Архив рубрики: Пресейл и продажи

Материалы по пресейлу и продажам

Темы битвы: цена ИБ

Плавно добираюсь до экватора, после угроз и компетенций, мы скакнули к деньгам.

Как выглядит миф о затратах на безопасность? ИБ это дорого или доступно?

Сейчас ИБ – это недорого и недоступно. За 10 лет в безопасности, работая и в заказчиках, и в интеграторах, и в вендорах, мне довелось увидеть всякое. Я работал в заказчиках, в которых из всей безопасности был антивирус, межсетевой экран, снифер и, ближе к концу, сканер уязвимостей. И нормально, я делал honey-pot, реинженерил SAP и занимался другими интересными вещами, вроде соблюдения порядка на корпоративах.

security_comp

Чуть позже был у меня проект, в одном крупном ведомстве. Я проводил аудит рисков, с целью определения необходимости наличия DLP решения. Там было все плохо, и одной из угроз было – копирование информации на флешку. Любой безопасник вам скажет, что это страшная угроза. Так сказал и я.

В мерах противодействия я написал:

  1. Рекомендуется отключить USB
  2. Установить DLP

Старшие товарищи посоветовали мне убрать первый пункт. Потому что в ведомстве бы так и поступили. Им было проще и понятнее отрезать провода на всех компах, чем возиться со всей этой безопасностью.

Лишь с помощью нечеловеческой воли и маркетинговых страхов, про злых хакеров, все сложилось удачно.

Когда я был студентом, я считал байкой историю о самом безопасном компьютере, который выключенный зарыт на три метра. Но если действовать в парадигме «все увеличивающихся угроз», именно к этому мы и загоним бюджетодержателей.

Кстати, у нас есть цела отрасль, работающая именно с «закопанными» компьютерами – работа с грифованной информацией. Там в порядке вещей, прийти с утра, достать жесткий диск из сейфа сейчас, и выходя на перекур, сдавать его обратно в сейф под роспись. Всех средств защиты – защита от НСД.

Все космические бюджеты (хотя какие они космические? посмотрите на ИТ), происходят от попыток скрестить ужа с ежом. Мы объявляем достойную защиты информацию, и гоняем ее в сетях общего пользования и ЛВС для офис-менеджеров. Конечно, в этом случае нам потребуется защититься от всего на свете (см. вопрос 1), спеки растут, денег не дают.

В 2014 году, в одном ретейле случился инцидент. В открытый доступ были выложены данные о планируемой акции скидок. Это, вот, серьезный инцидент. Можно сразу идти выбивать много денег. Проблема ровно одна – ретйел (продуктовый) между собой не конкурирует в отпускных ценах. Это легко проверить и без инсайда, сравните цены в 2-3 магазинах крупных сетей вашего района. Где-то будет пониже на что-то, и там же будет повыше на что-то другое. Люди ходят в свой магазин вне зависимости от того есть там акции или нет. Кстати, особенно часто ходят в дорогие магазины, особенно люди с небольшими доходами.

И малая доступность ИБ, связана все с теми же страхами. Если руководство запугано, оно пытается найти деньги и высококлассных специалистов. Как только заканчиваются деньги, сразу прекращается ИБ. Я не открою большой тайны, что никому не выгодны дешевые средства защиты. Вендорам и интеграторам, т.к. маржи мало. Безопасникам, т.к. надо обосновывать свою полезность. Руководителям, т.к. «дешевое не может быть качественным». А на дорогое денег нет.

Так и живем.

Важные навыки для информационного безопасника. Часть 1

Знаете, люблю я серийные материалы. Такие, которые не ограничиваются форматом одной заметки или статьи. Когда можно полно раскрыть тему, постоянно обдумывая и обсасывая мысль. И, что немаловажно, все это с течением времени обрастает мясом, давая на выходе законченный продукт. Понятно, что разовые заметки этого не позволяют.

Почти все мои прошлые серии подошли к концу или вот-вот закончатся (раз, два).

skill

Я решил начать новую серию, которая мне очень близка, и которую я давно хотел воплотить в печатном слове. Серия о ключевых навыках безопасника, тех, что постоянно используются нами в повседневной жизни. Это применимо ко всем безопасникам – будь то офицер СБ,  ресечер, инженер или пресейл. Надеюсь, серия вам понравится.

Навык: работа с таблицами

И начнем мы с самого базового навыка – работа с таблицами. Многим может показаться, что это ерунда — кто ж не умеет с ними работать? Да и не навык это ни какой, так, подразумеваемое требование офисного работника.

Смотря как к этому навыку относиться. Когда руководитель спрашивает вас, какой бюджет вам потребуется на следующие три года – вы используете таблицы. Когда заказчик спрашивает вас, какое решение вы порекомендуете – вы используете таблицы. Когда надо сделать модель угроз – вы используете таблицы.

Таблицы — это неотъемлемая часть нашего офисного бытия. Кто-то их использует чаще, кто-то реже. Например, пресейл может их рисовать целыми днями. Одну табличку в КП, другую в сравнение, третью – для календарного плана инженеров.

Таблица обладает одним ключевым преимуществом перед текстом – ее очень просто читать. Таблица – это квинтэссенция текста, выжимка, сухой остаток. Конечно, если она правильно составлена.

Ошибка №1. Многие пробуют загнать в таблицу как можно больше текста. Берут и копируют из текста целые предложения и абзацы. И это делает таблицу совершенно нечитаемой. Таблица — это способ быстро сравнить и принять решение. В идеале там должны быть цифры, да/нет, плюсы и минусы.

Из этого следует Правило №1: Если таблица сравнительная, то в ней должно быть минимум 2 сравниваемых решения.

Вы не поверите, но многие делают таблицы с 1 решением. Если у вас одно решение, используйте маркированные списки.

Правило №2: столбы должны отражать сравниваемые решения, а строки — критерии сравнения.

Мы легче воспринимаем информацию сверху вниз и слева направо. Вот пример.

Кидаю введи картинки, т.к. так еще не разбирался со стилями

Кидаю в виде картинки, т.к. так еще не разбирался со стилями

А теперь транспонируйте таблицу… Кавардак.

Правилом хорошего тона является нумерация строк. Даже если таблица к экселе, лучше продублировать. Гораздо проще сказать «строка номер 4», чем «в критерии технические требования 4».

И уж тем более не стоит вносить в критерии строки, по которым сравниваемые параметры не различаются. Конечно, если это явно не требуется. В примере выше все критерии были заданы заказчиком, и от них нельзя было отказаться. Особенно этим грешат вендоры в желании показать, что они не хуже. Представьте себе сравнение средств защиты от НСД ОС WIndows со следующими критериями:

  • Поддержка ОС Windows;
  • Поддержка ОС 32 и 62 bit;
  • Поддержка мыши.

Утрирую, конечно, но сплошь и рядом встречается.

