Архив метки: Аркадий Прокудин

Positive Hack Days 2016 – Королева в восхищении!

Надо сказать, что у этого отчета не такая долгая судьба, как у предыдущего. И попал я на мероприятие на удивление легко. Думаю, это был мой последний опыт на данном поприще. Но обо всем по порядку.

phd

Восхищение

Я недолго думал, как одним словом описать PHD. Восхищение – это правильное слово. Вспомните, как давно вы чем-нибудь восхищались? В чем природа восхищения? Больше всего мы восхищаемся в детстве и отрочестве. Все для нас новое и неизвестное. Становясь старше, мы теряем эту способность, она все больше атрофируется, заедаемая бытом, нелюбимой работой и налогами.

PHD – восхитителен именно потому, что большинство не понимает, что там собственно происходит. Это не та высоколобая конференция, где серьезные дяди с умным видом рассказывают что-то другим дядям. Это отвязная конфа для студентов и специалистов плоть от плоти безопасности. Назовем их инженерами (или хакерами, или администраторами безопасности), в общем, теми, кто эту безопасность трогает руками.

Разумеется, у аналитиков (или бумажных безопасников, или рисковиков), тех, кто уже давно винду-то даже не настраивал, рвет от всего этого великолепия крышу. Помнится, я как-то писал про нашу дискуссию с Андреем Янкиным про рост специалистов в интеграторах. Тут все то же самое. Когда видишь только какие-то риски, ЧМУ и ФЗ — тебе очень нравится, как взламывают кофеварку с помощью консервного ножа.

Это чем-то похоже на появление журнала «Хакер». В свое время журнал позволил приобщаться к чему-то этакому, в какой-то степени контр-культурному, инженерному. Если вы читали его с самого начала, то должны помнить эти ощущения. А, возможно, дело свое играл возраст. У меня до сих пор лежат первые 50-70 выпусков (кстати, никому не нужны?), но потом я перестал его покупать. На одной контр-культурности далеко не уедешь.

Мне конференция понравилась, людей много, все везде бегают, какие-то непонятные движухи. Проблема PHD в том, что у него нет альтернатив и слишком специфичная ЦА. С альтернативами все понятно — глупо сравнивать «бумажные» конференции с «железными». Да, на PHD пришли все те же люди, что и на любую другую конфу, но тут они просто растворились в инженерах.

Люди на конференции ходят за тремя вещами:

  • Послушать интересные доклады.
  • Потусоваться, поесть, попить, поговорить с друзьями, неплохо провести время.
  • Работу работать. Фактически то же, что и предыдущий пункт, но с элементом финансовой выгоды. Это скрытая часть конференции.

На всех бумажных конференциях вы увидите в фойе столько же людей, что и в зале. Все они разговаривают между собой или что-то активно обсуждают по телефону. Количество сделок, заключаемых на конференциях – серьезная величина, которой нельзя пренебречь.

На PHD такого почти не происходит. Все гораздо молодежней и быстрее. Даже залы не могли вместить всех желающих, а уж некоторые провели весь день в кресле с ноутом (благо кресел было навалом). Если бы в наших офисах инженеры могли развалиться так же в креслах, мы бы быстро всех импортозаместили.

Не могу не отметить организационную сторону вопроса. Это первая конференция на моей памяти (за исключением инфосеков с инобезами), где не кормили. Можно было выпить халявного кофе, но на этом все. Покушать или выпить — за денюжку. Прекрасный с точки зрения окупаемости ход, думаю, что мероприятие вышло в ноль или небольшой плюс. Плюс продавали сувенирку и всякое интересное.

А, вспомнил минус: нигде не было указано, с какого входа заходить… Но это не портит общее впечатление.

Некачественные блоги

Топ блогеры с рабочими инструментами

Топ блогеры с рабочими инструментами

В силу личных причин я подъехал только к часу дня. Немного жаль, ведь в первой половине дня была пара докладов, которые хотелось бы услышать. Схватив программку, пошел на «Разговор по ИБ: «совершенно секретно» или «срочно в номер»?». Оказалось, что там собрались многие известные поибэ люди. Лично я пошел, т.к. во всем остальном понимал мало или мне было не интересно.

