Эта часть будет сухой и скучной, налейте себе чая, возьмите печеньки. Поехали.

Слишком долгое вступление в тему

Любой живой язык прекрасен в своих нюансах. А русский язык прекрасен вдвойне. Имея такой мощный базис, русский канцелярит (так я называю язык, на котором пишутся законы, постановления правительства и другие официальные бумаги) пленит своими возможностями. Разумеется, если вы не пытаетесь его читать.  Если нет возможности этого избежать, то читать канцелярит надо вдумчиво и размеренно, несколько раз перечитывая, вникая в каждое слово.

Шел 2008 год – лето, пятница. Я отпросился пораньше с работы, чтобы не стоять в пробках, и ехал на дачу по Дмитровскому шоссе в районе Яхромы. Было довольно плотненько, но терпимо. Меня останавливает инспектор ГИБДД, просит документы и заявляет, что я не пропустил пешехода. Я с ним не соглашаюсь.


Тогда инспектор предлагает подписать мне постановление и говорит, что у меня будет 10 дней на обжалование. Ну, уже неплохо. Я подписываю бумагу и еду дальше по своим делам. Оказалось, что инспектор воспользовался моим незнанием.
 

Протокол? Какой протокол?

На суде выяснилось, что я подписал не протокол, а постановление.

В случае, если представитель власти увидел признаки административного правонарушения (например, правил дорожного движения), он должен составить протокол. В протоколе вы можете написать, что не согласны с замечаниями, а вот в постановлении такой графы нет. Т.е. подписывая постановление, я фактически признал свою вину. Да, у вас есть 10 дней, чтобы обжаловать постановление. Но шансов практически нет. Таким образом, протокол – лишь фиксация нарушения, а постановление – уже назначенное наказание.

Казалось бы, две какие-то бумажки, а какие разные последствия.

Документы для информационной безопасности

Как и любая деятельность, процессы информационной безопасности рано или поздно обрастают некоторым объемом документов: политики, регламенты, инструкции, положения и т.п.  Каждый из этих документов решает определенную задачу, а путаница в них (как в примере выше) в обязательном порядке губительно скажется на вашей деятельности.

Для создания документов такого рода мы можем использовать достижения как отечественной, так и западной школ.

Западная школа

Западная школа довольно свободно относится к названиям и содержанию документов. Самым ярким доказательством является серия стандартов – ISO 2700x, которую знает каждый безопасник.


В общем случае вся документация делится на четыре уровня.

  • Политики первого уровня – наиболее «водянистые» и «стратегические». Например, «Политика информационной безопасности ООО «Ромашка».
  • Политики второго уровня – конкретизируют определённые аспекты глобальной политики или конкретные процедуры. Например, «Политика антивирусной защиты».
  • Инструкции (третий уровень) – описывают конкретные обязанности сотрудников в рамках политики 2 уровня, например, «Инструкция системного администратора по антивирусной защите сегмента КСПД».
  • Записи (четвертый уровень) – все то, что не вошло в предыдущие три уровня. От настроек на конкретном сегменте до разбора инцидентов SIEM-системы.

При применении данного подхода возникают проблемы с адаптацией сего стандарта в наших реалиях. До сих пор можно легко обратить любое общение безопасников в безжалостный холивар вопросом о размере политики безопасности. Большинство предпочитает хранить всю необходимую информацию в одном документе, ведь чем больше документов, тем больше времени необходимо тратить на отслеживание их взаимосвязей, а согласование и внесение изменений может затягиваться на месяцы. Я встречал и другие мнения, однако в любом случае вывод следующий: западные методики не раскрывают многих необходимых нюансов.

Обратимся же к отечественному опыту.

Отечественная школа

Имея такую впечатляющую историю и опыт поколений в разработке конструкторской документации (ЕСКД), было бы удивительно, если бы у нас не сложились свои традиции и понимание оформления документов. Если внимательно посмотреть тот же ГОСТ 34 серии, то можно с удивлением узнать, что он вполне логичен и даже удобен. Разве перед внедрением любой системы вы не разрабатываете верхнеуровневую структуру (эскизный проект), уточняя его все детальнее и детальнее (технический проект и рабочая документация)?

Поэтому, если вы будете разрабатывать документы для русской компании, вы скорее всего будете использовать подходы отечественной школы. Основным ее отличием от западной, является внимание к терминам и названиям. Например, называя документ «Перечень входных сигналов и данных», от вас ожидают, что там будет информация о входных, возможно, даже о выходных сигналах, а не требования к информационному обеспечению или описание массива информации.

Но здесь вас может поджидать проблема. Как вы думаете, чем отличаются:

  1. Политика информационной безопасности,
  2. Регламент информационной безопасности,
  3. Положение об информационной безопасности?

Именно этот вопрос поставил меня в тупик, когда я перешел к этапу составления комплекта организационно-распорядительной документации (ОРД). Давайте же разберемся.
 

Как вы лодку назовете, так она и поплывет

Остановимся на основных документах (если будем рассматривать все – это будет совсем нудно и неинтересно). Описанный ниже подход является основным в работе Департамента информационной безопасности в одном из подразделений ЛАНИТ.
 

Приказ

Альфа и омега любого процесса, который вы захотите перенести на бумагу. В отличие от западного подхода, где достаточно просто утверждения уполномоченными лицами, у нас все документы вводятся приказом. Вы можете использовать в работе какие угодно инструкции и формы, но если они не введены приказом, считайте, что их у вас нет.

Это, кстати, особенно актуально для защиты персональных данных. Любая проверка регуляторов начинается с установления факта правоприменимости принятых мер. Если вы занимаетесь каким-нибудь документом, то вам, скорее всего, и готовить проект приказа.

Основными отличительными чертами Приказа являются следующие:

  1. Вводится в действие генеральным директором, именно он имеет право распространять те или иные требования на всю организацию.
  2. Наличие команды. Например, внедрить политику информационной безопасности.
  3. Назначение ответственного. В приказе должен быть указан ответственный за выполнение сути приказа, например, в случае политики – директор по ИБ.
  4. Наличие сроков. Тут все очевидно. Например, доведение до сведения всех сотрудников Политики ИБ в течение 2-х дней.
  5. Наличие контролирующего. Эту часть часто забывают, но крайне желательно указать, за кем закрепляется контроль над исполнением сути приказа. Обычно он либо остается у генерального директора, либо передается ответственному.

