Наша экономика стояла на краю пропасти, а теперь мы сделали большой шаг вперед. Или карьера в ИБ

Добавить комментарий

Всем привет.

Знаете, что я вам скажу? Ремонт – это трындец. Когда ты делаешь ремонт, времени не остается ни на что. Вот обещал Андрею Прозорову посмотреть его лекцию в июне, а добрался только к июлю. Про ремонт как-нибудь в другой раз, а сейчас про Андрея.

Поехали.

Идею этого материала подсказал сам Андрей. У нас стремительно развивается новый обучающий формат на базе Университета Сбербанка, где проводятся открытые лекции на разные темы. Наконец-то кто-то это сделал. До этого можно было послушать уважаемых людей либо в рамках спонсорского доклада, либо в чил-ауте на конференции.

Как уж у них там все организовано не знаю, но задумка интересная. И тут значит смотрю — вся лента Solar запестрила выступлением Андрея Прозорова. Называлось «карьера в ИБ», и у меня сразу возник вопрос – о какой карьере идет речь? Блогера в ИБ? Или специалиста? Андрей предложил внимательно посмотреть лекцию и высказать свое мнение. Чем я два часа и занимался.

 

Слушаем

Начнем с названия – Карьера в информационной безопасности.

Карьера – это успешное продвижение в какой-либо области и/или достижение значимых результатов. Про карьерные продвижение остановимся ниже, остановимся на результатах. Разумеется, на первом месте личный блог Андрея. На втором (из автобиографии в блоге): какие-то проекты (какие?), выступление на телевидении, сертификация CISM и участие в профессиональных сообществах.

Как я ожидал из названия, Андрей расскажет ключевые этапы становления безопасника, возможные сферы применения, ключевые навыки и т.п.

Начинаем смотреть.

1:55 — ОАО «ФПД» — не так круто, как РЖД. Не знаю, чего застеснялся Андрей. Я, конечно, понимаю, что РЖД звучит круче, чем ФПД. Но чисто визуально акцентировать на РЖД в автобиографии… чего стыдиться-то?

Лета достойна полного названия, ФПД — нет.

2:21 – «Новая  тема диплома «Защита от инсайдеров, защита от угроз». Что крайне странно, т.к. инсайдер по сути внутренний нарушитель, обладающий бОльшими возможностями, чем внешний. Да, у нас полкурса было посвящено борьбе с внутренними нарушителями.

2:35 – очень интересно было бы увидеть перечень научных статей Андрея.

3:15 – я знал, что должность «Руководитель экспертного направления» — это для красного словца.

4:45 – Андрей не все умеет, как написано в стандарте на его специальность.

6:54 – Экономика и философия Андрею не пригодятся. Не мудрено, что сейчас с этим сложности.

7:36 – «Безопасность жизнедеятельности – это как надевать противогаз». Понятно, что Андрей хотел пошутить, но вышло не очень. Там много интересного рассказывают.

7:45 – «Документоведение и психология к безопасности отношения не имеют». То у нас главный источник угроз — это человеческий фактор, но специалисту с 10 годами опыта такие мелочи ни к чему. Ну, а с документами у Андрея давняя вражда, читал его обоснования внедрения продуктов работодателя для 152-ФЗ, сам черт ногу сломит. Ненужная дисциплина, да.

Интересно, кому Андрей рассказывает, что вышка в ИБ плохая? Если лекцию слушают в основном не-безопасники? Они в любом случае уже на нее не пойдут. Скопировал кусок из другой презы?

9:55 – «Упущены навыки общения с другими людьми». Видимо, Андрей прогуливал «ненужные» предметы, т.к. там об этом подробно рассказывали. Начиная с документоведения.

10:50 – «Когда я работал в Лета, у нас был консалтинг и стартанули персональные данные». Согласно автобиографии, Андрей устроился в Лету в 2008 (очевидно летом, после диплома), когда ЗПД уже набирал обороты, а не стартовал.

11:09 – как ведущий консультант может собеседовать претендентов? Если работающий уже там  Александр Бондаренко делал это сам, в лучшем случае, в присутствии эчара? Я был там. Три раза.

11:50 – Трындеж какой-то. В 2008 студенты ЗПД еще даже не нюхали. Через год я сам набирал студентов и обучал их ЗПД, из нескольких десятков о ЗПД не сказал никто. Тема была для них новая. Хотя, вполне допустимо, что это у Андрея ретроспективная память (привет психологии).

22:35 – «Медианная зарплата 90 тысяч долларов, там 75% зарплат больше 100 тысяч. Арифметическое среднее будет больше». Видимо, статистику Андрей тоже посчитал ненужным предметом. Андрей, медиана  — число, характеризующее выборку. Если все элементы выборки различны, то медиана — это такое число выборки, что ровно половина из элементов выборки больше него, а другая половина меньше него. Никаких «75% большее 100 тысяч» (в правом хвосте) тут быть не может.

30:30 – «В работе безопасника главным является управление инцидентами». Вот уж номер. Двигаем ненавязчиво услуги Solar? Вот что в наших евангелистах от ИБ подбешивает, так это желание протолкнуть рабочие интересы вперед общественных. Даже в таком мероприятии не обошлось без саморекламы. Про SOC уже раз 15 сказали (не говоря, что это. В аудитории, где 7-8 специалистов по ИБ). Не хорошо.

31:29 – «Мое дополнительное образование в области безопасности началось с сайта Интуит». Оно и видно, Андрей, оно и видно.

32:25 – теперь понятно, почему для Андрея не было пользы в высшем образовании. 80% пропусков с 4 курса.

33:10 – «В РЖД не сильно напрягают работать, было много свободного времени». А как же «большая практическая база»? Что-то тут не стыкуется. А в ЛЕТЕ работал по 10-12 часов в день… как-то факты не сходятся.

35:40 – «То, что вы делаете со своим оплачиваемым временем, определяет ваш текущий доход». Интересно, сколько сейчас платят за посты в фейсбуке: дружеские посиделки в рабочее время и настройку квадрокоптера?

36:45 – Вообще, Анакин был зачат Силой, а дети его благополучно выжили. Факты-то надо чекать.

38:30 – У викингов были драккары, а на лодках перевозят овец, чтобы их волки не сожрали, а они – капусту.

38:50 – Проверим Андрея по его методике. B – хорошие базисные знания. Как говорит сам Андрей, их у него нет. Ну, не считать же такими 15-20 курсов с Интуита и прогулы института.

О – глубокие специализированные знания. Тоже нет. Во всяком случае не сказал.

А – личные качества. Тут сложно сказать, как минимум целеустремленность есть.

Т – знания в смежных областях. См. выше про медиану и другое.

1 из 4. Это хорошо или плохо?

41:40 – Викинги, вспахивающие землю… глубокая проработка темы.

45:20 – «Тренинги личностного роста окупаются в течение полугода, года». Что сказать? Андрей полностью раскрылся как офисный сотрудник новой волны, который забалтывает работодателя на большой фикс, не демонстрируя реальных результатов. В сфере пиара работодателя – это хорошо, но какое это имеет отношение к информационной безопасности?