Правило №3. Не врите в таблице. Как бы ни заманчиво было немного подкрутить данные в свою пользу, наглядность таблицы быстро позволит выявить вранье. Вас сразу ткнут носом, что скомпрометирует всю работу.

Также не работает мифическое «правильное расположение» требуемого варианта. Многие бизнес-тренеры рекомендуют проталкиваемое решение ставить в середину. Да, иногда это может и сработать, но вместе с тем откроет вашим недругам информацию о ваших манипуляциях. А кто-то любит себя ставить в первой колонке. Мол, нас сразу заметят. Но если решений много, то первыми же и забудут. Кто-то боится быть последним – мол, очередь не дойдет. В сущности же все позиции одинаковы.

Я люблю выстраивать все в алфавитном порядке. Это просто и понятно.

Не бойтесь вставлять в таблицу сноски и примечания. Это покажет, что вы экономите время ваших коллег. Кто захочет, уверяю вас, и сноску прочитает, и в исходном тексте разберется.

Отдельный вид таблиц — пояснительный. Например, структура цены в коммерческом приложении или запрос бюджета на следующий год. Тут уже никаких сравнений, просто сжатая информация. Правила все те же:

  • Понятность критериев;
  • Отсутствие лишних строк;
  • Последовательность изложения.

Многие любят добавлять лишние колонки, например, единица измерения. А вы продаете только в штуках и никак иначе. Выглядит глупо.

table2

Пока на этом все. Про таблицы можно много говорить, ими, как и всем, можно манипулировать. И иногда это прокатывает. Но об этом как-нибудь в другой раз.

Как зарабатывать на ЗПД

Просматривал я сегодня фейсбучек и зацепился взглядом за одно резюме.

b-152-hh

Оказалось, это мои старые знакомые из Б152 набирают людей. Привет, Максим!

Вот все думают, что я людей засираю, чтобы получить дешевого пиару (привет, Алексей!). Но цели мои гораздо прозаичнее: я просто хочу сделать мир лучше. И, на мой взгляд, этого точно нельзя добиться, расцеловывая друг друга в десны.

Ребята из Б152, видимо, прочитали мои прошлые заметки. Теперь все хорошо. Теперь на сайте по продаже комплектов шаблонов нет цен.  Я думаю, они даже поднялись с 49ти тысяч раза в два. Появился большой простор для бизнеса, а также маркетинговых акций – «Два комплекта по цене одного» или «Успей заказать до полуночи и получи скидку 90%».

Но мое внимание привлекла вакансия. Что же предлагают нам за 60-100 тысяч рублей (кстати, это белая?)? Нам предлагают работать в компании, которая уже продала своих продуктов 6 000 заказчикам. Матерь божья! Если это правда, то это реально круто. Например, у Кода безопасности всего 32 000 заказчиков (кстати, если перейти по ссылке, то увидим всего 23 000… хотя там написано более, но нельзя же так редко сайт обновлять…).

32000 предприятий

32000 предприятий

23000...

23000…

При том, что это крупный вендор, и фактически стандарт во многих областях.

Т.е. Б125 компания крупная. С кем же она работает? Мне нравится фраза «компании уровня Philips, EY, Henkel». Т.е. мировой лидер рынка аудиторства и комплайнса заказывает шаблоны документов за 49 тысяч рублей? Если это правда, это очень круто. К сожалению, в отзывах на сайте про EY ни слова. Надо срочно получить эти отзывы, так как более мощного пиара придумать сложно. Остальные заказчики обычные, скажем, фриланс.ру. Большой сайт, но никаких персданных внутри на сайте нет, значит, использовали для бухгалтерии/кадров.

Оки, компания крупная.

Что надо делать? Продавать уникальные решения. Это комплект шаблонов по ЗПД и мониторилка сайта, которая недавно еще и не работала. Сейчас работает, я даже заказал мониторинг моего уютненького бложика.

siteSecure

Т.е. по факту 5 из 6 проверок делается вообще бесплатно на любом SEO сайте. И если сервис автоматизирован, то почему мне до сих пор не пришло письмо с результатами? Как с такой скоростью продавать через веб? Интернет-магазины вон за секунды внимания клиентов бьются. Но думаю, уникальный продукт сам найдет дорогу к клиенту.

Говорят, надо искать новых клиентов, но одновременно работать с базой. Новых. С базой. На мой вопрос в комментариях о наличии холодных звонков ответили утвердительно. Это финиш, что сказать. По факту надо нанять таджиков, дать им справочник юрлиц и платить по 10% с каждой сделки. Продавать b2b по холодным звонкам – это за гранью.

Кстати, а что продается за рубежом? Кто тот чудо продавец, что наладил экспорт ЗПД?

По зарплате. Не указано, 60 тысяч – это оклад? Или это возможный доход, если вы продадите 100 проектов по 49 тысяч рублей, и мы дадим вам бонус?

В заключение место работы. По сути это коворкинг ФРИИ. Т.е. Б125 снимает койко-стол за 20 тысяч рублей, нагоняет туда домохозяек, обучает по шаблону, что надо говорить, и отпускает в свободное плавание по рынку.

Вместо вывода. Кто из серьезных b2b-сейлов пойдет на холодные звонки за оклад в 20 тысяч плюс премия — я не знаю. Чтобы отбить свою зарплату (сюда входит зарплата основателей, коворкинг, телефон и все накладные расходы), надо делать по 10+ продаж по 49 000. Это 120+ продаж в год. Или 1 продажа в два дня. Те, кто работает в b2b знают, что иногда продажа может длиться годами. Плюс никто не отменял закупочных процедур, а они времени съедают немало.

 

P.S. Мой отчет так и не пришел. По результатам сообщу.

Держать слово

Шел я как-то с утра по садовому кольцу от курского вокзала и думал, что отличает «хорошего» человека от «плохого». Не в смысле каких-то там дел, вроде перевода старушек через улицу или убийства невинных. И даже не в смысле, «стал бы я с ним дружить или нет». Скорее я думал о критерии уважения к человеку. Хотя таких критериев наверно много, но я думал об одном.

taxi

И вот я вспомнил одну нашумевшую когда-то историю. Суть такая. Произошло что-то экстренное, люди не могли дальше ехать в метро и высыпали на улицу. Там их поджидали местные таксисты, которые быстро подняли цены. «Герою» истории надо было куда-то быстро и недалеко доехать (как он говорит — обычно стоит 200 р). Таксист сказал, что довезет за 2000 р. Наш «герой» согласился, приехали на место, дал водиле две сотни и в рыло.

Что не говори — мерзкая история. И я говорю не только про таксиста — эти говнюки специально пасутся у вокзалов и аэропортов, чтобы довезти кого-нибудь в три цены. Мерзок сам «герой». И, вот, почему.

Что отличает мужчину от мрази? Умение держать свое слово. На место слов «мужчина» и «мразь» можете подставить любое другое. Личность, стержень, националист, законтаченный, пидор, мудак и т.п.
Ты можешь ругаться, тебе может быть лень и вообще в падлу. Но если ты говоришь «да, я это сделаю» — иди и делай.

