Архив автора: Дмитрий Дудко

То, чего у нас нет

Всем, привет. Лето заканчивается, и у всяких буйных, вроде меня, начинают роиться всякие разные мысли. До настоящей истерии, еще полмесяца, но надо уже готовиться.

 

И занесла меня нелегкая на внутренний тренинг Хабра. Слово за слово, и выяснилось, что на Хабре безопасники не сидят. Ну, во всяком случае «бумажные». А где про это почитать?  Куда податься? И, вот, я как истинный джедай решил найти такое место.  Уж куда не заходил, уж кого не пробовал читать и на каких платформах, исследование целое получилось. Спешу поделиться результатами.

 

Выводы

Для тех, кому лень читать – нет для безопасников удобной платформы для общения. А теперь к конкретике.

Условия

Что нужно для хорошего общения?

  • Первое, большая концентрация людей. Это и темы порождает разные, и движуху создает.
  • Второе, возможность постить, что-то интересное. Желательно, с минимальными возможностями оформления. Картинку там вставить, ненумерованный список сделать, цветом выделить.
  • Третье, удобство комментирования, чтобы виден был вопрос, ответ и ниже лежащая дискуссия.

По этим критериям и оценивал.

Facebook

Платформа с главной концентрацией безопасников. Если тебя нет на мордокниге, считай жизнь проходит мимо тебя. И это ужасно. Более неудобного инструмента еще поискать надо. Посты писать не удобно, больше одной картинки не вставишь, оформить нельзя. Если текст больше абзаца, то он скрывается под катом.

Тексты без картинок, в ленте трудно заметны.

Комментарии чудовищны, надо постараться, чтобы создать ветвь обсуждения. Один клик не туда, минута расслабленности, и ваш ответ улетел в самый низ.

Найти конкретное обсуждение по нужной теме – нереальная вещь.

Вообще не понятно, чего мы там все сидим? Мемасики друг другу перекидывать?

Форумы

С форумами другая проблема, их практически нет, а те, что есть – не подают признаков жизни. Да, есть форум на Банкире, но там больше про банки, чем про безопасность. Форум на Секлабе заброшен (на момент написания, ни одного поста в августе).

На форумах оформление присутствует, и комментировать вполне удобно, но форму для лонг-ридов, которые любит наша тусовка.

ЖЖ

Платформа, у которой все есть, но нет людей. Да, и время ее прошло.

ВКонтакт

См. мордокнигу, только это еще и для молодежи.

Хабр

Чудовищная пользовательская политика. Что бы писать нужен специальный инвайт, посты модерятся администрацией и пользователями, система кармы (я так чувствую мои бы посты всегда улетали в минус). Да, и Хабр не платформа для блогов (читай частых постов).

Твиттер, Телеграмм

Уж не знаю, кто там сидит, но для вдумчивого обсуждения чаты точно не подходят.

Личные блоги

Вылетают из-за малого охвата аудитории. Прикручивать к блогу форум – несколько наивно, обсуждать в комментариях? Если только предмет статьи.

Агрегаторы блогов

Могли бы быть, но обсуждение опять же только в комментариях по теме статьи.

 

Вот, и получается, что для безопасников нет какой-то удобной площадки. Как мне видится, это мог бы быть форум при каком-нибудь отраслевом издании. Или платформа вроде Хабра (без инвайтов и кармы), или ЖЖ с живыми людьми. А так… улыбаемся и машем.

Карьерный рост блогеров

Мысли вокруг этой заметки закрутились после локального, но не менее знакового события в нашем поибэ междусобойчике – Андрей Прозоров ушел из Solar. Событие это хорошее, подтверждающие давно наметившуюся тенденцию: блогеры рано или поздно уходят на повышение в крупные компании.

Как выбрать вендора?

 

Сложно сказать – просто так сложилось, или это была одна из целей ведения блога. Это не так уж и важно, главное результат. Блогеры востребованы, как специалисты.

Истории успеха (все по открытым источникам):

Блогер

Откуда ушел Куда перешел Должность

Статус блога

Алексей Волков ОА «Северсталь Менеджмент» Сбербанк Управляющий директор заморожен
Алексей Качалин Positive Technologies Сбербанк Исполнительный директор Центра Киберзащиты теплиться
Алексей Комаров   УЦСБ Самый главный в Москве активный
Алексей Лукацкий Информзащита Cisco Бизнес-консультант теплиться
Андрей Прозоров Solar Security RAOS Project Oy Менеджер по методологии ИБ не ясный
Аркадий Прокудин АйТи SAP Главный по ИБ заморожен
Евгений Царев Leta Открыл свое дело в судебной экспертизе Самый главный активный
Дмитрий Дудко АйТи   Ест дошираки не ясный
Сергей Борисов   РосИнтеграция Заместитель генерального директора активный

И это только верхушка айсберга.

Как видим, немногим более 20% блогеров совсем забрасывают блог. Я надеюсь, что положение не усугубиться. Т.к. в нашей поибэ уже читать совершенно некого, что крайне прискорбно. То ли кризис так влияет, то ли работы у всех прибавилось – не понятно.

Так что пожелаем нашей отрасли новых и ярких авторов, а то такими темпами мы скатимся в «каменный век» инфобеза, когда специалисты хранили у себя примеры политик ИБ других компаний и другую нормативку, а тренды передавались из уст в уста.

Не надо так.

ВУЗы и блогеры

Продолжение истории с шорт-листом ВУЗов поибэ. После того, как я ловко отбился от задачи с ВУЗами претендентов (ну, я так думал), наступила следующая фаза апокалипсиса. Меня включили в группу по оценке претендентов, а, следовательно, я теперь хожу на все собеседования и строю там из себя самого умного. А т.к. сказать мне шибко нечего, я сижу и наблюдаю. И подметил занятную тенденцию.

Но, в начале хотелось бы сказать, что абсолютно не важно, какой ВУЗ закончил человек. Я видел отличных программистов с журналистским образованием, хороших безопасников с геологическим. Если у человека есть голова на плечах, этого достаточно. А ВУЗ всего лишь рама для картины, она может быть красивой, но не затмит само полотно.

Тенденции

Провел я их уже штук 20. Т.к. вакансия начального уровня, шибко по скилам спрашивать нечего. Как учился, что интересно, чем хотел бы заниматься, что такое КЦД. И есть у нас один вопрос, из каких источников человек черпает информацию, что периодически просматривает, чтобы быть вкурсе.

