Архив рубрики: СекЛаб

Здесь собраны материалы для пользователей сайт securitylab.ru

Как сделать стандарт за 10 дней. Часть вторая. Скучная

Как сделать стандарт за 10 дней, я рассказывал раньше. Сейчас я хотел бы рассказать о терминологии и названиях документов, их значении и разных подходах к составлению документации. Конечно, все знают, что полезно разбираться в документах, но не у всех хватает терпения вникнуть в них. Я расскажу, как меня засудили как раз за это. Эта часть будет сухой и скучной, налейте себе чая, возьмите печеньки. Поехали.

Слишком долгое вступление в тему

Любой живой язык прекрасен в своих нюансах. А русский язык прекрасен вдвойне. Имея такой мощный базис, русский канцелярит (так я называю язык, на котором пишутся законы, постановления правительства и другие официальные бумаги) пленит своими возможностями. Разумеется, если вы не пытаетесь его читать.  Если нет возможности этого избежать, то читать канцелярит надо вдумчиво и размеренно, несколько раз перечитывая, вникая в каждое слово.

Шел 2008 год – лето, пятница. Я отпросился пораньше с работы, чтобы не стоять в пробках, и ехал на дачу по Дмитровскому шоссе в районе Яхромы. Было довольно плотненько, но терпимо. Меня останавливает инспектор ГИБДД, просит документы и заявляет, что я не пропустил пешехода. Я с ним не соглашаюсь.


Тогда инспектор предлагает подписать мне постановление и говорит, что у меня будет 10 дней на обжалование. Ну, уже неплохо. Я подписываю бумагу и еду дальше по своим делам. Оказалось, что инспектор воспользовался моим незнанием.
 

Протокол? Какой протокол?

На суде выяснилось, что я подписал не протокол, а постановление.

В случае, если представитель власти увидел признаки административного правонарушения (например, правил дорожного движения), он должен составить протокол. В протоколе вы можете написать, что не согласны с замечаниями, а вот в постановлении такой графы нет. Т.е. подписывая постановление, я фактически признал свою вину. Да, у вас есть 10 дней, чтобы обжаловать постановление. Но шансов практически нет. Таким образом, протокол – лишь фиксация нарушения, а постановление – уже назначенное наказание.

Казалось бы, две какие-то бумажки, а какие разные последствия.

Документы для информационной безопасности

Как и любая деятельность, процессы информационной безопасности рано или поздно обрастают некоторым объемом документов: политики, регламенты, инструкции, положения и т.п.  Каждый из этих документов решает определенную задачу, а путаница в них (как в примере выше) в обязательном порядке губительно скажется на вашей деятельности.

Для создания документов такого рода мы можем использовать достижения как отечественной, так и западной школ.

Западная школа

Западная школа довольно свободно относится к названиям и содержанию документов. Самым ярким доказательством является серия стандартов – ISO 2700x, которую знает каждый безопасник.


В общем случае вся документация делится на четыре уровня.

  • Политики первого уровня – наиболее «водянистые» и «стратегические». Например, «Политика информационной безопасности ООО «Ромашка».
  • Политики второго уровня – конкретизируют определённые аспекты глобальной политики или конкретные процедуры. Например, «Политика антивирусной защиты».
  • Инструкции (третий уровень) – описывают конкретные обязанности сотрудников в рамках политики 2 уровня, например, «Инструкция системного администратора по антивирусной защите сегмента КСПД».
  • Записи (четвертый уровень) – все то, что не вошло в предыдущие три уровня. От настроек на конкретном сегменте до разбора инцидентов SIEM-системы.

При применении данного подхода возникают проблемы с адаптацией сего стандарта в наших реалиях. До сих пор можно легко обратить любое общение безопасников в безжалостный холивар вопросом о размере политики безопасности. Большинство предпочитает хранить всю необходимую информацию в одном документе, ведь чем больше документов, тем больше времени необходимо тратить на отслеживание их взаимосвязей, а согласование и внесение изменений может затягиваться на месяцы. Я встречал и другие мнения, однако в любом случае вывод следующий: западные методики не раскрывают многих необходимых нюансов.

Обратимся же к отечественному опыту.

Отечественная школа

Имея такую впечатляющую историю и опыт поколений в разработке конструкторской документации (ЕСКД), было бы удивительно, если бы у нас не сложились свои традиции и понимание оформления документов. Если внимательно посмотреть тот же ГОСТ 34 серии, то можно с удивлением узнать, что он вполне логичен и даже удобен. Разве перед внедрением любой системы вы не разрабатываете верхнеуровневую структуру (эскизный проект), уточняя его все детальнее и детальнее (технический проект и рабочая документация)?

Поэтому, если вы будете разрабатывать документы для русской компании, вы скорее всего будете использовать подходы отечественной школы. Основным ее отличием от западной, является внимание к терминам и названиям. Например, называя документ «Перечень входных сигналов и данных», от вас ожидают, что там будет информация о входных, возможно, даже о выходных сигналах, а не требования к информационному обеспечению или описание массива информации.

Но здесь вас может поджидать проблема. Как вы думаете, чем отличаются:

  1. Политика информационной безопасности,
  2. Регламент информационной безопасности,
  3. Положение об информационной безопасности?

Именно этот вопрос поставил меня в тупик, когда я перешел к этапу составления комплекта организационно-распорядительной документации (ОРД). Давайте же разберемся.
 

Как вы лодку назовете, так она и поплывет

Остановимся на основных документах (если будем рассматривать все – это будет совсем нудно и неинтересно). Описанный ниже подход является основным в работе Департамента информационной безопасности в одном из подразделений ЛАНИТ.
 

Приказ

Альфа и омега любого процесса, который вы захотите перенести на бумагу. В отличие от западного подхода, где достаточно просто утверждения уполномоченными лицами, у нас все документы вводятся приказом. Вы можете использовать в работе какие угодно инструкции и формы, но если они не введены приказом, считайте, что их у вас нет.

Это, кстати, особенно актуально для защиты персональных данных. Любая проверка регуляторов начинается с установления факта правоприменимости принятых мер. Если вы занимаетесь каким-нибудь документом, то вам, скорее всего, и готовить проект приказа.

Основными отличительными чертами Приказа являются следующие:

  1. Вводится в действие генеральным директором, именно он имеет право распространять те или иные требования на всю организацию.
  2. Наличие команды. Например, внедрить политику информационной безопасности.
  3. Назначение ответственного. В приказе должен быть указан ответственный за выполнение сути приказа, например, в случае политики – директор по ИБ.
  4. Наличие сроков. Тут все очевидно. Например, доведение до сведения всех сотрудников Политики ИБ в течение 2-х дней.
  5. Наличие контролирующего. Эту часть часто забывают, но крайне желательно указать, за кем закрепляется контроль над исполнением сути приказа. Обычно он либо остается у генерального директора, либо передается ответственному.

Приказом вводится все – от режима защиты персональных данных до утверждения форм отчетности. Делать ли разные приказы на каждый чих или единым пулом – зачастую дело вкуса. Если все вводить отдельными приказами, то внедренные документы проще будет менять. Если единым пулом, то проще согласовать и подписывать.

Политика

Наконец, мы добрались до Политики. В нашей традиции это относительно новый документ, в отличии от других, представленных здесь. Особенностью Политики является то, что она описывает процессы. Например, процесс обеспечения информационной безопасности.

Политика может и должна выдвигать требования к функционированию процесса, может описывать требуемое обеспечение и исключения.

Используя отечественный подход, вы можете создать политику любого объема. Главное, не надо превращать Политику в описание задач и распределение ответственности между исполнителями, для этого есть Положения и Инструкции.

Положение

В отличие от Политики, Положение как раз направлено на регулирование деятельности людей и подразделений. Положение, в общем случае, регламентирует порядок образования, права, обязанности, ответственность и организацию работы структурного подразделения (должностного лица, совещательного или коллегиального органа), а также его взаимодействие с другими подразделениями и должностными лицами.

Т.е. фактически Положение очень редко применяется к процессам, но будет весьма уместно в виде «Положение о Департаменте информационной безопасности».

Регламент

Регламент – самый противоречивый документ. Я встречал компании, в которой были только разнообразные Регламенты. Надо понимать, что в своей сути регламент – временный документ, во всяком случае в информационной безопасности. Это то, что сейчас модно называть «дорожной картой». Регламент, в отличие от Политики и Положения, определяет конкретные шаги и сроки их исполнения.

А раз есть сроки, Регламент мало применим к непрерывным процессам, например, обеспечению безопасности всей компании или обеспечению контроля качества. Т.е. может быть «Регламент внедрения политики безопасности», но лучше не делать «Регламент информационной безопасности».

Инструкция

Инструкция – самый последний в иерархии, но не по значимости документ. Инструкция описывает конкретные шаги, что надо делать в той или иной ситуации, или наоборот, то, что делать не надо никогда. Самый знаменитый пример инструкций обоих типов – Устав внутренней службы Вооруженных Сил.

Инструкции не привязаны к какой-то конкретной структуре, и, пожалуй, главным требованием является понятность и удобство чтения.

На этом хотел бы закончить, надеюсь, вы дочитали до конца. Не повторяйте моих ошибок и знайте значение документов.

Код ИБ. Почему я туда не поеду

Если вы старше 7 лет, то знаете, что в нашей жизни встречаются разочарования. От этого просто никуда не деться. Разочарование нас может подстерегать, где угодно. Не купили нужную игрушку, Дед Мороз подарил машинку не того цвета, коллега оказался нехорошим человеком, да мало ли что. Что бы не говорили бизнес-тренеры, разочарований избежать не удастся. Можно лишь изменить свое отношения к ним. Это как с браком. Попадается хорошая жена – станешь счастливым, плохая – философом. И, вот, об одном таком разочаровании, я хочу вам рассказать.

Одним прекрасным вечером, сидел я в телефоне и вдруг, бац – Алексей Лукацкий. Я уж подумал у меня наваждение… Но нет, оказалось это была контекстная реклама конференции Код ИБ. Ну, думаю – надо ехать.

Полез на сайт. Все цветасто, и кричаще, как сейчас модно, но нифига не понятно. Не смог разобраться с маленького экрана. Но интересно. Решил добраться до компьютера, и если все гуд, потратить кровные денюжки и съездить.