Это относится ко всем сферам жизни. Например, таже самая торговля о конечной цене. Если уж договорились купить паленый ром за 5 куков у вороватого кубинца, то он должен стоить 5. Можешь мне сделать скидку, но если ты приносишь мне его за 6 — иди нахуй.

Слово мужчины — фактически единственное, что его определяет. Это как репутация. Один раз не сдержал, и пиздец. Даже если никто не узнает. Конечно, не стоит воспринимать это буквально, мол надо выполнять все, что ты говоришь. Обычно я специально акцентирую внимание на таком обещании – «даю слово/даешь слово?» И, конечно, это касается денежных отношений. Даже если ты в итоге сработал себе у убыток, то не дело пересматривать первоначальные договоренности — раньше надо было думать. А то сидят такие и ноют: «ну я в минус ушел, и вообще не успею иначе». Тьфу.

Ну, а в нашей истории «герой» повел себя как настоящий мудак. Речь даже не идет о какой-то вселенской справедливости. Если там так близко было, что обычно доезжаешь за 200 р., так прошелся бы пешком. По московским ценам это расстояние пяти остановок на автобусе. И если уж ты сел в машину при оговоренной цене, как бы ты был с ней не согласен — так плати. У меня был случай на Кубе, когда я переплатил в полтора раза, потому что у меня кончились куки — и я договорился, что отдам в евро 1 к 1. А мог пойти пешком до отеля =)

Вот так и закаляются стержни с личностями. А если вы слышите любые оправдания в нарушении своего слова — знайте, что перед вами мудак и предатель, дел лучше с ним не иметь.

Всего вам доброго.

Что же читать безопасникам? Теперь про книги

Где-то около полугода назад я уже поднимал эту тему. Тот материал получился в итоге о том, что же читать не стоит. Один из минусов графомании — неспособность писать по заказу, мысль несется вперед, и остановить ты ее не можешь. И начать разговор хотелось бы парой слов… про шахматы.

chess-game-1

Шахматы – известная всем игра, пошаговая стратегия, где компьютеры уже давно победили людей.

Я очень люблю шахматы, в детстве ими занимался, и даже были определенные успехи. Но путь для меня туда был закрыт, т.к. я был довольно старым и ленивым, чтобы зубрить теорию и решать кучу этюдов. Кстати, если кто любит вариант Дракона – палец вверх. Если вы немного интересовались шахматами, то знаете, что есть несколько общих рекомендаций для каждой стадии игры (дебюта, миттельшпиля и эндшпиля – начала, середины и конца игры соответственно). Да, они не позволят вам победить гроссмейстера, но вся теория шахмат так или иначе крутится вокруг них. Например:

  • Надо захватывать центр;
  • Развитие фигур в дебюте выгоднее сиюминутной выгоды;
  • Не ходи в дебюте два раза подряд одной фигурой;
  • Конь на краю доски – позор (с) Тарраш, и так далее.

К чему это я? В информационной безопасности, как и в любой сфере, тоже есть свои определенные рекомендации. При определенном старании их можно было бы вывести все, но это не цель данной заметки. Я хочу обратить внимание лишь на один аспект, тот самый, что роднит нас с шахматами: люди соревнуются друг с другом посредством компьютера. Данный аспект базируется на одном из ключевых принципов, о котором далее.

Именно поэтому в первой части я мало внимания уделил технической составляющей навыков. Бесспорно, они нужны. Но они являются лишь инструментом напыривания или, наоборот, защиты от атаки другого человека или группы лиц.

Ключевое во всей нашей деятельность – взаимоотношения с людьми. Именно люди создают, реализуют и эксплуатируют 99% уязвимостей в вашей модели угроз.

Отстраненный пример: я переходил на каждую новую винду через 1-2 года после того, как она релизилась, а лучше после выхода второго SP. Таким образом, мимо меня прошли Windows ME, Vista и 8, т.к. к тому моменту, как необходимость в них возникала, выходила уже новая винда. Делал я это по банальным причинам, т.к. предполагал, что новый продукт будет довольно сырым, выпущенным, исходя из требований бизнеса и маркетинга (например, из чувства соперничества или жадности). Это все делали впопыхах, и будут допиливать по результатам платного тестирования (уже техническая сторона вопроса).

Именно рассматривая угрозы с человеческой точки зрения, можно прийти к выводу, что, например, угроза инсайдеров в нашей стране крайне маловероятна для 99,99% фирм. А те, что все-таки подвержены, работают, в основном, не в тех областях, где обычно боятся инсайдеров. А вот утечки для нас крайне критичны.

Итак, один из принципов: человек совершает любые действия к своей выгоде.

Как видите, очень просто, пафосно и абстрактно. Если обсуждать конкретно и нормальным языком, то будет довольно сложно и много читать. Суть не в этом. Каждый человек понимает эти принципы интуитивно, но часто забывает, когда речь касается информационной безопасности или компьютеров вообще. Ведь скажем тот же альтруизм — это лишь одна из форм выгоды.

Хватит лирики. Чтобы понимать новое в ИБ, все эти модные угрозы и тренды, надо всего лишь понимать, что движет людьми в данной ситуации, как со стороны предлагающих решения, так и со стороны атакующих-защищающихся.

Я не хотел бы здесь давать каких-то конкретных рецептов, а тем более давать ссылки на какие-то крайне сомнительные излияния известных психиаторов (кому интересно – концепции Фрейда и Юнга не нашли подтверждения в своей основной сути, лишь несколько частных наблюдений используются в современной практике, но они мало применимы в бытовом плане). Скорее это книги общего плана (кроме того, что их просто интересно читать), которые дадут вам представление о том, кто мы есть, откуда взялись и куда идем.

 

И первая книга… «Основы оперативно-розыскной деятельности». Пам-пам-пам…. На самом деле я поставил ее первой, чтобы просто про нее не забыть. Сейчас таких книг очень много, можете взять любую. Сам я, еще в институте, читал извлечения из внутренней методички Академии МВД. Крайне прочищает мозги и выстраивает в голове методологию. Основным эмпирическим выводом для меня стало понимание сути доказательств, работа с фактами и разделения умышленных и неумышленных действий.

evolutionБазовой книгой для понимания нашей природы для меня стала очешуенная книга Александра Маркова «Эволюция человека» в двух частях (хотя читал я ее уже после Докинза, про которого можно говорить и говорить). Собственно, именно отсюда вы узнаете основные паттерны поведения нас как вида. Почему мы именно такие. Для многих бывает открытием, что предки наши вышли из Африки, и, по сути, мы все потомки негров. Мы приспособлены к жизни в саванне, воспринимаем мир на средних скоростях и 95% времени вообще не думали. По эволюционным меркам это произошло вчера, поэтому все проблемы дня сегодняшнего не разрешатся еще несколько сотен тысяч лет. Читайте, крайне интересно.

