Архив метки: Алексей Лукацкий

Cisco головного мозга

Здравствуйте, здравствуйте мои ненаглядные. Как же я по вам скучал. Скучал все 3000 километров по нашим бескрайним просторам. Но скучал я не один.

Разумеется, одним глазом наблюдал, что твориться в нашей поибэ, а твориться там форменная чертовщина. Какой-то месяц безудержного пиара.

В начале, Solar Security под заголовком «как правильно оформить внедрение системы для защиты от утечек» разослал всем статью о документах, при внедрении DLP. Но забыл упомянуть 137 и 138 статьи УК, под которой ходит каждый информационный безопасник. Сразу стало понятно, что статью писал теоретик.  И цель понятна. Цель статьи – «смотрите, с помощью нашей DLP вы всех посадите и получите много палок!!1111». Пока же, с такими статьями посадят самих пользователей DLP Solar Dozor.

И, конечно, интересно узнать в соответствии, с какими статьями ТК РФ необходимо внедрять именно DLP.

Потом бомбануло у Ильи Шабанова потому, что не все признают гениальность последнего отчета на его сайте о SIEM. Материал, такое ощущение, представляет собой компиляцию пресс-релизов компаний вендоров, приправленных  словами «SIEM – очень нужная вещь». Я понимаю, что каждый зарабатывает, как может. Сиди спокойно, ваяй тяп-ляпки, пили денюжку. Так ведь и доходы упадут. Кстати, что косяки на сайте поправили – молодцы, там еще столько же осталось.

Алексей ЛукацкийФинальным аккордом стал уход Алексея Лукацкого из темы защиты персональных данных. Вот, что он пишет:

Мало кто уже помнит (а некоторые и вовсе этого не застали), но тема персданных «взлетела» благодаря ФСТЭК России, которая в 2008-м году выпустила свои документы по защите персональных данных. Это было пресловутое «четверокнижие», которое стало драйвером рынка ИБ на тот момент.

Ну, никаким драйвером оно тогда не стало. И не было вплоть до 2011 года. Но разгон взяли.

Сам закон был принят двумя годами ранее, в 2006-м, но это событие прошло незамеченным для большинства специалистов по ИБ. По крайней мере лично я про этот закон особо ничего и не знал до того момента, пока ФСТЭК не выпустила свои одиозные требования. Именно тогда, 9 лет назад я погрузился в эту тему и она продолжает висеть веригами на мне.

Пафос, это хорошо.

Когда я только услышал про четверокнижие ФСТЭК я возрадовался, посчитав, что оно станет замечательным подспорьем в продаже решений Cisco по информационной безопасности.

Что лишний раз доказывает слова о том, что вся деятельность Алексея направлена на лоббирование интересов работодателя.

Но прочтя эти документы, мой оптимизм поугас. Я попробовал натянуть эти документы на нашу собственную информационную систему и понял, что это невозможно.

Очень странно. До 2014 года достаточно было оргмер. Вот, одна из первых статей Алексея о ЗПД. Как все хорошо на западе, как все плохо у нас. Но, например, в том же четверокнижии было и про шум, и стеганография. Я сам проходил проверку, применив стеганографию. Либо Алексей документы не читал, либо целенаправленно хаял.

Даже такая повернутая на compliance компания как наша, не смогла бы выполнить все эти безумные требования. Именно тогда я занялся тем, что стал разбираться в законодательстве, активно и публично его критикуя,

И продвигая удобные для себя положения. Хорошо, что не срослось.

предлагая различные обходные маневры для потребителей.

Тем самым подставляя их по полной. Ведь невозможно учесть потребности потребителя, когда речь идет о впаривании железок на миллионы долларов.

И именно эта тема увела этот блог в совершенно ином направлении. Ведь изначально я хотел писать в блоге про бизнес, метрики, измерения и т.п. темы.

Уж, лучше про законодательство. Про бизнес, на примере BYOD, было бы хуже.

Но увы… законодательство захватило пальму первенства и продолжает ее удерживать, приведя к тому, что за мной прочно укрепилась слава «бумажного безопасника» :-)

Звание теоретика (а не бумажного безопасника) за Алексеем закрепилось, когда он вместо безопасности занялся своим пиаром, продвигая свои фантазии, как истину в последней инстанции. И они постоянно не сходились по фактам. Например, Алексей в свое время любил кичиться тем, что начал заниматься безопасностью в 91 году. Хотя и он, и я, знаем, что сделать он в это время не мог. Но звучит-то красиво. Занимаюсь ИБ с развала – Союза! И не жалеет об этом.

http://www.pircenter.org/news/6697-alexey-lukatsky-for-open-collar-project

Миф – построенный на лжи.

 

Спустя год я был вовлечен в процесс изменения федерального закона «О персональных данных» и тогда я впервые столкнулся с Роскомнадзором, который тогда назывался Россвязьохранкультуры, а позже был переименован в Россвязькомнадзор.

Силком наверно затащили.

За эти 9 лет было сделано немало — участие в разработке поправок к ФЗ-152 и КоАП, участие в разработке различных приказов и разъяснений РКН, Постановлений Правительства, приказов ФСТЭК и ФСБ.

Участник рабочих групп, автор 300+ статей. Вот, в чем проблема всех подобных персонажей, мнимые достижения, выдаются за реальные. Ну, протер штаны на хороших стульях, а дальше что?

Что-то удавалось сделать, что-то нет. Но всегда я понимал логику регуляторов и мог как-то подстроиться под нее, предложив какие-то формулировки, которые устраивали бы большинство участников процесса. Но в 2014-м году все поменялось :-(

Судя, по обилию проблем в терминологии – не удалось сделать ничего.

Сначала из РКН в Россвязь ушел г-н Шередин. Он был не простым чиновником, но даже несмотря на это, нам удавалось найти точки соприкосновения и контакт с ним у меня был.

Ушел, друг, через которого можно было успешно лоббировать?

С уходом Шередина ситуация стала ухудшаться,

Чем-то это напоминает ситуацию с Эриком Давидычем, если вы понимаете, о чем я.

а действия регулятора перестали подчиняться логике и здравому смыслу. Последние 3 года стало только хуже.

В чем? Стали требовать сертифицировать Cisco? Так там и так дырка на дырке, как говорят.

Минкомсвязь (а именно они у нас определяют госполитику в области ПДн) самоустранилось от решения вопросов в данной сфере. РКН же окончательно превратился в карательный орган.

А каким должен быть регулятор? Пальчиком грозить? Так грозили уже, с 2008.

Чего только стоит исключение из названия своей основной функции — защиты прав субъектов ПДн, слов «прав субъектов». Обратите внимание, РКН во всех документах, выступлениях, отчетах, презентациях стал писать «защита ПДн», что лишний раз подтверждает простую мысль — на права субъектов регулятору давно наплевать.

Если Алексей так любит точность формулировок, то что же за 9 лет, не привел их в надлежащий вид, на многочисленных рабочих группах?

Закон о ПДн превратился в инструмент давления на российские и зарубежные компании.

На любимом Лукацким Западе, с законами все еще строже. И Cisco там так просто не отделалась бы не выполнив какой-нибудь закон, как у нас.

Донести до регулятора свою позицию невозможно.

Смотря, что за позиция.

Прислушиваться к экспертам регулятор не хочет.

Это к Алексею Лукацкому?

Мнение регулятора меняется постоянно и понять, на чем оно базируется и почему оно опять поменялось, стало невозможно.

Т.е. Алексей не успевает за веяниями времени? Уж более статичной нормативки, чем в ЗПД – не найдешь.

Эксперты, которые там раньше работали и с которыми у меня было неплохое рабочее взаимодействие, превратились в настоящих чиновников, преданно смотрящих в глаза начальству и игнорирующих простых смертных :-(

Друзей не осталось, план теперь не выполнить.