Приказом вводится все – от режима защиты персональных данных до утверждения форм отчетности. Делать ли разные приказы на каждый чих или единым пулом – зачастую дело вкуса. Если все вводить отдельными приказами, то внедренные документы проще будет менять. Если единым пулом, то проще согласовать и подписывать.

Политика

Наконец, мы добрались до Политики. В нашей традиции это относительно новый документ, в отличии от других, представленных здесь. Особенностью Политики является то, что она описывает процессы. Например, процесс обеспечения информационной безопасности.

Политика может и должна выдвигать требования к функционированию процесса, может описывать требуемое обеспечение и исключения.

Используя отечественный подход, вы можете создать политику любого объема. Главное, не надо превращать Политику в описание задач и распределение ответственности между исполнителями, для этого есть Положения и Инструкции.

Положение

В отличие от Политики, Положение как раз направлено на регулирование деятельности людей и подразделений. Положение, в общем случае, регламентирует порядок образования, права, обязанности, ответственность и организацию работы структурного подразделения (должностного лица, совещательного или коллегиального органа), а также его взаимодействие с другими подразделениями и должностными лицами.

Т.е. фактически Положение очень редко применяется к процессам, но будет весьма уместно в виде «Положение о Департаменте информационной безопасности».

Регламент

Регламент – самый противоречивый документ. Я встречал компании, в которой были только разнообразные Регламенты. Надо понимать, что в своей сути регламент – временный документ, во всяком случае в информационной безопасности. Это то, что сейчас модно называть «дорожной картой». Регламент, в отличие от Политики и Положения, определяет конкретные шаги и сроки их исполнения.

А раз есть сроки, Регламент мало применим к непрерывным процессам, например, обеспечению безопасности всей компании или обеспечению контроля качества. Т.е. может быть «Регламент внедрения политики безопасности», но лучше не делать «Регламент информационной безопасности».

Инструкция

Инструкция – самый последний в иерархии, но не по значимости документ. Инструкция описывает конкретные шаги, что надо делать в той или иной ситуации, или наоборот, то, что делать не надо никогда. Самый знаменитый пример инструкций обоих типов – Устав внутренней службы Вооруженных Сил.

Инструкции не привязаны к какой-то конкретной структуре, и, пожалуй, главным требованием является понятность и удобство чтения.

На этом хотел бы закончить, надеюсь, вы дочитали до конца. Не повторяйте моих ошибок и знайте значение документов.

Код ИБ. Почему я туда не поеду

Если вы старше 7 лет, то знаете, что в нашей жизни встречаются разочарования. От этого просто никуда не деться. Разочарование нас может подстерегать, где угодно. Не купили нужную игрушку, Дед Мороз подарил машинку не того цвета, коллега оказался нехорошим человеком, да мало ли что. Что бы не говорили бизнес-тренеры, разочарований избежать не удастся. Можно лишь изменить свое отношения к ним. Это как с браком. Попадается хорошая жена – станешь счастливым, плохая – философом. И, вот, об одном таком разочаровании, я хочу вам рассказать.

Одним прекрасным вечером, сидел я в телефоне и вдруг, бац – Алексей Лукацкий. Я уж подумал у меня наваждение… Но нет, оказалось это была контекстная реклама конференции Код ИБ. Ну, думаю – надо ехать.

Полез на сайт. Все цветасто, и кричаще, как сейчас модно, но нифига не понятно. Не смог разобраться с маленького экрана. Но интересно. Решил добраться до компьютера, и если все гуд, потратить кровные денюжки и съездить.

Сайт нас встречает громким заявлением:

САМАЯ МАСШТАБНАЯ КОНФЕРЕНЦИЯ ДЛЯ РУКОВОДИТЕЛЕЙ И СПЕЦИАЛИСТОВ ПО ИБ И ИТ

И перечень городов. Сразу закрался вопрос, а масштабная в каком смысле? По количеству участников? На PHD ходят тысячи, вряд ли на одном Коде ИБ больше несколько сотен. По охвату городов? Возможно, но каждый вендор и интегратор в год проводит столько же или больше конференций. Не понятно. Ну, ладно, едем дальше.

Причины поехать

Дальше все по науке инфоцыган, 5 факторов, почему надо пойти на конференцию:

01 ГЕОГРАФИЯ

28 крупных городов России, Казахстана, Белоруссии, Грузии, Азербайджана и Армении. Серия конференций, не имеющая аналогов по масштабу проведения и охвату участников.

Ага, вот где масштаб подразумевается. Как уже говорил, вендора устраивают и больше конференций, с большим охватом городов. Но, видимо, имелись ввиду большие конференции? Т.е. программа всех Кодов связана между собой? Нет, не связана. Каждый Код ИБ самостоятельная конференция. И поехать можно только на одну, абонементов не продают.

02 УНИКАЛЬНОСТЬ

Высокий уровень организации, а также множество фирменных атрибутов, фишек и wow-активностей выделяют Код ИБ на фоне других мероприятий.

Про уровень организации – допустим. Фирменные атрибуты… активности… вы на PHD последнем были? Я понимаю, если бы под уникальностью говорили о контенте, но завлекать майками и кепками…

03 СООБЩЕСТВО

Более 3000 профессионалов в ИТ и ИБ, среди которых директоры, руководители и специалисты по ИТ и ИБ, представляющие компании различных отраслей и госсектор.

Вот, именно с этого пункта у меня начали закрадываться сомнения. Как я уже рассказывал, конференции бывают ради посетителей и ради организаторов. Если для посетителей, то говорят про контент, уникальных спикерах и гостях (см. CISO-форум). Если для организаторов, то задача обратная – привлечь как можно больше спонсоров и представителей интеграторов по завышенной цене, о которой еще поговорим. Я не знаю специалиста, который бы пошел на мероприятие только из-за того, что там будет еще 3000 человек.

04 ИНФОРМАЦИЯ

Исчерпывающая информация о новинках и трендах в современных IT-угрозах и достижениях в борьбе с ними собрана на специальном ресурсе — Код ИБ Академия.