Именно черпает, ибо книги по информационной безопасности уже давно все прочитаны, и там нового ничего нет. А, вот, источники новостей интересны. Статистика среди выпускников следующая (всего 20 человек):

  • Ничего не читаю/читаю законы – 15 человек
  • Блоги людей – 3 человека
  • Блоги компаний – 1 человек
  • SecLab – 1 человек

Всего 21, но один респондент читает и блоги людей и компаний.

Что сказать, ситуация крайне печальная. Студенты и выпускники совсем не охвачены коллективным бессознательным поибэ. Их, все еще мучают дилеммы и вопросы, которые мучали отрасль 10 и 15 лет назад. Может кто-нибудь подберет себе не охваченную аудиторию?

В блоги компаний попали Касперский и Инфовотч.

Те, кто смогли вспомнить хоть какие-то блоги в 100% случаев называли блог Алексея Лукацкого. И это особенно важно. Как бы Алексей не отнекивался, что пишет для домохозяек, он должен принять на себя ответственность перед своей аудиторией. Если уж он взрастил поколение безопасников от Лукацкого, то должен быть более нейтрален и объективен. А не как получилось с ЗПД, АСУТП и сейчас развивается в КИИ.

Кстати, выбор блога для специалиста поибэ – очень важен. Как только Алексей Лукацкий сузил тематику информационной безопасности, место оказалось вакантным (Андрей Прозоров не смог подхватить падающее знамя, там теперь другие проблемы). Лично я теперь читаю Валерия Комарова, по нормативке и реальному применению – самое-то.

 

И, вот, сижу я и думаю. Только все так плохо, или все очень хорошо… не определился, пока.

Безопасник, ты с какого ВУЗа?

Всем доброй пятницы. Друзья, я задумывались ли вы, где у нас сейчас лучше всего готовят ибешников? Не, я понимаю, что компетенции «падают» и туда-сюда. А по факту?

Прилетело мне тут задание, определить круг ВУЗов для отбора соискателей. В начале я решил отказаться, и говорю «можно вообще любой вуз, и техспециальность, главное, чтобы человек был думающий». Сказал, и ушел.

Как вы понимаете, никого этот ответ не устроил. Когда меня загнали в угол и приперли к стенке, пришлось выдать шорт-лист:

  • МИФИ;
  • МАИ;
  • МГТУ им. Н. Э. Баумана;
  • МИРЭА;
  • Московский государственный университет геодезии и картографии;
  • МТУСИ.

Как вы понимаете список был жутко субъективный. Но пройдемся именно по ВУЗам, где выпускают ибешников:

МИФИ – закончил лучший мой ученик, раз там учатся такие люди, значит ему в списке быть. Плюс по работе сталкивался с его выпускниками, отзывы сплошь положительные.

МАИ – тут градус неадеквата повысился выше шкалы оценки, т.к. МАИ я сам заканчивал. Программу знаю, преподавателей тоже, программа улучшается. МАИ, МАИ!!!!111111111

Бауманка – ее закончил Андрей Янкин, этим все сказано.

МИРЭА – добавил до кучи, где-то в подсознательном сидит, что там все не плохо. Но ничего конкретного.

МИИГАиК – а, вот, это скрытый резерв всей отрасли. Там, тоже готовят безопасников, и они даже работают по специальности. Что приятно, все лучшие представители – дамы. Увидите в резюме, сразу не плюйтесь, там хорошо готовят.

МТУСИ – аналогично МИРЭА.

 

Вот, такой шорт-лист получился. А, как вы считаете, какие еще выпускники котируются в поибэ?

Хайпожор: BYOD

BYOD, или по-русски использование личных устройств для работы, с самого начала была чисто хайповой темой для срубания денег. BYOD рука об руку идет с мифом об эффективной надомной работе. Раз уж мы выгоняем сотрудников домой, то и давайте работать они будут на своих устройствах. Экономия во все поля, показатели взлетают до небес.

Ну, давайте думать, давайте разбираться.

По самой сути BYOD я писал еще в 2014 году. Тогда еще находились журналы, которые готовы были печатать независимое мнение по насущным проблемам отрасли. Что более удивительно, мою статью о BYOD пропустили, хотя она была, мягко скажем, не в тренде.

Как я тогда и говорил, BYOD идея не прошедшая испытание временем. Мало кто захотел вбухивать миллионы рублей, за экономию на копеечных ноутбуках. BYOD не взлетел.

Это же и подтверждает количество постов у топовых блогеров. Например, Алексей Лукацкий сделал 22 поста о BYOD: 3 в 2017 г., 5 в 2015 г. 6 в 2014 г. 14 постов за 4 года.

Не буду повторять аргументы из статьи, все они подтвердились. Посмотрим, как вендоры пытаются отбить свои вложения хоть на чем-то. В массовое сознание запускает мысль,что работа вне офиса эффективна и выгодна.

Посмотрим на эффективность. Флагманом тут выступал IBM, который выгнал сотрудников домой:

В 2009 году IBM в отчете с гордостью отмечала, что 40% из 386 тысяч сотрудников IBM в 173 странах вообще не имеют офиса. Компания продала многие офисные помещения, заработав почти $2 млрд. Кроме того, IBM предлагала свои консалтинговые услуги другим корпорациям, чтобы организовать такую же эффективную безофисную систему. Личный пример служил хорошей рекламой.

Мать моя женщина, 2 млрд сэкономили. Или почти 12000$ на человека (будем надеяться это в год), или 1000$ в месяц. Много это или мало? Сложно сказать. При доходе в 95 млрд в 2009 году, это составляет 2%. Неплохо.

Следовательно, вы получите выгоду тем меньше, во сколько раз вы меньше IBM.

Но в 2017 году IBM вернула своих сотрудников в офис. Что? Почему? Предположения совсем разные:

Издание предполагает, что изменения в IBM могут быть вызваны постоянным падением выручки в последние пять лет, а также не оправдавшимися ожиданиями по сокращению расходов за счёт экономии на офисах. Кроме того, многие крупные компании считают работу в офисах стимулом к повышению эффективности и IBM может быть частью этого тренда, полагают журналисты.