Последнее время я стал все меньше и меньше писать про персональные данные. Еще реже стал консультировать по этим вопросам

Что мне в экспертах всегда нравилось, так это желание консультировать, не неся за это ответственности. Помню, Алексей еще пиарил свою контору по продаже документов по ИБ.

(преклоняюсь перед Михаилом Юрьевичем, который ведет неравный бой с РКН). Но сегодня, в начало нового учебного года, я решил, что надо и вовсе закрывать для себя эту тему. Работа по ней стала абсолютно непредсказуемой и бессмысленной. Поэтому

Персональные данные, прощайте!

Здравствуй, КИИ!

 

Что ж, отдадим должное целой эпохе. Эпохе из 90-х, когда по старой привычке, западные друзья хотели нами всеми тут поруководить за наш счет.  Одним из проводников данных идей – был Алексей Лукацкий. Благодаря, стечению обстоятельств и определенному заказу Алексей получил определенную известность, и сразу стал выполнять заказ. Я просто не могу по другому объяснить все эти скандалы и упертость по отношению к Cisco с его стороны. А уж, как Алексей пропихнул через своих знакомых в самые крупные сети банкоматов цисковские устройства – история отдельная.

Но не фортануло. За исключение отдельных всплесков. Зато теперь можно перенести внимание на КИИ, да, рынок пожиже, зато методики отработаны.

Не чокаясь.

Всего вам доброго.

TOP причин, почему не работают организационные меры. Первое место

Вот, и добрались мы до первого места. Шли мы через тернии оценок, доброты и национальных особенностей. Да, все это мешает организационным мерам, но осталась одна – последняя причина. Она же альфа и омега всех остальных.

И эта причина – Ты.

Да-да, мой дорогой читатель. Организационные меры не работают в первую очередь из-за тебя и меня, из-за начальника и директора, всех тех, кто эти меры реализует.

Это принимает разнообразные грани. Например, если очень надо, вас пропустят на режимный объект в присутствии начальника охраны, потому что обычным порядком это заняло бы пару дней, а надо срочно. Или же проблема VIP-пользователей, которую постоянно решают безопасники с ИТ-шниками.

Только не подумайте, что это что-нибудь плохое. Есть вещи и похуже, например, «общество нацеленных на успех» Алексея Лукацкого. Это данность, и ее просто надо принимать в расчет.

 

Главное направление выхода, видеться в отражении последствий за несоблюдение тех или иных оргмер. Только не в виде штрафов, выговоров или угрозы увольнения. А в ущербе для организации вообще и потенциального нарушителя в частности. Если последняя секретарша, будет знать, что запуская неизвестные файлы, она может парализовать работу компании, она скорее всего не будет этого делать. Но, это нас приводит к другому коану – вы захотите, что бы последняя секретарша знала, как парализовать ваш работу? ;)

Всего вам доброго.

Еще не совсем Ж, но близко. PHD, CISO-форум и другие

Отгремели две шумные майские конференции – PHD и CISO-forum. На одной я был, на другой – почти. На одной все плохо, на другой хорошо.

Начнем с CISO –forum. Понятно, что бедному дегустатору ни за что не потянуть билет на такое VIP-мероприятие, как CISO. Меня да ж не взяли, как СМИ – ящик организаторов тупо не отвечает. Но, я заслал туда разведчика. Конечно, он нифига не платил – мы нашли лазейку, даже бейджик не брал. И…

Ничего за год не изменилось. Ровным счетом ничего (да ж еда осталась та же). Т.е. мероприятие создано тупо для обогащения организаторов. Спонсоры заплатили, участники заплатили (хотя бы 1/3, т.к. спонсоры нагнали туда своих клиентов) – снял зал за пакет генерального спонсора, … , PROFIT.

Доклады делятся на 3 типа:

  • От завсегдатаев (одна и та же балалайка под разными соусами);
  • Новичков (могут рассказать что-нибудь интересное, примерно, каждый десятый);
  • Вендоров (либо реклама, либо скрытая реклама).

Ходить на CISO, лучше 1 раз в три года. Если чаще, будете слушать на 2/3 пересказ прошлого года.

Переходим к PHD. Скажу честно, идти туда не хотел (см. про бедных дегустаторов). Но Позитивы взвалили на себя бремя поддержки пищевой безопасности, и разрешили немного поесть. А т.к. я человек совестливый, и халяву не люблю, решил отплатить. Кстати, за два дня, так и не удалось поесть, очень уж еда была запрятана, да и дела образовались.

Завтрак прессы

Не беря ZeroNights (нельзя сравнивать то, что не видел), на который я вряд ли когда-нибудь пойду, т.к. сплю в это время, PHD – лучшая конференция. Разумеется, в силу своей тупизны, мимо меня прошли все технические доклады. На какие-то я не успел, но засмотрел трансляции, а большинство были от меня крайне далеки.

Я разумеется, пошел на всякую говорильню. Помните, я после Инфосека писал про змей в банке? Ну, так многие уже об этом заговорили. Например, Рустэм провел мне ликбез о разнице между топ-безопасниками и «селебрити, завсегдатаи конференций». Спасибо, Рустэм. Остальное в фбешечке читайте.

Были там и мои старые знакомые из R-Vision. Парни двигаются в сторону молодежи и осваивают мемы (пока, баянистые): «что ты мне втираешь какую-то дичь?».

Встретился с инсайдерами, обменялись новостями. Ух. Узнал, кстати, за сколько продается R-Vision, не дотягивает часто и до 5 мегарублей. Печально.

Основная пленарка, прошла тезисно по плану статьи про Ж (ждите продолжения). Проблемы ИБ:

  • иб под прикладным по
  • безалаберность
  • отсутствие практической составляющей
  • тормознутость вендоров и безопасников, на уязвимости открытые вайтхат
  • отсутствие планов реагирования (Лебедь)
  • нет повальной идентификации в интернете (Калина)
  • нужно отгораживаться «метром воздуха» и строить закрытые контура (Калина)
  • отсутствие центров компетенций поибэ
  • сложно обосновать наличие безопасников (РТК)
  • технические средства не работают, только люди, которые и на опенсорсе все сделают (РТК)
  • не знаем свой внешний периметр (Симис)

 

В первый день еще успел побывать на выступлении Юлии Омельяненко из Acronis с докладом «Выдержит ли ваш бизнес натиск ransomware?» (кстати, что это такое – вроде и не сказали). В результате доклада, мы узнали, что Юля занимается темой «3 года, когда это не было еще мейнстримом» и послушали пересказ исошной методички про непрерывность бизнеса и экстренного восстановления. Ну, послушали и послушали.

После конференции меня атаковала Юля со своей подругой Моной Архиповой (Mona Sax), под соусом, что они такого не говорили, а  все неправильно услышал. В начале, я подумал, что Acronis просто решил зацепить ибешников по своей основной специализации (восстановление данных, все дела).

 

Тайминги с подтверждением:
  1. Про уникальный опыт в 3 года, когда еще это не было мейнстримом.

Тайминг с 1:09:06

Побочное замечание — 3 года назад (в 2014), GRC было еще ах каким мейнстримом. R-Vision не даст соврать.

  1. Про непрерывность с 1:15:13
  2. Про непрерывность бизнеса рискует от ИБ и бедствий с 1:16:05
  3. Считай стоимость восстановления с 1:18:10
  4. развито в банках 1:18:28
  5. Про старые методички с 1:11:00

Да же слова оттуда — «заручиться поддержкой топ-менеджеров», так в самом начале переводили исошные документы.

 

Но Рустэм открыл мне глаза:

Оказывается Acronis такими посылами, пытается влезть на рынок «лоу баджет секьюрити» (а при возможности наверно и хай баджет). Теперь понятна агрессия Юли с Моной, как же перед начальством отчитываться, когда такая лажа? Хамство не красит такую уважаемую компанию, как Acronis.