Сайт нас встречает громким заявлением:

САМАЯ МАСШТАБНАЯ КОНФЕРЕНЦИЯ ДЛЯ РУКОВОДИТЕЛЕЙ И СПЕЦИАЛИСТОВ ПО ИБ И ИТ

И перечень городов. Сразу закрался вопрос, а масштабная в каком смысле? По количеству участников? На PHD ходят тысячи, вряд ли на одном Коде ИБ больше несколько сотен. По охвату городов? Возможно, но каждый вендор и интегратор в год проводит столько же или больше конференций. Не понятно. Ну, ладно, едем дальше.

Причины поехать

Дальше все по науке инфоцыган, 5 факторов, почему надо пойти на конференцию:

01 ГЕОГРАФИЯ

28 крупных городов России, Казахстана, Белоруссии, Грузии, Азербайджана и Армении. Серия конференций, не имеющая аналогов по масштабу проведения и охвату участников.

Ага, вот, где масштаб подразумевается. Как уже говорил, вендора устраивают и больше конференций, с большим охватом городов. Но, видимо, имелись ввиду большие конференции? Т.е. программа всех Кодов связана между собой? Нет, не связана. Каждый Код ИБ самостоятельная конференция. И поехать можно только на одну, абонементов не продают.

02 УНИКАЛЬНОСТЬ

Высокий уровень организации, а также множество фирменных атрибутов, фишек и wow-активностей, выделяют Код ИБ на фоне других мероприятий.

Про уровень организации – допустим. Фирменные атрибуты… активности… вы на PHD последнем были? Я понимаю, если бы под уникальностью говорили о контенте, но завлекать майками и кепками…

03 СООБЩЕСТВО

Более 3000 профессионалов в ИТ и ИБ, среди которых директора, руководители и специалисты по ИТ и ИБ, представляющие компании различных отраслей и госсектор.

Вот, именно с этого пункта у меня начали закрадываться сомнения. Как я уже рассказывал конференции бывают ради посетителей, и ради организаторов. Если для посетителей, то говорят про контент, уникальных спикерах и гостях (см. CISO-форум). Если для организаторов, то задача обратная привлечь – привлечь, как можно больше спонсоров и представителей интеграторов по завышенной цене, о которой еще поговорим. Я не знаю специалиста, который бы пошел на мероприятие только из-за того, что там будет еще 3000 человек.

04 ИНФОРМАЦИЯ

Исчерпывающая информация о новинках и трендах в современных IT-угрозах и достижениях в борьбе с ними собрана на специальном ресурсе — Код ИБ Академия.

Ок, ресурс — это хорошо. Но каким местом академия относится именно к конференции? Вычеркиваем.

05 АКТУАЛЬНОСТЬ

Наличие у каждой конференции куратора из числа авторитетных экспертов в сфере ИБ, который определяет актуальность заявленных тем, активно сотрудничает со спикерами и приглашает интересных экспертов.

Куратор не выступает, куратор модерирует. Минут 10-15 за 2 часа. Остальное время говорят спикеры, именно из-за спикеров я готов пойти на конференцию. Модераторов я в фейсбуке увидеть могу.

Из представленных 5 пунктов, можно сделать вывод, что на Код ИБ надо ехать только за фирменной кепкой. Коллеги, я уверен, что делаете вы благое дело, но упаковываете это очень странно. Но едем дальше.

Потом идет график распределения аудитории. Зачем, зачем участнику знать, как она распределяется? Правильно, не зачем. Это надо или для спонсоров, или для интеграторов, которые захотят туда заслать своих сейлов. По двойной ставке, разумеется.

В разделе Партнеры, можно увидеть список тех – кто клюнул.

Спикеры

Собственно, то, ради чего стоит ехать – спикеры и темы.

Главный куратор конференции – Алексей Лукацкий. Ничего не хочу сказать, но когда Алексей говорит, что Код ИБ выгодно отличается от вендорских мероприятий, надо либо крестик снять, либо… Это как пчелы против меда, наркоманы против травы. Алексей представитель не просто вендора, а самого активного вендора в сфере ИБ, который вкладывается в свои и Алексея раскрутку. Т.е. когда идет Код ИБ Алексей берет отпуск за свой счет? Или ни разу не лоббирует интересы своего работодателя?

Сразу закрадываются подозрения (судя по пиару), что некоторые из экспертов имеют материальную заинтересованность в привлечении публики. Мб являются соучредителями, или сидят на бонусах. Надеюсь, мне только показалось. Но пойдем по программе.

Сегодня 24 июля, завтра начинается конференция – на сайте конференции, в меню вводная Дискуссия вкладка эксперты – пуста. Вот, это я понимаю – высокий уровень организации.

Доклады

День первый

В первый день одновременно три секции.

КАК создать презентацию для руководства, используя 7 слайдов и 15 минут?

Если презентацию можно создать за 15 минут, зачем тогда 2-х часовой практикум? Может быть имелось ввиду, когда «есть всего 15 минут»? Не видел презентаций Ильи Борисова, но думаю здесь я бы скорее послушал по данной теме Олега Бакшинского. Ольгу Позднякову, к сожалению, не знаю. Потенциально интересная тема (не относящаяся к ИБ, но все же), но мимо.

КАК обучать и тренировать своих сотрудников?

Интересно, Сергей Волдохин, прекрасный специалист, но тема к ИБ имеет косвенное отношение.

КАК составить модель угроз, которая устроит вас и регулятора?

Со всем уважением к Алексею Лукацкому, но я был и на платных семинарах у вас по этой теме, и на конференциях много раз слышал. Тема сама по себе не плохая, малость отдает лицемерием и очковтирательством, но ладно.

Итого первая половина дня – около ибешные темы. Потом обед, и две секции подряд.

Первая секция:

КАК устранять угрозы ИБ до инцидента?

Вендорский доклад.

КАК должна выглядеть адаптивная архитектура безопасности

Вендорский доклад.

КАК осуществить защиту персональных и финансовых данных в банковской системе РФ?

Вендорский доклад.

Вторая секция:

КАК избавится от трудностей «переходного возраста» экосистемы ИБ

Вендорский доклад.

КАК избавиться от недостатков парольной аутентификации?

Вендорский доклад.

Потом обед и секция круглых столов. Мне довелось, как-то вести круглый стол – очень странный формат, особенно если участников больше 5. Либо говорят только спикеры, а остальные слушают, либо какая-то секция вопросов-ответов получается интересная узкому кругу лиц.

Итого, в первый день можно хорошо покушать.

День второй

Три подряд секции.

КАК бороться с продвинутыми угрозами. Практический опыт

Круто. Но на конференции, скорее всего, будет много управленцев, которым будет не интересна «железная» стороны процесса.

КАК распознать атаку?

Если будут интересные кейсы, то – ок.

Киберпреступность: взгляд с точки зрения экономических законов

Алексей, экономические законы – это что? Есть, например, законы экономики. Они глобальны, про спрос-предложение, или что каждый заинтересованный спикер все поворачивает к своей выгоде. Вы про них будете говорить? А что такое – экономические законы, совершенно не понятно. Законы РФ в области экономики?

Данной программе очень сильно не хватает аннотации к докладам.

КАК найти экономически эффективные проекты по ИБ?

В интернете найти? В отрасли? В компании? Совершенно не понятно. Я бы с удовольствием послушал, как сделать любой проект по ИБ эффективным, и уже бы ехал в Сочи на такой доклад. Но я уже слушал Дмитрия на тему эффективности на BIS-форуме, там было далеко от заявленной темы.

Покушаем.

Опять три секции подряд.

КАК выбрать и обосновать средства защиты для Вашей компании?

Было бы интересно в 2012-15 годах.

КАК выбирать и использовать ИБ фреймворки?

У нас соки-то не везде есть, куда нам до фреймворков. Но интересно.

КАК защитить цифровой бизнес-процесс от всех видов нарушений?

Вендорский доклад от Рустэма Ниловича, надо идти.

КАК управлять ИБ по ISO 27001

Андрей Прозоров в последнее время им активно занимается, если будет много практических кейсов – то интересно.

Теперь пообедаем.

И снова три секции подряд.

КАК превратить кибербезопасность из тормоза в драйвер бизнеса?

Можно послушать, мб что интересное будет.

КАК выглядит сферический инфраструктурный пентест в вакууме?

Вендорский доклад, от компании «визионер российского рынка кибербезопасности».

КАК эффективно жонглировать доказательствами в судах при информационных спорах?

Вооо, что-то совсем новое. Наталья Гуляева – к.ю.н., партнера международной юридической фирмы Hogan Lovells с 20-летним опытом, вот, этого человека я бы послушал.

Итого, за два дня 2,5 интересных доклада.

На третий день развлечения в море.

На четвёртый – в горах.

Сколько стоит

Разумеется, у меня возник вопрос, сколько это удовольствие стоит.

30 тысяч, за два дна отдыха и чуточку интересных докладов.  Плюс дорога, плюс проживание – выходит около 100 000 рублей для простого человека. Есть специальная цена для сотрудников ИТ-компаний, для них участие обойдется в 45 000 рублей, или около 120 00 рублей за все удовольствие.

Тут у меня все сомнения отпали. Не удивлюсь, если скоро на Код ИБ будут ездить только представители интеграторов и вендора.

И в довесок, нам предлагается купить удостоверение о повышении квалификации от Школы IT-Менеджмента Российской академии народного хозяйства и государственной службы при Президенте Российской Федерации. Всего 8 000 рублей. Коллеги, вы чего делаете? В то время, как в отрасли и так компетенция размыта, вы продаете корочки. Может быть РАНХ проводит обучение на вашей конференции? Тогда может быть, но нигде в программе нет о ней упоминаний. Думаю, компетентным коллегам необходимо проверить эту информацию.

И здесь меня и постигло то самое разочарование. Когда-то Рустэм Нилович поднимал тему качественного повышения контента, за который никто не хочет платить. Теперь у нас появились платные конференции, а воз и ныне там… крайне грустно.

Посмотрел я на все это дело, и решил не ехать. Какое-то тяжелое ощущение осталось от всего этого. До новых встреч.

