«Быть PS». Как обманывают вендоры ИБ, и каково ваше место в данном обмане (+кейс)

Здравствуйте, мои маленькие любители пресейла. Сегодня у нас глобальная тема – про обман. Если говорить более конкретно о том, как вендора обманывают заказчиков, и вашем месте во всей этой схеме.

fraud

Необходимо заметить, что под вендором я здесь понимаю не каких-то конкретных злых людей, а вcю совокупность процессов и факторов в этом вендоре происходящих. Корни этого обмана, конечно, лежат в людях, эти процессы выполняющих, но вклад их такой ничтожный, что кого-то выделить – крайне сложно. Наверно наибольший вклад вносят сотрудники рекламы, маркетинга и прочих отделов «бизнес-консультирования».

Кстати, рекомендую освежить нашу дискуссию в «Открытой безопасности».

Начнем с диспозиции. Вы пресейл в интеграторе (а это единственное место на рынке раскрывающее всю суть пресейла, пресейл в вендоре – крайне зауженный специалист), и ведете проект по продаже системы информационной безопасности. Ваш заказчик имеет большую поповыносящую проблему (БПП) (иначе, зачем ему вы?), и так вам доверяет, что о ней вам сообщает (или уже отчаялся ее решить и рассказывает о ней всем).

Вы, прикинув бюджет и маржу (см. главу – Продажа), сообщаете бюджет и обрисовываете общие контуры решения. Получает, ок, и идете дорабатывать техническое решение.

Отступление: понятно, что вы не просто так взялись за БПП – вы слышали, что у вендоров А, Б и В порознь был нужный функционал, и если их скрестить, то можно получить нужный результат. Разумеется, вас осенило, это божественное прозрение. Иначе бы этот БПП решило какое-нибудь ООО «Солнышко» еще два года назад, поскольку они только и умеют, что винду устанавливать. А вы серьезный интегратор.

Вы общаетесь с вашим техническим отделом, они подтверждают, что тоже слышали о таком функционале, но сами не видели, надо уточнить у вендоров.

Вы бросаетесь звонить по вендорам, пройдя через дурацкие вопросы «а кто заказчик?», «а сколько денег?», «а когда поставка?», вы получаете подтверждение и радостно пишете КП. В это время заказчик радостно рапортует о близком избавлении от БПП вверх по лестнице. Организуется тендер, на котором вы единственный участник (т.к. дураков больше нет), и вы подписываете договор.

Вы передаете проект в техотдел, и радостно поздравляете себя с выполнением квоты. И тут начинается всякая ебала. В начале выясняется, что вендор А – нужный функционал реализовал лишь в тестовой версии, а в пром это выйдет в следующем году. Вендор Б реализует стандартный функционал на редком и устаревшем оборудовании, которое сейчас не купить. А вендор В – вообще пиздит в своим материалах, на конференциях и партнерам, что бы не отставать от конкурентов.

Дальше варианты развития проекта различны. Но вы и заказчик, точно в роли проигравших. Суть в другом, каждый из этих вендоров обманул заказчика. Причина этого кроется в схеме коммуникаций:

fraud_scheme

Как видно, основная коммуникация: Ответственный за проект – пресейл – продукт-менеджер.

В сущности пресейл и заказчик, введены в заблуждение продукт-менеджером, который в свою очередь обманут внутренними подразделениями вендора. О том, как реально работает что-то, знают лишь разработчики, но их никто не понимает. Маркетинг, пиар и реклама – обеспечивают информационный шум, им вообще пофигу, что как работает. Главное, «держать долю рынка». Не редко, они приходят с идеями написать какую-нибудь неебическую фичу, что бы уделать конкурентов из ПАО «Гипер-звук» (ну и в журнале модном напечататься, куда ж без этого?).

Сейлы давят на менеджеров и разработчиков, что бы план выполнить. Им, кстати, тоже пофигу, как оно работать будет, особенно если сумма в миллионах. Менеджеры по развитию вообще витают в облаках своих влажных мечт об идеальном продукте, и как они будут в блоге писать о тернистом пути его достижения.

В итоге вендор под лозунгом «главное ввязаться в войну, а там посмотрим», будет убеждать, что все будет в ажуре.

В интеграторе в принципе та же фигня и все те же, только еще хаотичней. В итоге, нифига не работает, а крайним остаются — пресейл и ответственный за проект. А БПП так и остается БПП.

Количество заявленных и неработающих функций на рынке просто зашкаливает. Можно было бы привести примеры этого года, как уважаемые интеграторы тянут волынку в уважаемых топ-заказчиках. Но у меня есть пример проще, который наглядно иллюстрирует всю схему.

Пример

Потребовалось мне провести расчетную экспертизу по строительству, чтобы не лазать по всему интернету за документами, мой выбор остановился на системе «КонсультантПлюс» и их информационном банке «Строительство».

«КонсультантПлюс», будучи вендором, продает свои решения через дистрибьюторов, которые осуществляют клиентское сопровождение и прочая. Меня переправили к дисти, который подтвердил мне требуемый функционал, и с которым я и заключил договор.

В ходе эксплуатации, оказалось, что «КонсультантПлюс» нагло наврал в своей рекламе, что у них есть требуемые документы. Если кому интересно, вот, скрин с их сайта:

consultant_ru2

В общей сложности у них выявилась недостача 3192 документов – 2008, 2011 и 2014 годов, которые вендор на голубом глазу предложил получить у дисти в частном порядке. Как видим, даже «самая полная база правовой информации», сделает все, что бы продать свой продукт.

Компенсировать затраты «КонсультантПлюс» отказался.

Такие дела. Берегите себя.