Кстати, о лаже (незаметно перетекаем во второй день). Заценил срывающее покровы выступление Алексея Лукацкого «Не бойтесь лажать, или Negative Security». Из которого мы узнали:

  • Пользователям Maс сложно пользоваться непонятными компьютерами;
  • Алексей совсем не бомбит, что его называют теоретиком. Он двигается в сторону практики, но ЗПД в Cisco не взлетело (или взлетело, но не так) (я-то грешным делом думал, что теория – это бумажки, а практика – ручками эксплоиты писать/патчи ставить);Алексей Лукацкий
  • Наше общество ориентировано на успех, и не говорит о своих ошибках (комментаторы сошлись во мнении, что под нашим обществом Алексей понимает – западное);
  • Мало примеров, когда люди и компании признают ошибки (видимо, Cisco не из их числа);
  • Схватил 1 троян за все время;
  • Алексей не хочет выглядеть неприятно (но ведь репутации в России нет!!!!11111);
  • Не открывает свой сайт, т.к. все равно взломают, а репутация пострадает.

А вообще, анти-пленарка очень понравилась. Особенно философские рассуждения Ивана Новикова (могу ошибиться), с двумя основными посылами:

  • Вся наша деятельность сейчас (в городах уж точно), что бы в нужном месте экрана были нужные пиксели (например, отражение счета в банке);
  • Компьютеры размножаются быстрее людей.

Так и кто на кого работает? :)

 

В заключение хочу сказать о благости посетившей меня. Я обрел нового кумира Алексея Качалина, т.к. ему не страшно рассказать, что у него на уме. Будьте, как Алексей. И ходите на PHD.

Пока.

У Камина с Алексеем Лукацким: Как раскрутить свой ИБ-блог?

Как вы знаете, я очень люблю интервью. Особенно люблю интервью живые, а не по переписке. В живых интервью нет этой вычурной и сухой подготовленности. И тут значит, заглянул я к друзьям из Джет Инфо. Да-да, Рустэм, я помню, что маленьких обижать не хорошо. Но какой пиар был. В общем, не удержался.

Как всегда, читаю вместе с вами.

«БИЗНЕС БЕЗ ОПАСНОСТИ», ИЛИ ЗАЧЕМ СПЕЦИАЛИСТУ ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СВОЙ БЛОГ?

Первый раз, когда я прочитал заголовок, подумал – «о, сейчас почитаем про каждому эксперту по блогу». Потом почитав содержание, я пришел к выводу, что заголовок – «зачем Алексею Лукацкому (специалисту) свой блог?» Это так же интересная тема. Поехали.

Пришлось сразу же похакать статью, т.к. она не копируется с Джет Инфо. Вернее копируется, и да же ссылка на статью автоматом вставляется, но вся разбивка на абзацы херится. :( Надеюсь это баг, а то как-то даже неудобно.

Алексей ЛукацкийСегодня мы беседуем с Алексеем Лукацким, бизнес-консультантом по безопасности Cisco Systems и автором одного из самых популярных ИБ-блогов в России «Бизнес без опасности».

– Алексей, ни для кого не секрет, что Ваш блог, посвященный теме информационной безопасности, является одним из самых популярных ресурсов на эту тему в России. Почему Вы решили запустить этот проект?

Как говорил Михаил Жванецкий, писАть, как и пИсать надо тогда, когда уже невмоготу. 10 лет назад, когда я начинал вести свой блог, в России это было в новинку и мне хотелось попробовать.

А как связаны слова Жванецкого с последующим повествованием? Мол, 10 лет назад стало невмоготу? Ну, и видимо, речь идет про ИБ-блоги. Так-то блоги уже были обыденностью.

Кроме того, у меня было много разных заметок и зарисовок, которые сложно было уложить в формат статьи, а терять их мне не хотелось. Поэтому блог стал прибежищем таких коротких текстов по ИБ. Кроме того, у меня была идея написать очередную книгу, и блог, как мне казалось, мог стать хорошим способом для хранения и систематизации материала.

Нашел упоминание о 3 книгах, видимо, до новой так и не дошли руки.

Потом я понял, что это не самая лучшая идея – блог очень плохо приспособлен для систематизации материала и последующего поиска в нем. Но к тому моменту бросать начатое было уже поздно.

 

– Почему Вы изначально выбрали именно формат блога?

А других вариантов просто не было. Их и сейчас нет для человека, который хочет чем-то делиться с окружающим миром.

Ну, я не знаю… Можно, например, что-нибудь реальное сделать. Систему там защитить…

Формат традиционных тематических СМИ не подходит для столь динамичной сферы, как наша.

Сферы, где уже 3 года застой? А за 5 лет из новых систем появились SIEM/SOC и второе рождение WAF?

Журналы раньше выходили один раз в месяц, сейчас и того реже. Поэтому я этот формат отбросил сразу. Газет в нашей области нет, а у еженедельников та же проблема, что и у журналов. Да и редакционная политика многих изданий не всегда позволяет публиковать все, что приходит мне в голову.

Надо понимать – именно по ИБ. Т.к. в блоге больше ни о чем не написано.

Подкасты и видеокасты требуют очень большой работы по монтажу, очистке звука и т.п. Я от этого формата отказался почти сразу. Поэтому блог – единственный вариант, который подошел мне для самовыражения.

 

– Кто является Вашей целевой аудиторией? На кого Вы прежде всего ориентируетесь?

Никогда не задавался этим вопросом перед написанием своих материалов.

А на PHD, говорилось об обратном…

Первоначально я писал свои заметки «для себя». Потом коллеги стали комментировать, репостить. Я втянулся в процесс, но по-прежнему пишу то, что так или иначе входит в сферу моих интересов (именно моих, а не моего работодателя). Так получается, что это также интересно многим.

В-третьих, те, кто может что-то написать интересное и поделиться своим опытом, предпочитают работать, а не брать в руки перо и радовать читателя (с) Алексей Лукацкий в другом интервью.

Отчасти потому, что мне удается (как говорят читатели блога) простым языком объяснять сложные вещи, систематизировать информацию, фокусировать внимание на важных моментах, например, в законодательстве.

Так блог же не подходит для систематизации… или имеется ввиду систематизация внутри заметки в 4 тысячи знаков?

Поэтому мои читатели – это широкий круг специалистов по ИБ или айтишников и юристов, которые вовлечены в процессы ИБ.

Да, видел, я юристов, которые апеллировали к блогу Алексея. Было забавно. О, вспомнил личную историю про этот блог, расскажу в следующий раз.

Под специалистами по ИБ я понимаю не весь спектр людей, вовлеченных в процессы информационной безопасности, а тех, кто больше сталкивается с процессами, нормативной базой, процедурами.

Да, у нас тут сегрегацией попахивает…

То есть это ближе к CISO и ведущим специалистам по ИБ. Технари не являются моей целевой аудиторией; для них я «пиджак» или «бумажный безопасник». Также меня читают регуляторы – поэтому часть моих заметок (пусть и не явно) адресована им.

 

– На рынке ИБ существует шутка про молодых специалистов по информационной безопасности, которые учились профессии, читая Ваш блог. Вы чувствуете какую-то ответственность перед своей большой аудиторией? Влияет ли она на контент?

Ну, не такая уж и шутка. При желании их даже почитать можно :)

На мой контент влияю только я и мои интересы. Я никогда не пишу в угоду аудитории или для удовлетворения ее потребностей.

А еще в угоду работодателям, и ключевым (для работодателя) регуляторам…

Но ответственность за «тех, кого я приручил» я безусловно (здесь должны были быть запятые?) чувствую. Особенно когда хочу перестать писать с такой же периодичностью, как и раньше. Но я понимаю, что многие специалисты уже привыкли получать актуальные материалы, особенно по законодательству, из блога, и поэтому я продолжаю писать.

Еще бы нести ответственность за свои за «свое» прочтение нормативки…

Но это окупается тем, что я часто на мероприятиях слышу слова благодарности от людей, которые говорят, что мой блог им сильно помог в свое время и продолжает помогать в текущей работе. Значит, пишу я не зря.