Зал был явно не приспособлен для такой аудитории. Я забил себе небольшое местечко с видом на противоположную стену. А вот Аркадий Прокудин – читер, пролез на сцену, хотя подкастер, а не блогер :)

Начало можно охарактеризовать цитатой: после слов, что иб очень узкая сфера, можно сразу уходить с секции, а то и конференции (Владимир Овчарук в диалоге со мной).

Вначале все шло довольно бодренько, пробовали обсуждать тему – стоит ли говорить об инцидентах или надо их замалчивать. Вот уж тема, высосанная из пальца. Понятно, что надо каждый раз смотреть по ситуации. Я думаю, даже в западном обществе, где подобная публичность является последней оградой атомарного общества, построенного на репутации, где никто никого не знает, и реноме хорошего человека, пусть и оступившегося, можно поддерживать только такими методами — все крайне хотели бы о своих косяках не сообщать, тем более, если последствия не очевидны или легко исправляются.

У нас репутации нет (с). Наше общество более кланово, более семейно. Все, что происходит внутри семьи (фирмы), должно оставаться здесь. Разумеется, сливы будут, например, от конкурентов или людей, чья профессия эти сливы организовывать – журналистов. Многие мужья колотят и тиранят своих жен, но лишь единицы прибегают к помощи со стороны.

Затем блогеры стали говорить о том, надо ли заводить свой блог по ИБ, про качество контента, монетизацию и прочие темы. Секция длилась 2 часа, я отлучился на полчасика, вернулся, а там все то же самое.

Выводы (по сути, а не точности высказываний):

Алексей Качалин: блогеры дофига о себе думают. Надо быть скромнее.

Лукацкий: Для чего блогер пишет блог? Вариантов не много — слава, монетизация, немного добра.

Лукацкий: Лукацкий в купальнике самый топовый пост. Всем плевать на блогеров, через день забывают.

Лукацкий: у нас никто не пишет для домохозяек, все пишут для специалистов. А надо для домохозяек.

Лукацкий: качественного конента в иб ни у кого нет, нет места монетизации.

И все в таком духе. Там было много ереси про блогинг вообще. Например, кто-то сказал что-то в духе «посмотрите на количество просмотров, их несколько тысяч, а монетизация ведь происходит по просмотрам», и никто в президиуме его не одернул. Где-то в самом начале Алексей стал бомбить меня через личные наезды, что не очень хорошо с его стороны, у меня не было микрофона.

Место для не-топ блогеров

Место для не-топ блогеров

Поэтому вставлю свои пять копеек тут.

Все названные проблемы – в головах говорящих. Например, с той же несчастной монетизацией (хотите пост про монетизацию? Пишите в комментариях). Или с желанием прикрыться желанием «делать добро» посредством блога. Конечно, легко говорить, когда каждый месяц получаешь зарплату в кассе. Что-то немного у нас безработных альтруистов, которые бы повышали осведомленность населения (тех самых домохозяек) в вопросах информационной безопасности. Кто платит, тот и заказывает музыку. Интересный момент: тот же Алексей очень болезненно воспринимает критические замечания в адрес своего работодателя.

Разумеется, цель создания блога всегда одна – слава (желательно вместе с деньгами). Помните, как говорил Ницше? Альтруизм – особая форма эгоизма. Человек по природе эгоистичен, а также ленив. Никто не будет просто так поднимать задницу с дивана. Я, кстати, не исключение. Вопрос лишь в пропорциях и эго: кому-то достаточно простого «я сделал», а кто-то спать не может, ведь «в интернете кто-то не прав», и ревностно защищает свою территорию.

Кстати, о домохозяйках. Все свелось к тому, чтобы писать просто, без специальных терминов. Простите, но вы о чем говорите? Любая группа, объединенная вокруг специальных знаний (а информационная безопасность к таковым, безусловно, относится), вырабатывает свой сленг. Человек, который хочет разобраться, быстро в этом сленге разберется, а кто не хочет — тому и не надо. Домохозяйкам не нужна информационная безопасность. Давайте примиримся с этим знанием. Научите их хотя бы антивирус ставить, пароль посложнее придумывать (пусть пока на бумажке дома записывают) и менять раз в полгода. А вот задача специалистов – оберегать домохозяек, чтобы они спали спокойно. Все думающие иначе должны начать с курсов компьютерной грамотности для населения, а через поколение-другое уже переходить в поибэ.