Вместе с тем видно, что Андрею уже тесно в ИБ, и он уже видит себя инфо-тренером. Это те ребятки, которые зарабатывают деньги, рассказывая, как заработать деньги. Уже и курсы специальные пройдены (100 часов, шутка ли), и клепается армия фанатов. Осталось сделать небольшой шаг.

48:04 – Хорошо бы, конечно, рассказать, где внедрялись процессы 27001?

48:19 – перечитывать PM-book, конечно, хорошо. Но специалист по ИБ в нормальной организации не касается управления проектами чуть менее, чем никак. Примеры успешных компаний это подтверждают. Например, Сбербанк.

48:35 – Чем конкретно помогли-то? Этому выступлению очень не хватает конкретики.

50:48 – Какой офигенный слайд. Оказывается, многозвездным и по самое небалуйся  сертифицированным специалистам ISACA не хватает: технических навыков — 46,32%, понимания бизнеса – 72,33% (интересно, сколько из них считали курс экономики в ВУЗе лишним предметом?), навыков коммуникации – 42,16%.

Подскажите, прав ли я, что из отчета ISACA следует: минимум 30% сертифицированных у нее специалистов не имеют достаточных навыков ни в одной из категорий? Как же они сертифицировались-то?

52:08 – Каким образом COBIT притягивается к ИБ? То, что у них одинаковое прилагательное – информационный? Или потому что Андрей его прочитал? Чего в ИБ больше – ИТ или безопасности, вопрос не до конца решенный. Не профессионально предлагать методики из смежной, но во многом чуждой сферы.

53:02 – Предлагать в качестве основы принципы тренеров личностного роста – это за гранью. Каждый такой тренер выдает такие принципы на раз в огромном многообразии. Но что самое смешное, не применяет их в жизни. Не говоря уже о том, чтобы кого-то научить. Ну, и предложение принципов без личных примеров говорит об общем уровне лекции.

55:44Тайм-менеджмент. И ничего больше писать не буду. Устал я от этой секты.

56:22 – «Стать человеком, который может встать у руля какой-нибудь активности». Мне кажется, тут перепутаны темы тренингов, у нас вроде про информационную безопасность. Тема выступления забыта, Андрей уже во всю пиарится как тренер. Скоро ли уход в инфо-бизнес?

amctv.com/shows/breaking-bad

57:13 – 40 прочитанных книг по тайм-менеджменту! Вау, либо у Андрея много времени переливать из пустого в порожнее, либо не было важных задач.

57:34 – Наглядная иллюстрация принципа Парето – прочитать 3 книги, где «много воды и не нужного», чтобы найти 1-2 пару идей и заметок. 

57:52 – В соответствии с этим принципом читать книги по тайм-менеджменту неважная деятельность :)

58:20 – Ок, ищу дела, которые делать не надо:

  1. Слушать эту лекцию.

1:00:16 – Дневник достижений… По мне, какая-то хипстерская вещь. Ты и так знаешь, чего достиг. Или это планируется перечитывать? Или перед женой хвастаться, когда она будет в очередной раз пилить по поводу того, с каким ничтожеством она живет?

1:05:24 – Конечно, нет времени. Надо книги по тайм-менеджменту читать.

1:05:561 достойная книга из 10, все остальное из разряда «Как стать богатым, лежа на диване».

 

Подводя итоги

На мой взгляд, либо Андрей не понял тему лекции, либо ему нечего было сказать по существу. Презентация (кстати, не похоже, что Андрей знает свою презентацию, т.к. постоянно читает со слайдов) построена по классической методичке инфо-бизнеса. В начале все плохо, я учился, но мне ничего не дали. Затем — преодоление, показываем, как мы исправили ситуацию. Закрепление, вносим в головы слушателей нужный нам посыл (чаще всего, все будет хорошо, я знаю, как сделать, приходите еще).

Андрей не раскрыл карьерных этапов и трудностей. Равно как и перспектив (оперирование уровнем зарплаты — это не карьерные перспективы). Ключевых базисных навыков не называл, ключевых смежных – аналогично. Все свелось к выдержкам из других источников, тайм-менеджменту и общим фразам «будь активен».

Т.к. все карьерное движение Андрея направлено на то, чтобы стать «техническим евангелистом», то и надо было про это рассказывать. Про это интересно послушать. Только к информационной безопасности это не имеет никакого отношения.

На этом все, до новых встреч.

Андрей Прозоров

TOP причин, почему не работают организационные меры. Первое место

Добавить комментарий

Вот и добрались мы до первого места. Шли мы через тернии оценок, доброты и национальных особенностей. Да, все это мешает организационным мерам, но осталась одна – последняя причина. Она же альфа и омега всех остальных.

И эта причина – Ты.

Да-да, мой дорогой читатель. Организационные меры не работают в первую очередь из-за тебя и меня, из-за начальника и директора, всех тех, кто эти меры реализует.

Это принимает разнообразные грани. Например, если очень надо, вас пропустят на режимный объект в присутствии начальника охраны, потому что обычным порядком это заняло бы пару дней, а надо срочно. Или же проблема VIP-пользователей, которую постоянно решают безопасники с ИТ-шниками.

Только не подумайте, что это что-нибудь плохое. Есть вещи и похуже, например, «общество нацеленных на успех» Алексея Лукацкого. Это данность, и ее просто надо принимать в расчет.

Главное направление выхода видится в отражении последствий за несоблюдение тех или иных оргмер. Только не в виде штрафов, выговоров или угрозы увольнения, а в ущербе для организации вообще и потенциального нарушителя в частности. Если последняя секретарша будет знать, что, запуская неизвестные файлы, она может парализовать работу компании, она скорее всего не будет этого делать. Но это нас приводит к другому коану – вы захотите, чтобы последняя секретарша знала, как парализовать ваш работу? ;)

Всего вам доброго.

Еще не совсем Ж, но близко. PHD, CISO-форум и другие

4 комментария

Отгремели две шумные майские конференции – PHD и CISO-forum. На одной я был, на другой – почти. На одной все плохо, на другой хорошо.

Начнем с CISO –forum. Понятно, что бедному дегустатору ни за что не потянуть билет на такое VIP-мероприятие, как CISO. Меня даже не взяли как СМИ – ящик организаторов тупо не отвечает. Но я заслал туда разведчика. Конечно, он нифига не платил – мы нашли лазейку, даже бейджик не брал. И…

Ничего за год не изменилось. Ровным счетом ничего. Т.е. мероприятие создано тупо для обогащения организаторов. Спонсоры заплатили, участники заплатили (хотя бы 1/3, т.к. спонсоры нагнали туда своих клиентов) – снял зал за пакет генерального спонсора, … , PROFIT.

Доклады делятся на 3 типа:

  • От завсегдатаев (одна и та же балалайка под разными соусами);
  • Новичков (могут рассказать что-нибудь интересное, примерно, каждый десятый);
  • Вендоров (либо реклама, либо скрытая реклама).

Ходить на CISO лучше 1 раз в три года. Если чаще — будете слушать на 2/3 пересказ прошлого года.

Переходим к PHD. Скажу честно, идти туда не хотел (см. про бедных дегустаторов). Но Позитивы взвалили на себя бремя поддержки пищевой безопасности. А т.к. я человек совестливый и халяву не люблю, решил отплатить. Кстати, за два дня так и не удалось поесть, очень уж еда была запрятана, да и дела образовались.

