Архив метки: Блогосфера и сообщество

Сексизм в поИБе

Последние пару лет, стало модным говорить об увеличивающей роли женщин в ИТ вообще, и ИБ в частности. Помню несколько лет назад на CISO форуме сделали даже отдельную секцию для женщин. Было немного грустно, но красиво.

Надо сказать, что я нанимал женщин в безопасность, когда это еще не было мейнстримом, с 2010 года. А если просуммировать всех набранных, то количество принятых на работу мной женщин будет 44% (нечетное суммарное число). Почти все из них, достигали существенных результатов в профессии.

И все это время, почти, 10 лет, я вижу, как женщины в нашей поибэ сталкиваются с сексизмом по половому признаку. В подавляющем большинстве случаев девушки и женщины не воспринимаются в серьез. Безопасникам мужчинам приятно находиться в их обществе, но их слова и поступки в упор не воспринимаются в серьез. И такое сплошь и рядом. Два технических директора, которые не могут настроить спам фильтр, изошлись на какашки, что их обследовала девушка. Ее слова просто не воспринимались, но чудесным образом, специалист мужчина смог их прособеседовать.

Когда я учился в 2008 на аудитора ISO 27001, курс у нас читала чудесная девушка из Джетов. Она очень хотела стать сертифицированным аудитором BSI, и существенно раскрыла нам, мужикам, глаза на проблематику. А у нас в группе были сплошь начальники отделов крупных предприятий энергетического комплекса. Насколько я знаю, эта девушка превосходный эксперт.

И ведь нужна самая малость – воспринимать женщин, как равных, как специалистов. Не буду говорить о феминизме, сейчас это движение сильно замарано. Но пора уже избавиться от покровительственного пренебрежения.

Многие думаю, что я с какой-то издевкой наезжал на Юлию Омельченко или Варвару Шубину. Некоторые, даже пошли дальше, чувствуя себя рыцарями, обязанными защитить прекрасную даму.

Антон, именно потому, что я воспринимаю женщин, как равных, я готов вступить в открытую дискуссию. Возможно, ваше воспитание, предписывает вам защищать девочек. Как вы понимаете, тем самым вы становитесь сексистом. Я не знаю точно, но могу предположить, что для вас женщины слабы пол, который надо всячески оберегать и давать денег на маникюр. Но сейчас новое время, если девушка не просит о защите, значит она сама справиться. У нас достаточно сильных и самодостаточных женщин, не нуждающихся в защите в комментариях.

И да, в дискуссии с равным не позорно признать себя не правым. Но многим надо еще привыкнуть, что женщина может постоять за себя и со многим справиться самостоятельно.

Разумеется, у такого подхода есть и обратная сторона. Равное отношение, предписывает и равную отвественность. Никому не интересно вникать в «бабьи» разговоры и продажу косметики Амвея. Некоторые женщины, кстати, явно занимают позицию, я девочка с бантиками и рюшечками. И к ним нет вопросов. К счастью таких в нашей поибэ исчезающее меньшинство.

А на сегодня все, до новых встреч.

Знание, вера и инфоцыгане

Здравствуйте, здравствуйте, мои дорогие и любимые. А у меня есть для вас новые увлекательные истории. Но начнем по порядку.

В этот вторник позвонила мне уважаемая компания Мегафон. И говорит мне. Какой я уважаемый и любимый их клиент, как они ценят, что я пользуюсь их услугами и всячески хвалят. Как вы знаете я люблю, когда меня хвалят. Все любят, когда их хвалят, это всем известно. И так бодро хвалят, что предлагают только мне, только сейчас 300 минут в день бесплатно. Очень заманчивое предложение. И я уже мечтал, как буду тратить по 300 минут в день, но что-то меня сильно настораживало. И дальше пошли чудеса, то ли закон о рекламе, то ли внутренние правила какие, которые заставляют озвучивать все условия акции, но засада обнаружилась. А условия оказались простыми – 10 рублей в день, и супер-предложение, которое только для меня, станет реальностью. Выяснив, что предложение действует только на момент разговора, и вернуться к нему потом нельзя будет, я вежливо отказался. Ну, не выговариваю я текущий-то лимит, куда мне еще 9000 минут?