P.S. Коллеги, которые думают, что я кого-то хейчу, прошу обратить внимание, что материал размещен за несколько часов до начала конференции, когда все кто хотел, уже едут на конференцию. Данный материал, сугубо личное мнение, и не призван кого-то опорочить.

О том, как безопасники низвергли себя в пучину забвения

Как вы знаете, я очень люблю безопасность и людей, которые ее обеспечивают. В самом широком смысле слова. Я с уважением отношусь к врачам и пожарным, и даже к работникам газовой службы. Именно благодаря их работе, мы можем уютненько потрындеть в интернетике или на какой-нибудь конференции. И я очень горд, что имею какое-то касательство к общему безмятежному благополучию. Информационная безопасность – без сомнения важная и набирающая обороты сфера. Тем прискорбней та роль, которую мы себе отвели. Мы забились в самый дальний угол, и не отсвечиваем. Этому способствовало много факторов, но давайте поговорим о том, что на виду. О названии.

Многие евангелисты нашей отрасли любят сравнивать нас с западом. Говорят, все там лучше, давайте сдадим кучу тестов по американской нормативке, и называться вы будете CISO. Это так модно и звучит круто. У нас даже конференции появились (CISO FORUM), и всеми это воспринято как данность. Но давайте взглянем немного вглубь, к истокам.

Если обратиться к зарубежной экономической литературе, то можно там часто увидеть аббревиатуры: CEO, COO, CFO. Крутые слова, звучащие в точности по ТБС. Немного не понятно, то ли дело милые для нашего слуха: генеральный директор, главный инженер, главный бухгалтер, зав. складом. Но нас сделали падкими все «иностранческое», поэтому все эти CEO, CIO, CTO, CKO и т.д. активно стали распространятся. Они везде – в статьях, на визитках, конференциях. Ты кто? Я CEO клининговой компании. Матерь божья, ты бригадир! Не стесняйся этого!

Но пойдем дальше. В начале необходимо понять, что нельзя переносить организационную иерархию в нашу бизнес-среду. Вернее, некорректно проводить параллели и говорить CEO — это генеральный директор. Тем более, абсурдно расшифровывается аббревиатура CIO, как директор IT, начальник IT. Причем, не всегда корректно проводить параллели не только между CEO и генеральным директором, но и CEO американской и английской компании (там можно встретить Managing Director), не говоря уже о Европейских компаниях. Остановимся на американской терминалогии.

Сразу хочется сказать, что строгих правил по поводу того, как кого называть «ТАМ» нет. Вы можете как угодно назвать себя и своих подчиненных. Этим американцы близки к нам. Но если они близки нам, так в чем же основное, «критическое» отличие, не позволяющее проводить параллели. Давайте кратко пройдемся.

Во-первых: для них акционеры — это куда больше, чем для нас. И если на территории постсоветского пространства акционер — это не только не звучит гордо, а в некоторых случаях звучит как пустой звук, то у них ситуация кардинально противоположная. Вы не просто претендуете на часть прибыли от хозяйственной деятельности, но вы еще имеете полное право участвовать в управлении предприятием, через конкретные механизмы. У нас же, как правило, «хозяин» один и руководит как захочет и при помощи кого он захочет.

Во-вторых: акценты и приоритеты в самой компании расставлены несколько иначе. Так, например, частенько у нас можно встретить главного бухгалтера, как второго человека после руководителя. И шутка типа:

«Если Ваш бухгалтер платит все налоги, то пусть получает зарплату в налоговой»

оказывается на злобу дня. На западе давно разделили понятие бухгалтерия и финансы, учет и менеджмент.

В то время как информация и человеческий капитал на Западе стали действительно основным бизнес-преимуществом, у нас эти понятия стали только объектом пристального внимания авторов статей. Как перевести Chief Knowledge Officer (CKO)? Причем проблема не в переводе, а в адаптации и понимании. Как бы вы его не перевели, этой должности не всегда есть место на наших предприятиях. А если и найти, то результат от деятельности это человека (отдела) вряд ли принесет ощутимые плоды.

Проще говоря, мы еще не доросли до уровня CEO. Мы находимся на этапе формирования общемировой бизнес-культуры в наших условиях, но растем мы намного быстрее, потому что мы видим, куда нам расти, и видим, из истории, как это не следует делать.

Теперь от затянувшегося вступления перейдем к непосредственно к должностям и аббревиатурам.

Board of Directors — совет директоров, избираемый акционерами. Это контур управления компанией акционерами.

Chairman of the Board — Председатель совета директоров, избираемый из числа совета.

President — это не должность, а скорее титул, своего рода лицо компании. Им может быть прямой потомок основателя фирмы, в данный момент не имеющей реальной власти. Хотя опять же оговорюсь, что разделение полномочий между должностями меняется от компании к компании.

Данный уровень управления называется С-level, поскольку все названия должностей начинаются «Chief», то есть главный.

CEO (Chief Executive Officer) – должность, назначаемая советом директоров (если компания public companies). CEO может быть, как приглашенным со «стороны», так и быть избранным из числа сотрудников компании. CEO осуществляет полное управление компанией и несет полную ответственность. Если компанию уличат в незаконных действиях «сядет» именно CEO. CEO может быть по совместительству, как и председателем совета директоров, так и Президентом. Совмещение всех трех должностей говорит о неограниченной власти руководителя.

CFO (Chief Financial Officer) — должностное лицо ответственное за финансы корпорации. Как правило, находится в подчинении CEO. Не редкость, когда CFO выбирается из числа совета директоров. Может называться как Treasurer (казначей) или Finance Director.

COO (Chief Operating Officer) — должностное лицо ответственное за текущую деятельность предприятия. Инструменты оперативного менеджмента полностью находятся в распоряжении COO.

CIO (Chief Information Officer) — это корпоративный чиновник высшего уровня, ответственный за информацию. (Трактовка CIO, как IT директора – это нонсенс. Если у Вас сломался компьютер, то обращаться к CIO вы можете с таким же успехом, как и к главному бухгалтеру). CIO находится в подчинении CFO или CEO. В западной иерархии CIO близок CKO. Это вызвано тем, что роль информации, в последнее время, становится главенствующей. Привет нам всем, мы уже 20 лет бьемся, чтобы это донести.

CTO (Chief Technical or Technology Officer) — роль данной должности меняется от специфики работы компании. В технологичных компаниях может подчиняться непосредственно CEO, в нетехнологичных подчиняется CIO. В компьютерных компаниях может быть представлен в лице CIO.

CKO (Сhief Knowledge Officer) — топ-менеджер ответственный за максимизацию ценности компании, достигаемой через знания. Ответственный за нематериальные активы (ноу-хау, патенты). В общем, все, что связано с интеллектуальным капиталом, находится в поле управления CKO.

Роль остальных понятна из их названия, поэтому просто расшифруем аббревиатуры:

  • CMO (Chief Marketing Officer)
  • CAO (Chief Analytics Officer)
  • CCO (Chief Communications Officer)
  • CDO (Chief Data Officer)
  • CNO (Chief Networking Officer)
  • CPO (Chief Process Officer)
  • CSO (Chief Security Officer)
  • CSO (Chief Strategy Officer)
  • CRO (Chief Risk Officer)
  • CCO (Chief Credit Officer)
  • CLO (Chief Legal Officer)

Как видим, никаких CISO тут нет. CISO – это менеджер следующей ступени, после С-level. Зачастую CISO подчинен CIO, что однозначно говорит о том, как «ТАМ» видят решение вопроса кому должно подчиняться ИБ. При чем это довольно незначительная часть, занимающаяся безопасностью информации, обрабатываемой автоматизированным способом. Небольшой отдельчик – обновляющий антивирусы. Что уж говорить – «как вы лодку назовете, так она и поплывет».

Такая же петрушка с CIO. CIO — это не главный админ. CIO – это человек достигающий целей компании, с помощью ИТ-технологий. У нас же этим словом называют кого угодно от эникейщика до реально решающих ИТ-директоров.

https://whatis.techtarget.com/reference/Roles-and-responsibilities-guide-What-does-a-CIO-do

В заключение хотелось бы сказать, что не надо слепо и бездумно копировать запад. В нашей современной среде безопасник находится на грани сфер CIO, CRO, CSO и CLO. А пока мы загоняем себя в рамки чуждой терминологии, мы все дальше будем от понимания нас бизнесом. Все вам хорошего.

Феминизм в поИБэ

Всем добрый день. Прошлая моя запись про сексизм в ИБ вызвала некоторый резонанс, мне многие писали со словами поддержки и одобрения. Хотелось бы осветить и другую сторону проблемы, то, что сейчас поражает наше общество, и ИБ в частности, раковой опухолью. Я говорю о феминизме.

Ввиду некоторых особенностей пубертатного возраста, меня бросало во всякие крайности. Я посещал секты, придерживался неонацистских взглядов и тусил с сатанистами. Как говориться – есть что вспомнить, нечего внукам рассказать. Одним из немногих достоинств всего этого была встреча с людьми самых разных взглядов и мнений, в том числе маргинальных. И знаете, что, везде, в каждой самой маленькой тусовке я видел удивительное единство мнений по поводу феминизма (мб за исключение ЛГБТ, т.к. ничего о них не знаю). И это мнение можно было выразить лишь одним словом НЕНАВИСТЬ!!!1111 Даже геи вызывали меньшей антипатии, т.к. адекватных (те, кто не пропагандируют) в такие места не заносило, а неадекватные (которые пропагандировали) быстро отовсюду выгоняли.

Вторым достоинством было то, что «начинаешь разбираться в сортах дерьма». Я уже рассказывал, что все подобные группы очень ревностно относятся к определенным признакам, зачастую незначительным на первый взгляд. Например, спросите коммуниста поддерживает ли Сталина.

Так почему же феминисток все так ненавидят? Немного углубившись в историю и послушав, что говорят сами феминистки, мы придем к выводу, что сейчас мир захлестнула третья волна феминизма. Если кратко, в самом начале женщины боролись за равные законодательные права. Женщины должны владеть имуществом и правами наравне с мужчинами. Это было все еще не очень хорошо, но глобальный шаг вперед. Традиционные общества, где женщина не считалась за человека, над ними проводились (к сожалению, и сейчас проводятся) бесчеловечные вещи вроде удаления клитора или удлинения шеи, получили первый удар. Это была первая волна феминизма.