– В профессиональной жизни блог помог Вам? Если «да», как именно?

Во-первых, блог учит выражать свои мысли «на бумаге», позволяет оттачивать язык, что полезно само по себе, а также помогает при выступлениях и написании тех или иных материалов. Во-вторых, публикации в блоге дают определенную известность; сначала в среде специалистов, потом тебя индексирует Google, и тебя узнает большее количество людей. Тебя начинают приглашать на различные мероприятия для выступлений, что нередко позволяет экономить маркетинговые бюджеты Cisco J.

Мне, кажется, или тут прямым текстом сказано – что цель блога, сделать экспертом для участия в мероприятиях, где можно делать продукт плейсмент работодателя?

В-третьих, именно блог стал моим «трамплином» при общении с регуляторами, при включении меня в различные рабочие группы и экспертные советы.

Видимо, не кажется…

Видимо, их организаторы посчитали, что я достаточно квалифицирован, чтобы заниматься не только графоманством и публичной критикой,

Хинт от гуру: хочешь раскрутить блог – критикуй.

но и приносить пользу, участвовать в разработке и экспертизе нормативной базы. Некоторые из моих коллег, насколько я знаю, используют блог как бесплатный пропуск на мероприятия по ИБ – этакое удостоверение журналиста. Есть и ряд других «бенефитов», которые дает мне блог, но пусть они останутся моим секретом.

Наливают? Алексею не наливают. Помогают продавать? Алексей не продает… Мб лоббировать интересы работодателя?

– Зачем вообще специалистам по безопасности вести блог?

Зачем крупные компании занимаются благотворительностью?

Что бы проиариться. Делают они это максимально публично и открыто, что бы на фоне выгодоприобретателей большое такое лого благотворителя было. Бескорыстно делают – тихо.

Им хочется делиться с менее обеспеченными организациями и людьми своим «богатством».

Ох, Ричард Докинз, наверно, бы сделал facepalm.

Попутно они получают и некую PR-составляющую, но это не всегда. Так и специалисту по ИБ, который достиг определенного уровня квалификации и опыта, иногда хочется делиться своим положительным, а иногда и отрицательным опытом с другими людьми.

21 октября 2016 года, у Алексея было другое мнение… см. ссылку на интервью выше.

Начинается все с кулуаров на мероприятиях, потом следуют выступления на конференциях, потом аудитория расширяется на сотни, а то и тысячи человек. Это одна из причин. Есть и другие – я их описал, отвечая на вопрос о том, чем помогает блог в профессиональной жизни.

Еще блог, помогает выбить себе место потеплее и зарплату побольше. На рынке есть примеры, когда основным достижением людей, были блоги-выступления.

– Если у Вас дальнейшие планы по развитию блога? Может быть, Вам интересно было бы попробовать какие-то новые форматы?

Я много лет порываюсь создать собственный сайт, чтобы вести на нем ряд проектов, которые у меня законсервированы и просто ждут своего часа. Но меня останавливает одно – безопасность сайта.

С одной стороны – дельные слова для безопасника.

Сейчас, на площадке Google, я могу быть уверен в том, что вероятность взлома блога близка к минимальной – все работы берет на себя Google. В случае со своим сайтом я получаю больше гибкости, но и больше головной боли.

С другой – какое-то зарывание головы в песок от злых хакеров…

Мне придется думать о непрерывном улучшении сайта, его стабильности, пропускной способности, безопасности. А у меня времени не хватает, чтобы вести просто блог. Если бы я зарабатывал на этом проекте, то может я и сделал бы этот шаг «в пропасть». Пока же меня устраивает текущий вариант. Планы по его развитию я не форсирую, хотя идей полно…

Ждем-с.

– Алексей, какой бы Вы дали совет молодому специалисты, который бы хотел начать вести свой блог и развиваться в этом направлении? С чего ему начать?

Советов я могу дать два и оба они касаются абсолютно любого дела. Первый совет – начать. Второй совет – не бросать. Все остальное вторично. Разумеется, за кадром остается еще много разных вопросов, от которых зависит успех блога. Например, целеполагание, наличие практического опыта или умения систематизировать информацию. Неплохо русским языком владеть на хорошем уровне, чтобы читать заметки было интересно не только с точки зрения содержания. И еще один совет – блог не должен быть самоцелью и вестись ради собственного PR, как это иногда бывает.

… вестись ради собственного PR, как это делаю я.

 

Как вам? Я лично прочитал с удовольствием. Учитесь у мастера. А в следующий раз поговорим про раскрутку блога.

Всех целую.

Лебединая песня

Не прошло и полугода, а на дворе второй сезон «Кибербаталий». Разумеется, это мероприятие нельзя не пропустить, поэтому завтра обязательно уделите час своего времени.

А мы начинаем серию поддерживающих материалов, для этого сезона. И для затравочки, у нас будут биться Алексей Лукацкий с Рустэмом Хайретдиновым. Это будет показательная битва, т.к. оба участника обладают огромным гандикапом перед любым другим участником и соберут голоса, даже если будут петь песенку про маму (это, которая из к/ф «Кин-дза-дза!»).

В этот раз тема – Черные Лебеди в ИБ. Надо сказать, что выбор тем, самое слабое место всего проекта. Для битвы, нужна полярность мнений. А ее зачастую – нет. Например, в гипотетической теме – «Госрегулирование ИБ – благо или смерть?». Думаю, мало найдет вендоров или интеграторов, которые бы сказали что-нибудь плохое. Т.к. на том и стоят.

Когда я участвовал, мне приходилось иногда отстаивать не свою точку зрения, что бы получилось шоу. Думаю, никто бы не захотел, слушать – «я согласен», «аналогично». В общем, с темами бывают проблемы.

И тут значит, будут говорить про Черных Лебедей. И тут надо сказать, что тема крайне странная. По идее, ЧЛ должны рассматриваться в контексте работы безопасника, а не какие-нибудь абстрактные, например, СССР развалился. Хотя и к таким обычный безопасник должен быть готов. Если для безопасника является неожиданностью, что упадет метеорит (крайне маловероятное событие), то такой безопасник должен идти охранять проходную.

Все исходит из простого следствия Талеба – Черный Лебедь тогда проявляет сою лебяжью сущность, когда мы:

  • Не предполагаем его наличия;
  • Не готовы к последствиям.

Понятно, что у нас нет таких бюджетов, что бы быть готовыми ко всему. Но просчет различны сценариев, это плоть от плоти безопасности (да же бумажной). В мире много организаций имеющих планы на любой случай, и они, почти, не подвержены черным лебедям (или не так сильно, как неинформированные люди).

Например, вы используете оборудование западного вендора. Логично предположить, что в нем могут быть закладки. Это первая же мысль, которая посетит вас, как только вы поставите эту железку, на более-менее значимую задачу. И, когда все вскроется, вы не будете удивлены. А может быть, и какие корректирующие меры сделаете, кто знает?

Но перейдем к темам:

Вопросы:
— бесполезно прогнозировать что будет следующим событием, обладающим свойствами «Черного лебедя». Иначе оно растеряет свои свойства. Но как, с точки зрения ИБ, можно понять, что событие принимает масштаб «Черного лебедя»?

Вся наша поибэ, регулярно прогнозирует, что будет. «К вам придет проверка». «На вас наложат штраф».

— точно также, как и с прогнозами, бесполезно обновлять компетенции для противодействия событиям «Черного лебедя». Они всегда будут не актуальны. Но как можно обновлять компетенции с колес, чтобы практику противодействия масштабным потрясениям профессиональное сообщество могло вырабатывать в онлайн условиях? Что этому мешает?

Ну, обновление компетенций вещь такая. Сам Талеб, больше склонен рассматривать лебедей, как стечение известных факторов в неожиданном сочетании, чем рояль в кустах (ну, там инопланетяне прилетят). Вроде, для этого ненужна перестройка с колес. Вон, все заболели аджайлом и выздоровели, уже никто и не помнит.