Завтрак прессы

Не беря ZeroNights (нельзя сравнивать то, что не видел), на который я вряд ли когда-нибудь пойду, т.к. сплю в это время, PHD – лучшая конференция. Разумеется, в силу моей недалекости мимо меня прошли все технические доклады. На какие-то я не успел, но засмотрел трансляции, а большинство были от меня крайне далеки.

Я, разумеется, пошел на всякую говорильню. Помните, я после Инфосека писал про змей в банке? Многие уже об этом заговорили. Например, Рустэм провел мне ликбез о разнице между топ-безопасниками и «селебрити, завсегдатаи конференций». Спасибо, Рустэм. Остальное в фбешечке читайте.

Были там и мои старые знакомые из R-Vision. Парни двигаются в сторону молодежи и осваивают мемы (пока баянистые): «что ты мне втираешь какую-то дичь?».

Встретился с инсайдерами, обменялись новостями. Ух. Узнал, кстати, за сколько продается R-Vision, не дотягивает часто и до 5 мегарублей. Печально.

Основная пленарка прошла тезисно по плану статьи про Ж (ждите продолжения). Проблемы ИБ:

  • иб под прикладным ПО
  • безалаберность
  • отсутствие практической составляющей
  • тормознутость вендоров и безопасников, на уязвимости открытые вайтхат
  • отсутствие планов реагирования (Лебедь)
  • нет повальной идентификации в интернете (Калина)
  • нужно отгораживаться «метром воздуха» и строить закрытые контура (Калина)
  • отсутствие центров компетенций поибэ
  • сложно обосновать наличие безопасников (РТК)
  • технические средства не работают, только люди, которые и на опенсорсе все сделают (РТК)
  • не знаем свой внешний периметр (Симис)

В первый день еще успел побывать на выступлении Юлии Омельяненко из Acronis с докладом «Выдержит ли ваш бизнес натиск ransomware?» (кстати, что это такое – вроде и не сказали). В результате доклада мы узнали, что Юля занимается темой «3 года, когда это не было еще мейнстримом» и послушали пересказ исошной методички про непрерывность бизнеса и экстренного восстановления. Ну, послушали и послушали.

После конференции меня атаковала Юля со своей подругой Моной Архиповой (Mona Sax) под соусом, что они такого не говорили, а  я все неправильно услышал. Сначала я подумал, что Acronis просто решил зацепить ибешников по своей основной специализации (восстановление данных, все дела).

Тайминги с подтверждением:
  1. Про уникальный опыт в 3 года, когда еще это не было мейнстримом.

Тайминг с 1:09:06

Побочное замечание — 3 года назад (в 2014) GRC было еще ах каким мейнстримом. R-Vision не даст соврать.

  1. Про непрерывность с 1:15:13
  2. Про непрерывность бизнеса рискует от ИБ и бедствий с 1:16:05
  3. Считай стоимость восстановления с 1:18:10
  4. Развито в банках 1:18:28
  5. Про старые методички с 1:11:00

Даже слова оттуда — «заручиться поддержкой топ-менеджеров», так в самом начале переводили исошные документы.

Но Рустэм открыл мне глаза:

Оказывается, Acronis такими посылами пытается влезть на рынок «лоу баджет секьюрити» (а при возможности наверно и хай баджет). Теперь понятна агрессия Юли с Моной: как же перед начальством отчитываться, когда такая лажа? Хамство не красит такую уважаемую компанию как Acronis.

Кстати, о лаже (незаметно перетекаем во второй день). Заценил срывающее покровы выступление Алексея Лукацкого «Не бойтесь лажать, или Negative Security», из которого мы узнали:

  • Пользователям Maс сложно пользоваться непонятными компьютерами;
  • Алексей совсем не бомбит, что его называют теоретиком. Он двигается в сторону практики, но ЗПД в Cisco не взлетело (или взлетело, но не так) (я-то грешным делом думал, что теория – это бумажки, а практика – ручками эксплоиты писать/патчи ставить);Алексей Лукацкий
  • Наше общество ориентировано на успех и не говорит о своих ошибках (комментаторы сошлись во мнении, что под нашим обществом Алексей понимает западное);
  • Мало примеров, когда люди и компании признают ошибки (видимо, Cisco не из их числа);
  • Схватил 1 троян за все время;
  • Алексей не хочет выглядеть неприятно (но ведь репутации в России нет!!!!11111);
  • Не открывает свой сайт, т.к. все равно взломают, а репутация пострадает.

А вообще анти-пленарка очень понравилась. Особенно философские рассуждения Ивана Новикова (могу ошибиться) с двумя основными посылами:

  • Вся наша деятельность сейчас (в городах уж точно), чтобы в нужном месте экрана были нужные пиксели (например, отражение счета в банке);
  • Компьютеры размножаются быстрее людей.

Так и кто на кого работает? :)

В заключении хочу сказать о благости, посетившей меня. Я обрел нового кумира Алексея Качалина, т.к. ему не страшно рассказать, что у него на уме. Будьте как Алексей. И ходите на PHD.

Пока.

Хотите уникальности на PHD? Специальный бонус код для подписчиков

Добавить комментарий

Завтра начинается PHD и будет идти два дня. Это не какой-то там левый CISO-форум. А нормальная такая конференция.

Хотите получить уникальных впечатлений от конференции? Испытать непередаваемый опыт и войти в историю? Тогда слушайте сюда.

Один день, а может быть и оба, на площадке PHD будет размещен специальный человек. Найти его будет непросто. Особые приметы: поношенный вид, борода и стаканчик кофе в руке (большую часть времени).

Найдите этого человека и скажите ему бонус-фразу «Всегда Позитив». За это вы получите:

  • мнение по любому вопросу ИБ;
  • историю;
  • инсайд на выбор человека;
  • кофе (рандомно).

Успеха в сборе информации!

P.S. Если будет совсем никак, организаторами будут выдаваться подсказки.

Информационная безопасность в ж… Часть 1.

2 комментария

Здравствуйте, здравствуйте мои дорогие. Давно для вас не писал. За этот месяц я узнал, что меня читают минимум 3 человека, поэтому совестно долго не писать. Читай «Смотреть глазами» — будь элитным!

Ух, за этот месяц много чего произошло. Но главный вывод неутешительный. Мы, информационные безопасники, в жопе. Не прошло и года, как я поднимал эту тему на Кибербетле, а уже и зубры, вроде Рустэма, об этом заговорили.

Жопа эта многогранна: кто-то сидит только в одном углу, а кто-то соприкасается с множеством граней. Это не столь важно, жопа она и есть жопа. Отрицание сего факта лишь усугубляет проблему, как  персональную, так и отраслевую.

Как ни больно это говорить, но мы сами все просрали (и я в том числе). И, в лучших традициях психоанализа, предлагаю вернуться к источнику и последовательно пройти все этапы, чтобы определить, где же мы накосячили. По большому счету, это лишь для самоуспокоения, т.к. сделать что-либо уже вряд ли возможно.

Поехали.