И, в заключение, качественный контент. Почему-то все сразу стали обсуждать лишь две грани контента – оперативность новостей и мега-аналитику по угрозам/уязвимостям. Кстати, это типичный прием демагогии – нарисовать жупел и с боем его побеждать. Качественный контент не произрастает из текстов, новостей или аналитики. Качество вообще вещь довольно дискуссионная – там можно еще одну портянку на три листа написать.

В инфосфере качество проистекает лишь от одной величины – личности говорящего. Если личность блогера импонирует — для вас его контент будет качественным. Если блогер — мудлан, вы читать его не будете, как бы он не извернулся, что наша дискуссия с Алексеем  и показала.

Не смотря на нашу историю с Алексеем, я говорил и буду говорить, что он остается непревзойденным новостником с первичной аналитикой. Т.е. все эти разборы изменений ФЗ, РД и всяких проектов читать интересно. Конечно, после этого начинаешь читать сам, но первичный фильтр уже отработал.

А вот Андрей Прозоров больше читает книжки и постит маркетинг про Solar. Мне, например, про книги совсем не интересно, а про Solar интересно.

И напоследок. Hint для начинающих блогеров от Рустема Хайретдинова:

Как показал сегодняшний день, вход на рынок ИБ-блоггерства с позиционированием «пишу, какие все идиоты, имею скандальное мнение по любому поводу» стоит недорого. Поэтому ветеранам надо заботиться об отстройке, повышающей стоимость входа. Отличная отстройка — «рецензировать книги, которые читаешь»: чтобы конкурировать, придётся много читать. Или ассоциативно привязывать интересные новости к теме ИБ — конкурентам придётся ориентироваться в политике.

На этом все, до новых встреч.

 

P. S. Скорее всего это был мой последний отчет о конференциях. На конференции попасть сложно, пишутся отчеты долго, да еще и скандалы всякие возникают. Следующий напишу, если буду участвовать или организовывать.

Про перечень отечественного ПО

Как-то, пять лет назад, в одном крупном заказчике один интегратор провел работы по внедрению оборудования Инфотекс. Заказчик и интегратор нежно любили друг друга и верили друг другу на столько, что выполняли работы «вперед», т.е. без договора. Такое часто делают в государственных заказчиках из-за особенностей бюджетирования, которое планируется только на будущий год. А проблема есть уже сейчас. Если любовь нежная – стулья можно поставить вечером, а утром через конкурс забрать деньги.

Объявили конкурс, и тут набежал мой учитель и сенсей Аркадий с предложением на оборудовании С-Терра. Заказчик хотел выкинуть Аркадия по формальным признакам, но он не сдавался. Провели даже стендирование, и весь необходимый функционал подтвердился. Закручинился заказчик с интегратором, и повис у них конкурс – ни победителя выбрать, ни отменить. Уже и истории 5 лет, и Аркадий в другом месте работает, а конкурс все висит…

Вспомнил я это вот по какой причине. Был я недавно на коллоквиуме (думаю все знают, что с греческого это переводится как дружеская попойка). Коллоквиум совместно проводили IBM и OCS прямо в здании РИА-Новости. Затронули там тему импортозамещения. Думаю, суть все знают: теперь госорганы не могут закупать иностранное ПО, если есть российский аналог.

reest_soft

Не открою большой тайны (какая ж это тайна, когда все блогеры об этом уже написали? :)), что обойти это можно тремя путями:

  1. Если действительно нет аналога или удается обосновать, что в иностранном ПО есть особые функции. Ну, вариант так себе, все эти обоснования — большая подстава, как в случае с Инфотексом выше.
  2. Если продавать программно-аппаратный комплекс. У нас ведь реестр ПО, а про ПАКи там ни слова. :) Но, говорят, лазейку скоро закроют.
  3. Продавать ПО как услуги. Еще более стремный вариант, ценообразование не прозрачное, зачастую придется проводить как безальтернативную закупку, да и вообще.

Сам реестр пока, скучный. 87 позиций, при беглом просмотре нашел не более 10% по информационной безопасности. Но, думаю, экспертный совет соберется еще несколько раз, и в реестре будут все…

Т.е. с точки зрения конкурентной борьбы и защиты конкурсов вообще ничего не изменится. Как конкурировали С-Терра с Инфотексом, так и будут.