Вторая волна, решила расширить занятый плацдарм и направить наступление на личные отношения, работу семью и т.п. Таким образом к концу волны, а это 90-е года прошлого века, мы получили образ современной женщины. Полноправную личность, которая может достичь того, чего хочет наравне с мужчинами. И было нам всем счастье. Но длилось оно не долго.

Тут надо сделать лирическое отступление о «мужской тирании». В демагогии, есть такой прием – придумать не соотносящийся с реальностью фуфел и яростно его ниспровергать. На протяжении всей истории мужчины и женщины бок о бок боролись за выживание. Болезни, голод, смерть. Главное слово – вместе. Все наше различие сейчас не строиться на власти, или во всяком случае не так, как это представляется.

Новое поколение феменисток заявляет, что мужчины владеют большим количеством богатства и капиталом. Но забывают,  что это лишь незначительная часть. Вот, небольшой список вещей, где мужчины преобладают над женщинами:

  • Количество самоубийств;
  • Жертвы преступлений;
  • Количество сидящих в тюрьмах;
  • Бездомных;
  • Погибшие в войнах;
  • Даже среди худших учеников и так можно продолжать бесконечно.

И где же тут господство? Почему эти фурии выбирают малую часть очень успешных мужчин, и используют ее, чтобы определять всю структуру нашего общества? В чем тут логика? Не тот ли это самый демагогический фуфел?

И все это можно было бы оставить на уровне маргинальщины и форумных обсуждений, если бы современные феминистки не пошли дальше. Вот, гипертрофированный пример.

Феминизм – это не когда женщина главнее мужчины. Это называется матриархатом. Феминизм — это движение за права женщин, против их дискриминации по половому признаку. Это значит, что у женщин не должно быть меньше политических, экономических и гражданских прав просто потому, что они женщины. Этот феминизм я поддерживаю всеми руками и ногами, именно этих принципов я стараюсь придерживаться в повседневной жизни и на работе.

Но когда эти женщины начинают везде кричать о мужском шовинизме, требовать введения новых слов («гендерно нейтрального языка») или изменения порядка использования существующих. Например, в английском слова humanity и mankind используются для обозначения всего человечества, но второе слово — mankind — восходит к слову man «мужчина», и потому использование слова humanity феминистки считают предпочтительнее, так как оно восходит к гендерно нейтральному слову «человек». И это еще цветочки. Т.к. большинство завоеваний женщины добились в период второй волны, осталось мало места для маневра. Поэтому особо пылким пришлось перекинуться на личную сексуальность и гендер в целом.

Например, была придумана квир-теория. Если кратко, наш пол и сексуальная ориентация не столько определяется биологическим полом, сколько окружением. По такой теории все мы должны быть строго геторосексуальными, т.к. таких у нас подавляющее большинство. Но разделы теории почему-то фокусируются на таких темах, как бисексуалы, лесбиянки, геи, трансвестизм, трансгендерность, интерсекс, гендерную двусмысленность, хирургическую коррекцию пола и т.п. На какую современную активистку фем-движения не посмотри, так она кто угодно, но не гетеросексуалка. Видимо, обычных гетеро-женщин из движа выгоняют.

С совсем фанатичками можно говорить лишь на языке фактов (жаль, что их не слышат). Мужчины тоже испытывают дискриминацию. Например, почему к женщинам не применяют смертную казнь. Или почему с момента зачатия мужчина, мужчина лишается всех репродуктивных прав? Как только женщина беременеет, все права передаются ей одной. Только она вправе решить, сохранять беременность или нет. И если мужчина не хочет быть отцом, ему все равно придется им стать, если женщина того пожелает. Конечно, она не может заставить мужчину воспитывать ребенка, но она может признать его отцовство через суд и потребовать алименты. А если женщина не хочет — она вправе сделать аборт, не спрашивая мнения мужчины. То есть и отцом он стать не может по своему желанию.

Можно продолжать бесконечно. И не было бы проблем, но все это выплескивается и в обычную жизнь. Я уже рассказывал, о секции на CISO форуме «Женщина в ИТ». Но не говорил, что на ней было. А там была представлена явная сегрегация – мужчины отдельно, женщины (в первую очередь) отдельно. У нас уже появляется информационная безопасность для женщин. Это не потому что безопасность нужна женщине, а потому что она женщина.

В последнее время все чаще эксплуатируют этот тезис – потому что она женщина. И я понимаю, когда речь идет о специфических вещах, например, специальных средствах гигиены. Но зачем вы лезете марать профессиональные темы? Почему нас все еще культивируются эти предрассудки? Не играй в машинки, ты девочка? Почему все это не основывается на банальном профессионализме и компетентности? Когда у вас засоряется туалет, вы вызываете сантехника. И в подавляющем большинстве случаев это будет мужчина. Это не потому, что есть тирания глобального мафиозного клана сантехников. Скорее всего он лучше и экономически выгодней.

Я помню серию репортажей, когда началась уберизация такси о женщине водители. О, боже, какая она смелая, как ей тяжело, ай-ай-ай. Ау, люди, она водитель. Женщины могут водить машину доезжая до магазина, почему же они не могут зарабатывать, водя авто? Если вы такие эмансипированные женщины – идите в грузчики.

Вы, наверно, помните историю с Варварой Шубиной и Аной Мавричевой. Одни из маркеров, почему я отреагировал – была подача. «Ой, девочки, что расскажу. Тут есть девочка, она такая крутая, и готова вас сделать крутыми». Чувствуете уклон, да? Девочки отдельно, потому что ездят на единорогах, мальчики отдельно, потому что «плохо пахнут». Может быть если бы это был обычный бизнес-тренер – да и шут с ними, кто я такой, чтобы запрещать людям потерять свои деньги? Но об Ане, в другой раз.

В заключение хотел бы сказать, что определенная асимметрия в мире и взаимоотношениях полов есть, но тогда бы он не был так пленительно притягателен, а был бы выверено строг и скучен. Возможно, женщины зарабатывают чуть меньше, а мужчины выходят на пенсию позже и умирают раньше. Это можно продолжать до бесконечности. Главное взаимное уважение всех сторон.

Мир всем.

От форума к видео – путь графомана

Всем добрый день. Если вы любите рисовать буковки на бумаге, или пиксели на экране, а особенно, когда это складывается в какие-то законченные мысли, вы равно или поздно придете к решению поделиться этим с окружающими. Причины могут быть самые разные от банального любопытства до профессионального интереса. А если вы в добавок графоман, как я, то у вас вообще нет выбора.

Я прошел все стадии от анонимного блога до написания профессиональных статей, а недавно появилась вишенка на этот слоеный пирог. Теперь я с уверенностью могу сказать, что пробовал все способы самовыражения, который предоставляют современные технологии. О чем и хочу рассказать.

Форумы

Самая простая и самая начальная стадия. Нет ничего проще, чем под настроение поучаствовать в какой-нибудь дискуссии на сотни страниц. А количество пользователей и административная иерархия добавляют различные вкусы в это блюдо. Вы можете выбрать любую роль от эксперта по выращиванию хризантем до ревностного оппонента администрации форума.

Мое активное участие на общенаправленных форумах пришлось на 2000-2008 год. Мне даже удалось стать администратором из народа на форуме в 100 тысяч человек, где творился чад кутежа, интриг, и всей той вакханалии, которую творят молодые люди имеющие неограниченный доступ к компьютеру. Доходило до того, что у меня была анимированная аватарка, хотя правилами, которые я лоббировал, назначаясь в админы, это было строжайше запрещено.

Затем я основал и долго админил узкоспециализированный форум, который жив и поныне. С прискорбием должен сказать, что форумы умирают. Жизнь теплится в каких-то определенных областях, где форум удобен, как платформа, но сейчас уже нет интересных форумов общей направленности.

Форумы все еще остаются замечательной песочницей для оттачивания своих навыков. Форумы дают замечательную анонимность. В конце концов форум вы всегда можете забросить, но память останется в веках, особенно, если вы писали что-то дельное.

Личный анонимный блог

Личный блог становится следующей стадией. Свой первый блог я открыл в 2003 год в ЖЖ, и вел еще один на форуме. Оглядываясь назад, сложно сказать зачем мне надо было два блога. Но что было, то было. Блоги – это уже следующая стадия социализации, тут у вас появляются друзья по интересам. Если сохранять должную цифровую гигиену, то можно быть не узнанным все время использования.

Проблема кроется именно в анонимности, если вы хотите славы, пусть и в узких кругах – это не ваш вариант. Рано или поздно произойдет деанонимизация, что может сказаться на вас негативно, вы ведь ведете анонимный блог. Последствия этого могут быть самые разные. И, конечно, будет крайне ограничен круг ваших тем, например, вы вряд ли сможете писать на профессиональные темы. Если же вас именно это интересует, то вам поможет следующий раздел.

Надо признать, что личные блоги на известных платформах умирают, вместе со своими платформами. Сейчас практически нет удобных соцсетей для периодического ведения блога. Да, ЖЖ подходит идеально, но он умер. А Вконтакт с Фейсбуком, все же несколько для другого.

В прошлом году, после 15 лет – я закрыл свой анонимный блог.

Профессиональные статьи на заказ

Если вы достаточно профессиональны, рано или поздно вам предложат написать статью на заданную тему. Это уже качественный шаг вперед. Проблема в том, что вы жестко ограничены темой. И редактор, составлявший план – крайне смутно может понимать вашу специфику. Тогда вы будете писать про программы слежения за сотрудниками. Но если ваш материал будет интересен или качествен, вам могут дать некоторую свободу в освещении темы.

Обычно такие задачи прилетают с крайне сжатыми сроками и конкретными требованиями к объему. Например, 9000 знаков за 2 недели. Как вы понимаете, за это не платят. Но, если вы захотите пойти по пути евангелиста вашей области, человека, который продвигает и пропагандирует определенные направления, это будет хорошим стартом. Рано или поздно вы сможете стать специализированным пиарщиком и лидером мнений. Например, в области информационной безопасности такой путь прошел Алексе Лукацкий.

Если чувствуете в себе силы, можете попробовать.