i_IQСледующая книга раскроет вам мир эмоций – Даниэль Гоулман «Эмоциональный интеллект». Я читал самое первое издание, сейчас у него вышло несколько редакций и продолжение. Если вы прочитаете Эволюцию, то эта книга дополнит картину с точки зрения эмоций. Вы станете с пониманием относиться к окружающим вас явлениям. Например, помните, как Алексей Лукацкий набросил на меня? Я был спокоен. Я понимал, что у Алексея сагрилась самая древняя часть мозга (та, что принимает камень за льва, где нестрашно ошибиться и обознаться, но которая дает шанс убежать от реального льва). Но так как инстинкты работают быстрее разума (те самые средние скорости), получилось то, что получилось. Лев оказался камнем.

organЧетвертая книга будет полезна тем, кто работает в заказчиках. Эдгар Г. Шейн «Организационная культура и лидерство». Книга немного занудна и пережевывает одно и то же несколько раз (впрочем, это особенность западной литературы), но она крайне полезна в понимании, что такое корпоративные интересы, какие группы есть внутри коллектива, как они взаимодействуют и т.п. Вот вчера представитель Аванпоста накинулся на меня со словами «да как он посмел! Это кто такой? На Женю! На Мишу! На Лешу!!!!1111». Прочтя эту книгу, вы будете видеть в этом не личные наезды, а защиту корпоративных интересов. Собственно люди как вид — глубоко социальные, и всегда находятся особи, которые блюдут интересы этого социума. Кстати, в Эволюции этот момент раскрывается с точки зрения этологии, как и почему низкоранговые животные ведут себя более агрессивно по отношению к чужакам, чем высокоранговые.

В завершение рекомендовал бы книгу для небольшого релакса – «Вы, конечно, шутите, мистер Фейнман!». Эта великолепная книга Ричарда Фейнмана (топ-3 моих любимых авторов) поможет вам лучше понять, что же такое научный метод. Позволит разделять вам эмоции и разум на плоть от плоти науки. И она просто охеренная.

feiman

На этом хотел бы на сегодня закончить. Хороших книг довольно много, но не хочу отнимать хлеб профессиональных рецензентов.

Огромной всем удачи, и пока.

Анатомия кидка, или о пользе научного метода

Хорошо на майских праздниках: работать не надо, пробок в Москве нет, погода отличная. Правда, и нет никого – все разъехались. Поэтому нет смысла в топовых материалах, нужно что-то такое ненапряжное.

Богоборцы

Говоря об информационной безопасности, мы всегда говорим о каких-то глобальных концепциях. Безопасность, угроза, риск. Эти понятия настолько размытые, составные и не конкретные, что уже граничат с философией. У нас на лицо все признаки. У нас уже есть свои философы, к которым ходят ученики, воспринимающие мир только с точки зрения учителя. Кто-то Платон, кто-то Декарт, а кто-то и Диогеном восхищается.

diogen-ialeksand-vstrecha

Сестра-антипод философии – физика (в метафизическом понимании науки). Физика наоборот — четкая, элементарная и конкретная. Физика оперирует базовыми, частными элементами. И уже из этого с помощью научного метода выводятся глобальные концепции. Что интересно, эти концепции постоянно пересматриваются, если появляются факты, противоречащие теории.

Вся наука построена на наблюдении и эксперименте. Вначале делаем эксперимент (видим что-то), потом делаем выводы, потом строим гипотезу, ищем подтверждения, появляется теория. Неотъемлемым свойством теории является фальсифицируемость, т.е. формулирование эксперимента (явления), который, будь он поставлен, мог бы опровергнуть теорию. Например, явление падения вверх опровергает наличие силы тяжести. Т.к. вверх не падаем, то и пересматривать текущую теорию силы тяжести смысла нет.

Как видно в нашей сфере все с точностью до наоборот. Классический пример, когда гуру на всех конференциях и блогах защищал концепцию, которая противоречила и позиции регуляторов, и сложившейся практике. Бедные его ученики попали, но все еще верят гуру.

Поэтому предлагаю начать с азов. От чего защищает безопасность? От угроз. Что такое угроза? Вероятность, помноженная на ущерб. Что такое… Стоп. Ближе к жизни.

Помните, я недавно писал об игре в угадайку? Страшно заразная и вредная штука, т.к. люди не укладываются в какие-либо классификации. Но вот поступки людей на определенном отрезке времени очень хорошо классифицируются. Я назвал это теорией кидка.

Кидок, или при чем тут информационная безопасность?

В чем суть? Чтобы решать абстрактную задачу – риск-менеджмента в информационной безопасности, — нам надо эти риски (угрозы) выявить и классифицировать. Тут в действие вступают небесные силы, которые на Синае выдают нам две скрижали – Модуль угроз и Модель нарушителя.

boga_net

Я сам написал под сотню моделей угроз, и, думаю, вы не будете со мной спорить, что все они довольно абстрактны. Например, второй раздел из стандарта Минздравсоцразвития:

2.1. Угрозы уничтожения, хищения аппаратных средств ИСПДн носителей информации путем физического доступа к элементам ИСПДн

2.1.1. Кража ПЭВМ

2.1.2. Кража носителей информации

2.1.3. Кража ключей и атрибутов доступа

2.1.4. Кражи, модификации, уничтожения информации

2.1.5. Вывод из строя узлов ПЭВМ, каналов связи

2.1.6. Несанкционированный доступ к информации при техническом обслуживании (ремонте, уничтожении) узлов ПЭВМ

2.1.7. Несанкционированное отключение средств защиты

Хотите уточнения? Вот как в 2009 году описывалась угроза кражи:

Угроза осуществляется путем НСД внешними и внутренними нарушителями в помещения, где расположены элементы ИСПДн.

Если в Учреждении введен контроль доступа в контролируемую зону, установлена охранная сигнализация, двери закрываются на замок, установлены решетки на первых и последних этажах здания, то для всех типов ИСПДн вероятность реализации угрозы – является маловероятной.

При наличии свободного доступа в контролируемую зону посторонних лиц вероятность реализации угрозы должна быть пересмотрена, или необходимо принять меры по пресечению НСД посторонних лиц в контролируемую зону.

По сути каждый из этих пунктов лишь верхушка айсберга настоящей угрозы. Здесь требует уточнения буквально все: тип нарушителя, действия, приводящие к реализации, место действия, объект воздействия и т.п.

Думаете, модель нарушителя нам поможет? Фиг там.

В качестве внешнего нарушителя информационной безопасности рассматривается нарушитель, который не имеет непосредственного доступа к техническим средствам и ресурсам системы, находящимся в пределах контролируемой зоны.

Предполагается, что внешний нарушитель не может воздействовать на защищаемую информацию по техническим каналам утечки, так как объем информации, хранимой и обрабатываемой в ИСПДн, является недостаточным для возможной мотивации внешнего нарушителя к осуществлению действий, направленных утечку информации по техническим каналам утечки.