Ок, ресурс — это хорошо. Но каким местом академия относится именно к конференции? Вычеркиваем.

05 АКТУАЛЬНОСТЬ

Наличие у каждой конференции куратора из числа авторитетных экспертов в сфере ИБ, который определяет актуальность заявленных тем, активно сотрудничает со спикерами и приглашает интересных экспертов.

Куратор не выступает, куратор модерирует. Минут 10-15 за 2 часа. Остальное время говорят спикеры, именно из-за спикеров я готов пойти на конференцию. Модераторов я в фейсбуке увидеть могу.

Из представленных 5 пунктов можно сделать вывод, что на Код ИБ надо ехать только за фирменной кепкой. Коллеги, я уверен, что делаете вы благое дело, но упаковываете это очень странно. Но едем дальше.

Это график распределения аудитории. Зачем, зачем участнику знать, как она распределяется? Правильно, не зачем. Это надо или для спонсоров, или для интеграторов, которые захотят туда заслать своих сейлов. По двойной ставке, разумеется.

В разделе Партнеры можно увидеть список тех – кто клюнул.

Спикеры

Главный куратор конференции – Алексей Лукацкий. Ничего не хочу сказать, но когда Алексей говорит, что Код ИБ выгодно отличается от вендорских мероприятий, надо либо крестик снять, либо… Это как пчелы против меда, наркоманы против травы. Алексей — представитель не просто вендора, а самого активного вендора в сфере ИБ, который вкладывается в свою и Алексея раскрутки. Т.е. когда идет Код ИБ, Алексей берет отпуск за свой счет? Или ни разу не лоббирует интересы своего работодателя?

Сразу закрадываются подозрения (судя по пиару), что некоторые из экспертов имеют материальную заинтересованность в привлечении публики. Мб являются соучредителями, или сидят на бонусах. Надеюсь, мне только показалось. Но пойдем по программе.

Сегодня 24 июля, завтра начинается конференция – на сайте конференции, в меню вводная Дискуссия вкладка эксперты пуста. Вот это я понимаю – высокий уровень организации.

Доклады

День первый

В первый день одновременно три секции.

КАК создать презентацию для руководства, используя 7 слайдов и 15 минут?

Если презентацию можно создать за 15 минут, зачем тогда 2-х часовой практикум? Может быть имелось ввиду, что «есть всего 15 минут»? Не видел презентаций Ильи Борисова, но, думаю, здесь я бы скорее послушал по данной теме Олега Бакшинского. Ольгу Позднякову, к сожалению, не знаю. Потенциально интересная тема (не относящаяся к ИБ, но все же), но мимо.

КАК обучать и тренировать своих сотрудников?

Интересно, Сергей Волдохин, прекрасный специалист, но тема к ИБ имеет косвенное отношение.

КАК составить модель угроз, которая устроит вас и регулятора?

Со всем уважением к Алексею Лукацкому, но я был и на платных семинарах у вас по этой теме, и на конференциях много раз слышал. Тема сама по себе не плохая, малость отдает лицемерием и очковтирательством, но ладно.

Итого первая половина дня – околоибешные темы. Потом обед, и две секции подряд.

Первая секция:

КАК устранять угрозы ИБ до инцидента?

Вендорский доклад.

КАК должна выглядеть адаптивная архитектура безопасности

Вендорский доклад.

КАК осуществить защиту персональных и финансовых данных в банковской системе РФ?

Вендорский доклад.

Вторая секция:

КАК избавится от трудностей «переходного возраста» экосистемы ИБ

Вендорский доклад.

КАК избавиться от недостатков парольной аутентификации?

Вендорский доклад.

Потом обед и секция круглых столов. Мне довелось как-то вести круглый стол – очень странный формат, особенно если участников больше 5. Либо говорят только спикеры, а остальные слушают, либо какая-то секция вопросов-ответов получается, интересная только узкому кругу лиц.

Итого, в первый день можно хорошо покушать.

День второй

Три секции подряд.

КАК бороться с продвинутыми угрозами. Практический опыт

Круто. Но на конференции, скорее всего, будет много управленцев, которым будет не интересна «железная» сторона процесса.

КАК распознать атаку?

Если будут интересные кейсы, то – ок.

Киберпреступность: взгляд с точки зрения экономических законов

Алексей, экономические законы – это что? Есть, например, законы экономики. Они глобальны, про спрос-предложение, или что каждый заинтересованный спикер все поворачивает к своей выгоде. Вы про них будете говорить?

Данной программе очень сильно не хватает аннотации к докладам.

КАК найти экономически эффективные проекты по ИБ?

В интернете найти? В отрасли? В компании? Я бы с удовольствием послушал, как сделать любой проект по ИБ эффективным, и уже бы ехал в Сочи на такой доклад. Но я уже слушал Дмитрия на тему эффективности на BIS-форуме, там было далеко от заявленной темы.

Покушаем.

Опять три секции подряд.

КАК выбрать и обосновать средства защиты для Вашей компании?

Было бы интересно в 2012-15 годах.

КАК выбирать и использовать ИБ фреймворки?

У нас соки-то не везде есть, куда нам до фреймворков.

КАК защитить цифровой бизнес-процесс от всех видов нарушений?

Вендорский доклад от Рустэма Ниловича, надо идти.

КАК управлять ИБ по ISO 27001

Андрей Прозоров в последнее время им активно занимается, если будет много практических кейсов – то интересно.

И снова три секции подряд.

КАК превратить кибербезопасность из тормоза в драйвер бизнеса?

Можно послушать, мб что интересное будет.

КАК выглядит сферический инфраструктурный пентест в вакууме?

Вендорский доклад от компании «визионер российского рынка кибербезопасности».

КАК эффективно жонглировать доказательствами в судах при информационных спорах?

Вооо, что-то совсем новое. Наталья Гуляева – к.ю.н. партнера международной юридической фирмы Hogan Lovells с 20-летним опытом, так что этого человека я бы послушал.

Итого, за два дня 2,5 интересных доклада.

На третий день развлечения в море.

На четвёртый – в горах.

Сколько стоит

Разумеется, у меня возник вопрос, сколько это удовольствие стоит.