0. Эпоха динозавров

Это весь период от момента создания шифра Цезаря (и до него) и до 2001 года. Эпоха легенд и эпичных героев невидимого фронта. Первые хакеры, апостол социнженерии Митник, разнообразные цветные книжечки и т.п. Не будем останавливаться на этом периоде. Мало кто помнит, что неделю назад на встрече говорил, а уже события 15-20-30 летней давности сейчас можно разве что по книжкам изучать.

1. Младенчество

Я взял за точку отсчета 2001 год, как первый год, когда массово появились гражданские специальности по ИБ в институтах. Моя называлась «Комплексная защита объектов информатизации (090104)».

2001 – хороший год. Ощущался некий подъем в стране. Выходили всякие веселые журналы, которые учили школьников ломать домофоны. Интернет стал более или менее доступным, и не надо было ждать ночи, потому что ночью бесплатно. И прочие прелести.

Лично я выбрал ИБ, т.к. она наиболее была близка к компьютерам. О, компьютеры я любил. Моя любовь не была шибко сфокусированной, я любил их собирать, настраивать, играть, сидеть в интернете, писать простенькие вирусы. Все по чуть-чуть. Да и был я объективно туповат для поступления на Прикладную математику, где можно было выучиться на программиста. Не шибко меня программирование привлекало, хотя все обучение с удовольствием этим занимался и даже диплом писал.

Помимо абстрактной связи с компами ничего об информационной безопасности я не знал (установка антивируса не в счет). И все 5 лет обучения, и еще 5 после окончания на вопрос, чем же я занимаюсь, отвечал – компьютеры защищаю. И это был первый ветерок перед ураганом.

Вспомните, как вы объясняли непосвященным, что такое ИБ? Это про компы. Это про безопасность. Чтобы компьютеры не украли? Нее. Чтобы информацию не украли. Какую? Ну… ценную. А, понятно.

И всякие вариации на эту тему. Вспомнили? За 16 лет ничего не изменилось. Мы – это хмурые мужики, которые пишут смешные бумажки и рассылают злобные письма об анальных карах за несоблюдение каких-то там политик.

Вторая проблема заключалась в очень широкой специализации. Ты можешь и документы писать, и софт с железом настраивать, и безопасным программированием заниматься, пентесты делать,  пресейлить и т.д. и т.п.

Именно поэтому на PHD все корифеи фебешечки и ибешных конференций забились в тесную комнатку 15 на 25 и обсуждали какие-то странные темы про популярность в интернете. Просто конференция была не про это, и они не смогли из обычной канвы выбраться.

Начиная с 4 курса к нам на поток приходили всякие люди хантить молодых специалистов. Кто умные дома звал делать (!!!), кто паять прослушку. А что, тоже безопасность.

Як оформлюються мікропозики без високих відсотків? Дуже просто кредит без відсотків онлайн на карту можете скористатися покроковою інструкцією для оформлення. Без відмови і перевірок отримати мікропозику на картку цілодобово можна в одній з численних українських МФО за 5 хвилин. Які переваги передбачає мікропозика на картку без відмови в Україні? Перше, і найголовніше, високу швидкість оформлення.

Кратким следствием из этого стало то, что информационные безопасники не конкретизированы и не могут доступно объяснить, чем же они занимаются. Например, работая в Утконосе, я часто привлекался к охране правопорядка на корпоративах, т.к. был приписан к Службе безопасности. А то, что я шары закрываю и за использованием интернета слежу – по барабану. Безопасник? Иди, смотри, чтобы пьяные сотрудники не передрались.

Это наглядная иллюстрация еще одной жопы. В эпоху динозавров потолок для шифровальщика (военного) узел связи с чином капитана. Все, дальше расти некуда. Так и мы — вроде и безопасность, но какая-то несерьезная. Сравните объемы бюджетов физбезопасности и ИБ. Да у них выставка, как 10 инфосеков с инфобезом, и все лишь про камеры с вкраплениями турникетов. Я знаю, я там был в этом году (и, кстати, она стала больше, чем в 2015).

И все это приправлено любовью к документам. По сути, защита конфиденциалки – это очень упрощенная защита гостайны. А в гостайне все просто: закопал компьютер в землю и обрабатывай. Разумеется, по всей строгости инструкции (интересно, ее номер является гостайной?) с 5 формами учета. Конечно, на такой базе ничего принципиально нового появиться не могло. И теперь в 99% случаев информационная безопасность приравнялась к противопожарной безопасности или какому-нибудь там ISO 9001. Куча бумажек и сертификат – ляпота.

Все это стало благодатной почвой, в которую были посеяны семена текущего провала. Но об этом в следующий раз.

Кредитна історія, оформляючи швидкий кредит на карту, може вплинути на рішення. Схвалювати або відмовляти вам у видачі. Оформити і швидко витратити мікрозайм на картку цілодобово не складно. Набагато важче повертати борг зі своєї зарплати.

Продолжение…

Versus, который не случился

2 комментария

Идея этого материала была задумана еще в декабре 2015 года. Я решил заделать сравнение критериев нужности DLP. Идея была следующая: сравнить критерии нужности от фокус-группы и самих вендоров. А дальше как пойдет.

У меня есть ряд знакомых (владельцы и директоры) в сегменте SMB, которые готовы ответить на мои глупые вопросы. И я написал в SearchInform, Infowatch и Solar для получения их точек зрения. Конечно, я бы мог просто воспользоваться инсайдом, т.к. у меня было все по этим продуктам от прайсов до гайдов «как засрать конкурента на пресейле», но рядовой потребитель всего этого не видит, и поэтому было бы не совсем честно.

А тут еще и во время ежегодной традиции меня спросили за DLP:

Михаил:

Добрый день, Дмитрий. Подскажите пожалуйста: мы сейчас выбираем между DLP Серчинформ и Инфовотч. Не понятно, что лучше. Сделайте пожалуйста сравнение/обзор с блоге.

Мы банк, пользователей 1200. Хотим реально работающую систему!

Дальнейшая судьба этого материала… тлен и безысходность.  И дело не в том, что из 3 вендоров материалы прислал лишь Солар. Инфовотч обещал, но так руки не дошли, а Сечинформ сразу на хуй послал. Кстати, спасибо всем, кто уделил мне время. За полтора года я и не сподобился довести начатое. Весь год провел в состоянии – я бегу, а волосики назад.

Поэтому расписываюсь в собственном бессилии довести аналитику до конца. Ну, скучно же писать про умирающий рынок. Поэтому решил поделиться с вами данными по фокус-группе.

Кстати, если вдруг вам интересно мое мнение – то надо брать Infowatch. Очень уж все в выборе свелось к вкусовщине, а раз так – то Infowatch.

Что думает бизнес?

Итак, знакомимся с фокус-группой. Я не стал уж брать что-то энтерпрайзное, там ответы понятны. Нужно, но либо уже есть, либо денег нет.

Олег. Владелец и директор сети ресторанов.

Катя. Топ-менеджер крупного дистрибьютора по физбезопасности.

Даша. Финдиректор небольшого технического вендора.

Петр. Владелец консалтинговой фирмы (с уклоном в юридические аспекты).

Роман Т. Учредитель ИТ-вендора.