Предполагается, что внешний нарушитель может воздействовать на защищаемую информацию только во время ее передачи по каналам связи.

Да, это 2009 год, но за это время мало что изменилось. Не знаю как вам, а мне из этого описания понятно только, что злой посторонний может зайти и что-то у нас украсть. Т.к. описание максимально неконкретное, нам необходима гора мер защиты, чтобы защититься от всего на свете. Вы со спецификацией приходите к начальству и сразу от него уходите с нехорошими криками в спину.

Где-то в середине всех этих размышлений у меня появился фактологический материал по кидкам. Что такое кидок по сути – это нарушение предписанных норм (договоренностей) с целью извлечения личной выгоды, спонтанный или спланированный. По сути, это описание инцидента информационной безопасности, во всяком случае, большей их части, относящихся к внутренним нарушителям.

Кстати, моральное удовлетворение — тоже личная выгода. Разве сотрудник не кидает родную компанию, когда продает базу клиентов конкурентам? Кидок? Он, родимый.

Сам по себе кидок (инцидент) – это действие. Каждое действие имеет предпосылки (причины), когда они переваливают за точку бифуркации – начинается хаос (кстати, крайне рекомендую по теме теории хаоса книгу самого Лоренса, который Эдвард. ). Понятно, что сами причины мы распознать можем лишь по косвенным признакам, если, конечно, при генерации не вкладывали точки в телепатию. Вот эти сами признаки и есть наши элементарные частицы. Чем их больше, тем вероятнее кидок. Так, кстати, работают все поведенческие системы.

У меня собралась обильная коллекция кидков в сфере риэлторства. Это всевозможные кидки со съемом квартиры, когда квартиранты тем или иным образом обманывают хозяев. Т.к. другой статистики под боком нет, буду использовать ее. Сами увидите, что параллели провести довольно просто.

Пример и следствия

Сегодня хотел бы рассказать лишь об одно инциденте. Мы сделаем из примера несколько следствий, и потом посмотрим, подтвердится ли наша теория.

Дело было в июле-октябре 2015 года. Квартиру сняли двое мужчин, которые были здесь на заработках. Снимали по прямому объявлению (без риелтора), их устраивало расположение квартиры, в 15-20 минутах от работы. Мужчины славяне, один из Ростова, другой из Иркутска. С самого начала они попросили дать отсрочку на депозит, и, ссылаясь на то, что уходят рано, а приходят поздно – никак не могли встретиться с хозяином помещения. После неоднократных напоминаний о депозите и договоре (с обещаниями), в определенный момент оба мужчин испарились, оставив ключи в почтовом ящике, долги по коммуналке и геморрой по сдаче квартиры.

Следствие 1. Кинуть может любой. Нарушителем может быть любой, вне зависимости от положения, должности и прочих факторов.

Следствие 2. Кидок тем вероятнее, чем менее значительны последствия. Вернемся к примеру с квартирой. Оба мужчины могли просто вернуться домой, где их точно никто не будет искать. Плюс к этому — над ними не довлела комиссия риелтору, вряд ли вы будете каждые три месяца убегать из квартиры, если потратили на нее три цены при съеме.

Следствие 2.1. Чем известнее человек (выше должность), тем меньше вероятность кидка. И, наоборот, анонимусу нет смысла заботиться о репутации. Даже если об этом случае рассказать в интернете с фотками и адресами или рассказать работодателю.

Следствие 3. Вероятность кидка выше, чем меньше личный контакт. Тут все просто: тяжело кинуть людей, которым мы чем-то обязаны. И очень просто каких-то абстрактных менеджеров. Думаю, Сноуден шибко не мучался. Подумаешь, какие-то секреты ЦРУ, мало у них секретов что ли?

Следствие 4. Вероятность кидка повышается, если были нарушены первичные договоренности. Если бы хозяин настоял на депозите с самого начала, а не слушал слезливые истории о больны детях и сложной работе, все могло бы сложиться по-другому. Единожды нарушивший слово, нарушит его снова.

На сегодня все. До новых встреч.

У Камина: Про презентации с Рустемом

Хотел сегодня написать по экономическую оценку, но Рустем Хайретдинов не хочет уходить и продвинул свою тему (и до кучи product placement Infowatch и Appercut). Поэтому сегодня опять мягкое потрескивание дров и виски в пузатых стаканах (надеюсь в следующий раз Рустем будет со своим).

fireplace_main

Как делать презентации

Вообще, про презентации я могу говорить долго и вдумчиво. Но тут Рустем сделал пост (убираю всякой под кат – оставляю суть):

 

 

Зачитать целиком

Вчера принимали работу нашей команды по маркетингу, готовящей презентации к весеннему рад-шоу и по ходу я придумал новый конкурсы для создателей презентаций. Можно играть на конференциях или в профильных клубах.

Довольно часто бывает так, что сначала ты делаешь презентацию для какого-то выступления, а потом тебя просят написать статью «по мотивам». Обратное встречается гораздо реже — чтобы кто-то из организаторов конференций сказал: «вот ты написал статью там-то, не можешь сделать на эту же тему выступление». В моей личной практике — ни одного случая на сотню статей. Возможно это потому, что организаторы конференций не читают профильную прессу, за исключением своей собственной.

 

 

Итак, конкурсы:

1. Базовый конкурс а-ля «Домашнее задание» — за день до старта участникам раздаётся одна и та же аналитическая статья на отвлечённую тему, не знакомую ни одному из участников (например, в ИБ-среде о животноводстве), а на конкурсе жюри слушает, сравнивает и оценивает презентации участников по мотивам этой статьи.

Уровень «стажёр» — копи-пейст абзацев.
Уровень «менеджер» — пересказ статьи вслух близко к тексту под соотвествующие весёлые картинки на экране.
Уровень «колдун» — оригинальная презентация, доносящая мысли статьи.

Последнее очень круто — понять смысл и аргументы статьи и сделать совершенно самостоятельное произведение с понимаем преимуществ визуального формата. Мы вообще редко сталкиваемся с адекватным переводом в визуальный язык (кино) хороших текстов (книг) — вспомните, сколько раз после фильма-экранизации известной книги у вас язык не поворачивался сказать «книга лучше»(с).

2. Продвинутый конкурс — дуэль «обратный перевод». Два участника пишут презентации, потом по ним эссе и обмениваются ими, не предъявляя оригинал презентации. Затем повторяются условия предыдущего конкурса и жюри сравнивает оригинальную презентацию участника с «обратным переводом» эссе в презентацию, сделанным его соперником и наоборот.

 

В комментариях я упомянул, что у нас две основные школы, каждая из которых порвет другую школу в одном конкурсе и безжалостно сольет в другом. Рустем поймал меня на горячем и захотел подробностей. Как вы знаете, всегда есть два вида людей – западники и почвенники, с пистолетом и без, быстрые и мертвые. Применительно к презентациям – текстовики и говоруны.