И потонула бы эта история всуе, если бы не одно обстоятельство. Я безопасник. А мы, безопасники, народ такой – должны лажу за версту чуять. Лажа она такая, вещь рисковая. Вот, сидит перед вами потенциальный нарушитель, и втирает вам какую-то дичь, а вы сомневаетесь. От отмазывается, а вы проверяете. Он думает, что соскочил, а вы его к стенке прижимаете. Сомнение во всем, суть профессиональной деформации любого безопасника.

Но сомнение это не главное. Необходима еще уверенность в своем сомнении. Думаю, вы замечали, что наш мир полон различных дихотомий. Добро и зло, черно и белое, инь и янь. Одна из ключевых — знание и вера. Каждое подобное деление влечет к себе своих адептов, и как люди, верующие стремятся к вере. Там есть свои пророки и воины чистого знания. И безопасники, безусловно, тяготеют к знанию. Мы просто не можем иначе. Как можно защитить что-то не до конца понимая, как это работает? Как можно что-то предотвратить, если вы не представляете и толики возможных вариантов? Нет, мы адепты чистого, бескомпромиссного знания, это очевидно.

Так откуда это знание взять? Где найти тот бьющий источник? А это уже индивидуальный путь каждого. Кто-то долго и упорно учиться. Кто-то имеет богатый практический опыт. Но чаще происходит смешение (но не взбалтывание), в тех или иных пропорциях. Можно сказать, что безопасник – это человек открытого ума, оценивающий все вокруг через профессиональную деформацию.

И тут как на зло – парочка примеров под нашу тематику.

Первый пример подкинул Алексей Лукацкий. Как только Алексей закончил с темой персональных данных, он начал активно развивать тему обучения. Вещь разумеется нужная и полезная. В начале Алексей решил не бросать тему – экономической эффективности, и запилил авторский курс в «Информзащите». К сожалению, попасть на курс не удалось, а видеозапись теперь купить на сайте нельзя. Но судя по учебному плану, Алексей все также читает тему из 2014 года. Что подводит нас к очень важному вопросу в образовании, а кто учитель?

Ведь, что мы ожидаем от учителя? Что он будет, как минимум компетентным в той области, о которой рассказывает. Что у него есть соответствующий практический, или на худой конец академический опыт. Это категория знания, когда человек может передать хотя бы свой опыт, не говоря уже о каких-то сакральных знаниях.

Есть ли у Алексея соответствующий опыт? Не известно, он про это ничего не говорил. Я был на нескольких курсах у Алексея (по персданным и 382-П), где выборочно зачитывались слайды из огромной презентации на все случаи жизни. Для первичного погружения в тему – сойдет, но уже неофиты найдут там мало полезного.

На волне успеха от курса, Алексей еще заделал свою сертификацию. И, возможно, это было сделано ради шутки, но происходила она из страшного посыла. Веры Алексея в полезность своей работы. А это очень мрачные вещи. Если вы интересовались методиками создания религиозных фанатиков или изучали/посещали тоталитарные секты, то вы знаете, что если человек верит, то его очень легко подтолкнуть в крайнюю степень фанатизма (бей неверных и т.п.). В этом нет никакой тайны, что человеком, безоговорочно верящим во что-то, очень легко манипулировать.

Например, Алексей предложил своим читателям, подтвердить свои знания в области ИБ сертификатом о чтении его блога. Супер. Чем больше сертификатов, тем лучше. Что ж поделаешь, если у нас так сложилось? Но лично меня не взяли на работу в «Информзащиту», когда я сказал, что читаю блог Лукацкого. Именно это стало причиной отказа.

Через это – мы плавно переходим к теме ответственности. Учителя перед учеником, и автора перед читателем. Ученик не может и не должен сомневаться в учителе до окончания обучения. И если ученика научили плохо, если читателю дают ложные посылы и иллюзии, то виноват учитель-автор.

Вторая история, как раз про это. Смотрел, я как-то фейсбучек. Смотрю, Варвара Шубина рассказывает про какую-то книжку. Ну, рассказывает и рассказывает. После серии материалов, я по совету Рустэма Ниловича, Джет-инфо не читаю. А с Варварой мы пересекались в обсуждении свастики на их обложке. Сошлись на том, что не любой пиар одинаково полезен.