Там по ссылке много интересного. Оказывается, производительность бывает разная для сотрудников занятых в разных сферах. Если вы работаете интеллектуально, то надомная работа снизит вашу эффективность. Ну, а если вы оператор колл-центра или страховой агент, то, наоборот, повысит. Видимо, IBM, как компания, делающая ставку на технологии и прогресс, это поняла и решила признать свою ошибку. С эффективностью разобрались.

Теперь по поводу экономии. За счет сокращения аренды мы выигрываем – 2% от выручки. Еще сотые доли процента на экономии на электричестве и связи. Может еще столько же за счет экономии на рабочих станциях. Итого пускай будет 3% в дебете.

Теперь считаем кредит (расходы):

  • Доработка инфраструктуры;
  • Доработка бизнес-приложений;
  • Увеличение затрат на безопасность.

Цифры можно считать по-разному, но даже если они будут в 3 раза меньше, весь ваш выигрыш съедят за 3 года. Так еще и сотрудники будут чаще всего работать неэффективно…

В общем куда не кинь, всюду клин. BYOD забываем, как страшный сон. Если это не доступ к почте, конечно.

10 поленьев из 10.

Хайпожор: Обоснование затрат на информационную безопасность

Давно, давно я не писал про тренды в нашей поибэ. Если вы хотя бы пару лет крутитесь в нашей сфере, то могли заметить, что каждый квартала или парочку, появляется очередной модный тренд, о котором начинают говорить на каждом углу. Agile, UEBA, GRC, SOC, BYOD, искусственный интеллект и т.п.

Хедлайнерами каждой темы, разумеется, выступают топ-блогеры по информационной безопасности. По каждой теме есть множества материалы, и я решил провести некоторую ретроспективу трендов и что из них получилось. получилось ли из этого что-нибудь, или забылось, как позавчерашний хайп?

Начнем мы с экономической оценки.

 

Как обосновать затраты на информационную безопасность

Надо сказать, что я был приятно удивлен, что Алексей Лукацкий обратил внимание на данную тему. Я даже слушал трансляцию в прямом эфире, делая для себя пометки. Но вынужден был прерваться и решил дослушать когда-нибудь потом. Пометки я разумеется потерял, поэтому пришлось слушать заново. Поехали.


0:00 – Выступление «Как оценить вложение в ИБ?» Очень благодатная тема, надо слушать.

1:35 – Неосязаемость информационной безопасности дело такое, двоякое. По такой логике услуги врача тоже не осязаемы, если у вас ничего не болит. А когда заболит, тогда это будет «дорого, долго и…».

1:42 – Это у кого такое мнение? У руководства? У пользователей?

1:59 – Блокирование фбешечки и вообще контроль над пользователями, входит в топ-3 способов, как раз эти деньги бизнесу обосновать. Особенно бизнесу далекому от ИТ и ИБ. Cisco разумеется, таким способом не продать, поэтому это способ плохой-плохой.

2:22 – Хорошая работа ИБ, часто не видна – согласимся. Но тут необходимо разделять, что хорошая работа и отсутствие работы не видны одинаково. До первого грома, конечно. Кстати, интересный демагогический прием: если не видна работа хорошей ИБ, то как она таковой стала? Значит она уже обосновала свою значимость, выстроила СУИБ, и у нее все хорошо. И бизнес, кстати, понимает, зачем ему хорошая ИБ, иначе бы он ее такой не создавал. Зачем ей что-то кому-то обосновывать?

2:35 – Не «только», а «в том числе». Или просто, пока везет. Ведь, в примере Алексея, мы не можем оценить влияние хорошей ИБ.

2:52 – Стоп-стоп-стоп. Выделение средств, и были ли они «потрачены не зря» родственные, но разные задачи. Давайте не будем мешать все в одну кучу.

3:50 – Алексей, о какой целевой аудитории вы говорите все время? О подписчиках вашего блога? Или сотрудниках организации, где работает безопасник? Для задачи, которую вы поставили «оценка вложений в ИБ», а потом расширили «обоснование необходимости вложений», целевая аудитория одна – владелец бизнеса, или может быть чуть шире топ-менеджмент. И вы на голубом глазу заявляете, что может быть какой-то инцидент ИБ, который надо «рекламировать» владельцу бизнеса? Вы серьезно? Если инцидент серьезный, владелец бизнеса сам с вас спросит, как это произошло и как этого не допустить в будущем. Иногда, через 10 минут после того как узнает.

4:08 – Пока, не очень понятно, что Алексей подразумевает под «разговаривать с бизнесом о деньгах». Бизнес отлично считает, лучше нас, и риски для себя он видит лучше. Хорошо, если потенциальный ущерб оценен не только качественно (у нас украдут всю базу клиентов), но и количественно (на этом мы потеряем десять тысяч рублей). Но наша оценка может сильно расходиться с оценкой бизнеса (см. про DLP в ритейле). Но разумеется необходимо помочь, когда бизнес эту оценку произвести не может.

4:23 – Так «важная», «нужная» или «так принято». Прямо какое-то «да, нет, наверное».

4:26 – Прямо откровение за откровением. Заниматься безопасностью, чтобы было безопасно – это пять.

4:35 – Нам может не понравиться ответ на вопрос «а что мы делаем внутри организации», только в том случае, если мы занимаемся не своим делом или имеем интересы отличные от нашей сферы деятельности (в данном случае безопасности). Интересно, Алексей провел какой-то опрос среди безопасников, или проецирует с себя?

7:40 – «Если улучшение можно увидеть, его можно посчитать» (с). Я просто оставлю это здесь.

7:49 – Теперь у нас можно посчитать, качественную оценку… Наверно, раз критичная, два критичная.

8:15 – Апостол ИБ, постоянно перепрыгивает от какой-то целевой аудитории (они), к каким-то неопределенным нам (кто это? Безопасники?).

8:25 – Алексей, из всех определений ИБ, вы выбрали: «безопасность – обеспечение КЦД»? Вы серьезно? Это 2014 год, вы еще не ушли из множества рабочих групп, и сами над этими определениями работали. Может быть это был пример неудачной коммуникации, и вы покажите, как надо было? Ответ: нет.

9:01 – Финансовый Директор, которого волнует перевод капитальных затрата в операционные. Алексей, с таким уровнем понимания темы, лучше в оценку не лезть. Капитальные затраты, это когда мы что-то делаем новое (часто это очень дорого), но единовременно – строим дом, внедряем DLP и т.п. А операционные затраты – это периодические затраты, которые необходимы для нормальной работы. Капитальные затраты не могут перейти в операционные ни каким боком, если мы не строем/покупаем, а берем в лизинг/аренду – это сразу операционные расходы. Никакого перехода.