Антон. Инвестор, владелец компаний в разных сферах.

Лена К. Учредитель небольшого интегратора.

Лена Л. Руководитель отдела закупок крупной строительной фирмы.

Роман З. Начальник отдела закупок в дочке Транснефти.

Максим. Владелец группы компаний в ИТ и ИБ сфере.

5 из 10 респондентов относятся к миру ИБ и ИТ.

Из 10 человек:

10 из 10 –знают о риске утечки конфиденциальной информации.

4 из 10 – считают, что надо контролировать сотрудников в части информации, которой они обмениваются (Олег, Катя,  Роман З., Максим).

9 из 10 – готовы поставить какую-нибудь программу для контроля рисков утечки конфиденциальной информации.

3 из 10 — считают, что ущерб от утечки конфиденциальной информации будет серьезным или фатальным для бизнеса (Катя, Даша, Роман З.).

1 из 10 – не хранит конфиденциальную информацию на компьютере.

3 из 10 – слышали о системах класса DLP.

1 из 10 – применял программы для контроля над сотрудниками (Катя).

7 из 10 – хотели бы знать, что о них говорят подчиненные.

1 из 10 – знает о возможной ответственности за вмешательство в личную жизнь и тайну переписки (Петр).

10 из 10 – главным фактором выбора DLP считают цену, вторым – полный сбор со всех каналов утечки.

7 из 10 – достаточно реактивного реагирования на инциденты.

6 из 10 – искали бы инциденты по ключевым словам (4 из 6 – хотели бы, что бы еще слова искались в разных формах и падежах).

10 из 10 – при выборе решения смотрят на референсы инсталляций и благодарственные письма.

1 из 10 – проверяет достоверность информации о референсах.

Вот эти люди должны были с помощью двойного слепого метода оценить критерии наших DLP вендоров. Но сделают это в какой-нибудь параллельной вселенной.

Пока.

Сертифицированная Windows для ЗПД

2 комментария

Как мне тут правильно подсказывают – слишком много Лукацкого в ленте. Но что делать, если Алексей у нас главный ньюсмейкер. Но желание публики – закон. Поэтому слушайте историю про персональные данные.

Позвонил мне хороший друг, начальник поибэ в немаленьком банке. И говорит – «Димон, я тут СЗПДн инвентаризирую. ИТ-шники хотят нам передать на баланс, помоги разобраться, что нужно, а что нет.»

Через матюги с шутками выяснилось, что 3 года назад компания SoftLine сделала им систему защиты персональных данных. Сроки поддержки все вышли, а с купленными СЗИ надо что-то решать. И самый большой вопрос встал по сертифицированной винде. И проблема не в том, что решение просто купили и не внедряли. Вопрос – как все так сделать, чтобы хоть как-то было похоже на правду.

Хоть я сам не брал сертифицированной винды в руки уже пару лет, пришлось стряхнуть пыль с закоулков памяти.

Преамбула заключается в том, что сертификацией винды у нас занимается одна компания «СИС» или «Сертифицированные информационные системы». Процедура следующая – вы отсылаете заявку в СИС или дистика (который все равно делает все через СИС), прикладываете денюжки, дистрибутив и подтверждение легальности приобретения продуктов Microsoft (думаю, мало что в процедуре изменилось).

Самая засада с дистрибутивом — он должен быть на диске. Нет диска — вам сертифицированной винды не видать. Все это уезжает на 2 недели в СИС (или 6-8 недель, если через дистика) и приезжает обратно к вам с комплектом бумаг и еще каких-то дистрибутивов.

Если заглянуть в прайс-лист (о, чтение прайс-листов – отдельное искуство), то глаза разбегаются и ни хера не понятно, что же надо взять, чтобы нормально сертифицированную винду приобрести.

Запоминайте.

Гайд по ориентированию в прайсе сертифицированной винды

Предположим, вам надо установить сертифицированную винду на вменяемое количество машин, хотя бы 10-15. Если у вас меньше, можете смело лишние пункты почикать.

  1. Находите нужную версию винды (обычно на 1 поколение назад от текущей версии, например, 10 сертифицировать нельзя) в прайсе, и выбираете Базовый пакет для сертификации. Можно взять и Полный пакет, но я за 5 лет отличий шибко не уловил, да и попал один раз. Была у меня спецификация (в январе сделанная, ага), а как до закупки в ноябре дошло, так мне не смогли полную версию отгрузить. Сертификат тютю, просрочился. А у меня госконтракт.

Берем по количеству машин.

  1. Вам необходима лицензия на контроль сертифицированной версии ОС. Это такая приблуда, которая проверяет установленную версию винды на отклонения в настройках. Также берете по количеству машин.
  2. Лицензия модуля анализа уязвимостей. Хз, как щас. Раньше ее не было, или была, но не нужна была. Для меня это позиция для выкачивания денег.
  3. Обязательно не забудьте про сертифицированный ключ для получения обновлений. Хватит 1 шт.
  4. Дальше пойдут у вас непредвиденные расходы. Вы для чего винду берете? Для аутентификации в основном, чтобы не городить секретнеты с далласлоками. А что у нас является главной дырой на локальной машине? Локальный админ. Вроде без него никуда, если что. А кто выше локального админа? Доменный админ. Очевидно, чтобы не бегать и не менять раз в месяц пароли локальных админов, сертифицированная винда должна быть в домене. Также очевидно, что она должна быть в своем домене, обычный не подойдет. Смело записывайте в спеку 3 штуки серверной Windows. 2 под контролеры домена, 1 под WSUS (или как он там щас называется?).

Кстати, именно в WSUS воткнете свой ключ для обновлений.

  1. Но и это еще не все. Т.к. вы поставили серверную составляющую, будьте добры купить лицензии на клиентский доступ. От такой наглости бюджетодержатели вконец охуевают. Да и сами сотрудники СИС и дистиков не всегда в курсе темы, но, судя по всему, лицензии на доступ покупать надо. У меня и письмо где-то было от Microsoft. Главный камень преткновения – сколько комплектов лицензий брать: 1 (на всех) или 3 (по количеству серваков). Тут уже насколько бюджета хватит.
  2. А если совсем денег девать некуда – то можете поставить себе еще NetCheck. Это то же самое, что Check (см. пункт 2), но по сети.

Как получите все добро, можете начинать устанавливать по официальным правилам :) Но это уже другая история.

Понравилось про прайсы? Пишите в комментариях.

У Камина с Алексеем Лукацким: Как раскрутить свой ИБ-блог?

2 комментария

Как вы знаете, я очень люблю интервью. Особенно люблю интервью живые, а не по переписке. В живых интервью нет этой вычурной и сухой подготовленности. И тут, значит, заглянул я к друзьям из Джет Инфо. Да-да, Рустэм, я помню, что маленьких обижать не хорошо. Но какой пиар был. В итоге, не удержался.

Как всегда, читаю вместе с вами.

«БИЗНЕС БЕЗ ОПАСНОСТИ», ИЛИ ЗАЧЕМ СПЕЦИАЛИСТУ ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СВОЙ БЛОГ?