 

P.S. Кстати, оказалось, что у КонсультантПлюса – нет тикетной системы, вы никогда не узнаете, статус вашего обращения, если не будете названивать туда каждый день.

consultant_ru1

Заказ на конкурента

Чего только не приносит разбор ящика, на который давно не обращал внимания. Написал мне сотрудник одного уважаемого вендора с необычной просьбой… сделать серию чернушных материалов на конкурента. Конкретно так закатать, с предоставленной фактурой. По сути, им нужен рупор для озвучивания того, о чем многие догадываются. Компромата там – мамочки родные. Предлагали 10 тысяч за пост, и общим количеством 10 постов за 3 месяца.

Ясен пень, я отказался. Во-первых, как же мои любимые читатели будут без объективной информации. Во-вторых, как-то обидно мало. «Его совесть не продавалась, но ее удивительно доступно можно было взять в аренду» (с)

pokoynik-daet-denjgi-11

Посему решил озвучить стоп-цену, с которой имеет смысл начинать обсуждение.

Расценки на услуги

Написать о вашем бренде что-нибудь хорошее – 100 000 р. за пост

Написать о вашем бренде что-нибудь плохое – 10 000 р. за пост

Ничего не писать о вашем бренде – 1 000 000 р. в год

Написать о чужом бренде плохое – 200 000 р. за пост

Ничего не писать о чем-либо – 150 000 р. месяц

Рубиться за вас в комментариях по определенной теме – 10 000 р. за тему

Рубиться за вас в комментариях по любым темам – 100 000 р. в месяц

Стебать конкурентов в комментариях – 10 000 р. за 10 комментариев

Участвовать в версусе – 5000 р.

Победить в версусе – 20 000 р.

Проведение тренинга по pre-sale в области ИБ и ИТ – 10 000 р. занятие (минимум 5 занятий)

Ответить на вопрос по персональным данным – 1000 р. вопрос

Организовать защиту персональных данных – 100 000 р. в месяц (СЗИ, ОРД, ТРП и внедрение не входит).

Консультировать по прохождению проверки по персональным данным – 100 000 р.

Представлять вас на проверке по персональным данным, в качестве вашего сотрудника – 300 000 р.

Выступление на конференции с заданной темой – 5 000 р. (если кормят)/ 10 000 р (если не кормят) + оплата проезда и командировочных.

Выступление на конференции с темой на мое усмотрение – бесплатно (+проезд и командировочные).

Интервью/мнение по любым вопросам (кроме ИБ и ИТ) – бесплатно

Интервью/мнение по вопросам ИБ и ИТ – различная

Анализ рынка/маркетинговой стратегии/позиционирование и т.п. – 1 000 000 р.

Однажды

— Ну, что, чувак, на следующей неделе на этом же месте в это же время!!! Заметано?
— Заметано!
— Смотри не подведи! Здесь тебе не песочница!!

1284976785_041

— Я буду скучать по тебе!! Я буду думать о тебе всю ночь. А потом еще одну… До следующих выходных, мой милый!!
Она уходит, но вдруг поворачивается, бежит, и они кидаются в нежные объятия друг друга.
Она думает: «Наконец-то…Неужели это он…Я так долго искала его…».
У него в голове в это время проносится мысль: «Без нее все не то…Неужели это она…Даже есть ничего не хочется, когда она не рядом».

— Ну ты, дурак, ты сломал мою машину!!! Ты попал!! Что мне теперь делать? Как я теперь все объясню???
— Да она уже и была у тебя битая!
— Учти, я пожалуюсь! Мои люди заставят тебя молить о прощении. Поверь, они умеют выбивать из мужиков слезы, понял??

— Мам!!! Но я люблю его!!! Он такой заботливый!!! Я хочу быть с ним!!!
— Нет, я сказала!
— Но он пригласил меня к себе!!!
— НИ ЗА ЧТО, ты никуда не пойдешь!!! Да о чем ты думаешь???? Да ты еще так юна и жизни совсем не знаешь!!! Послушай меня внимательно и заруби себе на носу: им всем от тебя нужно только одно…А учитывая разницу в возрасте…
Мама тяжело вздохнула…Ох, уж, эти шестилетние мальчишки…Вскружат голову и без того несерьезной трехлетней дочке…
— Пошли! Это не детская площадка, а цирк какой-то!!!
И мама увела свою дочь домой. Впрочем, за всеми остальными спорщиками уже тоже пришли их мамы и папы.

2011 г.

НСПК на крючке у АНБ?

Сижу я с утра, правлю резюме, и изучаю сайт потенциального работодателя Solar Security.

nsa-nspkЗацепился взгляд за последнюю новость (сохраненная копия):

Компания Solar Security, разработчик продуктов и сервисов для целевого мониторинга и оперативного управления информационной безопасностью, сообщает об успешном завершении основного этапа проекта, реализованного в АО «Национальная система платежных карт» (НСПК).

В ходе проекта сотрудники Solar Security и НСПК совместно подключили инфраструктуру компании к сервисам Solar JSOC, который обеспечил выявление и анализ событий ИБ, а также позволил предотвращать кибератаки в режиме реального времени 24/7. Параллельно в НСПК была развернута вся необходимая инфраструктура для построения внутреннего SOC, на которую постепенно были перенесены правила корреляции и выявления инцидентов, профили источников данных и другие наработки Solar JSOC.

Успешное функционирование национальной платежной системы является одной из задач национального значения. Поэтому с момента создания НСПК специалисты компании отводили ключевую роль формированию надежной системы кибербезопасности. Важной частью такой системы является мониторинг инцидентов ИБ.

Согласно мировой практике, создание системы мониторинга и реагирования на угрозы кибербезопасности может занять несколько лет, поэтому на период ее построения в НСПК было принято решение об использовании услуг ИБ-аутсорсинга. В качестве сервис-провайдера была выбрана российская компания Solar Security.