СМИ по информационной безопасности, или «глубина 12000 м, спуск нормальный»

Вот и закончились праздники, все неспешно вышли на работу. Хотя какая сейчас работа? Некоторые еще в отпусках, остальные плавно входят в новый год. И только я вынужден херачить заявки на конкурсы :) Но я о другом. Аккурат 31 декабря посмотрел я в нашу песочницу (которая информационная безопасность) и понял, что все грустно.

kladbishche_11

Вообще, печаль моя велика. Но особое место в ней занимают СМИ по информационной безопасности, или говоря обще – наше инфополе. Что это такое? Это некий набор тем (мемов, паттернов, называйте, как хотите), которые позволяют отличить одну группу профессионалов от другой. Если вы попадете на медицинскую выставку (даже если она будет по ИТ или ИБ), вы заметите это. Специфические темы, проблемы, термины. И так у всех: у бухгалтеров, строителей, даже у ичаров. А у безопасников нет. Конечно, это уже более глобальная проблема для отдельного разбирательства, но посмотрите на частности. Нам банально нечего почитать, все темы заезжены, жизнь теплится лишь в социальных сетях вокруг небольшой стайки. Не согласны? Смотрите, что получается.

Телевидение и видео-блоги

Этого у нас нет. Были отдельные попытки «показать про безопасность», но все они упирались в одно – деньги. Делать это на энтузиазме некому – студенты не тянут по уровню, а старикам не хватает времени.

Подкасты

Тут признаки жизни все же есть. Например, вот список от Андрея Прозорова по Подкастам.

  1. Securit13 Podcast (жив)
  2. Диалоги #поИБэ (1 год был в коме, обновился вчера на «модную тему» SOC – как будто других тем нету)
  3. Открытая безопасность (умер. Аркадий!!)
  4. Радио-Т (про ИТ)
  5. Noise Security Bit (скорее умер – 5 выпусков за прошлый год, причем 4 из них с января по апрель).
  6. Kaspersky Lab (про вирусы и не обновляется)
  7. 100% Virus Free Podcast (умер).

Итого 1 из 7. Есть еще «Квант Безопасности», где Евгений Бабицкий и Никита Ремезов пытаются обсуждать новости в два голоса. Но я про подкаст узнал случайно, потому что Никита упомянул меня в фейсбуке, а потом Евгений ринулся защищать PCI DSS. 24 выпуска за полгода – отличный результат. Но подкастер – это не спринтер, а марафонец.

Можно сказать, что и тут по нулям. Все обсуждают новости и всякие избитые темы, подхватывая что-нибудь модное, чтобы «быть в тренде».

Журналы

Журналов по информационной безопасности всегда было достаточно, штук 5 точно. Я и сам больше года печатался в «Information Security/Информационная безопасность». Есть и электронные журналы, и по подписке (например, «Проблемы информационной безопасности. Компьютерные системы»). Но у них всех две проблемы:

  1. «Кошмар Алексея Лукацкого». Это журналы, размещающие статьи в рекламных целях. Кто-то больше, кто-то меньше. У кого-то это завуалировано, а кто-то лупит в каждой фразе название своей компании или продукта. Как жбахнул кризис, так доля коммерческих материалов резко выросла.
  2. «Академичность». Пишутся как диссертации в миниатюре. С тоже структурой, тем же языком. На тысячи и тысячи знаков…

И знаете что? У нас нет ИБ-журналистики. У нас не задают острых вопросов, у нас на круглых столах все друг другу улыбаются, подтрунивая друг над другом в кулуарах. Все эти статьи пресны, как манка без сгущенки.

T_intro1

Блоги

Блоги вообще странно относить к СМИ. Блог — это личная площадка, где автор куражится в меру сил и способностей. Но именно блоги (твитеры, фейсбуки и т.п.), двигают все инфополе «по ИБ». У нас это удел каких-то одиночек, которые создают инфоповоды. Посмотрите на блог Алексей Лукацкого: даже такому титану шибко не о чем писать, если новостей нет. Отсюда значительное количество постов «по мотивам вчерашних твитов».