Получается, в контексте ИБ – какие бы новые уязвимости не появлялись, все это в итоге сведется к КЦД. И, какая разница, почему вас затопило – потому что крыша прохудилась (среднестан) или что труба системы пожаротушения бракованная (крайнестан)?

— Талеб описывает несколько типов заблуждений, приводящих к излишней уверенности в собственной способности анализировать будущее:
1. Нарративные — склонность больше верить в эмоционально преподнесённые истории, чем в сухую статистику,
2. Игровые — применение теории игр к реальной жизни
3. Ретроспективные — вера в успешное предсказание будущих событий на основании анализа произошедших.
Как выглядит проявление перечисленных заблуждений в профессиональной ИБ-среде (на стоне регуляторов, клиентов, поставщиков ИБ-решений и пр) Как выглядят специфичные отраслевые заблуждения в профессиональном ИБ-сообществе, которых Талеб не упомянул?

Что можно верить экспертам.

— рынок ИБ в заметной степени мотивируют регуляторы. Вера в них чрезвычайно сильна в профессиональном сообществе. Как вы оцениваете способность регулятора оказать помощь профессиональному сообществу в случае наступления событий Черных лебедей? Как должна выглядеть роль регулятора? Как должны выглядеть, реальные, а не завышенные ожидания от инициатив регуляторов в кризисных условиях?

Помощь регулятора – 100%. Именно благодаря им, у нас и развилась информационная безопасность в текущем виде.

— как отреагирует средняя служба ИБ на подобные события в комфортных офисно-корпоративных условиях? И как вам хотелось бы, чтобы выглядели герои от ИБ, способные взять ситуацию под контроль и начать управлять новыми рисками? И что этому может помешать?

Новых рисков не появляется. Пока, живем в парадигме конфиденциальность-целостность-доступность.

 

Так, что будем посмотреть. Приходите все завтра.

Что в имени тебе моем?

Когда-то я был молодым. Хотя и сейчас не старый, но тогда был совсем молодым. В тот момент, все мои мысли занимала карьера, а главным ее мерилом воспринималась, занимая должность. Это сейчас понятно, что меряется все несколько иначе. Но тогда должность была на первом плане.

Рос я от специалиста до ведущего специалиста, и случилось мне возглавить отдел. У меня и подчиненные были – 4 студента. А, т.к. компания была маленькая, вписали мне в трудовую аж целого Начальника кордебалета отдела. Для публики меня называли Руководителем направления аудита. Ох. Я, кстати, никогда не понимал всех этих Руководителей направлений. Это навигатор что ли заменяешь? Через 3000 км поверните направо? Маразматичней этого я видел лишь заместителей директора по развитию. Вот, уж где мог скрываться кто угодно, под заместителя до подносчика кофе.

И значит пошел, я после такого офигенного карьерного поворота устраиваться в компанию АйТи. А там все начальники заняты, есть ведущие специалисты. Но я ж, блин, целый руководитель. Не, мне нельзя так просто в специалисты. Это сейчас я дегустатор, а тогда было принципиально важно, что бы в должности висело – руководитель. В общем вписали меня, как руководителя проектов. По сути, я этим самым и занимался, но потом должность сменили: Ведущий инженер поддержки продаж Отдела информационной безопасности Департамента инфраструктурных решений.

Это, кстати, две другие крайности. Первая, чем непонятней должность – тем больше вопросов. Я два раза попробовал объяснить, кто такой инженер поддержки продаж. После чего, 5 лет писал везде руководитель проектов и не выебывался. РП все понятен. Как и инженер, аналитик, начальник. Поддержка продаж – нет.

Вторая крайность, чем длиннее и/или мудренее название – тем, по факту, меньше человек решает. Вы видели, когда-нибудь младших партнеров, которые привозили заявки на конкурс? Я периодически видел.

Поэтому я всегда с почтение отношусь к таким же «рыбакам». Ну, молодец же человек – старается. Вы думаете, это удел лишь таких нищих духом и меркантильных людей, как я? Нет, это всеобщая блажь.

Давайте рассмотрим примеры. Я взял двух самых активных личностей на нашей поибэ в данный момент. Конечно, меня, как всегда, можно обвинить в том, что я кого-то там опускаю и пиарюсь за чужой счет. Но смотрите сами, это открытая информация, предоставленная самими участниками. И, думаю, я не первый кто задавался подобными вопросами.

Мерить будем корреляцию между участниками и мной, когда я мутил с должностями.

 

Алексей Лукацкий

Алексей ЛукацкийСам себя Алексей позиционирует, как бизнес-консультант по безопасности. Если посмотреть на сайте Cisco, то встречается еще Business Development. В общем, все очень запутанно. Разберемся с бизнес-консультантом. Что это такое? Кого консультирует Алексей?

Более-менее устоявшееся определение гласит:

Бизнес-консультант – это специалист, оказывающий консультационные услуги другим фирмам, предприятиям, организациям по широкому кругу вопросов. Может действовать как индивидуально, так и в штате специальных (консалтинговых) фирм.

Т.е. консультант – это сотрудник внешней фирмы, которого приглашают решить конкретную проблему. Или же Алексей дает советы Cisco? Как строить информационную безопасность? Крайне сомневаюсь. Вся деятельность Алексея лежит в чем угодно – лоббирование нужных законов, пиар, представительские функции – но, крайне маловероятно, что она заключается в развитии ИБ в Cisco.

Мб Алексей консультирует сторонние организации? Не высказывает отсебятину в кулуарах, а по взрослому – под договор и за деньги? Возможно. Огласке это не предают.

Business Development (ака развитие бизнеса) – примерно в ту же степь. Тут хотя бы, с натяжкой можно сказать, что Алексей защищает интересы работодателя от совсем уж драконовских мер. Хотя развитие бизнеса – это скорее захват рынков, создание новых продуктов или продажи.

Можно предположить, что должность Алексей писал себе сам. Бизнес-консультант звучит гордо, я бы тоже себе на визитку поставил, если бы поумней был.

Корреляция – 100%.

 

Андрей Прозоров

Андрей ПрозоровНа сайте Solar Security Андрей представлен, как Руководитель экспертного направления. Опять же, что такое руководитель направления? Я крайне несведущ в иерархии Солара, но даже мне понятно, что если есть Директор департамента JSOC и Руководитель направления JSOC, то один подчиненный другого. Крайне интересно узнать, зачем городить огород со всеми этими руководителями направлений? Но это дело десятое.

Департамента экспертного направления нет, следовательно, здесь Андрей самый главный. Но что такое экспертное направление? Или это по принципу: эксперт – человек не из нашего города? Зная опыт и заслуги Андрея, можно предположить, что он возглавляет экспертное направление по продвижению продукции Солар.

Насколько нам доносит компания Солар, подчиненных у Андрея нет. Следовательно, крайне вероятно, что это просто красивое название, при переходе из Infowatch. И денег немного плюс должность, я также делал.

Совпадение – 100%.

 

Как видно, умные люди, думаю одинаково.

Всего вам доброго.

Ответы на вопросы: работа, тренды ИБ, блог, Лукацкий

Наконец, я добрался до вопросов. Если честно, думал, будет гораздо хуже. В топе вопросов – работа и Лукацкий :) Поехали потихоньку.

Блогер Сергей:

В 2007 году ты писал для домохозяек? В ИБ столько не бывает ….

Резонный вопрос. Разумеется, я писал несколько для других аудиторий, они были более многочисленными и разнообразными. В 2007 писал в основном для националистов, коммунистов, сатанистов и прочей маргинальной публики. Так же у меня было несколько блогов и пара сайтов, так что спрашивали всякое.

 

Миша:

Где и кем сейчас работаешь?

Сейчас можно охарактеризовать род моей деятельности, как – предприниматель, блогер, консультант.

 

А.:

Почему ты все время засираешь Solar Security? Потому что они конкуренты Security Vision?