30 тысяч за два дна отдыха и чуточку интересных докладов.  Плюс дорога, плюс проживание – выходит около 100 000 рублей для простого человека. Есть специальная цена для сотрудников ИТ-компаний, для них участие обойдется в 45 000 рублей, или около 120 00 рублей за все удовольствие.

Тут у меня все сомнения отпали. Не удивлюсь, если скоро на Код ИБ будут ездить только представители интеграторов и вендора.

И в довесок нам предлагается купить удостоверение о повышении квалификации от Школы IT-Менеджмента Российской академии народного хозяйства и государственной службы при Президенте Российской Федерации. Всего 8 000 рублей. Коллеги, вы чего делаете? В то время, как в отрасли и так компетенция размыта, вы продаете корочки. Может быть РАНХ проводит обучение на вашей конференции? Тогда может быть, но нигде в программе нет о ней упоминаний. Думаю, компетентным коллегам необходимо проверить эту информацию.

И здесь меня и постигло то самое разочарование. Когда-то Рустэм Нилович поднимал тему качественного повышения контента, за который никто не хочет платить. Теперь у нас появились платные конференции, а воз и ныне там… крайне грустно.

Посмотрел я на все это дело и решил не ехать. Какое-то тяжелое ощущение осталось от всего этого. До новых встреч.

P.S. Коллеги, которые думают, что я кого-то хейчу, прошу обратить внимание, что материал размещен за несколько часов до начала конференции, когда все кто хотел, уже едут на конференцию. Данный материал — сугубо личное мнение, и не призван кого-то опорочить.

О том, как безопасники низвергли себя в пучину забвения

Как вы знаете, я очень люблю безопасность и людей, которые ее обеспечивают. В самом широком смысле слова. Я с уважением отношусь к врачам и пожарным, к работникам газовой службы. Именно благодаря их работе мы можем уютненько потрындеть в интернетике или на какой-нибудь конференции. И я очень горд, что имею какое-то касательство к общему безмятежному благополучию. Информационная безопасность – без сомнения важная и набирающая обороты сфера. Тем прискорбнее та роль, которую мы себе отвели. Мы забились в самый дальний угол и не отсвечиваем. Этому способствовало много факторов, но давайте поговорим о том, что на виду. О названии.

Многие евангелисты нашей отрасли любят сравнивать нас с западом. Говорят, все там лучше, давайте сдадим кучу тестов по американской нормативке, и называться вы будете CISO. Это так модно и звучит круто. У нас даже конференции появились (CISO FORUM), и всеми это воспринято как данность. Но давайте взглянем немного вглубь, к истокам.

Если обратиться к зарубежной экономической литературе, то можно там часто увидеть аббревиатуры: CEO, COO, CFO. Крутые слова, звучащие в точности по ТБС. Немного не понятно, то ли дело милые для нашего слуха: генеральный директор, главный инженер, главный бухгалтер, зав. складом. Но нас сделали падкими все «иностранческое», поэтому все эти CEO, CIO, CTO, CKO и т.д. активно стали распространятся. Они везде – в статьях, на визитках, конференциях. Ты кто? Я CEO клининговой компании. Матерь божья, ты бригадир! Не стесняйся этого!

Но пойдем дальше. В начале необходимо понять, что нельзя переносить эту организационную иерархию в нашу бизнес-среду. Вернее, некорректно проводить параллели и говорить CEO — это генеральный директор. Тем более, абсурдно расшифровывается аббревиатура CIO, как директор IT, начальник IT. Причем, не всегда корректно проводить параллели не только между CEO и генеральным директором, но и CEO американской и английской компании (там можно встретить Managing Director), не говоря уже о Европейских компаниях. Остановимся на американской терминологии.

Сразу хочется сказать, что строгих правил по поводу того, как кого называть «ТАМ» нет. Вы можете как угодно назвать себя и своих подчиненных. Этим американцы близки к нам. Но если они близки нам, так в чем же основное, «критическое» отличие, не позволяющее проводить параллели. Давайте кратко пройдемся.

Во-первых: для них акционеры — это куда больше, чем для нас. И если на территории постсоветского пространства акционер — это не только не звучит гордо, а в некоторых случаях звучит как пустой звук, то у них ситуация кардинально противоположная. Вы не просто претендуете на часть прибыли от хозяйственной деятельности, но вы еще имеете полное право участвовать в управлении предприятием через конкретные механизмы. У нас же, как правило, «хозяин» один и руководит как захочет и при помощи кого захочет.

Во-вторых: акценты и приоритеты в самой компании расставлены несколько иначе. Так, например, частенько у нас можно встретить главного бухгалтера, как второго человека после руководителя. И шутка типа:

«Если Ваш бухгалтер платит все налоги, то пусть получает зарплату в налоговой»

оказывается на злобу дня. На западе давно разделили понятие бухгалтерия и финансы, учет и менеджмент.

В то время как информация и человеческий капитал на Западе стали действительно основным бизнес-преимуществом, у нас эти понятия стали только объектом пристального внимания авторов статей. Как перевести Chief Knowledge Officer (CKO)? Причем проблема не в переводе, а в адаптации и понимании. Как бы вы его не перевели, этой должности не всегда есть место на наших предприятиях. А если и найти, то результат от деятельности это человека (отдела) вряд ли принесет ощутимые плоды.

Проще говоря, мы еще не доросли до уровня CEO. Мы находимся на этапе формирования общемировой бизнес-культуры в наших условиях, но растем мы намного быстрее, потому что мы видим, куда нам расти, и видим из истории, как это не следует делать.

Теперь от затянувшегося вступления перейдем непосредственно к должностям и аббревиатурам.

Board of Directors — совет директоров, избираемый акционерами. Это контур управления компанией акционерами.

Chairman of the Board — Председатель совета директоров, избираемый из числа совета.

President — это не должность, а скорее титул, своего рода лицо компании. Им может быть прямой потомок основателя фирмы в данный момент не имеющей реальной власти. Хотя опять же оговорюсь, что разделение полномочий между должностями меняется от компании к компании.

Данный уровень управления называется С-level, поскольку все названия должностей начинаются «Chief», то есть главный.