И комьюнити, которое хотя бы комментарии пишет, довольно небольшое. У Алексея на 20 последних постов в среднем 3,5 комментария. Это у топ1 блогера. Я думаю, есть большой пласт безопасников, которым некогда читать все подряд, чтобы найти интересное. А когда они попадают на конференцию, их ждет куча рекламы

Так и живем. Всего вам доброго.

 

Тайм-менеджмент, как секта

Давно обещал Андрею Прозорову рассказать, почему тайм-менеджмент – это вредная фикция, и даже лже-наука. Начнем чутка из далека. Последние две недели все стали активно писать о том, как развиваться безопаснику. Например, типичная статья: Александр Бондаренко пишет о том, как повышать компетенции.

Если почитать внимательней, то там приводится копипаста с исследованием Deloitte о компетенциях безопасника, а потом идут мысли Александра, как этого достичь. Список там просто божественный, никак у меня подсмотрели. :) Главная проблема всех этих списков, всех этих 5 шагов к успеху, 7 ступеней к счастью и т.п., в том, что они совершенно оторваны от жизни. Например, в статье выше навязываются четкие 4 роли, причем переход от Защитника к Советнику — это качественный переход в карьерном плане, а в статье говорится лишь о развитии навыков. Советник в западной культуре — это человек, получающий деньги за консультации по фиксированному прайсу (самый яркий пример у нас – нотариусы). Такого в безопасности нет. В наших реалиях роль Советника – это роль директора департамента или его зама. Там много спорного (например, ROI :)), сегодня не об этом.

Тайм-менеджмент - секта. Глеб АрхангельскийСегодня о тайм-менеджменте. Я честно изучал тайм-менеджмент и купил книжку Глеба Архангельского «Тайм-драйв» (еще в 2010 году). И это не работает.

Во-первых, о названии. Менеджмент все у нас переводят как управление. Верно. Только менеджмент – это управление людьми. Если быть точным, то тайм-менеджмент переводится как «управление людьми времени» (сюда же риск-менеджмент, комплайнс менеджмент и т.п.). Ни про каких людей в книге нет. Наоборот, это книга управляет вами.

Во-вторых, структура книги, сама форма подачи слизана с тренингов личностного роста и методик а-ля «Простой способ быть счастливым». Если вам 25 лет, и вы до сих пор не умеете организовать свою жизнь, книги вам не помогут. Там есть всего один способ, или смерть как профессионала. Что уж говорить про 30, 35 и далее лет.

Цитата:

  • Используйте «якоря» для настройки на различные задачи и отдых.
  • Применяйте «метод швейцарского сыра» при раскачке.
  • Ежедневно съедайте минимум одну «лягушку».

Срань господня, это что такое? А я вам отвечу: в этих трех предложениях сразу пять фишек, использующиеся лже-науками, бизнес-тренерами и тоталитарными сектами:

  1. Птичий язык. Больше обычных слов в специфическом понимании данного учения. После якоря я съел лягушку после швейцарского сыра. Посмотрите на НЛП, или соционику, или на гороскопы. Сходства очевидны.
  2. Как можно больше слов на птичьем языке. Чтобы у неофита создалось впечатление, что это круто и ему надо больше узнать. А точнее вбухать больше денег в книжки, семинары и встречи. По тайм-менеджменту проводят семинары! Куча потраченного времени, за которое можно было съесть кучу лягушек. И это по нескольку раз в неделю.
  3. Непроверяемость результатов. Я знаю 3 адептов тайм-менеджмента, они часто опаздывают и срывают дед-лайны. Вы никогда не узнаете, насколько «успешнее вы стали», потому что тайм-менеджмент это процесс, а важны лишь результаты (кстати, именно поэтому теория решения изобретательских задач (ТРИЗ) — чушь собачья).
  4. Гарантируемое счастье. Об этом прямо в книге и написано, начиная с 8 страницы. И эта книга — «программа-минимум» (с). А дальше как у сайентологов: пройди 12 ступеней, вложив миллионы долларов.
  5. Сакральность знания. «Мало кто знал о том, что еще в 1926 году существовала лига «Время», распространяющая передовые технологии управления временем: мало кто был знаком с богатой историей отечественного тайм-менеджмента». (с) Ну, тут все понятно, гороскопы уже 2000 лет делают – они как-то понадежней. Интересно, в 1926 году это тоже называли тайм-менеджментом?