Хз, почему сложилось такое мнение, что я кого-то засираю? Тот же Солар – отличные ребята, да не без косяков, но у кого их нет? Я рассматриваю это, как бесплатную помощь. Если косяк имеет место быть, парни поправят. А если это пустая болтовня, отточат скилл отмазок.

Вот, из последнего. Андрей Прозоров заявил, что JSOC скоро будет в «магическом квадрате» Гартнера. Как вы понимаете, любой бы спросил – а зачем он там, если там уже есть HP ArcSight? Я просто был первым. Дальше, Андрей ушел от ответа, под предлогом, что я должен разбираться в их продуктах (это вендор говорит, ага), которые суть все равно работают на ArcSight. Глядишь, кому-то дали задание, что отвечать в таких случаях.

 

Роман:

Почему ушел из АйТи и чем сейчас занимаешься?

Ушел из АйТи, т.к. кадровая политика компании навязывала мне не совместимые с моими моральные нормы. Продавай говно, обманывай, будь верен компании, когда она тебя кидает и т.п. Плюс к этому, сам интегратор уже многие годы катится по наклонной, в чем явно прослеживается просчет акционеров.

Про занятия – см.выше.

 

Александр:

Привет. Очень нравиться твой блог. Всегда читаю, но, вот, выбор тем печалит. Очень мало про информационную безопасность. Как ты выбираешь темы?

Уже скоро год, как этот блог не про информационную безопасность. Сама по себе информационная безопасность тема довольно узкая, а внутреннее разделение на «бумажную» и «настоящую» — еще больше зауживает выбор. Здесь просто нет тем для периодического бумагомарания. Да, и отклик аудитории небольшой, посмотрите на Лукацкого.

Темы выбираю строго по-научному. Что вижу, о том пишу.

 

Аноним:

Чем обусловлен конфликт с Алексеем Лукацким? Чуть ли не в каждом посте, ты пытаешься его поддеть.

У меня никакого конфликта с Алексеем нет. Алексей, ввиду каких-то внешних причин, был в измененном состоянии сознания, и увидел в констатации факта – личный наезд. Уж, что это было – личная дружба с объектом факта, проблемы на работе или дома, мне не ведомо.

Если бы я хотел поддеть Алексея, я бы разбирал каждый его пост, указывая на все фактические ошибки и несуразицы, макал носом в непоследовательность мнений, сделал сайт – анти-Лукацкий и спамил бы его комментариями.

Я же всего лишь, с уважением к сделанному, использую Алексея как иллюстрацию в тех или иных случаях. Что поделать, у нас нет более известной личности в поибэ. Алексей сам выбрал этот путь, так что немного сравнений и пиара с моей стороны ему не повредят.

 

Борис:

Что плохого в безопасниках «воспитанных на блоге Лукацкого»?

Если кратко – все. Я сам когда-то его читал, т.к. это был самый оперативный источник по изменениям нормативки. В этом нет ничего плохого. Плохо, когда люди выпячивают, что они читают Лукацкого. Говорят, что чему-то там научились. В блогах нельзя ничему научиться, включая этот. Можно только принять информацию и пропустить через себя, найдя или нет в ней пользу.

Следовательно, безопасники-лукоблогеры сами расписываются в собственной неспособности думать. Они прочитали что-то где-то, и как стадо хомячков пошли разносить чуму по Европе. Потом глядь, тебе выдают заученную фразу (например (устал про ЗПД говорить), в Cisco нет закладок). Спрашиваешь – почему? Потому. И тишина.

Лукоблогеры убивают интеллект в нашей профессии, поэтому я против них.

 

Santor:

Почему ты со всеми конфликтуешь?  Это такой способ пиара?

Разумеется, конфликт один из основных источников пиара, лидирующий с круговым гандикапом. Этого не отнять.

И, нет. Я ни с кем не конфликтую. Да, там кто-то думает, что у него конфликт со мной. Но это их путь, не мой. Наверно, у них и особое сборище есть – «дружащих против». Они могут собираться каждую неделю, в темном подвале и с пристрастием рассматривать мои посты и комментарии, демонически хохоча. Они пересылают друг другу в чатах ссылки на обновления и т.д. и т.п.

Конфликты слишком затратны по времени и энергии, и очень интересны, конечно. Конфликт должен приносить пользу, хотя бы деньги.

Вот, Олеся Шелестова периодически накидывает на позитив. Тут все ясно – они прямые конкуренты, плюс что-то личное.

А мне с кем конфликтовать в поибэ? Из-за чего? Все это пустое. То, что многим кажется конфликтом, на самом деле лишь удобный способ проиллюстрировать  тот или иной вопрос.

 

Аноним:

Так ты в Positive Technologies или нет?

Нет.

 

SvX:

Как думаешь, на теме персональных данных еще долго можно будет зарабатывать? И какое сейчас самое перспективное направление в ИБ?

Зарабатывать в ЗПД можно будет долго, но с каждым годом все меньше и меньше. В итоге, будет как с PCI DSS – все упадут с 400 000$ до 500 т.р.

Проще сказать, какое направление не перспективное. Ввиду, последних новостей – сейчас просто вал SIEM, SOC, WAF. Понятно, что там уже ловить нечего. В итоге можно продавать чего хочешь, если сможешь напугать или показать эффективность. Думаю, за ним перспектива.

 

Bollard:

Привет. Хочу задать несколько вопросов к твоей традиционной вот уже 11 летней рубрике.

1)Почему не заведёшь twitter, было бы удобнее тебя там читать?

2)Почему вендоры и коллеги обижаются когда ты говоришь правду? Они ходят в каких-то розовых очках что ли?Вот твой последний пост о версусе ресурсов, да и о версусе специалистов. Ведь всё правда.Всё так и видится. И примеров просто полно. Достаточно взглянуть на сайты «вендоров №1», заброшенные пятилетние блоги, аккаунты в различных соцсетях и прочее, отсутствие форумов или замена их гугл группами (при импортозамещении-то). Что им мешает иметь такое же видение (предубеждения, пороки, непрофессионализм)?

А, он есть. Просто твиттер оказался такой неэффективной площадкой, что я просто сделал туда редирект с фейсбука. Неудобно ни постить, ни читать.

Почему обижаются? Ну, у меня есть теория на этот счет. Поибэ это такой междусобойчик, закрытый от всех других областей. В нем не принято, сильно выносить сор из избы. Скажем, один известный эксперт, занимающийся теперь вдруг новым направлением экспертизы еще в 2010 году – был туп как пробка по ЗПД. Об этом мне сказал, мой генеральный директор, который в безопасности не понимал вообще ничего. Но эксперт-то известный. По телеку показывают, вроде двигает Иб в массы.

Вся «компрометирующая» информация у нас всегда гуляла в кулуарах. За последний год, я узнал столько о топе поибэ, что просто диву даешься, как они еще могут людям в глаза смотреть? Прямо, вот, в каждого вендора/интегратора в фейсбучке тыкай, такое всплывает.

И, весь этот «компромат» рассказывался либо на пьянках, либо заказчикам. А тут, видите ли Дима, рассказывает что-то не особо приятное. Ату его!

Фокус в том, что ничего компрометирующего я не говорю. Я вообще, как тот жираф, который всю ночь смеется над анекдотами. Но ввиду отсутствия других видимых раздражителей, все агрятся на меня. Ну, не будет же компания А агриться на компанию Б за чернуху, ведь компания А поступает точно так же.

А, на этом все. До следующего года.

Что мне нравится в информационной безопасности?

Меня часто упрекают, что мне ничего не нравиться, и я всех критикую. Разумеется, это не так. Каноны жанра диктуют свои законы. Никому не интересно читать про хорошее, всем интересно читать про плохое. Что доказывает существование таких телеканалов, как НТВ и РЕН-ТВ. Да, вся наша поибэ держится на негативе: тут взломали, тут украли, тут риски новые, буууу!!