2_man

Понятно, что чистых адептов каждой из школ не бывает, они мимикрируют то в одну, то в другую сторону. Но основные признаки тяготеют к одному из полюсов.

Текстовики

Тут все довольно просто. Это люди, загоняющие текст в слайды. Много текста. Еще больше текста! Больше текста, больше текста!!

text

Количество слайдов у текстовика прямо пропорционально времени, которое ему отведено на презентацию. Дадут час – будет 100 слайдов. Эти презентации очень хорошо читать после мероприятия, тем более если тебя там не было. Они информативны и подробны. Но часто текстовики используют 10 и меньший шрифт, дабы все уместилось.

Слайды – фактическое отражение произносимого.

Коронная фраза – «Я тут пролистаю, потом вышлю презентацию».

Можно быть уверенным, что, пропустив первую часть презентации на мероприятии А, вы сможете восполнить пробел, послушав ее на мероприятии Б.

Ярым представителем является Алексей Лукацкий. Признаюсь, я не видел его последние творения, но помню курс по 382-П. Алексей прислал презентацию на 100 с лишним мегабайт и 300+ листов. Она до сих пор у меня хранится, и я в нее часто заглядывал в свое время. Сюда же можно добавить отчеты чиновников и т.п.

Именно отсюда происходят все эти корпоративные замашки – «а давайте сделаем общую презентацию по теме», «подготовь мне презентацию мне завтра читать» и т.п. Текстовую презентацию – может прочитать любой, кто в теме. Не верите? Посмотрите на презентации в наших учебных центрах, я несколько раз сталкивался, с заменой преподавателей, которые читали по «общей презе».

Текстовики, понятно, смотрят на говорунов, как на говно.

Говоруны

Другая крайность — рассказывать презентацию. Тут тусуются адепты Минто (всем рекомендую почитать ее книгу «Принцип пирамиды Минто» – вступайте в нашу секту!!) и схожих деятелей.

tell

Презентации именно рассказываются, слайды используются, как вспомогательный материал. Минимум текста, несколько картинок. Количество слайдов ни как не зависит от количества времени. Как-то я проводил серию обучений для школ и детских садов по персональным данным – два часа я рассказывал про 17 слайдов.

Понятно, что из этих презентаций нифига не понятно, если не слушать. Вот, смотрите пример с конференции 2010 года, где мы, кстати, первый раз с Рустемом и пересеклись. Отсюда, разве, что можно общую мысль понять, но ни каких деталей.

Воспроизводимость презентаций говорунов – нулевая. У меня каждая презентация, по одним тем же слайдам, имеет отличия – от незначительных до глобальных.

Говорящую презентацию – гораздо сложнее подготовить (об этом как-нибудь в другой раз, а то совсем дебри будут). Да и еще куча факторов влияет, разболится любимый мозоль, и уже запал пропал, на лице мука… вы не захотите такое смотреть.

Понятно и «выхлоп» предсказать труднее.

Ну, т.к. я явно тяготею к говорунам, и выставлять себя в качестве примера – не скромно, влеплю сюда Стива Джобса – как абсолют (хотя сам Apple, и что они делают – мне не нравиться).

Любите таблицы? Вот, вам таблица в сравнении двух школ (принимаю дополнения):

Параметр

Текстовики

Говоруны

Выхлоп от презентации Всегда стабильный, на среднем уровне В широких пределах
Воспроизводимость Полная От 70% до 0%
Интересность прослушивания Средняя Выше средней
Зависимость от внешних факторов Практически никакая Существенная
Читаемость презентации после выступления Высокая Никакая
Вау-эффект Невозможен Может быть достигнут
Контакт с аудитория Безразличен Важен
Количество слайдов на минуту выступления 1-2 на минуту 0,2 – 0,5 на минуту
Требования к спикеру Нормальные Высокие
Наибольший эффект Обучающие, отчетные презентации Маркетинговые, продажные, инновационные презентации

 

Понятно, что это некая условность. Можно текстовую презентацию рассказать так, что все ахнут. И мекать и бекать на говорящей. Но в целом оно вот так вот.

Возвращаясь к конкурсам – говоруну будет сложно выиграть «обратный перевод». Но просто разорвет в клочья текстовика в «домашнем задании» (разумеется, если будет время на подготовку), для него полет мысли – это все.

На этом все, заходите к нам еще.

Про перечень отечественного ПО

Как-то, пять лет назад, в одном крупном заказчике один интегратор провел работы по внедрению оборудования Инфотекс. Заказчик и интегратор нежно любили друг друга и верили друг другу на столько, что выполняли работы «вперед», т.е. без договора. Такое часто делают в государственных заказчиках из-за особенностей бюджетирования, которое планируется только на будущий год. А проблема есть уже сейчас. Если любовь нежная – стулья можно поставить вечером, а утром через конкурс забрать деньги.

Объявили конкурс, и тут набежал мой учитель и сенсей Аркадий с предложением на оборудовании С-Терра. Заказчик хотел выкинуть Аркадия по формальным признакам, но он не сдавался. Провели даже стендирование, и весь необходимый функционал подтвердился. Закручинился заказчик с интегратором, и повис у них конкурс – ни победителя выбрать, ни отменить. Уже и истории 5 лет, и Аркадий в другом месте работает, а конкурс все висит…

Вспомнил я это вот по какой причине. Был я недавно на коллоквиуме (думаю все знают, что с греческого это переводится как дружеская попойка). Коллоквиум совместно проводили IBM и OCS прямо в здании РИА-Новости. Затронули там тему импортозамещения. Думаю, суть все знают: теперь госорганы не могут закупать иностранное ПО, если есть российский аналог.

reest_soft

Не открою большой тайны (какая ж это тайна, когда все блогеры об этом уже написали? :)), что обойти это можно тремя путями:

  1. Если действительно нет аналога или удается обосновать, что в иностранном ПО есть особые функции. Ну, вариант так себе, все эти обоснования — большая подстава, как в случае с Инфотексом выше.
  2. Если продавать программно-аппаратный комплекс. У нас ведь реестр ПО, а про ПАКи там ни слова. :) Но, говорят, лазейку скоро закроют.
  3. Продавать ПО как услуги. Еще более стремный вариант, ценообразование не прозрачное, зачастую придется проводить как безальтернативную закупку, да и вообще.

Сам реестр пока, скучный. 87 позиций, при беглом просмотре нашел не более 10% по информационной безопасности. Но, думаю, экспертный совет соберется еще несколько раз, и в реестре будут все…

Т.е. с точки зрения конкурентной борьбы и защиты конкурсов вообще ничего не изменится. Как конкурировали С-Терра с Инфотексом, так и будут.