Литературное негритянство

Если в статьях на заказ вы пишите на заданную тему, то став литературным негром, вы еще и будете получать за это деньги. Литературный негр пишет под именем другого автора, заказчика работ. Обычно это внушительные по объему материалы, в моем случае это была книга по экономическому анализу (120 страниц А4)

Обычно данное явление распространено в сфере журналистики, и других сферах, связанных со словом. В нашей ИТ сфере с этим все несколько хуже. Где и как вы найдете заказчика, тайна великая есть. Сам я на это подписался совершенно случайно, услышав разговор в коридоре. Денег тогда платили нормально – 2,5 моих зарплаты. Как сейчас с этим не знаю.

Направление крайне специфическое, время идет, сил заниматься этим не хватает, особое мнение заказчика надо учитывать. Когда я через 6 месяцев сдал исходник, у меня словно гора с плеч свалилась. Я даже не знаю дальнейшую судьбу рукописи, вроде как ее издали, и меня даже взяли в соавторы.

Занятие на ваш выбор.

Корпоративное обучение

В определенный момент, вас могут выдвинуть на проведение очных обучений ваших заказчиков. Вы что-то создали, и теперь должны обучить пользователей это использовать. Надо сказать, что штука это довольно обременительная. Т.к. зачастую обучение происходит среди людей далеких от ИТ и ИБ. Первым моим опытом – было обучение всех школ Москвы основам защиты персональных данных. Тогда я объездил все округа, где в зале собиралось по 200-300 человек, а вы должны им рассказать, что теперь им работать придется больше, а платить им будут столько же. Один раз меня чуть не побили в СВАО.

Если обучения вам избежать не удается, то вам поможет хорошее знание темы. В случае любых конфликтов, вы всегда можете сослаться на то, что вы просто исполнили заказанную работу. И уж точно, вам удастся раскачать навык публичных выступлений.

Наверно, самый спорный вид самореализации – все же учить должны педагоги или люди с профильным образованием.

Корпоративные выступления на конференциях

Это следующий шаг, когда вы не просто выражаете свои мысли письменно или находитесь в лояльной аудитории, как с обучением, но доносите необходимое до широкой аудитории. Это классика публичных выступлений, идти или не идти, в которую каждый должен решать самостоятельно. Обычно направляет на такие выступления работодатель, реже вендор.

Каждому выступающему в самом начале надо решить следующие задачи:

  • Интересная тема (хотя бы не банальная);
  • Слайды. Это является отдельным искусством, о котором можно говорить долго и увлеченно.
  • Текст выступления. Его необходимо знать хотя бы в общих чертах, чтобы не читать без бумажки.
  • Тайминг. Неприятный факт, что можно и не успеть в отведенные 10-15 минут донести необходимую мысль, или наоборот быстро отстреляться и оставшееся время ждать вопросы от аудитории, которых обычно не бывает.
  • Внешний вид. Публичные выступления довольно требовательны к внешнему виду, хотя сейчас наметилась тенденция к упрощению, можно читать хоть в толстовке.

Советую попробовать каждому хотя бы раз, после этого вы точно будете знать – разиваться ли дальше, или забросить это дело.

Интервью конференции

Выступить, пусть и под запись, может большинство. Но вдруг вас ловит журналист, нанятый организаторами, который хочет взять флеш-интервью. Вот, одна из моих первых попыток:

Здесь было все ужасно. Адреналин бьет через край, парализуя мозг. Через 5 лет все случилось ненамного лучше.

Главная проблема интервью, что вы чаще всего, к ним совершенно не готовы. Представьте ситуацию, вы только выплеснули всю энергию, а каждое выступление — это стресс, если, конечно, вы уже не сделали сотни выступлений, а тут вас застают врасплох, надо срочно сконцентрироваться, ведь вас снимаю и точно это где-то покажут. Интервью остаются для меня самым сложным испытанием.

Экспертные мнения к новостям

Когда вы станете довольно известны в журналистке, к вам периодически будут прилетать запросы на комментарии. Не знаю, как это происходит, может быть они обмениваются контактами. Но мне прилетали запросы на комментарии по актуальным темам еще пару лет, как я уволился.

Происходит это так, журналист хочет осветить свежую новость, и что бы усилить эффект хочет собрать мнения экспертов. Как вы понимаете это довольно непростая задача, эксперт может быть занят, в отпуске, ничего не понимать в теме новости. Да еще желательно, что бы эксперты были разными.

Эксперту тоже не сахар. Новости может быть 2 часа жизни, а вы уже должны мало того, что знать суть, так еще и охватить смежные области, часто сделать прогноз, и все это за 30-40 минут, т.к. материал пора публиковать. И разумеется, желательно, чтобы ваше мнение было еще оригинальным. Один раз я 30 минут сидел в машине в Пушкино, написывая через смс свое крайне «компетентное» мнение».

Выглядит это примерно вот так.

А еще бывает такая крутая штука, как «эксперт, решивший остаться неизвестным». Это когда мнение необходимо, но персонализировать его по каким-либо причинам нельзя. По самым горячим темам 2014-16 годов можно найти самые неожиданные мнения, особенно, если знать, кто «пожелал остаться неизвестным».

Профессиональные статьи со свободной темой

Собственно – это развитие статей с заданной темой. Если вы хорошо себя зарекомендовали, даете качественный контент, вам могут дать карт-бланш на заполнение пустых полос. Собственно, это вершина письменного профессионального творчества.

Если вы достигли этой точки – поздравляю, я до нее, пока, не добрался.

Личные выступления на конференциях

А это, как понятно из названия, вершина – личных выступлений. Когда вас рады видеть на любой конференции, чтобы вас послушать. И могут оплатить перелет, проживание и развлекательную программу. В области ИБ таким, например, является Рустэм Хайретдинов, которого можно слушать всегда и везде, чтобы он не хотел рассказать.

Личный профессиональный блог

Самая переоценная категория, в отличии от анонимного – вы можете писать на свою профессиональную тему. И вас начнут воспринимать, как эксперта. Проблема профессиональных блогов в том, что темы-то заканчиваются. И если в ИТ, есть еще какое-то развитие, то в ИБ вы будете кидаться на любой информационный повод, на любой проект постановления правительства, и тоже самое будут делать ваши коллеги. Тлен и безысходность.

Если все же отважитесь, то вам необходимо быть экспертом в заданной сфере и давать неожиданный взгляд на текущую ситуацию, чтобы быть не как все.

Личный полу-профессиональный блог

Я поставил полу-профессиональный блог выше профессионального из-за более широкой сферы тем. Согласитесь, интересно писать о новых сканерах уязвимостей проще, чем о сканерах и около лежащих темах. Именно поэтому я перевел свой блог с прямых рельс информационной безопасности – на более общие темы.

Как вы понимаете, в данном случае вы публичны – дальше некуда. И много сказанное вами, будет использовано против вас в самых неожиданных местах и формах. Например, некоторые корефеи до сих пор язвят по поводу Дошираков, хотя это была просто работа.

Если не боитесь, то это лучший из вариантов для удовлетворения своих потребностей в графоманстве.

Аудио-подкасты

Аудио-подкасты у нас как-то особо не взлетели. Все же большинство людей визуалы, т.е. воспринимают картинку глазами. Поэтому самым удобным способом юзать подкасты – слушать в машине или в транспорте в наушниках.

Сами по себе подкасты предъявляют повышенные требования к теме и выступлению, но проще в реализации, записывать их можно хоть в трусах. Большим плюсом является наличие ведущего и других гостей, с которыми можно завязать диалог и улучшать качество контента.

Крутой формат, всегда с удовольствием участвовал, но проблема использования стоит во все поля.

Теледебаты

Те же подкасты, но с картинкой. А, следовательно, сюда добавляются требования, как и к выступлению на публике – тема, слайды, выступление и т.п. Мне удалось поучаствовать в первом сезоне Кибербаталий от Infowatch. Где каким-то чудом я выиграл приз зрительских симпатий. Но это было крайне сложно. Я бы не рекомендовал участвовать, если вы не пробовали большинство из предыдущих пунктов.

Сам я не высоко оцениваю свое выступление, сейчас бы я все сделал по-другому.

Новости

Прохождение всех предыдущих стадий у меня заняло 19 лет, с момента первых форумов и блогов. И, вот, каким-то чудом меня утвердили читать корпоративные новости. Приятная неожиданность быстро сменилась легкой тревогой на подготовке – новости надо было заучить. Это не рифмованные стихи, это пресс-релизы, а слово «гиперконвергентной» я теперь могу выговорить без запинки (и надо сказать записали мы эту новость быстрее всех).

Но самый Ад начался на записи. Интервью пыль по сравнению с новостями. Оказалось, камера выпячивает все недостатки, которые у вас есть. Как визуальные, так и лингвистические. Первый выпуск мы записывали 3 часа, это 3 часа стоя на ногах с порванным мениском (незадолго до этого меня сбила машина). Мой язык к тому моменту совершенно меня не слушался, и я был готов бросить все и убежать, и никогда больше с этим не связываться. Все ж я никогда не учился на диктора, и вряд ли когда-нибудь смогу, начав с середины жизни.

https://www.facebook.com/LANIT.life/videos/1121716011342443/

Если вы все же решитесь, будьте готовы к тому, что хоть вы и говорящая голова на экране, но за этим стоит большая работа множества людей. И они будут предъявлять определенные к вам требования, это зачастую нелегко. Вам может казаться, что вы сделали супер, но ваш режиссёр будет наседать на вас, пока, не добьется превосходного результата.

Надеюсь вам было интересно плавать по волнам моей памяти. Как вы заметили, я совсем не касался причин той или иной деятельности. Вы можете хотеть продвинуть личный бренд, как сейчас модно говорить, или поделиться опытом – не принципиально. Но это уже тема отдельного большого разговора.

А на сегодня все. До новых встреч.

Сексизм в поИБе

Последние пару лет, стало модным говорить об увеличивающей роли женщин в ИТ вообще, и ИБ в частности. Помню несколько лет назад на CISO форуме сделали даже отдельную секцию для женщин. Было немного грустно, но красиво.

Надо сказать, что я нанимал женщин в безопасность, когда это еще не было мейнстримом, с 2010 года. А если просуммировать всех набранных, то количество принятых на работу мной женщин будет 44% (нечетное суммарное число). Почти все из них, достигали существенных результатов в профессии.