9:25 – «Улучшение финансовых показателей с помощью лизинга», золотой фонд цитат Алексея. Не буду много писать, интересно про финансовые показатели? Пишите в комментариях.

11:16 – Может быть Алексей и занимается безопасностью «потому что занимается безопасностью», но это плевок во всю отрасль. Так может говорить только человек, который пришел в отрасль, по иным причинам. Может быть тут лучше платят (буквально через 2 года, мы будем обсуждать размытие компетенций, в следствие популяризации темы ИБ), или хорошее место подвернулось и не хочется с него уходить.

11:27 – «Безопасность не нужна и не важна» (с) ЗФЦ Алексея. Думаю, уже после этого можно уже дальше не слушать, но продолжим.

11:40 – У Алексея, какое-то превратное представление о работе генерального директора. В его представлении, директор каждый день сидит и решает, на это дам деньги, на это нет. При том, что Алексей смешивает те самые капитальные (ИБ в контексте повествования) и операционные (картриджи, кофе, туалетная бумага) вложения. Алексей, если у компании нет денег на операционную деятельность, я вам гарантирую, информационная безопасность ее будет волновать в последнюю очередь.

12:08 – Ох, результаты в процессной деятельности… а безопасность — это бесконечный процесс, как например, забота о здоровье.

12:14 – Алексей, у меня для вас лайфхак, как снизить количество инцидентов: не сообщайте о них. А если, вас будут припирать фактами, все отрицайте. KPI взлетит до небес, и затраты нулевые.

15:13 – «Безопасность сама по себе, волнует только безопасников» (с) ЗФЦ. А, вот, интересно для кого Алексей это все рассказывает? Для безопасников? С такой позиций низвержения нас? Не похоже. Для бизнеса? Опять же нет. Такое ощущение, что Алексей пришел покрасоваться на очередную модную тему.

18:05 – Алексей, вы правда считаете, что показать эффект от 1 элемента сложнее (не важно положительный или отрицательный), чем от суммы многих? Само по себе это требует обоснования, т.к. все последующие примеры будут основаны на этих 2+2=4. Это только в математике. В физике уже приходится брать поправку на дефект массы, а в социологии не то, что 2+2, а даже 1+1 – это то ли будущая семья, то ли сговор с целью ограбления банка.

А вы основываете все свое выступление на том, что надо найти как можно больше элементов, спрятать там безопасность, чтобы было легче потом отбрехаться куда пропали деньги. Этот подход имеет место быть, но не в безопасности, и тем более оценке вложений в нее. Хотя для продажи Cisco под любым соусом, самое оно.

18:22 – Кто эти мифические мы, которые хотят поднять выручку от продаж? Отдел продаж? Или Алексей, предлагает безопасникам думать над проблемами, для которые есть специальные люди?

18:48 – Рост выручки: за счет увеличения числа клиентов, за счет увеличения числа сделок, за счет ускорения сделок, за счет снижения себестоимости оказания услуги.

Увеличение клиентов – понятный путь, но надо сразу говорить о цене привлечения новых клиентов. Она может быть такой высокой, что многие предпочитают работать с уже имеющимися.

Что такое увеличение числа сделок? Видимо, имеется ввиду в уже существующих клиентах (иначе, это вырожденный случай увеличения числа клиентов). Возможно, если у нас широкий ассортимент. Продали антивирус, а купите у нас еще и SIEM.

Что такое ускорение сделки? Чтобы она быстрее закрылась и мы получили деньги?

Снижение себестоимости. Такое… если, мы что-то производим, то от такого сокращения затрат, можем потерять в качестве, что в свою очередь может отпугнуть клиентов, что приведет к снижению выручки. Но идем дальше.

20:15 – Чем вынос точки продаж «в поля», отличается от найма представителей в примере выше?

21:50 – Пассажи «А давайте купим MDM, потому что это круто» сразу наводят на мысли, а Алексей хоть раз сам что-нибудь обосновывал? Или это личные мысли автора, как оно в реальности происходит. По такой логике, есть безопасники, которые хотят купить маршрутизаторы Cisco, обрабатывая информацию на локальных  АРМах. Понятно, что утрирование позволяет донести суть, но глупости совсем уж говорить не надо.

24:00 – Насколько я помню, чтобы получить доступ к интернет-банку, надо в офис в начале прийти. Договор заключить, доступ оформить. Алексей, как много общающийся с банками, не может этого не знать. Никакие 10000 клиентов в мобильном банке не появятся, прежде чем они не посетят обычный офис. Пример вводящий в заблуждение.

24:45 – Алексей, при коллективной работе, всегда найдется самый крайний, который будет за все отвечать. Ваши слова не соотносятся с реальностью, но в книжках так пишут, да.

25:45 – И огромное проседание в производительности работы и качестве. Даже в 2014 году, были уже исследования о сложности надомной работы. Что и показала последующая история в IBM с выселением и обратным заселение в офис сотрудников.

27:00 – Какой волшебный мир, в котором поставщики сами отслеживают наличие комплектующих у клиента. А что делать с поставщиками, которые затоварят склад? Больше поставили, больше получили. Мощности перенаправили на других клиентов. Вот, уж дыра в безопасности бизнеса, так дыра.

30:20 – Алексей, чем же вам так капитальные затраты не угодили? Уже который раз вы о них негативно отзываетесь. И в чем проблемы со списанием оборудования?

30:32 – Да, если сегодня взять в аренду, то сегодня это будет выгодно и финансовые показатели на высоте. Но на большом промежутке времени, аренда может стать дороже покупки. И тогда финансовые показатели улетят в трубу.

32:05 – Как интересно. Видимо, подразумевается, что если сотрудник не тратит час на дорогу он в это время работать будет?

32:33 – Бред какой-то. Алексей утверждает, что среднестатистический работник из 8 часов рабочих – 5,5 часов работает, а 2,5 стоит в пробке? Интересно, увидеть тех работодателей, которые такое позволяют. Я-то думал, как? В 9 на работу пришел, в 18 – ушел. А то, что ты там встал в 6 утра, чтобы доехать, так это твои трудности. В реальности Алексея, ты можешь спокойно постоять в пробке в рабочее время.