CEO (Chief Executive Officer) – должность, назначаемая советом директоров (если компания public companies). CEO может быть как приглашенным со «стороны», так и быть избранным из числа сотрудников компании. CEO осуществляет полное управление компанией и несет полную ответственность. Если компанию уличат в незаконных действиях — «сядет» именно CEO. CEO может быть по совместительству как председателем совета директоров, так и Президентом. Совмещение всех трех должностей говорит о неограниченной власти руководителя.

CFO (Chief Financial Officer) — должностное лицо, ответственное за финансы корпорации. Как правило, находится в подчинении CEO. Не редкость, когда CFO выбирается из числа совета директоров. Может называться как Treasurer (казначей) или Finance Director.

COO (Chief Operating Officer) — должностное лицо ответственное за текущую деятельность предприятия. Инструменты оперативного менеджмента полностью находятся в распоряжении COO.

CIO (Chief Information Officer) — это корпоративный чиновник высшего уровня, ответственный за информацию. (Трактовка CIO как IT директора – это нонсенс. Если у Вас сломался компьютер, то обращаться к CIO вы можете с таким же успехом, как и к главному бухгалтеру). CIO находится в подчинении CFO или CEO. В западной иерархии CIO близок CKO. Это вызвано тем, что роль информации в последнее время становится главенствующей. Привет нам всем, мы уже 20 лет бьемся, чтобы это донести.

CTO (Chief Technical or Technology Officer) — роль данной должности меняется от специфики работы компании. В технологичных компаниях может подчиняться непосредственно CEO, в нетехнологичных подчиняется CIO. В компьютерных компаниях может быть представлен в лице CIO.

CKO (Сhief Knowledge Officer) — топ-менеджер, ответственный за максимизацию ценности компании, достигаемой через знания. Ответственный за нематериальные активы (ноу-хау, патенты). Все, что связано с интеллектуальным капиталом, находится в поле управления CKO.

Роль остальных понятна из их названия, поэтому просто расшифруем аббревиатуры:

  • CMO (Chief Marketing Officer)
  • CAO (Chief Analytics Officer)
  • CCO (Chief Communications Officer)
  • CDO (Chief Data Officer)
  • CNO (Chief Networking Officer)
  • CPO (Chief Process Officer)
  • CSO (Chief Security Officer)
  • CSO (Chief Strategy Officer)
  • CRO (Chief Risk Officer)
  • CCO (Chief Credit Officer)
  • CLO (Chief Legal Officer)

Как видим, никаких CISO тут нет. CISO – это менеджер следующей ступени, после С-level. Зачастую CISO подчинен CIO, что однозначно говорит о том, как «ТАМ» видят решение вопроса, кому должен подчиняться отдел ИБ. При чем это довольно незначительная часть, занимающаяся безопасностью информации, обрабатываемой автоматизированным способом. Небольшой отдельчик, обновляющий антивирусы. Что уж говорить – «как вы лодку назовете, так она и поплывет».

Такая же петрушка с CIO. CIO — это не главный админ. CIO – это человек, достигающий цели компании с помощью ИТ-технологий. У нас же этим словом называют кого угодно — от эникейщика до реально решающих ИТ-директоров.

https://whatis.techtarget.com/reference/Roles-and-responsibilities-guide-What-does-a-CIO-do

В заключение хотелось бы сказать, что не надо слепо и бездумно копировать запад. В нашей современной среде безопасник находится на грани сфер CIO, CRO, CSO и CLO. А пока мы загоняем себя в рамки чуждой терминологии, мы все дальше будем от понимания нас бизнесом. Все вам хорошего.

Феминизм в поИБэ

Всем добрый день. Прошлая моя запись про сексизм в ИБ вызвала некоторый резонанс, мне многие писали со словами поддержки и одобрения. Хотелось бы осветить и другую сторону проблемы, то, что сейчас поражает наше общество, и ИБ в частности, раковой опухолью. Я говорю о феминизме.

Ввиду некоторых особенностей пубертатного возраста меня бросало во всякие крайности. Я посещал секты, придерживался неонацистских взглядов и тусил с сатанистами. Как говориться – есть что вспомнить, нечего внукам рассказать. Одним из немногих достоинств всего этого была встреча с людьми самых разных взглядов и мнений, в том числе маргинальных. И везде, даже в каждой самой маленькой тусовке, я видел удивительное единство мнений по поводу феминизма (мб за исключение ЛГБТ, т.к. ничего о них не знаю). И это мнение можно было выразить лишь одним словом НЕНАВИСТЬ!!!1111 Даже геи вызывали меньшей антипатии, т.к. адекватных (те, кто не пропагандируют) в такие места не заносило, а неадекватных (которые пропагандировали) быстро отовсюду выгоняли.

Вторым достоинством было то, что «начинаешь разбираться в сортах дерьма». Я уже рассказывал, что все подобные группы очень ревностно относятся к определенным признакам, зачастую незначительным на первый взгляд. Например, спросите коммуниста поддерживает ли Сталина.

Так почему же феминисток все так ненавидят? Немного углубившись в историю и послушав, что говорят сами феминистки, мы придем к выводу, что сейчас мир захлестнула третья волна феминизма. Если кратко, в самом начале женщины боролись за равные законодательные права. Женщины должны владеть имуществом и правами наравне с мужчинами. Это было все еще не очень хорошо, но глобальный шаг вперед. Традиционные общества, где женщина не считалась за человека получили первый удар. Это была первая волна феминизма.

Вторая волна решила расширить занятый плацдарм и направить наступление на личные отношения, работу и семью и т.п. Таким образом, к концу волны, а это 90-е года прошлого века, мы получили образ современной женщины. Полноправную личность, которая может достичь того, чего хочет, наравне с мужчинами. И было нам всем счастье. Но длилось оно не долго.

Тут надо сделать лирическое отступление о «мужской тирании». В демагогии есть такой прием – придумать не соотносящийся с реальностью фуфел и яростно его ниспровергать. На протяжении всей истории мужчины и женщины бок о бок боролись за выживание. Болезни, голод, смерть. Главное слово – вместе. Все наше различие сейчас не строится на власти, или во всяком случае не так, как это представляется.

Новое поколение феменисток заявляет, что мужчины владеют большим количеством богатства и капиталом. Но забывают,  что это лишь незначительная часть. Вот небольшой список вещей, где мужчины преобладают над женщинами:

  • Количество самоубийств;
  • Жертвы преступлений;
  • Количество сидящих в тюрьмах;
  • Бездомных;
  • Погибшие в войнах;
  • Даже среди худших учеников и так можно продолжать бесконечно.