Как м*даки убивают интеграторы по информационной безопасности

Скоро Новый год, время подведения итогов, время водораздела, время начинать все с начала. Для многих НГ является ключевой точкой. И сегодня у нас самая новогодняя тема – про собеседования, а еще вернее, как отличить хорошую компанию от плохой. Материал планировался как набор забавных историй из личной жизни. Увы, в нынешний кризис, с его веерными сокращениями — это может стать руководством к действию. Но начнем.

Как мудаки убивают интеграторы по информационной безопасности

Вообще, работа — одно из главных, если не главное, мерил мужчины. И дело даже не в деньгах и должностях. Если мужчина реализовался на работе, у него, скорее всего, и вокруг все хорошо. А если нет, то могут быть всякие отклонения, среди которых депрессия и алкоголизм лишь верхушка айсберга.

Сам я работаю с 14 лет. Как-то я составлял перечень, кем работал (получал деньги), получилось:

  1. Курьер (3 года);
  2. Электро-монтер связи (3 месяца);
  3. Сисадмин (1 год);
  4. Бета-тестер игр (1 месяц);
  5. Разносчик газет (1 неделя);
  6. Уборщик/разнорабочий (полгода);
  7. Литературный негр (полгода);
  8. Офицер службы безопасности (2 года);
  9. Специалист (старший, ведущий) по ИБ (3 года);
  10. Преподаватель и лектор (2 года);
  11. Администратор/модератор форума (4 года);
  12. Начальник отдела консалтинга (1 год).
  13. Руководитель проектов по ИБ (5 лет).
  14. Антикризисный управляющий (8 месяцев).
  15. Бизнес-консультант (2 года).

На собеседования я ходить люблю, людей посмотреть и себя показать (но сейчас этого практически не делаю). И рассказать-то я хотел о м*даках (кстати, оказалось, что и книжка соответствующая вышла), моем опыте общения с ними, и что в итоге получилось.

Какое точно название документа?

Искал я как-то работу и забрел в интегратор Б. Захожу на собеседование, передо мной садятся двое, посмотрели резюме и спрашивают:

— Какие документы по ЗПД вы знаете?

— ФЗ, четверокнижие, РД.

— А назовите, как документы в четверокнижии называются.

— Полностью?

— Да.

— Иди нахуй (развернулся и ушел).

Мое знание наизусть названия документов не делает меня более лучшим или худшим специалистом. Когда мне потребуется — я полное название скопирую из Консультанта. Важно ведь понимание, правда? Если помните, еще совсем недавно на конференциях были люди, полностью проговаривающие названия ПП №687. Специалисту нет нужды помнить название, достаточно номера.

Или же чуваки набирают зубрил, которые знают лишь «учебник». Ну, они добились своего, через год они потеряли одного из крупнейших клиентов по безопасности и занимаются теперь ИТ-интеграцией. Сейчас у них 1,5 специалиста по ИБ.

В другой компании моего будущего коллегу гоняли как на экзамене по ГОСТ 34. И сделали офер на 20% ниже, т.к. он не твердо его знал. В той компании сейчас тоже все не очень хорошо.

Любимый вопрос HR

Интересный вопрос, нужен ли HR при собеседовании на вакансии по ИБ? Вообще, HR должен оценить кандидата с человеческой точки зрения, выяснить мотивацию и передать непосредственному руководителю свое мнение (на втором собеседовании, если кандидат прошел первичный отбор).

Был я в интеграторе М. Собеседовал меня вновь назначенный директор департамента и HR. HR прыгала от нетерпения, чтобы ей разрешили задать «ее любимый» технический вопрос. Вопрос заключался – назовите все уровни модели OSI (и улыбается). Опять какой-то зубрильный вопрос.

Я смотрю на нее и спрашиваю: — Вы мое резюме читали?

— Читала.

— У вас возникают сомнения, что я это сделал?

— Нет.

— Так вот, за 4 года работы модель OSI мне ни разу не пригодилась. Я знаю 4 основных уровня (называю), где работают основные средства защиты. Позвоните мне, если надумаете.

В этом году компания обанкротилась.

Как мудаки убивают интеграторы по информационной безопасности

Хитрые схемы мотивации

Ходил я в интегратор Е. на инженерную должность. Практически все обговорили, пошел финально говорить с генеральным директором.

— Сколько хочешь?

— 60 т.р.

— Давай так, мы тебе платим 40 + бонус в конце года, те же 60 выйдут. Это у нас мотивация такая.

Я чуть не поперхнулся, и работать там не стал. В 2014 году интегратор закончил существование, и вся его жизнь была страданием.

Я лучше знаю

Был я в интеграторе Л. К тому моменту уже заделал рекомендации минздрава и сделал кучу всего в ЗПД. Прихожу на собеседование к техническому директору. Обсуждаем ЗПД и методы безопасности. Пересказал проделанную работу. Получил в лоб:

— Посмотрим, что на это скажет прокуратора?

— Прокуратора, конечно, глобальный регулятор, но при чем тут она?

— Все эти согласования — хуйня.

Лично я не хочу работать в догматичной компании, не готовой меняться. По слухам, этот интегратор закроется 31 декабря.

К чему это я?

Всех этих интеграторов объединяло одно: в них работал как минимум один м*дак на руководящей должности. Никакая зарплата не компенсирует вам работу с м*даками. Это как брак по расчету: деньги вроде есть, но спишь-то ты с конкретным человеком.

Самый лучший способ – перед собеседованием навести справки у друзей. Со временем вы будете знать много коллег по рынку. Спросите их, если уж они будут рекомендовать, то стоит сходить.

Мне вот, например, регулярно звонили кадровые агентства:

— Здравствуйте, у нас есть должность в крупном интеграторе.

-Каком?

— Не могу сказать.

— Понимаю. Знаете, я рынок неплохо знаю. Я не буду работать в интеграторах А, Б, Ц и Я.

— Спасибо, до свидания.

Надеюсь, с вами подобного не случится. Всего вам доброго.

Аутсорсинг ИБ – будущее, которое может и не наступить

Оказалось, что тема аутсорсинга волнует многих. Вставлю и я свои пять копеек. Если лень читать много букв, то краткий вывод – у аутсорсинга информационной безопасности будущего в ближайшей перспективе нет. А теперь много букв.

outsoursing2

Лирика для вхождения в тему

Как-то месяца два назад наткнулся в ленте новостей на статью «почему западные методики бизнеса не приживаются в России» или как-то так. Главный посыл: потому что у нас другой менталитет. А вот вывод был неправильный – «давайте менять менталитет».

Вся стратегия аутсорсинга (слово-то какое буржуинское :)) строится на том, что мы доверяем компании аутсорсеру. А если не доверяем, то сможем с нее взыскать убытки по договору через суд. Как вы понимаете, чтобы не допустить второго, наше доверие должно быть избирательным. Помочь ему в этом может множество факторов, но главный – репутация. И это первая проблема.