33:00 – Рукалицо.

35:00 – Видимо, речь идет только о командировках по переговорам. Если надо что-либо сделать, то тут уж никакой скайп не поможет.

40:00 – Алексей, я даже больше скажу, безопасность не относится ни к одной из перечисленных вами категорий.

41:00 – Алексей все время с таким надрывом говорит про понимание задач бизнеса, будто это что-то такое неведомое и сложное. Вот, выпустился студент, и пошел работать по тайному кодексу безопасников, все равно где и на кого, главное кодекс чтить:

  1. Никому не рассказывай про Кодекс.
  2. Никогда и никому не рассказывай про Кодекс.
  3. Скрывай цели безопасности.
  4. Безопасность нужна.
  5. Никому не говори, что ты делаешь и зачем.
  6. Бери все деньги, что выбьешь.

46:55 – Такие байки преподаватели первокурсникам рассказывают. Для должного эффекта в этой истории не хватает обязанностей этого сотрудника.

49:11 – Алексей, ничего это не значит. Люди сидят в соцсетях, когда у них нет текущих задач. И, о ужас, не сидят там, когда им надо срочно что-то сделать. И вы действительно думаете, что сотрудник задержится на работе, чтобы сделать то, что он не успел благодаря тому, что сидел в фейсбуке?

49:27 – Мотивация на труд с помощью доступа к фейсбуку? Алексей гробит свой талант в управлении персоналом.

52:50 – Ох, т.е. информация имеет стоимость. Отлично. Ее можно посчитать. Замечательно. Но результат зависит от того, кто будет считать… ну как так-то? У нас что квантовая теория? Нет. Как можно в правильном ряду исходить из таких чудовищных предпосылок? Алексей, задача решается, когда считает 1 человек.

53:00 – Что интересно, в лекции по оценке вложений, методики не называются. Хотя бы просто перечислили для интересующихся.

1:00:50 – Плохая черта спикера, не проговаривать то, что написано на слайдах. У нас же новая тема, и вроде как вхождение в тему…

1:03:50 – Как оказалось и на западе то ж особо репутацией не заморачиваются.

1:04:29 – Алексей, «отдача» и экономическая целесообразность, две разные вещи. И хорошо бы раскрывать термины, которые вы вводите, что такое «отдача»? Прибыль от проекта? Нет, прибыль она и в Африке прибыль. Экономическая целесообразность чуть-чуть сложнее описанной вами схемы затраты-возможные штрафы. В 2014 году могли и бизнес приостановить на 90 дней. «Отдачи» никакой, да.

1:07:02 – Потери бывают в разной форме (с) ЗФЦ. Алексей, если уж вы взялись говорить за экономику, то там есть прибыль и убыток. Никаких «потерь» там нет.  Убыток, может иметь множество причин (вы это называете «разной формой»), но всегда выражается в деньгах. Всегда. Все эти ваши простои, замены и т.п., это деньги. И их уже лет 100, как научились считать. Кстати, как и потери от инцидентов информационной безопасности.

1:09:26 – «Смерть пациента – это страховые выплаты и судебные издержки» (с) ЗФЦ

1:09:40 – Алексей, вы еще ничего не рассказали по теме оценки.

1:10:00 – Где ж Алексей видел бизнес, который бы отказывался от реального улучшения своей работы? Бизнес, который должен захотеть увидеть отдачу… Бизнес-консультант.

1:11:27 – Алексей, зачем городить высосанный из пальца пример? Если банк-клиент ломают и деньги утекают, если доказывается, что это именно в результате взлома, то банк несет прямые убытки (компенсации, исправление, прохождение проверок и т.п.). Так в любимом вами банковском секторе действуют. Прямой связи между взломом и уходом клиента нет. Наоборот, если банк все компенсировал – клиент останется, а убытки будут. Весь пример насмарку.

1:11:57 – Некоторая фальшь чувствуется от этой лекции.

1:12:08 – Алексей, ну, что вы? Какая уже оговорка по Фрейду? Все эти поверят нам, уверенность в себе и т.п. Экономика чудесна тем, что в ней есть циферки. Над циферками производятся математические действия (очень простые), которые дают воспроизводимый результат. Предмет дискуссии, лишь в исходном значении циферок, а не в результате. Уж, коль вы так боитесь, зачем разговор об этом завели?

1:12:17 – Как нам всем повезло. Нас принято держать, несмотря на то, что мы такие плохие. Надо ввести моду на ИБ среди топ-менеджеров. Как с чихуахуа или айфонами. У кого безопасник круче и красивей. А? Как идея?

1:13:07 – А у нас в «неумытой» России разумеется все по-другому. Все только на Западе работает, только. А надо-то всего лишь, оплату труда поменять.

1:14:48 – Посыл, что ИБ не обосновывается, потому что зарплаты маленькие – это даже не пять, это десять. А может быть просто решения от Cisco стоят неадекватных денег?

1:16:15 – А можно подробнее, какие методы уже были предложены?

1:16:31 – 30 методик о «оценке отдачи проектов по информационной безопасности»? О чем же тогда автор тут больше часа говорит? Сколько из них он применил? Какой результат получил? Что рекомендует использовать в тех или иных случаях? Нет. Просто почитал парочку, результата не получил, сказал не работает.

1:20:29 – Что такое 100% результат? Выход проекта в ноль? 100% прибыль на вложенные инвестиции? Нет ответа.

1:21:30 – Алексей, о чем же вы тогда говорили, почти, полтора часа? А, о том, как все сложно и безопасники сами в себе.

1:22:03 – А еще эффект масштаба, иногда, имеет обратный эффект. Когда из-за своего объема компания не может достичь запланированных выгод. Например, накладные расходы на перестройку процессов, могут длиться годами и съесть весь «запланированный» профит. Об этом, кстати, рассказывают даже студентам технарям. Но зачем нам такие тонкости.

1:22:17 – Алексей, в среднем рабочих дней в году 247 (в 2014, кстати, тоже). Фиг с ним, округлим до 250, чтобы считать было проще. Но откуда 260? Не думая скопипастили пример, и его презентуете? Глубокое уважение к аудитории. Почти, 5% съели.