Я, честно сказать, порадовался, какой крупный проект. А потом, что-то мне показалось очень неправильным. Всем известно (да, и вендор этого не скрывает), что Solar строит свой SOC Solar inView и его аутсорсинговую версию JSOC на продуктах компании HP – ArcSight. Это, кстати единственный продукт из 4, который Solar не стал заявлять в реестр отечественного ПО (хотя мб и подали):

Все отечественные продукты Solar Security

Все отечественные продукты Solar Security

Т.е. это единственный не отечественный продукт в линейке компании. Я уже писал, что продажа услуг – легальный способ обхода ограничений на покупку иностранного ПО. Судя по новости, НСПК решил строить свою самую главную систему информационной безопасности на западном вендоре… И теперь, каждый сенсор ArcSight будет стоять на каждом ключевом узле НСПК, что бы передавать информацию в JSOC. Это просто особенности работы этой системы.

solar-jsoc-sec

Конечно, у нас на рынке есть более сведущие люди по закладкам АНБ в западных решениях, и об этом надо спрашивать Илью Медведовского. Но мне представляется, крайне плачевная ситуация. Ведь, что такое система SOC? К какой информации она может получить доступ?

Вероятная схема утечки данных из НСПК

Вероятная схема утечки данных из НСПК

Как минимум:

  • Настройки средств защиты;
  • Настройки сетевого оборудования;
  • Настройки серверов и рабочих станций;
  • Инциденты безопасности и многое другое.

Если предположить, что HP сотрудничает с Агентством национальной безопасности США, как и Cisco, то вся наша платежная система уже под колпаком.

Считайте меня параноиком, но я хотел бы задать вопрос – кто кого ввел в заблуждение, принимая решение ставить западное решение ArcSight под торговой маркой Solar Security?

В то время, когда основным драйвером для НСПК стало возвращение Крыма и попадание нашей страны под несправедливые санкции. Мы открываем всю нашу платежную информацию вероятному противнику… Фактически каждый житель России, теперь под колпаком у США. Так мало того, инфраструктура НСПК подвергается серьезному риску, если уже не взломана…. Все это крайне печально.

У меня, к сожалению, нет никаких твердых данных, и все выше изложенное всего лишь мнение человека со стороны, обывателя. Но в этой истории больше вопросов, чем ответов. Надеюсь официальные представители НСПК прокомментируют ситуацию.

Всего вам доброго.

Книга «Быть PS». Глава про конференции

Что-то поднадоело писать про ИБ. Что не напишу, так сразу кто-нибудь обижается. Таит или изливает обиду, тем самым увеличивая негатив в мире. А я, как постигающий дао, не могу допустить распространения порчи в мире. Поэтому вернусь к старым делам, сегодня очередная глава про pre-sale.

Неделю тому назад у меня выдалась крайне насыщенная программа по выступлениям. Вначале, в среду, мне надо было побыть филлером на конференции (а вернее выставке) Infosec-2016, а в середине дня я узнал, что на BISA-Summit мне тоже надо выступить, т.к. я что-то там выиграл (кстати, всем спасибо, кто за меня голосовал).

Надо сказать, что конференции в вашей карьере будут происходить часто, и вам надо определиться с вашей ролью там.

На каждой конференции (выставке) есть три основных темы (направления), за которыми туда приходят люди. Эти темы практически не пересекаются, и у вас вряд ли получиться их совместить. А если и получиться, то эффект будет минимальным по всем направлениям.

Первое, зачем приходят на конференции – узнать что-то новое. Сюда же относится промышленный шпионаж, воровство идей, подглядывания, подсматривание и т.п. 90% посетителей конференции сидят в залах на выступлениях и круглых столах. Посетители по расписанию выходят на обед и кофе-брейки, и редко отступают от намеченной программы. Расстроить посетителя легко – достаточно не дать ему того, что он ожидал.

Второе направление – пиар. Как личный, так и продукта. Крайне желателен хайп, а еще лучше ввязаться в какой-нибудь срач. Самый затратный пусть – надо либо купить место под стенд, либо навязаться в программу мероприятия.

Последнее направление, я называю, ФБД — «фиготня больших дел». Самая скрытая часть любого массового мероприятия. Сложно, даже четко описать ФБД. Она как дао, проще сказать, что дао не является. Например, точно ФБД не является общение вип-менеджеров в вип-комнате и на завершающем фуршете на глобальные темы. Ее затрагивать сейчас не будем, мб потом. Вы сами поймете, когда будете заниматься ФБД.

А теперь, дорогой друг, рассмотрим возможные роли, сценарии поведения и потенциальный профит от каждого сценария.

Посетитель

Самая распространенная роль. Посетитель — это аналог анонимуса в интернете. Анонимус силен, ибо имя ему легион. Самая лучшая роль, что бы что-нибудь вынюхать, представиться псевдо-заказчиком, задать «неудобный вопрос» и т.п.

Разумеется, вас не должны знать в лицо. Так что, если вы человек известный в узких кругах используйте другие способы добычи информации (здесь ссылка на главу о добыче инфы).

Например, пока я занимал 20 минут эфирного времени на Infosec, в первый ряд сел Андрей Прозоров, который последнее время тоже пытается заниматься экономической оценкой. И стал задавать наводящие вопросы. Разумеется, я ушел от ответов, потому что:

  • Выступление было не про методы, а про подходы;
  • Андрей работает в коммерческой организации и выведывает информацию чопорно;
  • И зачем мне плодить конкурентов?