И, вот, смотрю – а книжка какая-то странная. И у автора имя какое-то необычное — Ана Мавричева. Думаю, мб опечаталась, с кем не бывает. Я сам-то с ошибками пишу. Ан нет. Все оказалось гораздо глубже.

Не знаю, почему Варвара пиарит Мавричеву, мб потому что они с одного города. Или просто подруги, или тренинг купила, не знаю. Но, что Варвара крайне неразборчива в источниках, я запомнил еще с истории со свастиками. И написал – «Варвара, вы кажется пиарите инфоцыганку». Ведь, если человек пиарит обманщиков, то он уже сам, почти, обманщик. Особенно, если знал. Если добросовестно заблуждался, еще туда-сюда. Но если знал – зашквар.

Кто такие инфоцыгане? Если кратко, люди, называющие себя тренерами, и обучающие других за деньги тому, чего сами не умеют.

Инфоцыгане — это те, кто предлагают купить у них «авторские обучающие информационные продукты»: курсы, тренинги, марафоны, вебинары.

Они аргументируют свой заработок в интернете тем, что «хотят помогать и делиться с другими опытом», «нести пользу миру». Короче, белые мы и пушистые…

Подробнее

Т.е. если Алексей Лукацкий, хотя бы опытный человек в своем деле, как он говорит теоретик, то данные граждане в наглую обманывают своих клиентов. И, разумеется, у данной Аны, выявились все признаки инфоцыганки.

Прямо начиная с имени. Сколько у нас Анн? Много. А Ана – одна. Она об этом сама говорит, попросила поменять имя, когда получала гражданство РФ. В общем случился у Аны конфликт со мной. Ух, какие слова дипломированный тренер по публичным выступлениям использовала… как говориться, сапожник без сапог. Что-то мне совсем с девушками не везет, чуть что не скажу им, у них со мной конфликт. То Варвара, то Юлия Омельяненко, теперь еще и Ана. Грусть, печаль.

А с Аной Мавричевой мы условились так: я делаю разбор ее книжки (если найду) и деятельности, а она получает с меня бесплатную рекламу. Так же мы обратимся к экспертам по инфоцыганам на ютубе, где на Ану снимут разоблачительный ролик.

Если вы хотите ускорить подготовку материалов, то можете помочь, в том числе материально.

А на сегодня все, до новых встреч.

А где пруфы, Билли? Нам нужны пруфы

Золотое правило блогера гласит – пиши часто и много. Если ты блогер по машинам, пиши о том, как ты тестил машины, ездил на них, смотрел из окна дома, видел картинки в интернете и играл в машинке в детстве. Чем больше говоришь по теме, тем больше будут думать, что ты шаришь в теме. Бич каждого блогера – темы заканчиваются. И тогда приходит на помощь муза креатива, придумывается какой-нибудь фуфел и с треском разбивается в пух и прах.

Думаете я преувеличиваю? Давай рассмотрим свежий пример из нашей поибэ. Как вы знаете, главный эксперт отрасли – Алексей Лукацкий. Алексей человек широких взглядов и интересов. Особое внимание Алексей уделяет взаимоотношениям бизнеса и безопасников. О чем и пишет, в его, Алексея, понимании. Для иллюстрации своих тезисов, Алексей рассказывает истории. Вот, свежая.

SOC бесполезен, если он не может увязывать технические и бизнес-показатели

(оригинал)

…дзынь-дзынь-дзынь
— (Блин, ну кого еще в субботу в такую рань принесло? Почему я забыл включить «Не беспокоить» на телефоне?..)
— Да!
— Привет, Сергей! Это Иванов.
— Доброе утро, Степан Петрович! Что-то случилось?
— Да, случилось, Сергей! Вчера поздно закончился совет директоров. Мы стали получать меньше денег! Явно негативная динамика за последнюю неделю.

Т.е. о проблеме знали вчера вечером, а позвонили в субботу утром? В реальности, если какая проблема, Сергея дернули бы в пятницу, и он бы помчался из дома на работу. А еще вероятней, все потенциально необходимые люди задержались бы на работе, чтобы быстро дать пояснения/исправить проблему.