1:23:10 – Алексей, хорошо, вы не курите и можете не знать, что перекуров может быть и 5, и 10 в день. Но ограничить бедных сотрудников 2 походами в туалет в день, это круто. А еще есть предусмотренные СанПиН, по работе за компьютером, предписывающий отдых (а, следовательно, блокировку компьютера), каждые 45 минут. Кстати, от этого ваш пример только выигрывает. Оценка будет за 10 млн часов.

1:23:50 – Алексей, ну, какая повторная регистрация через 60 секунд после первой ошибки? Вас с такими требованиями линчуют через неделю, никакие обоснования не помогут. Хотя понятно, почему вы ввели эту переменную, надо было показать больший выигрыш. Но не пришлось бы так сильно натягивать ужа на глобус, если бы в предыдущем параметре вы были бы более близки к реальности.

1:25:15 – Кстати, об эффекте масштаба. Для GM – 22 млн долларов, может быть и не такой большой суммой. Уж наверняка, реальный проект по управлению учетками там будет стоить огромных денег, за 100 млн точно. Озвученная сумма в сотни тысяч долларов на проект маловероятна, или считали только прямые расходы на лицензии, сервера и консультантов, или специально для пиару. Накладные расходы на перестройку процессов в такой огромной компании судя по всему не были учтены.

Допустим 100 ИС, 100 коннекторов по 1 млн рублей (это минимальный ценник в отечественных компаниях), поделим на курс в 2014 годы – уже получается 2,8 млн долларов. Плюс западные расценки, плюс стоимость внедрения исчисляемой в несколько трудолет, плюс командировки по всему миру на квартал другой, плюс стоимость лицензий, серверов и обучения. Думаю реально около 100 млн долларов и будет.

Плюс хинт: пока проект внедряется в убыток в 22 млн плюсуется в расходы. Проект 100 млн, внедряем 3 года, итого 160 млн. Если бы ничего не делали, этих денег хватило бы на 8 лет «обычных» убытков. Чем не расчет целесообразности?

1:27:15 – С джинсой за Cisco все понятно. Надо было пропиарить решение, пропиарили. Оговорки, что все сложнее не работают, см. выше про удаленную работу.

1:33:30 – «Безопасность – это неизбежное зло» (с) ЗФЦ

1:34:25 – Что такое «эффект» от ИТ проекта? Окупаемость? Польза? На каких проектах проводилось исследование? В каких компаниях? Если предположить, что под эффектом подразумевается окупаемость, то срок в 4-5 лет – вообще какой-то фантастически нереальный. Такой эксперт в оценке, как Алексей, должен знать, что за 4-5 лет ИТ системы уже 2-4 раза самортизируются и будут списаны. Их надо менять и обновлять. И еще множество и множество вопросов к данному заявлению. Факты все же необходимо чекать, хотя бы на банальное соответствие.

 

Итого

Алексей ЛукацкийПо прошествии лет, видно, что экономической оценкой занимаются только те, кто и занимался. Блогеры хайпанули и благополучно перескочили на других лошадей, а потом еще и еще. В дальнейшем мы увидим одну и туже картину, когда в качестве знамени будет водружаться та или иная неведомая вещь. Будет много воды, мало сути, отвлеченные примеры, и отсутствие личного опыта по теме. На ней будут усиленно пиариться, а потом забывать.

Будем считать этот уровень погружения за ноль, и дальше будем мерить по нему.

Сам Алексей данную тему никак дальше не развивал, подвижек в этом направлении в его блоге мне не удалось.

Алексей Лукацкий получает 10 поленьев из 10.

 

 

Информационная безопасность в ж… Часть 2

Разделы 0 и 1.

2. Фундаментальные основы

В основе информационной безопасности лежат две вещи: безопасность и информация. Как ни странно. И если с безопасностью все более-менее понятно, это роднит нас безопасносниками в широком смысле слова (даже экологической безопасностью и охраной труда), то вторая составляющая уводит нас в какие-то неведомые дали, где темный лес и партизаны.

Разумеется, как и любая отрасль, возникшая на стыке двух отраслей (безопасность и работа с информацией), вбирает все самое лучшее и худшее от своих родителей, и, в результате, синергии, порождает новые плюшки и проблемы.

И первую мину нам подкладывает – информация. Каждый безопасник с младых лет знает, что информация правит миром. Знаешь, что не знают другие – красавчик. Враги узнали, что у нас решетки в канализации сгнили – ты в шоколаде, но не в вкусном.  Пока все четко, и соотносится с окружающей действительностью.

В какой-то момент стали развиваться способы обработки информации. Стала развиваться безопасность (см. легендарную эпоху). Особо секретные послания стали шифровать, а прото-хакеры стали эти шифры ломать (проблема конфиденциальности). Ввиду слабости бумаги, как носителя, к огню и другим деструктивным воздействиям решались проблемы целостности и доступности.

Когда от бумаги шагнули к компьютерам, в принципе все осталось, как и есть, изменившись внешне. Все те же самые угрозы, но реализуемые с помощью компьютера. Где-то тут организуется отрасль информационной безопасности. Вдруг. Взяла и появилась.

Возникает вопрос – а когда информация была на бумаге, что не надо было ее защищать? Нет, защищать надо было. Может что-нибудь принципиально поменялось в обработке и передаче информации? Нет, не поменялось. Не суть важно хранится ли секретное письмо на флешке, или распечатанное в сейфе. Атаки на каналы передачи даже не изменились. Курьера все также можно перехватить, обмануть, напоить, подменить и прочее.

Т.е. по сути безопасники всю жизнь занимались защитой этой самой информации, но как-то не додумались называться информационными безопасниками. Напрашивается простое следствие, информационные безопасники в текущем своем виде, защищают не информацию, а средства обработки и передачи оной.

Именно поэтому, какую информацию защищать нам говорят сторонние люди. Владельцы информации. Почитайте любой стандарт.

Именно поэтому информационные безопасники, почти, не касаются защиты информации, обрабатываемой не на компьютере.

Информационные безопасник должен защитить компьютер, сеть передачи, но не определяет какую информацию он должен защищать. Безопасник же должен быть, как юрист, знать, что, как и почему. ИБ не знает почему.

Есть такой очень показательный пример иллюстрирующий проблему. Крупный рейтел, проходит пилотирование DLP очень известного вендора. Выявляют портал, смотрящий в интернет. А там… мамочки родные, вся информация о планируемой через месяц акции, цены, позиции и все-все-все. Разумеется, в открытом доступе и без паролей.