И все это время, почти, 10 лет, я вижу, как женщины в нашей поибэ сталкиваются с сексизмом по половому признаку. В подавляющем большинстве случаев девушки и женщины не воспринимаются в серьез. Безопасникам мужчинам приятно находиться в их обществе, но их слова и поступки в упор не воспринимаются в серьез. И такое сплошь и рядом. Два технических директора, которые не могут настроить спам фильтр, изошлись на какашки, что их обследовала девушка. Ее слова просто не воспринимались, но чудесным образом, специалист мужчина смог их прособеседовать.

Когда я учился в 2008 на аудитора ISO 27001, курс у нас читала чудесная девушка из Джетов. Она очень хотела стать сертифицированным аудитором BSI, и существенно раскрыла нам, мужикам, глаза на проблематику. А у нас в группе были сплошь начальники отделов крупных предприятий энергетического комплекса. Насколько я знаю, эта девушка превосходный эксперт.

И ведь нужна самая малость – воспринимать женщин, как равных, как специалистов. Не буду говорить о феминизме, сейчас это движение сильно замарано. Но пора уже избавиться от покровительственного пренебрежения.

Многие думаю, что я с какой-то издевкой наезжал на Юлию Омельченко или Варвару Шубину. Некоторые, даже пошли дальше, чувствуя себя рыцарями, обязанными защитить прекрасную даму.

Антон, именно потому, что я воспринимаю женщин, как равных, я готов вступить в открытую дискуссию. Возможно, ваше воспитание, предписывает вам защищать девочек. Как вы понимаете, тем самым вы становитесь сексистом. Я не знаю точно, но могу предположить, что для вас женщины слабы пол, который надо всячески оберегать и давать денег на маникюр. Но сейчас новое время, если девушка не просит о защите, значит она сама справиться. У нас достаточно сильных и самодостаточных женщин, не нуждающихся в защите в комментариях.

И да, в дискуссии с равным не позорно признать себя не правым. Но многим надо еще привыкнуть, что женщина может постоять за себя и со многим справиться самостоятельно.

Разумеется, у такого подхода есть и обратная сторона. Равное отношение, предписывает и равную отвественность. Никому не интересно вникать в «бабьи» разговоры и продажу косметики Амвея. Некоторые женщины, кстати, явно занимают позицию, я девочка с бантиками и рюшечками. И к ним нет вопросов. К счастью таких в нашей поибэ исчезающее меньшинство.

А на сегодня все, до новых встреч.

Сколько стоит репутация

Как вы знаете, я цифровой гик. Меня хлебом не корми, дай что-нибудь посчитать. Разумеется, я больше всего люблю считать деньги. Особенно чужие. Когда совсем невмоготу, считаю факториалы. Но на прошлой неделе у меня было, что посчитать.

Счетовод

Как вы знаете, в нашей поибе считается, что репутация ничего не стоит. Что всегда приводило меня в крайнее смятение. И я решил начать разбираться. Разумеется, начал с себя, а вернее с того, что меня окружает, и очень быстро подвернулся интересный пример. И подвернулся он… в страховании.

Надо сказать, что страховые компании стоят на две ступени выше безопасников в области понимания рисков, и на галактические годы в их расчете. Но не будем бить себя ушами по щекам, у них была некоторая фора.

Но давайте остановимся на понятии репутации. Репутация в общем смысле – создавшееся общее мнение о достоинствах и недостатках кого-нибудь или чего-нибудь. Это могут быть люди, товары, компании, направления. Например, с точки зрения заработка на хлеб насущный отрасль стоматологии имеет лучшую репутацию, по сравнению с частным извозом.

В экономике репутацию переводят в деньги с помощью понятия гудвил (goodwill). Оно не совсем нам подходит, т.к. применяется в основном при покупке/продаже компаний, и является надбавкой за «хорошесть». Но давайте не будем плодить лишние сущности, и будем считать гудвил при покупке товаров и услуг. Продажа же происходит? Значит в цене хороших товаров заложена наценка на гудвил/репутацию.

Необходима ремарка. Не будем сейчас разделять гудвил на репутацию бренда, маркетинга и пиара. Например, продукция компании Apple будет просто иметь большой гудвил.

Так вот, о чем собственно хотел рассказать. А рассказать я хотел о группе «Альфа Банка». Я просто обожаю Альфу. У меня там открыты все карточки, и карточки моей семьи. Я использую там депозиты, у меня там ДМС, я купил там КАСКО и ОСАГО, страхование жизни и имущества, даже когда-то использовал их кредитки. В общем я влюблен в Альфу и меня все устраивает.

Неожиданно оказалось, что 4 апреля у меня должна была закончиться КАСКО. Разумеется, я хотел продлить ее в Альфе. Мне даже СМСка пришла, и я стал звонить в Альфа-Страхование. Чуть раньше меня начали атаковать другие страховые агенты, предлагая свои условия. Казалось бы, при чем тут защита персональных данных, гадость несусветная. Некоторые предлагали были совсем не подготовлены, и расспрашивали меня о машине и обо мне. Такие были сразу сброшены на телефоне, т.к. если уж вы хотите переманить клиента, делайте это хотя бы удобно для клиента. Рассказывать каждому встречному поперечному, какой у меня стаж вождения немного утомляет.

Но среди уводителей были и подготовленные. Одна тетя, сделала мне предложение в 33 т.р. за КАСКО без франшизы. Т.к. время подходило, я решил позвонить уже и в Альфу. Тут уже зародилась небольшая обида, если уводители начали звонить за 2 недели – первый личный звонок от Альфы я получил за 3 дня до окончания страховки. Да и фиг с ним, я не гордый.

Дозвонившись куда надо, я получил предложение от Альфы в 49 т.р. без франшизы, но т.к. у меня были какие-то бонусы, предложение могло упасть до 46 т.р. Тут я уже расстроился окончательно. Как бы я не любил Альфу, но переплачивать 40% за ее репутацию и мое к ней хорошее отношение, я не готов.

Да, все мы имеем какие-то предпочтения. Вы можете покупать Чудо-йогурт за 30 рублей, а не Данон за 26, потому что они вам чем-то нравятся. Это естественно и нормально. Все мы готовы чуть переплатить, если получаем лучшее качество. Чисто интуитивно это варьируется где-то в районе 10-20%.

Я стал думать и анализировать свои потребности, и сошелся на том, что я бы все равно купил КАСКО у Альфы, если бы она стоила 39 т.р. Психологически комфортная цифра, чтобы остаться клиентом компании. Потом уже посыпались звонки от Альфы, сумма упала до 45 без бонусов, а в конце до 39 т.р. Казалось бы – желаемый успех. Но поезд ушел, к моменту получения заветной цифры 4 апреля, я уже неделю как оформил КАСКО за 33 т.р.

Особенно неприятно удивила аргументация страховой, мол у них были старые тарифы, а теперь все чудесным образом пересчеталось. Но на примере использования «зеленой карты» для поездок за границу, я точно знаю, что есть тарифы минимум на 2-3 месяца вперед. Т.е. Альфа Страхование было вообще все равно, они просто хотели срубить денег, за что обижаться на них глупо.

Итого промежуточный результат:

  • (46-33)/33*100% = 39% — не вписывается в интуитивную оценку стоимости репутации
  • (39-33)/33*100% = 18% — в пределах интуитивной оценки стоимости репутации

Т.к. считать я стал позже, чем уже все свершилось, получается, что расчетные данные сошлись с эмпирическими.

Теперь рассмотрим предложение, которое я выбрал. Оно было от Тинькофф Страхование. Надо сказать, что я, почти, ничего не знаю об этой группе компаний. Общий фон был скорее слегка отрицательный, какие-то там разборки с блогерами, навязчивый маркетинг, но ничего критичного. Как говорят в опросах, скорее бы не выбрал, чем выбрал.

  • Но окупила все цена. Если брать в процентах:
  • 33/46*100% = 28,1% — катастрофическая разница для Альфы, которая побудила искать альтернативные предложения
  • 33/39*100%= 15,3% — приемлемая разница для менее «репутационного» игрока.

Что в сущности тоже нормально, я сам в Ашане покупаю небрендированные хозтовары марки «Каждый день», т.к. не вижу смысла платить за туалетную бумагу по 100 рублей.

Что ж настало время сделать промежуточные выводы:

  1. За хорошее, мы готовы переплачивать до 20% стоимости.
  2. Видимо, существуют какие-то особые случаи, когда производитель закладывает 40% на свой гудвил. Видимо, надо быть Apple, что бы у тебя такое покупали.
  3. Мы скорее выберем небрендированный товар или с худшей репутацией, если она дешевле на 15% и более процентов.

Разумеется, это лишь вступление в тему. Надо, как говориться, еще перейти из b2c в b2b сегмент. Но думаю общие контуры экстраполируются и туда. Но это уже в другой раз.

Как кидали Страховую компанию

Здравствуйте, здравствуйте мои дорогие. Что-то совсем давно не виделись. По заветам тайм-менеджеров поставил себе задачу, писать минимум один пост в неделю. Вот, прямо сейчас и начнем. К счастью мне за это никто не платит, поэтому можно писать в свое удовольствие. И сегодня я хочу рассказать вам историю об еще одном кидке.

Все мы любим такие истории, по рынку гуляет куча таких историй. Стоит зайти в кулуары любой конференции, вам расскажут таких с десяток. И сегодня я расскажу про страховую компанию.

Жила-была маленькая страховая компания. Не совсем уж она и маленькая, так сказать первого эшелона. Но в контексте оскала нашей поибе, это была маленькая страховая компания.

И потребовалось маленькой страховой компании приобрести антивирус. У нее уже был богоподобный Касперский и все было хорошо, но внутренние регламенты предписывали наличие альтернативного антивируса. При чем строго конкретного.

Конкретный антивирус был тоже не большой и не маленький, первого эшелона, но не Касперский. И полетели к этому вендору письма с запросами коммерческих предложений. И вендор отвечал на эти запросы со скоростью неимоверной, сформировав начальную максимальную цену в 500 тысяч рублей. Цена, там была, конечно, другая, но важен принцип.

И разверзлась благодать для вендора, была объявлена конкурсная процедура, и были собраны три предложения, и… А, дальше неувязочка вышла.