В-третьих, это просто не работает. Чтобы следовать всем этим методам, надо потратить кучу времени на их воплощение. Я, например, выполняю обязанности пресейла, гипа и аккаунта. Я как-то пробовал посчитать, сколько звонков и писем я отправляю/получаю в день, забил на третий день – за три дня получилось 37,2 письма и 22,7 звонка. Если я каждый раз после звонка буду вносить коррективы по методу «неделя-месяц» — у меня рука устанет писать и зачеркивать.

time_mng2

Окей, мб это я плохой и не быстрый. Но это не работает даже в выборе приоритетов для задач. В книге есть слезный пример, как надо учить детей тайм-менеджменту. Например, определить отстающие предметы и заниматься по ним. Чушь собачья.

На второй вышке в курсе организационного поведения нам рассказали замечательную историю.

Жил был д.т.н. и был он несчастлив. Он долго маялся, а потом в 40 лет решил сменить вид деятельности. И стал дальнобойщиком. Оказалось, что ему нравилось ехать по дороге, а не бумажки перекладывать.

Тайм-менеджмент же нас подталкивает закрывать слабые стороны, а не развивать сильные. Вот Аркадий Прокудин периодически что-нибудь забывал, но это не помешало ему достичь успеха.

В сектах это распространенный примем – навязывание ложных целей, борьба с внутренним я в угоду гуру.

Например, я отвожу на написание поста в блог 1 час. Поэтому тут полно опечаток и ошибок. Но я знаю, что если тратить больше времени – результата будет всего на 10% лучше. Преодоление этого разрыва возможно лишь за деньги. В противоположность Андрей Прозоров или Алексей Лукацкий этим зарабатывают себе на жизнь.

Как итог. Тайм-менеджмент — сомнительная вещь, калечащая вашу жизнь, т.к. противоестественна для нашего мозга. Есть более простые техники, которые сделают вашу жизнь проще. Интересно? Напишите в комментариях, и это будет в одном из следующих постов.

Всего вам доброго.

Выбор вендора как первая любовь

Как выбрать вендора?Вдруг случилось, что вы работаете в интеграторе и занимаетесь пресейлом. Ну, мало ли, что в жизни бывает. По-простому, задача пресейла по информационной безопасности – понять, что необходимо заказчику, и дать решение.

Задачи могут быть самые разные, как и решения. Последние делятся на два больших класса – услуги (консалтинг) и «железо», куда входят программное обеспечение и программно-аппаратные комплексы различных вендоров. И если задача не решается консалтингом, надо подбирать какие-то решения от вендоров. О последних и поговорим.

Как выбирать вендора?

Как-то мы с Аркадием Прокудиным говорили о том, как вендоры обманывают (Аркадий, оказалось, свой сайт запилил – уважуха). Поэтому сегодня не об этом. Главная наша задача — выбрать, с какими вендорами работать, а с какими нет.

Вас найдут

Если вы начинающий пресейл, единственная информация, которая у вас будет – листовки и другая макулатура от вендоров. У меня как-то в плане прохождения испытательного срока в одном пункте так и было написано: «Изучение маркетинговых материалов».

Почитать, конечно, интересно. Но лучше пообщаться с вендором напрямую. Благо, вендоры очень отзывчивы и с завидной периодичностью будут к вам приезжать. На этих встречах вы познакомитесь с техническими специалистами и вашим партер-менеджером. Именно этому человеку вы будете задавать глупые вопросы по продуктам вендора, столбить сделки, выбивать скидки и многое еще что. Это крайне полезный человек, советую занести его номер в записную книжку.

Четыре главные вещи

Немного поднабравшись опыта, вы будете знать всех основных вендоров. С этого момента технические нюансы средств защиты информации конкретного вендора вас будут мало интересовать. Вы будете задавать вендору четыре вопроса:

  1. Кто ваши конкуренты?
  2. В чем принципиальное отличие от них?
  3. Сколько маржи?
  4. Как защищается сделка?

Первые два вопроса чисто технические. Главное — уяснить суть, все равно знать всего нельзя.

Вторые два прямо вам интересны. А можно ли на этом выполнить квоту? Тут целый зоопарк. Есть вендоры с огромным прайсом и маленькой скидкой (большие западные компании и специализированные отечественные). Есть с большой скидкой, но малым прайсом (квоту не сделаешь). Мои самые любимые – с адекватным прайсом и существенной скидкой.