Любому информационному безопаснику понятно, что это зашквар высшей пробы. Информация о ценах и планируемой акции (до кучи были добавлены в список КТ), в открытую сеть, да без паролей, да неограниченному кругу лиц. Любой более-менее опытный безопасник на данном прецеденте развернет обоснование системы защиты, и будет еще лет 5 вспоминать.

Все это красиво пишется в отчет и отсылается руководству. Руководство кладет болт. Проекта не получилось, систему не купили, даже не наказали никого.

Оказалось, все довольно просто, получив этот отчет он попал к безопасникам, которые именно что определяют риски для бизнеса. И оказалось, сюрприз-сюрприз, просто ритейл не конкурирует между собой по цене. А список КТ откуда-то скопипастили, так туда цены и попали. Список то ибешники делали.

Понятно, что из одного примера не надо делать далеко идущих выводов. Но посмотрите, с другой стороны. Вся информация, которую мы защищаем – это либо защищаемая законом, либо что-то абстрактное в виде ноу-хау и конфиденциальной информации.

Да, и есть проблемы с самой информацией. Почему на ИБ не выделяют денег (во всяком случае, как на другую безопасность или ИТ)? Потому что в 90% случаев ущерб минимальный. В подавляющем большинстве случаев критичная и важная информация обрабатывается дедовскими способами. Ключевое ноу-хау оно не в документе, оно в голове ключевого человека или группы.

Из общеупотребимых видов информации реальный ущерб есть только в персональных данных. В коммерческой тайне разве что у банков и трейдеров, да и то срок критичности иногда измеряется часами или минутами.

Вот, что коммерчески критичного можно узнать об обычном ООО, чтобы потом использовать? Да. Да, дорогой друг. Мало узнать информацию, надо ее еще использовать. Помню, когда утекли в сеть исходники Windows 2000, какой хай стоял. У меня даже где-то лежат до сих пор. И что?

С персональными данными понятно, их разглашение нанесет ущерб широкому кругу лиц. А остальное?

Вот, и получается, что, не смотря, на громкое звание информационных безопасников – мы сами себя загнали в настройщики компьютеров со специфическим уклоном. Именно поэтому периодически возникают разговоры ИБ – должна подчиняться ИТ или блоку безопасности? Почему-то у пожарной безопасности не ведется речи, что они должны подчиняться районной пожарной части.

Радость встречи

Здравствуйте, здравствуйте, мои дорогие. Давно вас всех не видел, да и вы меня. Я совершил непростительное, оставил вас, мои дорогие, без самого ценного. Самого объективного взгляда с галерки на нашу безопасность.

Хочу сразу сказать, что я ошибался. Профессия безопасника она такая, риски везде видишь, негатив в каждом подозреваешь, засыпаешь под утро в сладкой неге паранойи. Все в нашей безопасности не так уж плохо, а последние тренды прямо поднимают ее с колен персданных. Небо светлеет.

Но обо всем по порядку, но начнем с конца.

Пришла радостная (без шуток) новость – Ростелеком купил Солар. Вот, это бомба. Наконец наш рынок дорос до того, что крупные компании не растят ин–хаус интеграторов, а покупают участников рынка. Надеюсь, это станет первой ласточкой на этой ниве. Кто следующий? МТС?

Парням удачи, пройти все организационные преграды поглощения. Надеюсь в следующем году, нам расскажут о реальных кейсах встраивания сервисной ИБ-компании в огромную структуру.

Следующее на очереди PHD. Замечательно сходил, получил массу положительных впечатлений. Впрочем, как всегда. Пересказывать доклады не буду, а то некоторые блогеры обижаются за отнятый хлеб. Все можно увидеть на видео. Плюс поднимаю практику гонзо-журналистики. Как говорит нам гугл:

Гонзо-журналистика (англ. Gonzo — «рехнувшийся, чокнутый, поехавший») — направление в журналистике, для которого характерен глубоко субъективный стиль повествования от первого лица, при этом репортёр выступает не как беспристрастный наблюдатель, а в качестве непосредственного участника описываемых событий, используя свой личный опыт и открыто выражая эмоции, благодаря чему подчёркивает основной смысл этих событий. Для «гонзо-журналистики» также характерны активное использование цитат, сарказма, юмора, преувеличений и даже ненормативной лексики.

Если вы давно читаете этот блог, то найдете, что корреляция тут не менее 0,3 (между определением и автором). А, что я вам объясняю? Главное дело, а термины мы потом напридумываем.

И, последнее, но не последнее по важности – КИИ. Вот, вот, она альфа возрождения безопасности. Наконец, мы получаем не только обязательную к выполнению нормативку, но и всеобщий профит (и я не о деньгах). Если персданные рассказали о безопасности последнему бухгалтеру в ООО «Вектор-2000», надеюсь КИИ донесут безопасность, хотя бы на уровень менеджеров среднего звена. А дальше уж совсем чуть-чуть останется.

Вот, так прошли полгода. Ждем лета.

«Быть PS». Главное качество

Здравствуйте, мои маленькие любители экономического экстремизма в высоких технологиях. В прошлый раз, мы разбирались, к кому необходимо зайти с вашим решением. Сегодня мы продолжим тему.

Есть самое главное, можно сказать, первостепенное качество в борьбе за выполнение квоты. С этим качеством можно родиться. Это качество можно развить. Но без этого качества невозможно выжить в пресейле. Пресейл без этого качества – похож на хомячка в шаре, который вроде двигается, но ничего не достигает.

Самое главное качество для пресейла – отличать ебалу от не-ебалы. Наработав это качество, вы с первого взгляда будете понимать, стоит ли тратить усилия на конкретную продажу/конкурс/заказчика – или нет.

В Информзащите до сих пор работает аккаунт, который 5 лет ходил в Мосметрополитен, поил и разговаривал с одним начальником. Начальник с удовольствием говорил и пил. Хотя ничего по теме ИТ, а тем более ИБ, уже не решал (о чем товарищу и говорил).

В общем смысле – ебала, это бесперспективный в данный момент и на данном этапе лид (конкурс, интерес). На который можно похерить кучу времени и сил, и ничего не добиться. Да, часто срываются и годные продажи, ноу них хотя бы был шанс. У ебалы – шансов нет.