Минусов у посетителя тоже хватает, вас, скорее всего, не покормят и не нальют. Вам не займут местечко в зале с крутой демонстрацией, не позовут в круг Илиты потрындеть о высоком и т.п. Зато можно несколько раз подходить за какой-нибудь нужной халявой – ручки, блокноты, календари и т.п. Ну, и лишний выходной никто не отменял, большинство конференций можно обойти за 10 минут и свалить.

Стендер

Это роль человека, который стоит на стенде, отвечает на вопросы, рассказывает о продуктах или услугах и т.п. Эта роль подходит не всем, я знаю нескольких человек, которые делают это очень хорошо. Я два раза пытался – это было форменное мучение.

Из плюсов: можно завести кучу случайных знакомств и провести день в компании с симпатичной девушкой (их стали все чаще приглашать на стенды).

Из минусов: полностью убитый день (если вы, конечно, не претесь от этого) и невозможность совмещения с другими ролями.

На той же BISA видел скучающего Максима Лагутина, все хотел подойти, но как-то не получилось (Максим, кстати, отчет так и не пришел по SiteSecure).

Спикер

Вы выступаете с докладом или презентацией. Все просто.

Две возможности просочиться – либо вы проплатили стенд, и доклад входит в ваш пакет, либо вы такой очешуенный специалист, что организаторы вас сами позвали (но чащей, вы просто блогер или медийный персонаж и выступать ваша обязанность).

Крайне сомнительная роль. Пригодна разве что для напоминания о себе. Будете рассказывать о продукте, либо скатитесь в джинсу и вас не будут слушать, либо в какое-нибудь теоретизирование, где ваш продукт замылится за глобальностью темы. 95% коммерческих докладов, которые я слышал, провалились.

Из плюсов: пустят поесть в пресс-зону, а благодарные посетители не дадут вам скучать целый день.

Из минусов: ваш провал запомнят и будут обсуждать еще пару дней, практически исключает ФБД.

Например, на BISA многие ждали секции «Agile в ИБ» от Алексея Лукацкого. Я даже отставил бокал с вискарем и приятную беседу, что бы успеть к началу. К удивлению всех, Алексей начал секцию со слов «Я решил не разговаривать сегодня про agile» и начал брейн ринг с кучей «интересных вопросов». Наверно, фанатам Алексея это понравилось.

agile_sec_lukatsky_1

agile_sec_lukatsky_2

agile_sec_lukatsky_3

Как ни печально, но ребята, что на виду, редко что-то могут предложить или сделать для ФБД. Часто это профессиональные выступающие, а с выступающего взятки гладки. Он не принимает решений и редко участвует в их реализации, т.к. все его время занято выступлениями. Очень жаль.

Сейл

Отдельная глава о сейлах. Вообще, это странная роль для пресейла, т.к. в лучшем случае, на конференции пресейл может поддержать продажу или проект, этакий очередной раунд переговоров в нестандартной обстановке.

Собственно для пресейла эта роль вторична к какой-то другой.

Ищущий работу

Удивительно, но много людей ходят на конференции, что бы сменить место работы. Получается в основном у не-технических специалистов.

Алгоритм прост:

  1. Как можно чаще выступать на конференциях, как независимый эксперт.
  2. Тереться по всем конференциям и выставкам, что бы запомнили в лицо.
  3. Участвовать во всех афтер-пати и заводить знакомства.
  4. ….
  5. PROFIT

Адепт ФБД

За все хорошее, против всего плохого

Фух, вернулся я с Infosec. Надо сказать, что занесло меня туда случайно. Тем из вас, кто смотрит сериалы (или аниме), должно быть знакомо понятие филера. Это серии, не двигающие основной сюжет, и созданные, чтобы забить время. Я и был таким филером :) Заполнил собой 20 минут, как мог.

Приехал я раньше, чем планировал, и больше общался с коллегами. Идем мы с одним таким коллегой (а он, надо сказать, человек тонко чувствующий), а он говорит: «Посмотри, как на этой выставке все ненавидят друг друга. Они же все прямые конкуренты. В лицо улыбаются, а сами бы разорвали оппонентов на куски».

apocalypse_vasnetsov

Я удивился. Сам-то я абстрагируюсь от этого, по большому счету мне нет дела до мнения окружающих. Бывает, конечно, у меня бомбит на какую-нибудь крайнюю несправедливость, но в целом я глух ко всяким иммонациям и всем этим «веяниям злобы».

И тут у Александра Бондаренко (R-Vision) бомбануло не на шутку. Сам R-Vision участия в выставке не принимал, но по стендам конкурентов прошелся.

Надо сказать, что это обычное явление. У меня на первом ряду сидел Андрей Прозоров и задавал наводящие вопросы.  Андрей сам пробует заниматься расчетами в ИБ, а значит — конкурент. Зачем же мне ему секреты рассказывать, да еще и бесплатно? :)

Но вернемся к R-Vison. Александр написал следующий пост:

bondarenko

Это Александр зашел на стенд Security Vision, видимо, в очередной раз что-нибудь скопировать (кстати, мои поздравления, R-Vision теперь умеет автоматически регистрировать инциденты – редкий функционал в 2016 году).

Там в комментариях Александру пояснили его ошибку. Понятно, что если у вас решение-клон экселя с методикой СТО БР и ручным заведением инцидентов, вы можете его запустить на ноутбуке. А все более или менее сложные решения демонстрируются на слайдах, т.к. для демонстрации той же генерации и обработки инцидентов хорошо бы еще и стенд развернуть. Я был в демо Security Vision – там развернуто 12 источников событий с кучей всяких интересных штук. Везти это все на выставку крайне нецелесообразно. А интернет на выставках всегда нестабильный.