И где же тут господство? Почему эти фурии выбирают малую часть очень успешных мужчин и используют ее, чтобы определять всю структуру нашего общества? В чем тут логика? Не тот ли это самый демагогический фуфел?

И все это можно было бы оставить на уровне маргинальщины и форумных обсуждений, если бы современные феминистки не пошли дальше. Вот гипертрофированный пример.

Феминизм – это не когда женщина главнее мужчины. Это называется матриархатом. Феминизм — это движение за права женщин против их дискриминации по половому признаку. Это значит, что у женщин не должно быть меньше политических, экономических и гражданских прав просто потому, что они женщины. Этот феминизм я поддерживаю всеми руками и ногами, именно этих принципов я стараюсь придерживаться в повседневной жизни и на работе.

Но когда эти женщины начинают везде кричать о мужском шовинизме, требовать введения новых слов («гендерно нейтрального языка») или изменения порядка использования существующих. Например, в английском слова humanity и mankind используются для обозначения всего человечества, но второе слово — mankind — восходит к слову man «мужчина», и потому использование слова humanity феминистки считают предпочтительнее, так как оно восходит к гендерно нейтральному слову «человек». И это еще цветочки. Т.к. большинство завоеваний женщины добились в период второй волны, осталось мало места для маневра. Поэтому особо пылким пришлось перекинуться на личную сексуальность и гендер в целом.

Например, была придумана квир-теория. Если кратко, наш пол и сексуальная ориентация не столько определяется биологическим полом, сколько окружением. По такой теории все мы должны быть строго геторосексуальными, т.к. таких у нас подавляющее большинство. Но разделы теории почему-то фокусируются на таких темах, как бисексуалы, лесбиянки, геи, трансвестизм, трансгендерность, интерсекс, гендерную двусмысленность, хирургическую коррекцию пола и т.п. На какую современную активистку фем-движения не посмотри, так она кто угодно, но не гетеросексуалка. Видимо, обычных гетеро-женщин из движа выгоняют.

С совсем фанатичками можно говорить лишь на языке фактов (жаль, что их не слышат). Мужчины тоже испытывают дискриминацию. Например, почему к женщинам не применяют смертную казнь. Или почему с момента зачатия мужчина лишается всех репродуктивных прав? Как только женщина беременеет, все права передаются ей одной. Только она вправе решить, сохранять беременность или нет. И если мужчина не хочет быть отцом, ему все равно придется им стать, если женщина того пожелает. Конечно, она не может заставить мужчину воспитывать ребенка, но она может признать его отцовство через суд и потребовать алименты. А если женщина не хочет — она вправе сделать аборт, не спрашивая мнения мужчины. То есть и отцом он стать не может по своему желанию.

Можно продолжать бесконечно. И не было бы проблем, но все это выплескивается и в обычную жизнь. Я уже рассказывал о секции на CISO форуме «Женщина в ИТ». Но не говорил, что на ней было. А там была представлена явная сегрегация – мужчины отдельно, женщины (в первую очередь) отдельно. У нас уже появляется информационная безопасность для женщин. Это не потому, что безопасность нужна женщине, а потому что она женщина.

В последнее время все чаще эксплуатируют этот тезис – потому что она женщина. И я понимаю, когда речь идет о специфических вещах, например, специальных средствах гигиены. Но зачем вы лезете марать профессиональные темы? Почему нас все еще культивируются эти предрассудки? Не играй в машинки, ты девочка? Почему все это не основывается на банальном профессионализме и компетентности? Когда у вас засоряется туалет, вы вызываете сантехника. И в подавляющем большинстве случаев это будет мужчина. Это не потому, что есть тирания глобального мафиозного клана сантехников. Скорее всего он лучше и экономически выгодней.

Я помню серию репортажей, когда началась уберизация такси о женщине водители. О, боже, какая она смелая, как ей тяжело, ай-ай-ай. Ау, люди, она водитель. Женщины могут водить машину, доезжая до магазина, почему же они не могут зарабатывать, водя авто? Если вы такие эмансипированные женщины – идите в грузчики.

Вы, наверно, помните историю с Варварой Шубиной и Аной Мавричевой. Одной из причин моей реакции на вопрос была подача. «Ой, девочки, что расскажу. Тут есть девочка, она такая крутая, и готова вас сделать крутыми». Чувствуете уклон, да? Девочки отдельно, потому что ездят на единорогах, мальчики отдельно, потому что «плохо пахнут». Может быть, если бы это был обычный бизнес-тренер – да и шут с ними, кто я такой, чтобы запрещать людям потерять свои деньги? Но об Ане в другой раз.

В заключение хотел бы сказать, что определенная асимметрия в мире и взаимоотношениях полов есть, но тогда бы он не был так пленительно притягателен, а был бы выверено строг и скучен. Возможно, женщины зарабатывают чуть меньше, а мужчины выходят на пенсию позже и умирают раньше. Это можно продолжать до бесконечности. Главное — взаимное уважение всех сторон.

Мира всем.

От форума к видео – путь графомана

Всем добрый день. Если вы любите рисовать буковки на бумаге или пиксели на экране, а особенно, когда это складывается в какие-то законченные мысли, вы равно или поздно придете к решению поделиться этим с окружающими. Причины могут быть самые разные — от банального любопытства до профессионального интереса. А если вы в добавок графоман, как я, то у вас вообще нет выбора.

Я прошел все стадии от анонимного блога до написания профессиональных статей, а недавно появилась вишенка на этот слоеный пирог. Теперь я с уверенностью могу сказать, что пробовал все способы самовыражения, который предоставляют современные технологии. О чем и хочу рассказать.

Форумы

Самая простая начальная стадия. Нет ничего проще, чем под настроение поучаствовать в какой-нибудь дискуссии на сотни страниц. А количество пользователей и административная иерархия добавляют различные вкусы в это блюдо. Вы можете выбрать любую роль от эксперта по выращиванию хризантем до ревностного оппонента администрации форума.