Помню, как-то пришел к нам вендор А10 (я про него и не слышал). Они сразу сказали: мы такие же, как F5, только в 4 раза быстрее и в два раза дешевле. Вот это правильный разговор, сразу интересно послушать.

Последний вопрос самый главный. Насколько вендор защищает вашу поставку, если Заказчик выбрал именно это решение. Есть две основные защиты: вам дают плюс в скидку или не поставляют никому другому. Промежуточный вариант — вам дают вашу полную партнерскую скидку, а остальным минус 5% от прайс-листа

Первым балуются западные вендоры. Например, Check Point с радостью закрепит за вами сделку и даст дополнительные 10% скидки, но если у вас бронза или серебро, вас любой голдовый партнер вынесет с вашей защитой. Печалька. Но, видимо, у них и выбора нет.

Второе распространено у наших и у не сильно крупных западных вендоров. Тут все просто — поставить в этого заказчика эту спецификацию сможете только вы.

Моногамность

Как выбрать вендора?С кем и как взаимодействовать, выбираете вы. Мне близка позиция моновендорности, когда на каждую задачу у вас один вендор, максимум два. В этом случае вы знаете все плюсы и минусы решения, и плотно взаимодействуете с вендором. Вам дадут большие скидки и прочие плюшки.

А вот Аркадий был в плане вендоров полигамен. Он любил всех, и все любили его. Но проектов всегда меньше, чем вендоров, и потом мы засыпались в подтверждении всех статусов, что у нас были.

Ищите своих вендоров.
Всего вам доброго.

Пролез: Как обманывают вендоры. Опыт глазами интегратора.

Пролез: Открытая безопасностьНедавно мы обсудили тему «Как обманывают вендоры. Опыт глазами интегратора». Опытные технологические продавцы помогли мне раскрыть следующие ситуации:

Продажа функций, реально не существующих в продукте.

Откаты — как они могут помочь вендору

Как создается статистика

Как делаются конкурентные сравнения

Предоставление отчетов стат. агентств по нужным годам и группам

Рассказы о несуществующих внедрениях

Помощь вендора

Искусственное старение продукта

Продажа продукта под видом ПО, но на самом деле — это подписка на услуги со 100% стоимости продления.

Пролез: Оценка эффективности проектов по информационной безопасности в компании.

Пролез: Открытая безопасностьВ этой программе мы поговорим с Дмитрием Дудко на тему Оценки эффективности проводимых проектов ИБ в компании.

Зачем нужна оценка эффективности реализуемых проектов ИБ в компании?

Как посчитать эффективность работы отдела ИБ в компании?

Как сформировать правильные KPI?

Почему не рассчитывают в деньгах эффект от внедрения СЗИ?

Примеры необходимости количественной оценки.

Как лучше проводить оценку? Своими силами или внешними аудиторами?

Какие отрасли могут опираться на риски при планировании своих векторов развития в ИБ?

Пролез: ЗПД — Защита персональных данных, ФЗ152

Пролез: Открытая безопасностьВ четвертом выпуске программы мы обсуждаем Защиту персональных данных (ЗПД).
Темы, поднятые в подкасте:
1) История ЗПД в мире (Европа и США).
2) История ЗПД в России.
3) Что мы имеем сегодня в России?
4) Какие санкции за невыполнение требований ФЗ-152?
5) Опыт прохождения проверок Роскомнадзором.
6) Подводные камни в исполнении Российского законодательства в части ЗПД.
7) Какие грядут поправки и изменения?

На эти и другие вопросы мне помогли найти ответы старший аналитик компании Айти Кириллов Павел и руководитель проектов по защите информации компании Айти Дудко Дмитрий.

Пролез: НПС — Национальная платежная система

Пролез: Открытая безопасностьПодкаст посвящен информационной безопасности и защите информации. Обсуждаем интересные новости, события и даем рекомендации молодым специалистам.

Часть 2. НПС — что за зверь такой и как его защищать? На эти и другие вопросы мы попытались найти ответы вместе с Дмитрием Дудко, экспертом в области защиты персональных данных и Павлом Кирилловым, ведущим аналитиком компании Айти.