А знаете, что меня поразило? Видимо, мой друг прав. Как-то неуютно стало в нашем поибэ. Кризис что-ли так влияет на всех? Фбешечку вообще невозможно читать, все друг на друга наезжают, ругаются, обижают и обижаются. Как-то не сформировалось у нас единства в комьюнити, этакой профессиональной солидарности. Вот у врачей есть профессиональная солидарность. Наглядней всего она проявляется, если захотите доказать врачебную ошибку. Своих сдают со скрипом.

У нас же каждый сидит на своем суку и смотрит на всех злыми глазами, будто у него кусок хлеба отнимают. Все ненавидят всех, начиная с блогеров и заканчивая ассоциациями и выставками.

Того же Александра можно упрекнуть в лукавстве. Александр! Наверняка, отсутствие стенда на этой конференции перечеркивает наличие решения, которое вы уже видели на всех прошлых конференциях, где мы были! Да и про образование R-Vision говорят много разного, что-то там крайне темное. Но ведь это все не так важно. Конкурируйте в заказчиках, а не постами в твиттере.

Сегодня я встретился с человеком, который уже три года занимается числовой оценкой рисков. И стартом к этому послужило мое выступление 3 года назад. Хотя за 20 минут мы серьезно поспорили о методике, было чертовски здорово (хотя весь спор возник лишь из-за неустоявшихся терминов). Круто, что кто-то встал рядом с тобой и идет схожей дорогой. Именно в объединении лежит залог выздоровления нашей профессии.

Посмотрите, уже идут разговоры о смерти специальности по ИБ, некоторые эксперты уже седлают волну – куда уходить ИБэшникам. Происходит все большее отдаление от задач бизнеса. Отрасль больна, и вместо того, чтобы решать общие для всех проблемы – мы вырываем кусок друг у друга. Окей, ты усидел, твой враг отвалился. С ним отвалились его клиенты и партнеры, и далеко не факт, что они придут тебе. Скорее бизнес забьет на ИБ, и передаст это в ИТ, где другие игроки, и вопросы решаются совершенно иначе.

«Граждане, любите друг дружку! Уважайте друг дружку! О, как заносит» (с) Бургомистр.

Поодиночке потонем все, а выплыть можно только вместе. Надо больше хороших решений, вместе решать жизненно важные вопросы, и выступать единым фронтом перед остальными. А то так и останемся с «рисками неотказуемости».

На этом все. До новых встреч.

Любите обзоры из серии «3 года спустя»?..

…Как люблю их я? Вообще, в литературных жанрах и публицистике, у меня не много фаворитов. Например, я крайне редко читаю обзоры, особенно после премьеры/релиза. Там два варианта, либо все херня, либо понравилось так, что второй куплю. При том, что и те, и другие могут быть проплачены для пиару.

infosek_2В журналистике мне очень нравятся материалы из серии «N лет спустя», особенно, когда автор рассказывает о своих ожиданиях и их реализации. Именно поэтому, всякие модные штуки, должны пройти проверку временем. Вот, был BYOD, и где он сейчас? Можно с чистой совестью сказать, что проверка временем не пройдена.

А тут и мне представился шанс, поучаствовать в таком формате. 21 сентября, в среду, с 15-05 в зале K1 на Infosec – буду делиться своими горестями и радостями по экономической оценке. Три года назад, на круглом столе, я представлял нашу методику, которая добралась до релиза.

Три года, мы были в свободном плавании. За это время улучшилась концепция и методика, реализованы проекты, вскрылись концептуальные проблемы. Понятно, за 20 минут не сделаешь даже введения в проблематику, а о чем-то и не буду рассказывать, ибо коммерческая тайна. :) А то три года назад, наши гуру раскритиковали все и вся, т.к. не было показано главной формулы. :)

Так, что приглашаю всех желающих, окунуться в мир цифр рисков информационной безопасности.

P.S. А в конце неделе, 23 сентября, буду на BISS-саммите. Туда я все-таки пролез, как участник кибербаталий. Буду заниматься дегустацией еды :)

biss

Как убивают четкие инструкции

Так получилось, что в четверг я оказался в Крыму. Там уже успели побывать большинство моих знакомых, а я – первый раз, после присоединения. Это была самая неподготовленная из моих командировок, билет туда был куплен за 8 часов до вылета, а обратный за 20, в самом аэропорту.

Крым, он вообще такой, попасть легко, выбраться сложно. Разница между входом и выходом составила 675%, видимо, окончание сезона – все спешат домой. Дело у меня было в Симферополе, что очень удобно для суточных командировок, т.к. ехать никуда не надо.

Памятник вежливым людям

Памятник вежливым людям

Сам город оставил двойственное впечатление, с одной стороны красиво, с другой – все какое-то незаконченное. Местный Арбат (ул. Карла Маркса) – от силы 200 метров. А главная особенность, что такси в городе не поймаешь можно только заказать по телефону. Не, таксисты стояли в двух местах в центре, но цены ломили, как из Домодедова в Шереметьево в час пик.

Поделал я всякие дела, и забурились мы в кафе Ин Тайм (ул. Карла Маркса, 14), где я попробовал самый офигенный салат Цезарь за последние три года. Цены, чуть ниже московских. Крайне рекомендую. Кстати, хваленные +22 градуса, чувствовались, как +17. Местной особенностью является – предложение пледов, на любой летней веранде, любого кафе.

И, вот, сидим мы – разговариваем с коллегой. И зашла у нас речь о регулировании безопасности. До воссоединения, он работал в государственном банке. Как и у нас, у них банки впереди планеты всей по информационной безопасности, во всяком случае, в области нормативки. У них единый регулятор — Центробанк, и все, кто хочет что-то добавить – идут туда.