Мое активное участие на общенаправленных форумах пришлось на 2000-2008 год. Мне даже удалось стать администратором из народа на форуме в 100 тысяч человек, где творился чад кутежа, интриг, и всей той вакханалии, которую творят молодые люди, имеющие неограниченный доступ к компьютеру.

Затем я основал и долго админил узкоспециализированный форум, который жив и поныне. С прискорбием должен сказать, что форумы умирают. Жизнь теплится в каких-то определенных областях, где форум удобен, как платформа, но сейчас уже нет интересных форумов общей направленности.

Форумы все еще остаются замечательной песочницей для оттачивания своих навыков. Форумы дают замечательную анонимность. В конце концов, форум вы всегда можете забросить, но память останется в веках, особенно, если вы писали что-то дельное.

Личный анонимный блог

Личный блог становится следующей стадией. Свой первый блог я открыл в 2003 год в ЖЖ и вел еще один на форуме. Оглядываясь назад, сложно сказать, зачем мне надо было два блога. Но что было, то было. Блоги – это уже следующая стадия социализации, тут у вас появляются друзья по интересам. Если сохранять должную цифровую гигиену, то можно быть неузнанным все время использования.

Проблема кроется именно в анонимности. Если вы хотите славы, пусть и в узких кругах – это не ваш вариант. Рано или поздно произойдет деанонимизация, что может сказаться на вас негативно, вы ведь ведете анонимный блог. Последствия этого могут быть самые разные. И, конечно, будет крайне ограничен круг ваших тем, например, вы вряд ли сможете писать на профессиональные темы. Если же вас именно это интересует, то вам поможет следующий раздел.

Надо признать, что личные блоги на известных платформах умирают, вместе со своими платформами. Сейчас практически нет удобных соцсетей для периодического ведения блога. Да, ЖЖ подходит идеально, но он умер. А Вконтакт с Фейсбуком все же несколько для другого.

В прошлом году после 15 лет работы я закрыл свой анонимный блог.

Профессиональные статьи на заказ

Если вы достаточно профессиональны, рано или поздно вам предложат написать статью на заданную тему. Это уже качественный шаг вперед. Проблема в том, что вы жестко ограничены темой. И редактор, составлявший план, крайне смутно может понимать вашу специфику. Тогда вы будете писать про программы слежения за сотрудниками. Но если ваш материал будет интересен или качествен, вам могут дать некоторую свободу в освещении темы.

Обычно такие задачи прилетают с крайне сжатыми сроками и конкретными требованиями к объему. Например, 9000 знаков за 2 недели. Как вы понимаете, за это не платят. Но если вы захотите пойти по пути евангелиста вашей области, человека, который продвигает и пропагандирует определенные направления, это будет хорошим стартом. Рано или поздно вы сможете стать специализированным пиарщиком и лидером мнений. Например, в области информационной безопасности такой путь прошел Алексей Лукацкий.

Если чувствуете в себе силы, можете попробовать.

Литературное негритянство

Если в статьях на заказ вы пишете на заданную тему, то, став литературным негром, вы еще и будете получать за это деньги. Литературный негр пишет под именем другого автора, заказчика работ. Обычно это внушительные по объему материалы, в моем случае это была книга по экономическому анализу (120 страниц А4)

Обычно данное явление распространено в сфере журналистики и других сферах, связанных со словом. В нашей ИТ сфере с этим все несколько хуже. Где и как вы найдете заказчика — тайна великая есть. Сам я на это подписался совершенно случайно, услышав разговор в коридоре. Денег тогда платили нормально – 2,5 моих зарплаты. Как сейчас с этим — не знаю.

Направление крайне специфическое, время идет, сил заниматься этим не хватает, особое мнение заказчика надо учитывать. Когда я через 6 месяцев сдал исходник, у меня словно гора с плеч свалилась. Я даже не знаю дальнейшую судьбу рукописи, вроде как ее издали, и меня даже взяли в соавторы.

Занятие на ваш выбор.

Корпоративное обучение

В определенный момент вас могут выдвинуть на проведение очных обучений ваших заказчиков. Вы что-то создали, и теперь должны обучить пользователей это использовать. Надо сказать, что штука это довольно обременительная, т.к. зачастую обучение происходит среди людей, далеких от ИТ и ИБ. Первым моим опытом было обучение всех школ Москвы основам защиты персональных данных. Тогда я объездил все округа, где в зале собиралось по 200-300 человек, где должен был рассказать, что теперь им работать придется больше, а платить им будут столько же. Один раз меня чуть не побили в СВАО.

Если обучения вам избежать не удается, то вам поможет хорошее знание темы. В случае любых конфликтов вы всегда можете сослаться на то, что вы просто исполнили заказанную работу. И уж точно вам удастся раскачать навык публичных выступлений.

Наверно, самый спорный вид самореализации – все же учить должны педагоги или люди с профильным образованием.

Корпоративные выступления на конференциях

Это следующий шаг, когда вы не просто выражаете свои мысли письменно или находитесь в лояльной аудитории, как с обучением, но доносите необходимое до широкой аудитории. Это классика публичных выступлений, идти или не идти в которую каждый должен решать самостоятельно. Обычно направляет на такие выступления работодатель, реже вендор.

Каждому выступающему в самом начале надо решить следующие задачи:

  • Интересная тема (хотя бы не банальная);
  • Слайды. Это является отдельным искусством, о котором можно говорить долго и увлеченно.
  • Текст выступления. Его необходимо знать хотя бы в общих чертах, чтобы не читать без бумажки.
  • Тайминг. Неприятный факт, что можно и не успеть в отведенные 10-15 минут донести необходимую мысль, или наоборот быстро отстреляться и оставшееся время ждать вопросы от аудитории.
  • Внешний вид. Публичные выступления довольно требовательны к внешнему виду, хотя сейчас наметилась тенденция к упрощению, можно читать хоть в толстовке.

Советую попробовать каждому хотя бы раз, после этого вы точно будете знать – развиваться ли в этом направлении дальше или забросить это дело.

Интервью конференции

Выступить, пусть и под запись, может большинство. Но вдруг вас ловит журналист, нанятый организаторами, который хочет взять флеш-интервью. Вот одна из моих первых попыток:

Здесь было все ужасно. Адреналин бьет через край, парализуя мозг. Через 5 лет все случилось ненамного лучше.