Как вы знаете, я пишу о недоработках, что бы их можно было исправить. Что бы помочь нам всем стать лучше. Но хватит обо мне, давайте о хорошем.

В нашей поибэ есть много прекрасного, чем я истинно восхищаюсь. И раз вы хотите хорошего, вот, вам хорошее.

Хорошее в информационной безопасности

В категории лучший firewall – CheckPoint. Просто нравится, за 8 лет только лучше становятся.

Лучший отечественный firewall – С-Терра. Самый приятный и честный вендор, с самой большой пропускной способностью. Всегда продавал с удовольствием.

Лучший антивирус – Касперский. Если антивирус все же покупать, то покупать Касперский. Да, поджирает память, да, делает что-то странное сам. Но лучше не найти.

Лучший WAF/DBS – Imperva. Стоит просто везде, самые первые на рынке (вроде). Очень люблю. К сожалению, ни одной не продал. Была возможность, но Информзащита загопстопила.

Лучший DLP – Infowatch. Давно их не видел, да и рынок DLP схлопывается до тошнотворной однообразности, но из всех Infowatch лучший по большинству параметров.

Лучший SIEM/SOC – IBM QRadar. И Гартнер со мной согласен.

Лучший сканер уязвимостей – XSpider.

Отечественный продукт, за которым интересно наблюдать – RuSIEM. Просто интересно, что как же у них получиться.

Лучший маркетинг – Solar Security. Чего у парней не отнять, так это их вездесущности. Куда не глянь, увидишь оранжевенькое. Конечно, не без косяков, но это самый всепоглощающий маркетинг на рынке.

Стартапер – Максим Лагутин. Можно только позавидовать чистоте упорства Максима в освоении денег инвесторов.

Топтание на месте – R-Vision. Давно наблюдаю за этой компанией. Парни оседлали волну самопроверки по СТО БР, и уже пару лет пробуют сделать свой SOC. R-Vision выступает просто на всех мероприятиях, в это году, видимо только на Инфосеке не были. Лучший образец бесцельного использования энергии.

Интегратор – Инфосистемы Джет. Наверно потому, что за 4 попытки у нас так и не срослось совместной работы.

Пресейл – Камиль из Техносерва. Реальное уважение к трудоспособности и навыкам.

Лучшая ИБ – Сбербанк. Я видел это.

Лучшая нормативка – ЗПД. Повторить можно, превзойти – вряд ли.

Алексей Лукацкий, как лучшее лицо отрасли. Ну да, вы можете сказать – какое лицо, такая и отрасль. Но посмотрите, как человек упорно трудится. Разумеется, не стоит читать все, что пишет Алексей, а то, что прочли провести через десяток фильтров. Но нельзя не восхититься последовательности и комплексности проводимой им работы. И не важно, что эта работа имеет деструктивную направленность – главное реализация и подход. А они – великолепны.

 

Наверняка, я что-то забыл, а где-то нет ничего хорошего. Но как видите, у нас есть повод для оптимизма. До новых встреч.

Значимые критерии (+упражнение о кидке Рольфа)

Здравствуйте, здравствуйте мои дорогие любители посчитать чужие деньги. Давно я не затрагивал темы экономической оценки. Должен поделиться своей радостью, уже самые хитрые начинают седлать тему – оценки ИБ. В частности, Андрей Прозоров, активно интересуется, где бы ему что-нибудь подсмотреть. :) Но, пока, смотрит не там. Но не суть, пусть это его начальник оценивает. Хочу поделиться с вами очередным кейсом по оценке.

Значимые критерии

Сама по себе оценка, вещь простая – бери и складывай, умножай. Большая толика проблем лежит в выборе критериев, что же собственно считать и как это делать. Если, вдруг, кто-то слушал мой филлер на Инфосеке, то знает – что единицу оценки называют критерием. Критерии можно собирать в группы и оценивать сразу группу.

Разумеется, надо оценивать лишь значимые критерии, а незначимые не надо. Именно выбор незначимых критериев, порождает смех, когда безопасник приходит со своими «экономическими выкладками». Например, Алексей Лукацкий уже пару лет ходит по конференциям и рассказывает, что безопасники определенных бизнесов должны прийти к директору и всунуть инновацию: «а давайте всех посадим работать удаленно! Внедрим BYOD, сэкономим на электричестве, офисных площадях и т.п. И BYOD. BYOD!!!!!11111» Первый раз я это услышал на вебинаре RISK, и словил немало лулзов. Даже сделал кучу пометок, и когда-нибудь я до них доберусь.

Смысл в другом, подобный безопасник, если и не отправиться сразу на хедхантер, то точно сильно сдаст позиции в компании. Все из-за того, что Алексей придумывал свои пассажи, что бы продавать BYOD от Cisco, а не решать конкретные задачи бизнеса.

Теперь, давайте разберем упражнение по выбору значимых и незначимых критериев.

Упражнение

Решил я купить жене машину. В результате долгих мытарств, мы выбрали Ford Kuga, черного цвета в топовой комплектации. Сходили на тест-драйв, и стали разговаривать о цене.

Основными салонами мы выбрали: Major Auto и Рольф Сити. Оба лидеры по продажам Ford в России. Собственно и планировалось выбрать между ними. И мы даже это сделали, но потом началась серия кидков и подстав, которая и породила данное упражнение.

Суть такова: менеджер Рольф Сити, назовем его Руслан, так обрадовался, что мы выбрали его, что предложил в нагрузку к зимней резине и защите картера, гарантию на 5 лет, 3 ТО бесплатно и поездку в Грецию. Затем, Руслан, позвонил полдесятого ночи, и сказал, что мы его обманули, и он нам ничего не обещал, за нашу резину он платить не будет, и идите нафиг.

После многократных разговоров с начальством Руслана, нам дали нового менеджера, который ухудшил (!) предложение на 30 000 рублей. Поговорив с Мэджером и еще одним салоном, у нас возникло три предложения:

Если оценивать данные критерии качественно, то, конечно, надо брать Рольф. Ведь, они столько предложили бесплатно, плюс халявная поездка – ляпота. Но давайте оценим каждый из критериев.

Разумеется, сразу из расчета надо выкидывать поездку. Поездка в Грецию, по аналогии с желанием Алексея продавать BYOD, не является значимым критерием, при выборе автомобиля. Плюс к этому, хотя сама по себе поездка оплачивает проживание в течение 8 дней (а это около 30 тысяч), перелет и прочие расходы на вас, а это те же самые 30 тысяч или больше, ведь вы туда отдыхать едите, а, следовательно, потратитесь. Если и включать данный критерий в оценку, то скорректировав на величину расходов.

Кстати, новый менеджер Рольфа прекрасно понимал, что поездка – фуфел. Т.к. сразу отказался снизить стоимость машины, на величину поездки. :)

Примерно таким же образом можно было бы избавиться, например, от гарантии или ТО3. Но не будем этого делать, чтобы не городить теорию.

Следующий шаг, оценить полноту критериев. Это значит ответить на вопрос: учтены ли все значимые критерии, влияющие на оценку?

Ответ: нет, не учтены.

Т.к. сейчас для машин, проданных в кредит идет большая скидка, то для его оформления надо оформить КАСКО. Следовательно, сумму страховки также надо включить в критерии (можно и сумму дисконта за кредит). ОСАГО включать не стал, т.к. его цена везде одинакова.

Немного посидев на телефоне и уточнив все цены, мы получаем следующее:

Вуаля. Оказывается, что лучшую цену дает Favorit Motors, который не зажопил работы по установке картера.

Ford я в итоге не купил, и, скорее всего, никогда уже не куплю. Пропало доверие к марке, с такими «лидерами продаж». Да, и политика кредитования у них странная, надо лучше выбирать банки в свою программу.

А, на этом все, до новых встреч.