— Это плохо. А причем тут я? Я же отвечаю за кибербезопасность!

Реальный Сергей ответил бы «за безопасность» или «информационную безопасность». Хотел бы я посмотреть на компанию, где есть отдел кибербезопасности, и сколько у них отделов безопасности по чему-либо вообще.

— У нас не работают системы!

Если знают что не работает, или из-за чего – живые люди так и говорят.

— А причем тут я-то? Это надо обсуждать с департаментом продаж или, на крайний случай, с айтишниками. Зачем ты звонишь мне?

Алексей, вы в своем же тексте нарушили иерархию разговора. Если в начале это Степан Петрович, то почему здесь «ты»? Почему в начале тогда не было «херли ты с утра звонишь? Что случилось?»

— Нет, ты не понял. У нас не работают системы и это из-за тебя; то есть твоих бойцов!
— Не может такого быть. Но давай я проверю и перезвоню через 15 минут!

…прошло 15 минут

— Степан Петрович, это Сергей! Я дернул дежурную смена нашего SOCа — у них все зеленое. Все индикаторы в норме и так уже недели две. Это не может быть из-за нас.

Так все-таки Степан Петрович. В общем все признаки того, что история выдумана. Впрочем, ничего плохого в этом нет, мысленные эксперименты нужный инструмент.

— Хорошо, Сергей. Давай в понедельник часиков в 7 приходи — будем разбираться!..

— Хорошо, Степан Петрович! Буду в 7 утра в понедельник. Хороших выходных.

…ту-ту-ту-ту…

Блин, ты уже в субботу позвонил. Если дело срочное и компания работает 24/7 (есть дежурные смены), почему всех не дернули в выходной на работу? Судя по всему, Степан Петрович, тоже кому-то отчитывается, и его назначили главным по разбору ситуации. И это он должен в 9 утра отчитаться, о причинах и принятых мерах. Поэтому Сергей сейчас поднимает свою пятую точку и весь свой отдел и мчит на работу, что бы Степан Петрович владел всей информацией в понедельник утром.

Руководитель службы ИБ пытался долго заснуть, но не мог. В итоге он сорвался на работу, чтобы разобраться в ситуации и к утру понедельника иметь всю информацию для общения с генеральным директором.

Т.е. Степан Петрович генеральный директор… Сергей на него компромат что ли имеет, или родственник – что он ему тыкает?

Проверки всех ключевых показателей ничего не дали — доступность торговой Интернет-площадки была в пределах допустимого — 99,9%. Число мошеннических транзакций нулевое. Угроз e-mail тоже было немного — 0,02% и все были отбиты на шлюзе. IPS, NGFW, анализ Netflow, контроль доступа… Все в зеленых зонах. Что же случилось?..

Алексей очень любит вводить новые термины. Обычно говорят об отсутствии инцидентов или их малой критичности. Что такое «зеленая зона»? Тюрьма для пограничников?

— (А может это Миша, наш дорогой CIO, решил поквитаться за прошлый раз, когда я обвинил его в том, что вся сеть легла из-за него, а не из-за накрывшей нас эпидемии вредоноса? А может  это Васильна взхъелась из-за того, что мы ей перекрыли доступа на сайт знакомств? Ну а фигли, хоть и финдир, а надо соблюдать политики. С чего они вообще решили, что это мы виноваты и почему SOC за сотни миллионов рублей ничего не видит?)

Потому что надо было его покупать у Cisco?

…прошло два дня…
В понедельник к обеду выяснилось следующее:

За 10 минут недоступности торговой Интернет-площадки из-за DDoS-атаки отвалилась ключевая сделка, которая должна была принести компании 27% ее недельного дохода.

Вот, это поворот. Т.е. основной бизнес компании происходит в интернете. Ключевая площадка хостится в компании (ни резервной площадки, ни балансировки нагрузки), хорошо. Чем же можно заниматься, что на твоей торговой площадке могут за одну сделку сделать 27% дохода? Наверно, ты что-то продаешь. А т.к. ты тратишь «сотни миллионов» на SOC, продаешь ты через электронную площадку много и товар твой нужный.