Первый раз когда я прочитал заголовок подумал – «о, сейчас почитаем про каждому эксперту по блогу». Потом, почитав содержание, я пришел к выводу, что заголовок – «зачем Алексею Лукацкому (специалисту) свой блог?» Это тоже интересная тема. Поехали.

Пришлось сразу же похакать статью, т.к. она не копируется с Джет Инфо. Вернее копируется, и даже ссылка на статью автоматом вставляется, но вся разбивка на абзацы херится. :( Надеюсь это баг, а то как-то неудобно.

Алексей ЛукацкийСегодня мы беседуем с Алексеем Лукацким, бизнес-консультантом по безопасности Cisco Systems и автором одного из самых популярных ИБ-блогов в России «Бизнес без опасности».

– Алексей, ни для кого не секрет, что Ваш блог, посвященный теме информационной безопасности, является одним из самых популярных ресурсов на эту тему в России. Почему Вы решили запустить этот проект?

Как говорил Михаил Жванецкий, писАть, как и пИсать надо тогда, когда уже невмоготу. 10 лет назад, когда я начинал вести свой блог, в России это было в новинку и мне хотелось попробовать.

А как связаны слова Жванецкого с последующим повествованием? Мол, 10 лет назад стало невмоготу? Ну, и видимо, речь идет про ИБ-блоги. Так-то блоги уже были обыденностью.

Кроме того, у меня было много разных заметок и зарисовок, которые сложно было уложить в формат статьи, а терять их мне не хотелось. Поэтому блог стал прибежищем таких коротких текстов по ИБ. Кроме того, у меня была идея написать очередную книгу, и блог, как мне казалось, мог стать хорошим способом для хранения и систематизации материала.

Нашел упоминание о 3 книгах, видимо, до новой так и не дошли руки.

Потом я понял, что это не самая лучшая идея – блог очень плохо приспособлен для систематизации материала и последующего поиска в нем. Но к тому моменту бросать начатое было уже поздно.

– Почему Вы изначально выбрали именно формат блога?

А других вариантов просто не было. Их и сейчас нет для человека, который хочет чем-то делиться с окружающим миром.

Ну, я не знаю… Можно, например, что-нибудь реальное сделать. Систему там защитить…

Формат традиционных тематических СМИ не подходит для столь динамичной сферы, как наша.

Сферы, где уже 3 года застой? А за 5 лет из новых систем появились SIEM/SOC и второе рождение WAF?

Журналы раньше выходили один раз в месяц, сейчас и того реже. Поэтому я этот формат отбросил сразу. Газет в нашей области нет, а у еженедельников та же проблема, что и у журналов. Да и редакционная политика многих изданий не всегда позволяет публиковать все, что приходит мне в голову.

Надо понимать – именно по ИБ, т.к. в блоге больше ни о чем не написано.

Подкасты и видеокасты требуют очень большой работы по монтажу, очистке звука и т.п. Я от этого формата отказался почти сразу. Поэтому блог – единственный вариант, который подошел мне для самовыражения.

 

– Кто является Вашей целевой аудиторией? На кого Вы прежде всего ориентируетесь?

Никогда не задавался этим вопросом перед написанием своих материалов.

А на PHD говорилось об обратном…

Первоначально я писал свои заметки «для себя». Потом коллеги стали комментировать, репостить. Я втянулся в процесс, но по-прежнему пишу то, что так или иначе входит в сферу моих интересов (именно моих, а не моего работодателя). Так получается, что это также интересно многим.

В-третьих, те, кто может что-то написать интересное и поделиться своим опытом, предпочитают работать, а не брать в руки перо и радовать читателя (с) Алексей Лукацкий в другом интервью.

Отчасти потому, что мне удается (как говорят читатели блога) простым языком объяснять сложные вещи, систематизировать информацию, фокусировать внимание на важных моментах, например, в законодательстве.

Так блог же не подходит для систематизации… или имеется ввиду систематизация внутри заметки в 4 тысячи знаков?

Поэтому мои читатели – это широкий круг специалистов по ИБ или айтишников и юристов, которые вовлечены в процессы ИБ.

Да, видел я юристов, которые апеллировали к блогу Алексея. Было забавно. О, вспомнил личную историю про этот блог, расскажу в следующий раз.

Под специалистами по ИБ я понимаю не весь спектр людей, вовлеченных в процессы информационной безопасности, а тех, кто больше сталкивается с процессами, нормативной базой, процедурами.

U bestelt Viagra online in alle rust en privacy, snelle levering Viagra kopen in Nederland bezorging aan huis, op kantoor of bij afhaalpunt. Snel geleverd & beveiligde betaling.

Да у нас тут сегрегацией попахивает…

То есть это ближе к CISO и ведущим специалистам по ИБ. Технари не являются моей целевой аудиторией; для них я «пиджак» или «бумажный безопасник». Также меня читают регуляторы – поэтому часть моих заметок (пусть и не явно) адресована им.

– На рынке ИБ существует шутка про молодых специалистов по информационной безопасности, которые учились профессии, читая Ваш блог. Вы чувствуете какую-то ответственность перед своей большой аудиторией? Влияет ли она на контент?

Ну, не такая уж и шутка. При желании их даже почитать можно :)

На мой контент влияю только я и мои интересы. Я никогда не пишу в угоду аудитории или для удовлетворения ее потребностей.

А еще в угоду работодателям и ключевым (для работодателя) регуляторам…

Но ответственность за «тех, кого я приручил» я безусловно (здесь должны были быть запятые?) чувствую. Особенно когда хочу перестать писать с такой же периодичностью, как и раньше. Но я понимаю, что многие специалисты уже привыкли получать актуальные материалы, особенно по законодательству, из блога, и поэтому я продолжаю писать.

Еще бы нести ответственность  за «свое» прочтение нормативки…

Но это окупается тем, что я часто на мероприятиях слышу слова благодарности от людей, которые говорят, что мой блог им сильно помог в свое время и продолжает помогать в текущей работе. Значит, пишу я не зря.

– В профессиональной жизни блог помог Вам? Если «да», как именно?

Во-первых, блог учит выражать свои мысли «на бумаге», позволяет оттачивать язык, что полезно само по себе, а также помогает при выступлениях и написании тех или иных материалов. Во-вторых, публикации в блоге дают определенную известность; сначала в среде специалистов, потом тебя индексирует Google, и тебя узнает большее количество людей. Тебя начинают приглашать на различные мероприятия для выступлений, что нередко позволяет экономить маркетинговые бюджеты Cisco J.

Мне кажется, или тут прямым текстом сказано, что цель блога — сделать экспертом для участия в мероприятиях, где можно делать продукт плейсмент работодателя?

В-третьих, именно блог стал моим «трамплином» при общении с регуляторами, при включении меня в различные рабочие группы и экспертные советы.

Видимо, не кажется…

Видимо, их организаторы посчитали, что я достаточно квалифицирован, чтобы заниматься не только графоманством и публичной критикой,

Хинт от гуру: хочешь раскрутить блог – критикуй.

но и приносить пользу, участвовать в разработке и экспертизе нормативной базы. Некоторые из моих коллег, насколько я знаю, используют блог как бесплатный пропуск на мероприятия по ИБ – этакое удостоверение журналиста. Есть и ряд других «бенефитов», которые дает мне блог, но пусть они останутся моим секретом.