Вчера я упоминал круглый стол у Алексей Лукацкого на Infosec2013. Там Алексей впрямую заявил – «в России репутация стоит ноль». И я был шокирован, какое большое количество фанатов Алексея его поддержало. На BISA саммите в 2014 году я решил уточнить у Алексея, изменилось ли его мнение (не дословное цитирование):

— Нет. У нас в куче банков происходят утечки и кража денег, но все остается как есть.

— Хорошо. Но начнем с малого, есть же личная репутация, и…

— А и ее нет. Про меня такое говорят, устал читать.

Т.е. в нашей сфере известный блоггер, формирующий общественное мнение, не верит в репутацию и что она чего-то стоит. Вот от этого и оттолкнемся.

У аутсорсинга нет репутации, а следовательно доверия к нему

Я затрону всего три грани, почему аутсорсинг — это не про нас:

  • со стороны заказчика;
  • со стороны рынка;
  • и со стороны продаж.

Почему аутсорсинг ИБ не нужен заказчику?

Аутсорсинг, в принципе, выгодная вещь. Например, чтобы не держать собственную логистическую структуру, проще нанять специальную компанию. Качество сервиса растет, прямые расходы известны, бери и радуйся. Но уже на этапе, когда мы переходим к аутсорсингу ИТ, а тем более ИБ – это мало работает.

Во-первых, это очень дорого. Посмотрите материалы Solar с SOC форума, в каждой презентации у них есть слайд, где затраты на внедрение собственного SOC и аутсорсинг сходятся в районе 3 лет (парни без контактов – вы еще не оплатили прошлый счет за product placement :) ).

Окупаемость внедрения SOC

Т.е. дальше аутсорсинг будет только дороже. Вообще, нанять 1 специалиста на аутсорсинг на рынке стоит 3 ФОТ от стоимости собственного специалиста.

Это не говоря уже о том, что, если вы берете на аутсорсинг сложные системы (те же SOC), вы их банально не сможете амортизировать, а любой бухгалтер вам скажет, что амортизационные отчисления — один из главных источников модернизации. Для сложных систем срок амортизации варьируется от 3 до 7 лет. Т.е. и здесь не выгодно.

Но вернемся к сути. Если вы увлекаетесь теорией литературы, то должны знать или хотя бы слышали, что есть с десяток классических сюжетов и остальное лишь вариация на тему. Один из этих классических сюжетов – разорившийся богач (Гобсек, например), от которого отворачиваются все, остается лишь пара верных слуг. В нынешних реалиях – обычно водитель, охранник и экономка. Можно долго рассуждать, почему и как, но основная причина такова: потому что эти люди тесно общались с хозяином и стали частью жизни друг друга.

Я не хочу сказать, что безопасники – слуги. Но это наиболее близкая к владельцу структура, призванная его защищать от всего, от чего сможет. Если он не доверяет собственным безопасникам, то кому ж доверять? Скажем прямо, безопасники – это наиболее преданная и лояльная к организации структура. Да, преданность и лояльность можно купить. Ведь всегда в условиях войны можно было купить наемников. Но надо быть уверенным, что вас не кинут в трудную минуту. И тут опять всплывает вопрос репутации.

Рассмотрим разные ситуации взаимоотношений. Например, я. Любой человек, работающий со мной знает, что я человек слова, у меня есть несколько пунктиков на счет сроков и другие заморочки. Но если я с кем-то договорился, то слово назад не вертаю. Это отношения человек–человек.

В ситуации отношений человек-организация все примерно также. Правда, возрастает неопределенность в отношении организации.

А вот в ситуации организация-организация все катится в кромешный ад. По сути, эти отношения переворачиваются в организация (аутсорсер)-человек (заказчик), т.к. в Заказчике за привлечение аусорсера отвечает 1 человек, он принимает решение, контролирует и получает результат. Сами понимаете, что в данном случае заказчик будет в положении Алисы в стране чудес. Аутсорсер для него совсем не прозрачен (кто сомневается, можете как физическое лицо повзаимодействовать с любой государственной или коммерческой структурой по нетривиальному вопросу).

Кто эти люди? Кому они расскажут мои тайны? Уйдут ли через месяц работать к конкурентам? И еще тысяча вопросов. И, увы, все эти SLA, NDA, KPI и прочее не дают ответа. Закачаешься, какая информация внутри тусовки циркулирует.

Собственного сотрудника хотя бы обматерить можно. А Оператора Антона — иди еще найди, кто это.

Почему рынку не нужен аутсорсинг ИБ?

Тут уже не буду растекаться мыслью по древу. Чтобы аутсорсинг работал, должно быть множество компаний с определенной репутацией. Это на рынке телефонов могут быть пионеры, которые загребают все деньги. На рынке услуг все совсем иначе. Если нет альтернативы, то не понятно чего ожидать. Сейчас вот Solar продвигает аусорсинг SOCов. Молодцы. Но мне не с чем сравнить. Я не понимаю ни ценообразования, ни своих затрат, не могу оценить качество сервиса. Да, и банально могу не доверять другим организациям в таком тонком деле как управление инцидентами. Потому что глядя в окно, я вижу совсем иную картину. Почему Solar Security считает себя особенной? «Где ваши доказательства?» (с)

Поэтому понятно, почему Игорь Ляпунов (директор Solar) говорит: «Ответственность за информационную безопасность на заказчике, нельзя ее переложить на аутсорсера».

Главный посыл: как только на рынке все будут играть по одним правилам с единой этикой поведения, тогда поговорим. Говоря проще, как Solar начнет отчитываться о пропущенных инцидентах и штрафах, что они заплатили, тогда имеет смысл присмотреться.

Почему аутсорсинг ИБ не продается?

Я обещал рассказать историю. Выполняю.

Жила была компания, оказывающая услуги по аутсорсингу. Взялись за дело они шибко, и скоро стали отличными специалистами в узкой области. Но потом уперлись головой в потолок (или дно, как посмотреть). Текущие их заказчики уже не покрывали их расходов, т.к. аутсорсинг услуг масштабируется линейно. Надо было искать новых. Решила наша компания развивать партнерскую сеть, стали они везде ездить и всех агитировать «продавайте нас!». Но не получилось, никто их продавать не захотел. История еще не закончилась, посмотрим, что будет.

К чему это я? Все просто: в цепочке аутсорсер-заказчик нет места партнеру (интегратору). Получается, что партнер может заработать только на скидке, которую даст аусорсер, т.к. интеграторских работ нет. И зачем заказчику работать с партнером, если можно напрямую с аутсорсером – мб и дешевле выйдет. К тому же я не уверен, что аутсорсер банально не уведет моего клиента. Вот и люди из истории – ходят по рынку и пробуют что-то сделать.

outsoursing3

В этом случае аутсорсер рассчитывает в основном на свои продажные силы, а их всегда недостаточно. Ирония: аутсорсеру, чтобы продавать аутсорсинг, нужны продавцы на аутсорсинге в партнерах. :)

Куда не кинь, всюду клин. Аутсорсинг дорого, стремно и ненадежно. Печаль.