Репетиция, видимо, перед выборами

Репетиция, видимо, перед выборами

ЦБ выпускает четкие инструкции, с конкретными мерами. Например, есть инструкция на ИБП, сети питания, заземление (привет, ПЭМИН), криптографию и т.п. Инструкции, крайне подробные. Например, ИБП должен быть в железном ящике, регламентирована толщина листа и как он должен быть сварен (либо сплошной шов, либо прихватами с промежутком не более 25 мм). Или по криптографии, четко обозначены 9 форм журналов и что там должно быть. Что разительно отличается от нас (вопрос знатокам – что такое лицевой счет сертификата?).

Все это проверяется раз в 5 лет специальным контролерами, которые проверяют по тем же прописанным инструкциям.

А все, что не описано – считай и не надо делать. Или надо, но на свое усмотрение. Процедура проверки СЗИ – занимала 3 месяца. Юзали все, в том числе и нашу криптографию.

И, во всем этом благословенном раю определенности, была одна большая бочка дегтя. При таком подходе к регулированию, рынка информационной безопасности в Украине – так и не сформировалось. Не, есть компании, которые вам построят ЦОД в соответствии с инструкциями, но не более. ИБ окончательно стало придатком ИТ, мало имеющая от собственно безопасности.

Нет, ни консалтинга. Ни интеграторов, да, и вендора не особо нужны (за три месяца получил разрешение на импортный МСЭ — и порядок). Такие дела, у наших соседей.

Распрощавшись, я еще немного погулял по городу, и поехал в гостиницу. Т.к. надо было опять вставать в три утра, что бы успеть в аэропорт. Где на прощание, нас ждал приятный сюрприз. За шоколадку, нас посадили в бизнес-класс (в котором правда нас не кормили), поэтому дорога домой была приятна и комфортна.

Завтрак бизнес-классе

Завтрак бизнес-классе

Москва меня встретила дождиком и +6.

Восход

Восход

Дианетика тренингов личностного роста по ИБ

Рекомендуется освежить, вот, эту запись.

3859

Фбешечка в ленте, принесла сегодня ссылку на статью «Когда обман стал нормой?». Статья, какой-то феерический маразм, с не понятным смыслом, неоконченной историей и неясным выводом. Прямо, как я писал.

Зацепился взгляд за фразу:

Сейчас вообще, поколение тренингов и саморазвития. А нас как всегда, ведет не в ту сторону. «Не умеете делать минет? Научим. Вам изменяет муж? Это нормально. Слава богу, он вообще может. У вас высшее образование, а по вечерам вы любите читать Бродского? Ну что за глупости. Живите как дура! Берите карту и дуйте в магаз. Dior сам себя не купит». Откуда это?

Действительно, сейчас мир тренингов и саморазвития возведенного в культ. И это прекрасно. Но обо всем по порядку.

Как вы уже знаете, юность моя происходила в душевных метаниях и маргинальной неге. Как любой нормальный подросток, я пробовал на прочность этот мир. И, нет, мир не оказался прочней. Просто жизнь совершенно не об этом, но это нас уведет далеко от тренингов.

И, в определенный момент моей жизни, решил я сходить в секту. Где наша не пропадала? Разумеется, было боязно, поэтому я выбрал более-менее лайтовых саентологов, а не какую-нибудь Харе-Кришну. Готовился я к этому делу основательно, оставил все вещи дома, взял только проездной и мобильный телефон, что бы позвать на помощь. Кстати, очень важно не брать с собой документы и деньги. У вас появляется шанс соскочить. Оставите данные, и уже не вырвитесь – схема крайне отлаженная, ее, кстати, и скопировали тренинги.

Надо сказать, что каждый тренер – хотел бы организовать секту. Такую настоящую секту, что бы с кучей последователей, что бы машины и квартиры отписывали. В силу разных обстоятельств, они этого не делают – где-то шибко палевно, где-то лучше замаскироваться под бизнес-тренинг. Но главную суть – копируют все, кто-то лучше, кто-то хуже.

pecherskaya

Но вернемся к нашим саентологам. Основа любой секты, выявить причины не идеальности человека. Зашлакованный организм, чакры закрыт, энергетические паразиты. Никому не хочется быть грязным, внушаемым, глупым (о, зацепочка для бизнес-тренингов). Понятно, что во всем этом виноваты не вы, а какой-нибудь ублюдок, который сидит в вас, и с которым надо срочно бороться. Разумеется лишь нашими, проверенными способами.

В саентологии, такими ублюдками выступают энграмы. Энграмы – особая ситуативная память, которая запоминает ситуацию во всей полноте (мысли, чувства, окружение, люди, слова). Если энграма содержит негатив (шок, боль и т.п.) – это очень плохо. Проблема с энграмами в том, что вы не имеет к ней доступа. И если вы попали в обстановку похожую с пережитой, то испытываете все негативные последствия. Все слова, что нам произнесли в этой ситуации, будут действовать на нас как команды, вы более внушаемы в этих ситуациях. И существуют, некие клиры. Если кратко, люди, очистившиеся от всех энграм. У них повышается тонус, улучшается зрение, потенция и все-все-все. Разумеется, что бы стать клиром – надо пройти ряд очищающих процедур. Конечно, за огромные деньги.

По итогу, мозг там чистят капитально. После двухчасовой лекции и разбора моего теста (по итогам, которого стоял вопрос – как я еще жив-то?), считал дедушку Хаббарда родным отцом и учителем. Хорошо, что денег на книжку не было, и паспорта для заполнения анкеты. Так и не стал я саентологом.

Надо понимать, что задача любого тренинга – выкачать с вас бабло, а не научить чему-то полезному. Любой тренинг стоит на этом, если он не по каким-то специализированным прикладным навыкам. Вся эта болтология, лучшие практики от экспертов, повышение личной эффективности – чушь, по сути.