Надо сделать лирическое отступление. Многие хорошие вендоры имеют открытый прайс-лист с ценами. Наш анивирусный вендор тоже хотел быть хорошим, и разместил цены у себя на сайте. Это называется оферта. Каждый знакомый с продажами в b2b знает, что чем больше возьмешь, тем дешевле тебе будет каждый конкретный экземпляр.

  • Например, стоимость 1 лицензии может быть – 5000 рублей.
  • Но если ты возьмешь 100 лицензий, то цена за штуку может быть – 2500, или 4000, но точно меньше, чем брать поштучно.

Значит у нашего вендора разбивка по ценам была до 50 штук (размер вымышлен), а на все что больше 51 лицензии надо было запрашивать цену. Из запрошенных цен получалось (цены с потолка, главное принцип):

  • 1 лицензия стоит – 3000 рублей.
  • Если брать 50 штук, то 1 стоит – 1000 рублей

Но нашей маленькой страховой компании требовалось 120 лицензий, и тут цена лицензии составила… — 3000 рублей за штуку.

Что, почему? Маленькая страховая компания смотрела на калькулятор, на бумажке столбиком перепроверила, не могла она понять, почему при покупке 50 лицензий она заплатит 50 т.р., а при покупке 120 в три раза больше.

Собрав всю волю в кулак, решила маленькая страховая компания разбить закупку на три части 50+50+20, на которые цены были в открытом доступе. Т.е. являлись открытой офертой, и по ним вендор обязан был продать. Даже подняли они руководство пользователя мудреное, где было сказано, что управлялка антивируса позволяет присоединять разные лицензии, на разные сроки. И в третий раз написала вендору, смогут ли они это купить.

На что менеджер хитрый ответил, что не смогут. И любой, кто придет к ним купить 50+50+20 лицензий, рухнет в ад отрицательной маржи, купив эти лицензии по 3000 рублей за штуку. Конечно, это по беспределу, но не волнует это антвирусного вендора, ведь можно и так деньги зарабатывать.

Такая история.

Знание, вера и инфоцыгане

Здравствуйте, здравствуйте, мои дорогие и любимые. А у меня есть для вас новые увлекательные истории. Но начнем по порядку.

В этот вторник позвонила мне уважаемая компания Мегафон. И говорит мне. Какой я уважаемый и любимый их клиент, как они ценят, что я пользуюсь их услугами и всячески хвалят. Как вы знаете я люблю, когда меня хвалят. Все любят, когда их хвалят, это всем известно. И так бодро хвалят, что предлагают только мне, только сейчас 300 минут в день бесплатно. Очень заманчивое предложение. И я уже мечтал, как буду тратить по 300 минут в день, но что-то меня сильно настораживало. И дальше пошли чудеса, то ли закон о рекламе, то ли внутренние правила какие, которые заставляют озвучивать все условия акции, но засада обнаружилась. А условия оказались простыми – 10 рублей в день, и супер-предложение, которое только для меня, станет реальностью. Выяснив, что предложение действует только на момент разговора, и вернуться к нему потом нельзя будет, я вежливо отказался. Ну, не выговариваю я текущий-то лимит, куда мне еще 9000 минут?

И потонула бы эта история всуе, если бы не одно обстоятельство. Я безопасник. А мы, безопасники, народ такой – должны лажу за версту чуять. Лажа она такая, вещь рисковая. Вот, сидит перед вами потенциальный нарушитель, и втирает вам какую-то дичь, а вы сомневаетесь. От отмазывается, а вы проверяете. Он думает, что соскочил, а вы его к стенке прижимаете. Сомнение во всем, суть профессиональной деформации любого безопасника.

Но сомнение это не главное. Необходима еще уверенность в своем сомнении. Думаю, вы замечали, что наш мир полон различных дихотомий. Добро и зло, черно и белое, инь и янь. Одна из ключевых — знание и вера. Каждое подобное деление влечет к себе своих адептов, и как люди, верующие стремятся к вере. Там есть свои пророки и воины чистого знания. И безопасники, безусловно, тяготеют к знанию. Мы просто не можем иначе. Как можно защитить что-то не до конца понимая, как это работает? Как можно что-то предотвратить, если вы не представляете и толики возможных вариантов? Нет, мы адепты чистого, бескомпромиссного знания, это очевидно.

Так откуда это знание взять? Где найти тот бьющий источник? А это уже индивидуальный путь каждого. Кто-то долго и упорно учиться. Кто-то имеет богатый практический опыт. Но чаще происходит смешение (но не взбалтывание), в тех или иных пропорциях. Можно сказать, что безопасник – это человек открытого ума, оценивающий все вокруг через профессиональную деформацию.

И тут как на зло – парочка примеров под нашу тематику.

Первый пример подкинул Алексей Лукацкий. Как только Алексей закончил с темой персональных данных, он начал активно развивать тему обучения. Вещь разумеется нужная и полезная. В начале Алексей решил не бросать тему – экономической эффективности, и запилил авторский курс в «Информзащите». К сожалению, попасть на курс не удалось, а видеозапись теперь купить на сайте нельзя. Но судя по учебному плану, Алексей все также читает тему из 2014 года. Что подводит нас к очень важному вопросу в образовании, а кто учитель?

Ведь, что мы ожидаем от учителя? Что он будет, как минимум компетентным в той области, о которой рассказывает. Что у него есть соответствующий практический, или на худой конец академический опыт. Это категория знания, когда человек может передать хотя бы свой опыт, не говоря уже о каких-то сакральных знаниях.

Есть ли у Алексея соответствующий опыт? Не известно, он про это ничего не говорил. Я был на нескольких курсах у Алексея (по персданным и 382-П), где выборочно зачитывались слайды из огромной презентации на все случаи жизни. Для первичного погружения в тему – сойдет, но уже неофиты найдут там мало полезного.

На волне успеха от курса, Алексей еще заделал свою сертификацию. И, возможно, это было сделано ради шутки, но происходила она из страшного посыла. Веры Алексея в полезность своей работы. А это очень мрачные вещи. Если вы интересовались методиками создания религиозных фанатиков или изучали/посещали тоталитарные секты, то вы знаете, что если человек верит, то его очень легко подтолкнуть в крайнюю степень фанатизма (бей неверных и т.п.). В этом нет никакой тайны, что человеком, безоговорочно верящим во что-то, очень легко манипулировать.

Например, Алексей предложил своим читателям, подтвердить свои знания в области ИБ сертификатом о чтении его блога. Супер. Чем больше сертификатов, тем лучше. Что ж поделаешь, если у нас так сложилось? Но лично меня не взяли на работу в «Информзащиту», когда я сказал, что читаю блог Лукацкого. Именно это стало причиной отказа.

Через это – мы плавно переходим к теме ответственности. Учителя перед учеником, и автора перед читателем. Ученик не может и не должен сомневаться в учителе до окончания обучения. И если ученика научили плохо, если читателю дают ложные посылы и иллюзии, то виноват учитель-автор.

Вторая история, как раз про это. Смотрел, я как-то фейсбучек. Смотрю, Варвара Шубина рассказывает про какую-то книжку. Ну, рассказывает и рассказывает. После серии материалов, я по совету Рустэма Ниловича, Джет-инфо не читаю. А с Варварой мы пересекались в обсуждении свастики на их обложке. Сошлись на том, что не любой пиар одинаково полезен.

И, вот, смотрю – а книжка какая-то странная. И у автора имя какое-то необычное — Ана Мавричева. Думаю, мб опечаталась, с кем не бывает. Я сам-то с ошибками пишу. Ан нет. Все оказалось гораздо глубже.

Не знаю, почему Варвара пиарит Мавричеву, мб потому что они с одного города. Или просто подруги, или тренинг купила, не знаю. Но, что Варвара крайне неразборчива в источниках, я запомнил еще с истории со свастиками. И написал – «Варвара, вы кажется пиарите инфоцыганку». Ведь, если человек пиарит обманщиков, то он уже сам, почти, обманщик. Особенно, если знал. Если добросовестно заблуждался, еще туда-сюда. Но если знал – зашквар.

Кто такие инфоцыгане? Если кратко, люди, называющие себя тренерами, и обучающие других за деньги тому, чего сами не умеют.

Инфоцыгане — это те, кто предлагают купить у них «авторские обучающие информационные продукты»: курсы, тренинги, марафоны, вебинары.

Они аргументируют свой заработок в интернете тем, что «хотят помогать и делиться с другими опытом», «нести пользу миру». Короче, белые мы и пушистые…

Подробнее

Т.е. если Алексей Лукацкий, хотя бы опытный человек в своем деле, как он говорит теоретик, то данные граждане в наглую обманывают своих клиентов. И, разумеется, у данной Аны, выявились все признаки инфоцыганки.

Прямо начиная с имени. Сколько у нас Анн? Много. А Ана – одна. Она об этом сама говорит, попросила поменять имя, когда получала гражданство РФ. В общем случился у Аны конфликт со мной. Ух, какие слова дипломированный тренер по публичным выступлениям использовала… как говориться, сапожник без сапог. Что-то мне совсем с девушками не везет, чуть что не скажу им, у них со мной конфликт. То Варвара, то Юлия Омельяненко, теперь еще и Ана. Грусть, печаль.

А с Аной Мавричевой мы условились так: я делаю разбор ее книжки (если найду) и деятельности, а она получает с меня бесплатную рекламу. Так же мы обратимся к экспертам по инфоцыганам на ютубе, где на Ану снимут разоблачительный ролик.

Если вы хотите ускорить подготовку материалов, то можете помочь, в том числе материально.

А на сегодня все, до новых встреч.

А где пруфы, Билли? Нам нужны пруфы

Золотое правило блогера гласит – пиши часто и много. Если ты блогер по машинам, пиши о том, как ты тестил машины, ездил на них, смотрел из окна дома, видел картинки в интернете и играл в машинке в детстве. Чем больше говоришь по теме, тем больше будут думать, что ты шаришь в теме. Бич каждого блогера – темы заканчиваются. И тогда приходит на помощь муза креатива, придумывается какой-нибудь фуфел и с треском разбивается в пух и прах.