Топ-5 признаков, как узнать ебалу

  1. Давайте поучаствуем в конкурсе на общих основаниях. Обычно происходит, когда к вам приходит продажник со словами «я тут посидел на закупках.гов.ру и нашел – твоя тема в общем». Еще лучше, если подача через 3 дня, а сейчас вечер первого. Шлите такого инициатора в лес, с заказчиком надо работать, а не шакалить на чужих лидах.
  2. Поехали, познакомимся с безопасносниками. Опять прибегает продажник «поехали завтра (чаще всего в ебеня) к заказчику, там я другие проекты веду, познакомимся с безопасниками». Я так 2 раза ездил в Нижний Тагил на УВЗ. АйТи делало там документооборот, и продажник решил, что безопасность она ведь тоже информационная, так что рядом с документооборотом. Я посидел на 3 совещаниях, и 4 часа в коридоре – выплеск нулевой. Мораль проста: можно таскать пресейлов на первые встречи, но лучше не надо. Пока не вскрылась проблема, пресейл вряд ли поможет. Т.к. там уже все зависит от личных качеств человека, а продажи – на 95% техника.
  3. Поехали, поговорим за безопасность. Подвид предыдущего. Едем говорить к знакомым безопасникам, которые еще ничего не купили, за их проблемы. Чаще всего встречается в конце года (бюджеты же надо столбить). Обычно ни чем не заканчивается, т.к. если проблема действительно есть – вас найдут. На одном подмосковном заводе, я три года пробивал проект на поставку криптографии (писал ТЭО, кучу КП, ТЗ и обоснования) – в итоге, купили две циски за 200 т.р.
  4. Поехали, познакомимся. Еще худшая ебала. Когда аккаунт ищет выходы в заказчика, и зовет тебя составить ему компанию. В лучшем случае, после этой встречи на вас свалят БПП, и аккаунт будет за вами бегать со словами «ну, где решение? Такой заказчик».
  5. Дифференциация заказчиков. Надо понимать, что чем меньше заказчик/бюджет – тем меньше времени надо на пресейл. Если пресейл для ООО «Вектор» или бюджета в 1 млн – требует 5 выездов и неделю чистой работы, это ебала. Один раз я сертифицировал 40 цисок и положил 500 т.р. в квоту, вообще не вставая с кресла. Телефон, почта – день пресейла, 4 звонка на исполнение, через месяц закрыл. В следующий раз, на переаттестацию, к ним пришли ребята, 5 раз ездили, упали в цене, потом исполнение, как итог – маржи 300 т.р. Оно им надо было?

Так что избегайте ебалы.

До новых встреч.

«Быть PS». Кто выбирает решения?

Пока столпы безопасности набрасывают друг на друга в фейсбуке (да, у нас все друг друга любят), наш блог оказался кому-то полезен. Недавно прочитал комментарий от нашего читателя:

Было бы замечательно, если бы Вы в новых статьях рассказали:

Как эффективно взаимодействовать с заказчиком, чтобы увеличить шанс выбора предложенного нами решения для последующей реализации. Признаки того, что заказчик уже работает по проекту с нашим конкурентом хотя и не говорит об этом открыто. Ну и хотелось бы узнать какие вилки зарплат у пресейлов в Москве т.к. есть планы в будущем покорить столицу)

Такие комментарии греют душу, очень приятно, что кому-то это помогает. Я думаю есть еще читающие, но они не пишут комментариев.

А сегодня про заказчиков.

Кто такой заказчик?

Надо понимать, что сам по себе заказчик неоднороден. Редко есть какой-то один человек (обычно очень высоко), который может сказать – покупает это, у того. Почему высокие люди так не делают? Делают, конечно, но не на том уровне на котором вращается наша IT и поибэ. Если бы конкурс был хотя бы на 200 млн, тогда мб такой человек обратил внимание.

Поэтому все эти хождения к топам, презентации и прочие пляски – им не интересны. Конечно, если ваш аккаунт не личный друг гендиректора Газпрома. Поэтому ваш уровень входа, начальник отдела, в лучшем случае директор управления/департамента. Да, и вообще не будем рассматривать ситуацию, когда ЛПР (лицо принимающее решение) – ваш большой друг, должен вам денег, вы спасли ему жизнь или как-то еще он вам обязан. Там отдельная история.

Это человек уважаемый, за внимание которого бьются все вендоры рынка. Таскают на всякие конференции и заграничные выезды, поят, кормят и развлекают там. Редко является ЛПР, т.к. обращает внимание на большие проекты (пожиже, чем у топа) в своем секторе.

Замы, начальники групп/отделов, кураторы. Самые активные на рынке, постоянно бегают, смотрят разные решения, приглашают с презами, делают демо-стенды. Наиболее вероятный ваш заход. Ищут решения в двух основных случаях:

  1. Есть реальная проблема (БПП).
  2. Надо что-то поставить, чтобы показать активность, а то с работы попрут.

Как понятно, вторая категория любит всякое модное и яркое – соки, уеба, аджайл и т.п. Это наглядно видно, когда они выступают на всяких конференциях в секциях – Опыт заказчика.

Если проблема реально БПП, то вас сами найдут.

В этой цепочке, есть еще звенья: можно скоррумпировать отдел закупок (подложенный после приема заявок нужный конверт – творит чудеса), ИТ-блок (если продаете безопасность) или ИБ-блок (если продаете ИТ) и другие.

Теперь, когда вы знаете всю цепочку – вы начинаете работу. Залезете, куда сможете. B2B в 90% случаев продается по знакомству. Не в том смысле, что блат или коррупция, а в том, что потенциальный заказчик должен о вас хотя бы слышать, а лучше что бы вас познакомил его кореш из соседней организации.

Надо помнить, даже если ваше решение всем понравилось, и принято решение о закупке – вы все еще можете пролететь. Бюджет могут срезать, может выиграть конкурент, вендор может вас прокинуть и много чего еще.

И самое главное – продукт. Если вы занимаетесь бокс-мувингом, то единственный критерий – цена. Если есть что интересного предложить – может быть функции уникальные, или особую интеграцию, или скорость внедрения, то надо упирать именно на это.

Резюмируя

Почему вас могут выбрать?

  1. У вас уникальный продукт, или что-то очень нужное.
  2. Нет пункта 2, конкурируй по цене.
  3. Узнай, почему хотят купить. Если это БПП, взвесь свои возможности.
  4. Понимай, как принимается решение и к кому ты пришел.

И хватит на сегодня.