Помниться, как-то на партнерке Infowatch был мастер-класс по приготовлению суши. Вот, это была реальная тема. Где специалист в своем деле, рассказывал неофитам основы. Мастер-класс, наверно, единственный сейчас вариант, обучиться чему-то новому. Т.е. въехать в основы, а дальше думать своей головой.

Несколько отличительны признаков лажовых тренингов:

  • В тренинге есть гуру, который или сам его ведет, или ведет специальный сертифицированный ученик.
  • Тренинг периодический. Это чуть ли не главный маркер, показывающий, что тренер зарабатывает деньги тренингами, а не тем, чему учит. Т.е. зарабатывает, рассказывая, как заработать.
  • Тренинг является частью системы других тренингов. Что бы просветлиться окончательно, надо посетить их все, а лучше и не один раз.
  • Описание тренинга оперирует словами: эффективность, личная эффективность, саморазвитие и т.п. Ну, т.е. какими-то сущностями, которые нельзя измерить (см. тайм-менеджмент).
  • Главное достоинство тренинга, что он от тренера, который провел 400+ тренингов. Т.е. тренер в лучше случае теоретик, в худшем – дилетант с вредными фантазиями.
  • Мощный пиар. От гуру, от участников, расписание следующих курсов на всех углах и т.п.

И так далее. Единственный тренинг, который мне помог – тренинг Гандапаса «Учимся выступать публично». Уже потом, я понял, что это была компиляция потребительских методов и прикладных приемов. Большинство из них обретаются сами, после 2-3 выступлений. Текущая деятельность Радислава, состоит из обогащения через тренинг чуть менее, чем полностью.

radislav-gandapas-self-made-man

Можно ли чему-то научиться на тренингах? Вряд ли. Но главная проблема не в этом. Идти на тренинг (или мастер-класс) надо с определенной задачей или проблемой. Например, вы дизайнер и мучаетесь, какой дизайн сделать финтефлюшечный или минималестичный. В этом случае, конечно, хорошо бы пойти и послушать знающего человека, вопрос, какой ему задать. Хотя лучше всего, знать нужный телефон, напроситься на встречу, и, проставив вискаря, решить все свои метания.

Посмотрите вокруг, вспомните школу, институт. Групповое обучение, крайне неэффективно. Кто-то не догоняет, кому-то скучно т.к. на месте топчемся, интересующий момент до конца не разберешь – он интересен только тебе. И еще множество причин. В группе хорошо ОФП заниматься, хоть не скучно. Во всем остальном, все выбрали бы индивидуальные занятия.

Вы никогда не измените свою жизнь через тренинги. Сама система тренингов заточена на то, что бы ваши результаты были лишь внутри тренинга, с конкретной группой. Она будет вас поддерживать, и она же будет вас затягивать на следующий тренинг. А то, что на работе ваши навыки продаж не работают, так это процессы выстроены не так. Но на нашем вечернем занятии, у тебя все получиться. Приходи, касса работает до 20-00.

Вы такой, какой есть. В вас заложено ваше воспитание, школа, институт, дворовые друзья, гельштат ваших родителей и гены, которые влияют в 5 раз сильнее, чем любое воспитание. И, вы думаете, что какой-то дядя, за 8 часов и 20 000 рублей, вас изменит? За это время, вам можно продать лишь иллюзии, что вы не такой как все, что вы развиваетесь, не то, что остальное быдло.

Полезным тренером может быть лишь профессионал своего дела. Но, если он профессионал, у него нет времени делать тренинги каждую неделю. В лучшем случае, раз в квартал. Не маловажный вопрос, а зачем это ему? Зачем ему плодить конкурентов, разжевывая то, что он постигал годами? Просто задайте себе этот вопрос.

А, самое печальное, что тема тренингов добралась и до нашей поИБэ. Атака идет с двух флангов. Первый – это тренинги общей направленности. Попавшие в паутину, начинают активно ее рекламировать. И, на деловых переговорах, уже можно услышать, кто какую сегодня «лягушку съел». А, иногда, уже проскальзывает и «ваши материалы не отвечают нашей методике продаж СПОР – вам надо доработать их».

Второе – это активное продвижение собственных тренингов по нашей тематике. Я помню, как один «бизнес-консультант по ИБ», рекомендовал всем безопасникам подойти к генеральному директору, и предложить перевести сотрудников на удаленную работу. Мол – «это выгодно, я посчитал, экономим на электроэнергии, и производительность вырастит! А еще BYOD! Совсем шикарно заживем». Понятно, что маразматичность таких предложений зашкаливает. Будь, это какой-нибудь дурачок, никто бы и не заметил. А это один из уважаемых гуру поИБэ. И самое главное – с гуру, взятки гладки. Он ведь пример приводил, а «Кирпич, дурачок, взял и сделал».

Не смотря ни на что, тренинги – это великое благо. Они позволяют вам, получить существенное преимущество перед их посетителями. Точно также как нет ни одного одинакового проекта, нет и одинакового приложения опыта, своего или чужого. В каждой ситуации надо думать своей башкой. И лучше бы, что бы она не была замусорена дорогим треннингом.

До новых встреч.

 

P.S. ОБЪЯВЛЕНИЕ. Тренинг с 10 сентября переноситься на 21.

Про национализм

Кривая дорожка веб-серфинга вывела меня в жжешечку. Полазив там немного, наткнулся на знакомые когда-то лица. Что удивительно, 8 лет ребят не видел, а за 8 лет ничего не изменилось. Люди все также пишут за национализм, все то же самое и теми же словами.

Надо сказать, что когда-то мне все это казалось правильным. И я сам, если и не был националистом, то был, как минимум сочувствующим. Вообще, юность у меня была довольна маргинальная. Было там и место правым идеям.