Думаете я преувеличиваю? Давай рассмотрим свежий пример из нашей поибэ. Как вы знаете, главный эксперт отрасли – Алексей Лукацкий. Алексей человек широких взглядов и интересов. Особое внимание Алексей уделяет взаимоотношениям бизнеса и безопасников. О чем и пишет, в его, Алексея, понимании. Для иллюстрации своих тезисов, Алексей рассказывает истории. Вот, свежая.

SOC бесполезен, если он не может увязывать технические и бизнес-показатели

(оригинал)

…дзынь-дзынь-дзынь
— (Блин, ну кого еще в субботу в такую рань принесло? Почему я забыл включить «Не беспокоить» на телефоне?..)
— Да!
— Привет, Сергей! Это Иванов.
— Доброе утро, Степан Петрович! Что-то случилось?
— Да, случилось, Сергей! Вчера поздно закончился совет директоров. Мы стали получать меньше денег! Явно негативная динамика за последнюю неделю.

Т.е. о проблеме знали вчера вечером, а позвонили в субботу утром? В реальности, если какая проблема, Сергея дернули бы в пятницу, и он бы помчался из дома на работу. А еще вероятней, все потенциально необходимые люди задержались бы на работе, чтобы быстро дать пояснения/исправить проблему.

— Это плохо. А причем тут я? Я же отвечаю за кибербезопасность!

Реальный Сергей ответил бы «за безопасность» или «информационную безопасность». Хотел бы я посмотреть на компанию, где есть отдел кибербезопасности, и сколько у них отделов безопасности по чему-либо вообще.

— У нас не работают системы!

Если знают что не работает, или из-за чего – живые люди так и говорят.

— А причем тут я-то? Это надо обсуждать с департаментом продаж или, на крайний случай, с айтишниками. Зачем ты звонишь мне?

Алексей, вы в своем же тексте нарушили иерархию разговора. Если в начале это Степан Петрович, то почему здесь «ты»? Почему в начале тогда не было «херли ты с утра звонишь? Что случилось?»

— Нет, ты не понял. У нас не работают системы и это из-за тебя; то есть твоих бойцов!
— Не может такого быть. Но давай я проверю и перезвоню через 15 минут!

…прошло 15 минут

— Степан Петрович, это Сергей! Я дернул дежурную смена нашего SOCа — у них все зеленое. Все индикаторы в норме и так уже недели две. Это не может быть из-за нас.

Так все-таки Степан Петрович. В общем все признаки того, что история выдумана. Впрочем, ничего плохого в этом нет, мысленные эксперименты нужный инструмент.

— Хорошо, Сергей. Давай в понедельник часиков в 7 приходи — будем разбираться!..

— Хорошо, Степан Петрович! Буду в 7 утра в понедельник. Хороших выходных.

…ту-ту-ту-ту…

Блин, ты уже в субботу позвонил. Если дело срочное и компания работает 24/7 (есть дежурные смены), почему всех не дернули в выходной на работу? Судя по всему, Степан Петрович, тоже кому-то отчитывается, и его назначили главным по разбору ситуации. И это он должен в 9 утра отчитаться, о причинах и принятых мерах. Поэтому Сергей сейчас поднимает свою пятую точку и весь свой отдел и мчит на работу, что бы Степан Петрович владел всей информацией в понедельник утром.

Руководитель службы ИБ пытался долго заснуть, но не мог. В итоге он сорвался на работу, чтобы разобраться в ситуации и к утру понедельника иметь всю информацию для общения с генеральным директором.

Т.е. Степан Петрович генеральный директор… Сергей на него компромат что ли имеет, или родственник – что он ему тыкает?

Проверки всех ключевых показателей ничего не дали — доступность торговой Интернет-площадки была в пределах допустимого — 99,9%. Число мошеннических транзакций нулевое. Угроз e-mail тоже было немного — 0,02% и все были отбиты на шлюзе. IPS, NGFW, анализ Netflow, контроль доступа… Все в зеленых зонах. Что же случилось?..

Алексей очень любит вводить новые термины. Обычно говорят об отсутствии инцидентов или их малой критичности. Что такое «зеленая зона»? Тюрьма для пограничников?

— (А может это Миша, наш дорогой CIO, решил поквитаться за прошлый раз, когда я обвинил его в том, что вся сеть легла из-за него, а не из-за накрывшей нас эпидемии вредоноса? А может  это Васильна взхъелась из-за того, что мы ей перекрыли доступа на сайт знакомств? Ну а фигли, хоть и финдир, а надо соблюдать политики. С чего они вообще решили, что это мы виноваты и почему SOC за сотни миллионов рублей ничего не видит?)

Потому что надо было его покупать у Cisco?

…прошло два дня…
В понедельник к обеду выяснилось следующее:

За 10 минут недоступности торговой Интернет-площадки из-за DDoS-атаки отвалилась ключевая сделка, которая должна была принести компании 27% ее недельного дохода.

Вот, это поворот. Т.е. основной бизнес компании происходит в интернете. Ключевая площадка хостится в компании (ни резервной площадки, ни балансировки нагрузки), хорошо. Чем же можно заниматься, что на твоей торговой площадке могут за одну сделку сделать 27% дохода? Наверно, ты что-то продаешь. А т.к. ты тратишь «сотни миллионов» на SOC, продаешь ты через электронную площадку много и товар твой нужный.

Вопрос, что ж это за контр-агент такой, который отказался от сделки из-за 10 минутного ддоса? Если сделка ключевая, то ее долго готовили, а следовательно о проблеме было бы известно тот час же. Продажники бы сразу вой подняли, и уговорили бы клиента подождать или перенести сделку. Ни один покупатель не будет срывать покупку нужной ему вещи, т.к. он потратит больше времени на поиск аналога, согласование условий, заключение договора и т.п.

Система защиты e-mail посчитала за спам рассылки маркетингового департамента и клиенты перестали получать предложения с последующим снижением покупательской реакции. 12 тысяч сообщений «выброшено в пропасть» — покупательская активность снизилась.

Алексей, я понимаю, что защита от спама тема уже старая и обыденная. Но нельзя же так. Спам-системы в первую очередь направлены на отсев внешних писем. Обычно, внутри, 12 тысяч сообщений может дропунть smtp-релей, у которого может быть ограничение на количество писем в очереди. Но тогда бы это давно решили, ведь рассылка производится не в первый раз.

Допустим спам-защита смотрит внутрь, значит ее поставили недавно (иначе бы такой фейл выяснился бы давно). Следовательно, завалена опытная эксплуатация и приемка системы, т.к. департамент маркетинга, видимо, в них не участвовал, как один из главных пользователей ресурса.

Ну, и мерить покупательскую активность по почтовым рассылкам – это верх бизнес-показателей. Алексей, вы сами-то рассылки читаете от многочисленных банков, клиник и магазинов, что вам валятся в ящик? Там конвертируемость ниже 1%.

Антифрод не увидел ни одной мошеннической транзакции. Да и откуда? Стоящий на периметре WAF отсек 3% клиентов, даже не дав им разместить заказ.

Чего? Т.е. если WAF отсек? То инциденты должны быть на нем. Опять же вопрос – как принимали систему? Почему отсек? Что это за бизнес, где одна сделка приносит 27% дохода, бегают физики с заказами и соки на миллионы? Интернет-магазин? Не похоже.

Понятно, что Алексей хотел проиллюстрировать, как можно больше средств защиты, но получился конь в вакууме. Почему не написано, в чем была аномалия входа этих 3%?

Последней каплей стало внедрение скрипта, который высвечивал перед каждым посетителем сайта уведомление с прокруткой о необходимости получения согласия на обработку персональных данных в соответствие с ФЗ-152 и GDPR, с полным разъяснением всех последствий от осознанного принятия клиентом всех условий предоставления ПДн компании. Анализ показал, что время, за которое клиент теперь стал доходить до процесса заказа увеличилось на 47 секунд, что привело к оттоку еще 11% покупателей.

Рукалицо. Алексей, какие 47 секунд? Моя бабушка освоившая социальные сети, кликает на галочку секунд за 15. Если у нас GDPR, то мы в тренде со всем интернетом, которые тоже добавили подобную информацию. Получается, что пользователи, зайдя на сайт, уже привыкли к этому в других местах и просто не читают.

Покупатели не уходят, если товар им нужен (а как мы выяснили, у нас не обычный интернет-магазин).

Как видно, пример взят для запугайки с совершенно оторванными от жизни примерами. Потом люди читающие Алексея, придут в свои компании и начнут их пересказывать, а на них будут смотреть, как на блаженных. Итог – информационная безопасность все дальше от бизнеса.

Прискорбно то, что Алексей делает это постоянно. Началось все с «зарабатывающего 10 млн долларов любителя порно», где не хватало самой малости – конкретики.

Да, да, дорогой читатель – тех самых пруфов, которые соединяют историю с реальностью. Мы в ИБ очень бережно относимся к информации, мы не называем фамилий и организаций, когда рассказываем кейсы, но они тем не менее остаются реальными.

Реальную историю от вымысла отличает ряд вещей (если мы не можем назвать ФИО, должность, организацию):

  1. Очертить сферу применения. В фантазии Алексея выше, не понятно, что это за бизнес. Понамешано все в кучу. То, что актуально для ритейла, неактуально для телекома.
  2. Очертить взаимодействующие стороны. Что Степан Петрович генеральный директор, мы узнали под конец. А почему мы подставили какого-то Мишу, мы так и не узнаем.
  3. Очертить проблему. «Получаем меньше денег» это не проблема, как бы Алексею не хотелось. Это следствие (кстати, очень полезно различать, если вы хотите говорить с бизнесом). А, вот, причины этого могут быть всякие разные. У нас могла банально дебиторка вырасти, просто задерживают оплату. И еще миллион причин.
  4. Описать последствия. Ну, тут все понятно.
  5. Описать решение (по желанию).
  6. Уж точно, надо указывать подсистемы, которые не справились.
  7. Можно указывать вендоров и конкретные решения, которые справились.

Это те самые пруфы, которых очень не хватает в многочисленных историях, гуляющих в кулуарах многочисленных конференций. Из-за чего большинство из них напоминают анекдоты. Безопасники рассказывают их бизнесу с серьезными лицами, бизнес смеется. Сравните историю выше, с реальной историей.

А на сегодня все, до новых встреч.