 

P.S. В копилку разводок и приколов бизнеса по-русски:

1. Никогда не подписывайте в Рольфе предварительный договор до решения брать машину. Во-первых, он вас нифига не защищает. Мой договор уже аннулирован на основании телефонного разговора (!). Т.е. договор есть, но машину по нему, я уже никогда не куплю, если захочу. Фактически – это психологический трюк, чтобы вам было лень ехать и расторгать его.

Во-вторых, это не позволит воспользоваться хорошими предложениями в других Рольфах. Было хорошее предложение в Рольф Центр, но из-за «корпоративной политики», я им не смог воспользоваться.

В-третьих, предварительный договор н фиксирует даже стоимости машины. По сути, это все тот же развод, нацеленный на лень покупателя. Вы вполне можете приехать, и увидеть + 50 000 к цене. :)

2. Сотрудники Рольф Сити с радостью поливают дерьмом другие автосалоны Рольф. Например, на мой вопрос – почему в Рольф Центр точно такая же машина, на 100 000 дешевле. Мне менеджер не моргнув глазом, сказал, что они все подлецы и обманщики, вводящие в заблуждение клиентов. А самая честная цена, у него.

3. Главное не покупать в автодилере допоборудование, если его не дают в подарок. Главная накрутка происходит на работах (сюрприз!). Например, одинаковый перечень оборудования в Мэджоре стоил 130 000 р., а в Рольфе – 200 000 р. Интересно, сколько же у них ТО стоит? :)

Если не хотите потратить свое время, не покупайте Ford в Рольфе.

Книга «Быть PS». Глава про конференции

Что-то поднадоело писать про ИБ. Что не напишу, так сразу кто-нибудь обижается. Таит или изливает обиду, тем самым увеличивая негатив в мире. А я, как постигающий дао, не могу допустить распространения порчи в мире. Поэтому вернусь к старым делам, сегодня очередная глава про pre-sale.

Неделю тому назад у меня выдалась крайне насыщенная программа по выступлениям. Вначале, в среду, мне надо было побыть филлером на конференции (а вернее выставке) Infosec-2016, а в середине дня я узнал, что на BISA-Summit мне тоже надо выступить, т.к. я что-то там выиграл (кстати, всем спасибо, кто за меня голосовал).

Надо сказать, что конференции в вашей карьере будут происходить часто, и вам надо определиться с вашей ролью там.

На каждой конференции (выставке) есть три основных темы (направления), за которыми туда приходят люди. Эти темы практически не пересекаются, и у вас вряд ли получиться их совместить. А если и получиться, то эффект будет минимальным по всем направлениям.

Первое, зачем приходят на конференции – узнать что-то новое. Сюда же относится промышленный шпионаж, воровство идей, подглядывания, подсматривание и т.п. 90% посетителей конференции сидят в залах на выступлениях и круглых столах. Посетители по расписанию выходят на обед и кофе-брейки, и редко отступают от намеченной программы. Расстроить посетителя легко – достаточно не дать ему того, что он ожидал.

Второе направление – пиар. Как личный, так и продукта. Крайне желателен хайп, а еще лучше ввязаться в какой-нибудь срач. Самый затратный пусть – надо либо купить место под стенд, либо навязаться в программу мероприятия.

Последнее направление, я называю, ФБД — «фиготня больших дел». Самая скрытая часть любого массового мероприятия. Сложно, даже четко описать ФБД. Она как дао, проще сказать, что дао не является. Например, точно ФБД не является общение вип-менеджеров в вип-комнате и на завершающем фуршете на глобальные темы. Ее затрагивать сейчас не будем, мб потом. Вы сами поймете, когда будете заниматься ФБД.

А теперь, дорогой друг, рассмотрим возможные роли, сценарии поведения и потенциальный профит от каждого сценария.

Посетитель

Самая распространенная роль. Посетитель — это аналог анонимуса в интернете. Анонимус силен, ибо имя ему легион. Самая лучшая роль, что бы что-нибудь вынюхать, представиться псевдо-заказчиком, задать «неудобный вопрос» и т.п.

Разумеется, вас не должны знать в лицо. Так что, если вы человек известный в узких кругах используйте другие способы добычи информации (здесь ссылка на главу о добыче инфы).

Например, пока я занимал 20 минут эфирного времени на Infosec, в первый ряд сел Андрей Прозоров, который последнее время тоже пытается заниматься экономической оценкой. И стал задавать наводящие вопросы. Разумеется, я ушел от ответов, потому что:

  • Выступление было не про методы, а про подходы;
  • Андрей работает в коммерческой организации и выведывает информацию чопорно;
  • И зачем мне плодить конкурентов?

Минусов у посетителя тоже хватает, вас, скорее всего, не покормят и не нальют. Вам не займут местечко в зале с крутой демонстрацией, не позовут в круг Илиты потрындеть о высоком и т.п. Зато можно несколько раз подходить за какой-нибудь нужной халявой – ручки, блокноты, календари и т.п. Ну, и лишний выходной никто не отменял, большинство конференций можно обойти за 10 минут и свалить.

Стендер

Это роль человека, который стоит на стенде, отвечает на вопросы, рассказывает о продуктах или услугах и т.п. Эта роль подходит не всем, я знаю нескольких человек, которые делают это очень хорошо. Я два раза пытался – это было форменное мучение.

Из плюсов: можно завести кучу случайных знакомств и провести день в компании с симпатичной девушкой (их стали все чаще приглашать на стенды).

Из минусов: полностью убитый день (если вы, конечно, не претесь от этого) и невозможность совмещения с другими ролями.

На той же BISA видел скучающего Максима Лагутина, все хотел подойти, но как-то не получилось (Максим, кстати, отчет так и не пришел по SiteSecure).

Спикер

Вы выступаете с докладом или презентацией. Все просто.

Две возможности просочиться – либо вы проплатили стенд, и доклад входит в ваш пакет, либо вы такой очешуенный специалист, что организаторы вас сами позвали (но чащей, вы просто блогер или медийный персонаж и выступать ваша обязанность).

Крайне сомнительная роль. Пригодна разве что для напоминания о себе. Будете рассказывать о продукте, либо скатитесь в джинсу и вас не будут слушать, либо в какое-нибудь теоретизирование, где ваш продукт замылится за глобальностью темы. 95% коммерческих докладов, которые я слышал, провалились.

Из плюсов: пустят поесть в пресс-зону, а благодарные посетители не дадут вам скучать целый день.

Из минусов: ваш провал запомнят и будут обсуждать еще пару дней, практически исключает ФБД.

Например, на BISA многие ждали секции «Agile в ИБ» от Алексея Лукацкого. Я даже отставил бокал с вискарем и приятную беседу, что бы успеть к началу. К удивлению всех, Алексей начал секцию со слов «Я решил не разговаривать сегодня про agile» и начал брейн ринг с кучей «интересных вопросов». Наверно, фанатам Алексея это понравилось.

agile_sec_lukatsky_1

agile_sec_lukatsky_2

agile_sec_lukatsky_3

Как ни печально, но ребята, что на виду, редко что-то могут предложить или сделать для ФБД. Часто это профессиональные выступающие, а с выступающего взятки гладки. Он не принимает решений и редко участвует в их реализации, т.к. все его время занято выступлениями. Очень жаль.

Сейл

Отдельная глава о сейлах. Вообще, это странная роль для пресейла, т.к. в лучшем случае, на конференции пресейл может поддержать продажу или проект, этакий очередной раунд переговоров в нестандартной обстановке.

Собственно для пресейла эта роль вторична к какой-то другой.

Ищущий работу

Удивительно, но много людей ходят на конференции, что бы сменить место работы. Получается в основном у не-технических специалистов.

Алгоритм прост:

  1. Как можно чаще выступать на конференциях, как независимый эксперт.
  2. Тереться по всем конференциям и выставкам, что бы запомнили в лицо.
  3. Участвовать во всех афтер-пати и заводить знакомства.
  4. ….
  5. PROFIT

Адепт ФБД