Сложно сказать, когда это все началось. Но я точно помню, как все это закончилось. Но обо всем по порядку.

Если кто не знает, у нас есть целый пласт людей придерживающихся националистических идей. Это «Россия – для русских, Москва – для москвичей». Люди эти внутри себя крайне неоднородны, есть православные националисты, белогвардейцы, сатанисты-социалисты и целая толпа еще течений и ручейков. Когда эти группки собираются вмести для чего-то совместного, сразу начинается срач о понятиях, кто и как правильно понимает Русскую Идею. Долго-долго пишется какой-нибудь меморандум или доктрина, и лишь после этого они могут что-нибудь вмести сделать.

Мечта всякого националиста

Мечта всякого националиста

Понятно, что при такой разношерстности – срач может вызвать совершенно любой вопрос. Про Сталина. Про Гитлера. Про религию. Иногда доходило до того, что обиженные группки выходили на акции вмести со своими идейными противниками – либералами. Точек соприкосновения, крайне мало.

Когда ты внутри темы, это кажется все очень важным и стоящим. Пишутся сотни статей, строчится тысяча комментарием. Иногда издают газеты, еще реже книги. Нагоняется какая-то движуха.

А самая любимая тема для обсуждения – «когда мы придем к власти, то…». Тут полет фантазии неисчерпаем. Многие националисты верят, что ходя на митинги, они устроят революцию. Что народ их обязательно поддержит, т.к. уже мочи нет. А главным зашкваром считают совместные фото с либералами и около американского посольства.

И, вот, в какой-то момент мне стало казаться все это очень правильным. Я писал по этой теме в блоге, читал разное, срался на многочисленных форумах с оппонентами. На митинги не ходил, т.к. учился и работал. Но со временем, сильно разочаровался в движении, а сама идея оказалась ложной.

Начнем со второстепенных причин.

Все движение националистов, какое-то неконкретное. Дел мало, разговоров много. В порядке вещей значимым делом считается написание огромной статьи на 40-50 страниц о том, «как будет хорошо, когда мы придем к власти». А ее потом прочитают, и все начнут усираться по какому-нибудь (не)значительному пункту. Выйдет ответная статья, потом ответ на комментарии и так по кругу.

Большинство в верхушке националистов профессиональные лентяи, это «политики», в лучшем случае оппозиционные журналисты или фрилансеры. Конечно, такие длинные телеги на работе не попишешь, там работать надо. Пяток писателей и студенты. Постоянно идет сбор средств на «правое дело» или «узникам совести». При том, что деньги все любят. Как-то был эпичный срач, как один известный националист занял 400 долларов на обед в дорогом ресторане у другого, и не отдал.

Проталкиваемый писок зашкваренных дел. При том, что он может сильно отличаться от группы к группе. Например, может считаться недопустимым общаться с не-русскими, вообще по любым вопросам. В некоторых случае этот список некошерных дел, может быть пожестче иных религиозных заповедей.

Не шибко приятная там атмосфера, вроде люди умные собираются, иногда говорят здравые вещи. Но все разговоры лишь про политику. Это крайне утомляет.

При этом националисты все никак не могут договориться о том, кто же такие русские есть. Как отличить русского от не русского? Вообще, любой национализм в первую очередь стоит на «чистоте крови». Вот, баски себя отлично идентифицируют от испанцев, или курды от турок. Копий на эту тему было сломано дофигища. В итоге срачей, оказалось, что большинство лидеров националистов – евреи.

Собственно первым делом, я пересмотрел вопрос «Москва – для москвичей». Случилось это в 2008 году, я уже учился на второй вышке, и общался с сокурсницей. Девушка из Оренбурга, оказалось, владеет двумя языками, медаль, красный диплом, работа в большой четверке, сейчас вторая вышка. Приехала в столицу пробиваться. Мне даже стало немного неудобно, поскольку тогда я общался с людьми, довольно узких знаний, навыков и опыта. Да, и посмотрев на своих соседей-алкашей, как-то стало грустно. Теперь я всем, кто жалуется, советую ехать в Москву. Не хочешь, как хочешь. А хочешь, так давай.

"Ломая лед" по Андрею Прозорову

А буквально через пару месяцев, я попрощался и с националистическими идеями. Причина проста – делить людей по месту рождения, крайне не продуктивное занятие. Возвращаясь к русским, оказалось, что единственным признаком нас объединяющим является русский язык. Если ты думаешь и говоришь на русском, ты русский. И никакой «чистоты крови», все утверждающие обратное идут курить историю Арапа Петра Великого и его отношение к великой русской литературе.

А, если читать историю внимательно, то выясниться, что мы действительно многонациональная страна. Из-за размеров нашей страны, основным экспансионным методом у нас была ассимиляция коренных народов. Которая происходит через язык и культуру.

Этнография даже знает несколько окончательно обрусевших народов (кстати, одни из них чукчи, которые до присоединения были крайне воинственными, и заставляли себя уважать). Где-то процесс уже подходил к концу, а где-то просто не успели (например, на вновь присоединенных территориях).

Сейчас я условно разделяю людей на – культурных и не-культурных. С культурными людьми, какой бы национальности они ни были, я хотел бы общаться как можно больше. А не-культурных не хотел бы видеть рядом с собой.

На этом все. До новых встреч.

P.S. В период моего националистического обострения, было у меня два друга – один еврей, другой либерал. Один супердорогой аналитик, другой врач психиатр и технический директор компании топ-100. Зашквар ужасный. Они оба были старше меня, и когда мы собирались, разумеется, разговаривали про политику. Когда мы спорили, они оба говорили, что это пройдет. Действительно прошло. Теперь я на их месте, и также разговариваю с радикальными молодыми людьми.