Главная проблема интервью, что вы чаще всего вы к ним совершенно не готовы. Представьте ситуацию: вы только выплеснули всю энергию, а каждое выступление — это стресс, если, конечно, вы уже не сделали сотни выступлений, а тут вас застают врасплох, надо срочно сконцентрироваться, ведь вас снимаю и точно это где-то покажут. Интервью остаются для меня самым сложным испытанием.

Экспертные мнения к новостям

Когда вы станете довольно известны в своей области, к вам периодически будут прилетать запросы на комментарии. Мне прилетали запросы на комментарии по актуальным темам еще пару лет, как я уволился.

Происходит это так. Журналист хочет осветить свежую новость, и, чтобы усилить эффект, хочет собрать мнения экспертов. Как вы понимаете, это довольно непростая задача, эксперт может быть занят, в отпуске, ничего не понимать в теме новости.

Эксперту тоже не сахар. Новости может быть 2 часа жизни, а вы уже должны мало того, что знать суть, так еще и охватить смежные области, часто сделать прогноз, и все это за 30-40 минут, т.к. материал пора публиковать. И, разумеется, желательно, чтобы ваше мнение было еще оригинальным. Один раз я 30 минут сидел в машине в Пушкино, написывая через смс свое крайне «компетентное мнение».

Выглядит это примерно вот так.

А еще бывает такая крутая штука, как «эксперт, решивший остаться неизвестным». Это когда мнение необходимо, но персонализировать его по каким-либо причинам нельзя. По самым горячим темам 2014-16 годов можно найти самые неожиданные мнения, особенно, если знать, кто «пожелал остаться неизвестным».

Профессиональные статьи со свободной темой

Собственно, это развитие статей с заданной темой. Если вы хорошо себя зарекомендовали, даете качественный контент, вам могут дать карт-бланш на заполнение пустых полос. Это вершина письменного профессионального творчества.

Если вы достигли этой точки – поздравляю, я до нее пока не добрался.

Личные выступления на конференциях

А это, как понятно из названия, вершина личных выступлений. Когда вас рады видеть на любой конференции, чтобы вас послушать. И могут оплатить перелет, проживание и развлекательную программу. В области ИБ таким, например, является Рустэм Хайретдинов, которого можно слушать всегда и везде, чтобы он не хотел рассказать.

Личный профессиональный блог

Самая переоценная категория в отличие от анонимного – вы можете писать на свою профессиональную тему. И вас начнут воспринимать как эксперта. Проблема профессиональных блогов в том, что темы-то заканчиваются. И если в ИТ есть еще какое-то развитие, то в ИБ вы будете кидаться на любой информационный повод, на любой проект постановления правительства, и тоже самое будут делать ваши коллеги. Тлен и безысходность.

Если все же отважитесь, то вам необходимо быть экспертом в заданной сфере и давать неожиданный взгляд на текущую ситуацию, чтобы быть не как все.

Личный полу-профессиональный блог

Я поставил полу-профессиональный блог выше профессионального из-за более широкой сферы тем. Именно поэтому я перевел свой блог с прямых рельс информационной безопасности на более общие темы.

Как вы понимаете, в данном случае вы публичны дальше некуда. И много сказанное вами будет использовано против вас в самых неожиданных местах и формах. Например, некоторые корефеи до сих пор язвят по поводу Дошираков, хотя это была просто работа.

Если не боитесь, то это лучший из вариантов для удовлетворения своих потребностей в графоманстве.

Аудио-подкасты

Аудио-подкасты у нас как-то особо не взлетели. Все же большинство людей визуалы, т.е. воспринимают картинку глазами. Поэтому самым удобным способом юзать подкасты – слушать в машине или в транспорте в наушниках.

Сами по себе подкасты предъявляют повышенные требования к теме и выступлению, но проще в реализации, записывать их можно хоть в трусах. Большим плюсом является наличие ведущего и других гостей, с которыми можно завязать диалог и улучшать качество контента.

Крутой формат, всегда с удовольствием участвовал, но проблема использования стоит во все поля.

Теледебаты

Те же подкасты, но с картинкой. А, следовательно, сюда добавляются требования, как и к выступлению на публике – тема, слайды, выступление и т.п. Мне удалось поучаствовать в первом сезоне Кибербаталий от Infowatch. Где каким-то чудом я выиграл приз зрительских симпатий. Но это было крайне сложно. Я бы не рекомендовал участвовать, если вы не пробовали большинство из предыдущих пунктов.

Сам я не высоко оцениваю свое выступление, сейчас бы я все сделал по-другому.

Новости

Прохождение всех предыдущих стадий у меня заняло 19 лет, с момента первых форумов и блогов. И вдруг каким-то чудом меня утвердили читать корпоративные новости. Приятная неожиданность быстро сменилась легкой тревогой на подготовке – новости надо было заучить. Это не рифмованные стихи, это пресс-релизы, а слово «гиперконвергентной» я теперь могу выговорить без запинки (и, надо сказать, записали мы эту новость быстрее всех).

Но самый ад начался на записи. Интервью — пыль по сравнению с новостями. Оказалось, камера выпячивает все недостатки, которые у вас есть. Как визуальные, так и артикуляционные. Первый выпуск мы записывали 3 часа, это 3 часа стоя на ногах с порванным мениском (незадолго до этого меня сбила машина). Мой язык к тому моменту совершенно меня не слушался, и я был готов бросить все и убежать, и никогда больше с этим не связываться. Все же я никогда не учился на диктора, и вряд ли когда-нибудь смогу, начав с середины жизни.

https://www.facebook.com/LANIT.life/videos/1121716011342443/

Если вы все же решитесь, будьте готовы к тому, что хоть вы и говорящая голова на экране, но за этим стоит большая работа множества людей. И они будут предъявлять определенные к вам требования, это зачастую нелегко. Вам может казаться, что вы сделали супер, но ваш режиссёр будет наседать на вас, пока не добьется превосходного результата.

Надеюсь, вам было интересно плавать по волнам моей памяти. Как вы заметили, я совсем не касался причин той или иной деятельности. Вы можете хотеть продвинуть личный бренд, как сейчас модно говорить, или поделиться опытом – не принципиально. Но это уже тема отдельного большого разговора.

А на сегодня все. До новых встреч.