Наливают? Алексею не наливают. Помогают продавать? Алексей не продает… Мб лоббировать интересы работодателя?

– Зачем вообще специалистам по безопасности вести блог?

Зачем крупные компании занимаются благотворительностью?

Чтобы проиариться. Делают они это максимально публично и открыто, чтобы на фоне выгодоприобретателей большое такое лого благотворителя было. Бескорыстно делают,тихо.

Им хочется делиться с менее обеспеченными организациями и людьми своим «богатством».

Ох, Ричард Докинз, наверное,  сделал бы facepalm.

Попутно они получают и некую PR-составляющую, но это не всегда. Так и специалисту по ИБ, который достиг определенного уровня квалификации и опыта, иногда хочется делиться своим положительным, а иногда и отрицательным опытом с другими людьми.

21 октября 2016 года у Алексея было другое мнение… см. ссылку на интервью выше.

Начинается все с кулуаров на мероприятиях, потом следуют выступления на конференциях, потом аудитория расширяется на сотни, а то и тысячи человек. Это одна из причин. Есть и другие – я их описал, отвечая на вопрос о том, чем помогает блог в профессиональной жизни.

Еще блог помогает выбить себе место потеплее и зарплату побольше. На рынке есть примеры, когда основным достижением людей были блоги-выступления.

– Если у Вас дальнейшие планы по развитию блога? Может быть, Вам интересно было бы попробовать какие-то новые форматы?

Я много лет порываюсь создать собственный сайт, чтобы вести на нем ряд проектов, которые у меня законсервированы и просто ждут своего часа. Но меня останавливает одно – безопасность сайта.

С одной стороны – дельные слова для безопасника.

Сейчас, на площадке Google, я могу быть уверен в том, что вероятность взлома блога близка к минимальной – все работы берет на себя Google. В случае со своим сайтом я получаю больше гибкости, но и больше головной боли.

С другой – какое-то зарывание головы в песок от злых хакеров…

Προσφέρουμε χάπια ισχύος χωρίς ιατρική συνταγή, καθώς και τη διατήρηση της ιδιωτικής ζωής κάθε πελάτ Cialis τιμή. Cialis Professional 20 mg τιμή στο φαρμακείο στην Ελλάδα.

Мне придется думать о непрерывном улучшении сайта, его стабильности, пропускной способности, безопасности. А у меня времени не хватает, чтобы вести просто блог. Если бы я зарабатывал на этом проекте, то может я и сделал бы этот шаг «в пропасть». Пока же меня устраивает текущий вариант. Планы по его развитию я не форсирую, хотя идей полно…

Ждем-с.

– Алексей, какой бы Вы дали совет молодому специалисты, который бы хотел начать вести свой блог и развиваться в этом направлении? С чего ему начать?

En México créditos rápidos sin papeles a la Tasa más baja con la garantía de los documentos de auto. Simple, rápido y flexible. Las plataformas en línea son el mecanismo más rápido para pedir un préstamo créditos rápidos en línea. Hasta 1.400€. Sin nóminas. Sin avales.

Советов я могу дать два и оба они касаются абсолютно любого дела. Первый совет – начать. Второй совет – не бросать. Все остальное вторично. Разумеется, за кадром остается еще много разных вопросов, от которых зависит успех блога. Например, целеполагание, наличие практического опыта или умения систематизировать информацию. Неплохо русским языком владеть на хорошем уровне, чтобы читать заметки было интересно не только с точки зрения содержания. И еще один совет – блог не должен быть самоцелью и вестись ради собственного PR, как это иногда бывает.

… вестись ради собственного PR, как это делаю я.

Как вам? Я лично прочитал с удовольствием. Учитесь у мастера. А в следующий раз поговорим про раскрутку блога.

Всех целую.

Лебединая песня

Добавить комментарий

Не прошло и полугода, а на дворе второй сезон «Кибербаталий». Разумеется, это мероприятие нельзя пропустить, поэтому завтра обязательно уделите час своего времени.

А мы начинаем серию поддерживающих материалов для этого сезона. И для затравочки у нас будут биться Алексей Лукацкий с Рустэмом Хайретдиновым. Это будет показательная битва, т.к. оба участника обладают огромным гандикапом перед любым другим участником и соберут голоса, даже если будут петь песенку про маму (это, которая из к/ф «Кин-дза-дза!»).

В этот раз тема – Черные Лебеди в ИБ. Надо сказать, что выбор тем — самое слабое место всего проекта. Для битвы нужна полярность мнений. А ее зачастую нет. Например, в гипотетической теме – «Госрегулирование ИБ – благо или смерть?». Думаю, мало найдет вендоров или интеграторов, которые бы сказали что-нибудь плохое, т.к. на том и стоят.

Когда я участвовал, мне приходилось иногда отстаивать не свою точку зрения, чтобы получилось шоу. Думаю, никто бы не захотел слушать – «я согласен», «аналогично». Короче, с темами бывают проблемы.

И тут, значит, будут говорить про Черных Лебедей. Надо сказать, что тема крайне странная. По идее, ЧЛ должны рассматриваться в контексте работы безопасника, а не какие-нибудь абстрактные, например, СССР развалился. Хотя и к таким обычный безопасник должен быть готов. Если для безопасника является неожиданностью, что упадет метеорит (крайне маловероятное событие), то такой безопасник должен идти охранять проходную.

Все исходит из простого следствия Талеба – Черный Лебедь тогда проявляет сою лебяжью сущность, когда мы:

  • Не предполагаем его наличия;
  • Не готовы к последствиям.

Понятно, что у нас нет таких бюджетов, чтобы быть готовыми ко всему. Но просчет различных сценариев — это плоть от плоти безопасности (даже бумажной). В мире много организаций, имеющих планы на любой случай, и они почти не подвержены черным лебедям (или не так сильно, как неинформированные люди).

Например, вы используете оборудование западного вендора. Логично предположить, что в нем могут быть закладки. Это первая же мысль, которая посетит вас, как только вы поставите эту железку на более или менее значимую задачу. И, когда все вскроется, вы не будете удивлены. А, может быть, и какие корректирующие меры сделаете, кто знает?

Но перейдем к темам:

Вопросы:
— бесполезно прогнозировать что будет следующим событием, обладающим свойствами «Черного лебедя». Иначе оно растеряет свои свойства. Но как, с точки зрения ИБ, можно понять, что событие принимает масштаб «Черного лебедя»?

Вся наша поибэ регулярно прогнозирует, что будет. «К вам придет проверка». «На вас наложат штраф».

— точно также, как и с прогнозами, бесполезно обновлять компетенции для противодействия событиям «Черного лебедя». Они всегда будут не актуальны. Но как можно обновлять компетенции с колес, чтобы практику противодействия масштабным потрясениям профессиональное сообщество могло вырабатывать в онлайн условиях? Что этому мешает?

Ну, обновление компетенций — вещь такая. Сам Талеб больше склонен рассматривать лебедей, как стечение известных факторов в неожиданном сочетании, чем рояль в кустах (ну, там, инопланетяне прилетят). Вроде для этого не нужна перестройка с колес. Вон, все заболели аджайлом и выздоровели, уже никто и не помнит.

Получается, в контексте ИБ – какие бы новые уязвимости не появлялись, все это в итоге сведется к КЦД. И какая разница, почему вас затопило – потому что крыша прохудилась (среднестан) или что труба системы пожаротушения бракованная (крайнестан)?

— Талеб описывает несколько типов заблуждений, приводящих к излишней уверенности в собственной способности анализировать будущее:
1. Нарративные — склонность больше верить в эмоционально преподнесённые истории, чем в сухую статистику,
2. Игровые — применение теории игр к реальной жизни
3. Ретроспективные — вера в успешное предсказание будущих событий на основании анализа произошедших.
Как выглядит проявление перечисленных заблуждений в профессиональной ИБ-среде (на стоне регуляторов, клиентов, поставщиков ИБ-решений и пр) Как выглядят специфичные отраслевые заблуждения в профессиональном ИБ-сообществе, которых Талеб не упомянул?

Что можно верить экспертам.

— рынок ИБ в заметной степени мотивируют регуляторы. Вера в них чрезвычайно сильна в профессиональном сообществе. Как вы оцениваете способность регулятора оказать помощь профессиональному сообществу в случае наступления событий Черных лебедей? Как должна выглядеть роль регулятора? Как должны выглядеть, реальные, а не завышенные ожидания от инициатив регуляторов в кризисных условиях?

Помощь регулятора – 100%. Именно благодаря им у нас и развилась информационная безопасность в текущем виде.

— как отреагирует средняя служба ИБ на подобные события в комфортных офисно-корпоративных условиях? И как вам хотелось бы, чтобы выглядели герои от ИБ, способные взять ситуацию под контроль и начать управлять новыми рисками? И что этому может помешать?

Новых рисков не появляется. Пока живем в парадигме конфиденциальность-целостность-доступность.

Так что будем посмотреть. Приходите все завтра.

UPD: С точки зрения обсуждения черных лебедей – мероприятие провалилось. Участники и ведущий либо не дочитали, либо не поняли Талеба. Грустно.

Что в имени тебе моем?

3 комментария

Когда-то я был молодым. Хотя и сейчас не старый, но тогда был совсем молодым. В тот момент все мои мысли занимала карьера, а главным ее мерилом воспринималась занимая должность. Это сейчас понятно, что меряется все несколько иначе. Но тогда должность была на первом плане.

Рос я от специалиста до ведущего специалиста, и случилось мне возглавить отдел. У меня и подчиненные были – 4 студента. А т.к. компания была маленькая, вписали мне в трудовую аж целого Начальника кордебалета отдела. Для публики меня называли Руководителем направления аудита. Ох. Я, кстати, никогда не понимал всех этих Руководителей направлений. Это навигатор что ли заменяешь? Через 3000 км поверните направо? Маразматичней этого я видел лишь заместителей директора по развитию. Вот уж где мог скрываться кто угодно — от заместителя до подносчика кофе.

И, значит, пошел я после такого офигенного карьерного поворота устраиваться в компанию АйТи. А там все начальники заняты, есть ведущие специалисты. Но я ж, блин, целый руководитель. Не, мне нельзя так просто в специалисты. Это сейчас я дегустатор, а тогда было принципиально важно, чтобы в должности висело – руководитель. В итоге вписали меня как руководителя проектов. По сути, я этим самым и занимался, но потом должность сменили: Ведущий инженер поддержки продаж Отдела информационной безопасности Департамента инфраструктурных решений.

Это, кстати, две другие крайности. Первая: чем непонятней должность – тем больше вопросов. Я два раза попробовал объяснить, кто такой инженер поддержки продаж. После чего 5 лет писал везде руководитель проектов и не выебывался. РП все понятен. Как и инженер, аналитик, начальник. Поддержка продаж – нет.

Вторая крайность: чем длиннее и/или мудренее название – тем, по факту, меньше человек решает. Вы видели когда-нибудь младших партнеров, которые привозили заявки на конкурс? Я видел.

Поэтому я всегда с почтение отношусь к таким же «рыбакам». Ну, молодец же человек – старается. Вы думаете, это удел лишь таких нищих духом и меркантильных людей, как я? Нет, это всеобщая блажь.

Давайте рассмотрим примеры. Я взял двух самых активных личностей на нашей поибэ в данный момент. Конечно, меня, как всегда, можно обвинить в том, что я кого-то там опускаю и пиарюсь за чужой счет. Но смотрите сами, это открытая информация, предоставленная самими участниками. И, думаю, я не первый, кто задавался подобными вопросами.

Мерить будем корреляцию между участниками и мной, когда я мутил с должностями.

Алексей Лукацкий

Алексей ЛукацкийСам себя Алексей позиционирует как бизнес-консультант по безопасности. Если посмотреть на сайте Cisco, то встречается еще Business Development. В общем, все очень запутанно. Разберемся с бизнес-консультантом. Что это такое? Кого консультирует Алексей?

Более или менее устоявшееся определение гласит:

Бизнес-консультант – это специалист, оказывающий консультационные услуги другим фирмам, предприятиям, организациям по широкому кругу вопросов. Может действовать как индивидуально, так и в штате специальных (консалтинговых) фирм.

Т.е. консультант – это сотрудник внешней фирмы, которого приглашают решить конкретную проблему. Или же Алексей дает советы Cisco? Как строить информационную безопасность? Крайне сомневаюсь. Вся деятельность Алексея лежит в чем угодно – лоббирование нужных законов, пиар, представительские функции – но, крайне маловероятно, что она заключается в развитии ИБ в Cisco.

Мб Алексей консультирует сторонние организации? Не высказывает отсебятину в кулуарах, а по-взрослому – под договор и за деньги? Возможно. Огласке это не предают.

Business Development (ака развитие бизнеса) – примерно в ту же степь. Тут хотя бы с натяжкой можно сказать, что Алексей защищает интересы работодателя от совсем уж драконовских мер. Хотя развитие бизнеса – это скорее захват рынков, создание новых продуктов или продажи.

Можно предположить, что должность Алексей писал себе сам. Бизнес-консультант звучит гордо, я бы тоже себе на визитку поставил, если бы поумней был.

Корреляция – 100%.

Андрей Прозоров

Андрей ПрозоровНа сайте Solar Security Андрей представлен как Руководитель экспертного направления. Опять же, что такое руководитель направления? Я крайне несведущ в иерархии Солара, но даже мне понятно, что если есть Директор департамента JSOC и Руководитель направления JSOC, то один подчиненный другого. Крайне интересно узнать, зачем городить огород со всеми этими руководителями направлений? Но это дело десятое.

Департамента экспертного направления нет, следовательно, здесь Андрей самый главный. Но что такое экспертное направление? Или это по принципу: эксперт – человек не из нашего города? Зная опыт и заслуги Андрея, можно предположить, что он возглавляет экспертное направление по продвижению продукции Солар.

Насколько нам доносит компания Солар, подчиненных у Андрея нет. Следовательно, крайне вероятно, что это просто красивое название при переходе из Infowatch. И денег немного плюс должность, я также делал.

Совпадение – 100%.

Как видно, умные люди, думают одинаково.

Всего вам доброго.