Вопрос, что ж это за контр-агент такой, который отказался от сделки из-за 10 минутного ддоса? Если сделка ключевая, то ее долго готовили, а следовательно о проблеме было бы известно тот час же. Продажники бы сразу вой подняли, и уговорили бы клиента подождать или перенести сделку. Ни один покупатель не будет срывать покупку нужной ему вещи, т.к. он потратит больше времени на поиск аналога, согласование условий, заключение договора и т.п.

Система защиты e-mail посчитала за спам рассылки маркетингового департамента и клиенты перестали получать предложения с последующим снижением покупательской реакции. 12 тысяч сообщений «выброшено в пропасть» — покупательская активность снизилась.

Алексей, я понимаю, что защита от спама тема уже старая и обыденная. Но нельзя же так. Спам-системы в первую очередь направлены на отсев внешних писем. Обычно, внутри, 12 тысяч сообщений может дропунть smtp-релей, у которого может быть ограничение на количество писем в очереди. Но тогда бы это давно решили, ведь рассылка производится не в первый раз.

Допустим спам-защита смотрит внутрь, значит ее поставили недавно (иначе бы такой фейл выяснился бы давно). Следовательно, завалена опытная эксплуатация и приемка системы, т.к. департамент маркетинга, видимо, в них не участвовал, как один из главных пользователей ресурса.

Ну, и мерить покупательскую активность по почтовым рассылкам – это верх бизнес-показателей. Алексей, вы сами-то рассылки читаете от многочисленных банков, клиник и магазинов, что вам валятся в ящик? Там конвертируемость ниже 1%.

Антифрод не увидел ни одной мошеннической транзакции. Да и откуда? Стоящий на периметре WAF отсек 3% клиентов, даже не дав им разместить заказ.

Чего? Т.е. если WAF отсек? То инциденты должны быть на нем. Опять же вопрос – как принимали систему? Почему отсек? Что это за бизнес, где одна сделка приносит 27% дохода, бегают физики с заказами и соки на миллионы? Интернет-магазин? Не похоже.

Понятно, что Алексей хотел проиллюстрировать, как можно больше средств защиты, но получился конь в вакууме. Почему не написано, в чем была аномалия входа этих 3%?

Последней каплей стало внедрение скрипта, который высвечивал перед каждым посетителем сайта уведомление с прокруткой о необходимости получения согласия на обработку персональных данных в соответствие с ФЗ-152 и GDPR, с полным разъяснением всех последствий от осознанного принятия клиентом всех условий предоставления ПДн компании. Анализ показал, что время, за которое клиент теперь стал доходить до процесса заказа увеличилось на 47 секунд, что привело к оттоку еще 11% покупателей.

Рукалицо. Алексей, какие 47 секунд? Моя бабушка освоившая социальные сети, кликает на галочку секунд за 15. Если у нас GDPR, то мы в тренде со всем интернетом, которые тоже добавили подобную информацию. Получается, что пользователи, зайдя на сайт, уже привыкли к этому в других местах и просто не читают.

Покупатели не уходят, если товар им нужен (а как мы выяснили, у нас не обычный интернет-магазин).

Как видно, пример взят для запугайки с совершенно оторванными от жизни примерами. Потом люди читающие Алексея, придут в свои компании и начнут их пересказывать, а на них будут смотреть, как на блаженных. Итог – информационная безопасность все дальше от бизнеса.

Прискорбно то, что Алексей делает это постоянно. Началось все с «зарабатывающего 10 млн долларов любителя порно», где не хватало самой малости – конкретики.

Да, да, дорогой читатель – тех самых пруфов, которые соединяют историю с реальностью. Мы в ИБ очень бережно относимся к информации, мы не называем фамилий и организаций, когда рассказываем кейсы, но они тем не менее остаются реальными.

Реальную историю от вымысла отличает ряд вещей (если мы не можем назвать ФИО, должность, организацию):

  1. Очертить сферу применения. В фантазии Алексея выше, не понятно, что это за бизнес. Понамешано все в кучу. То, что актуально для ритейла, неактуально для телекома.
  2. Очертить взаимодействующие стороны. Что Степан Петрович генеральный директор, мы узнали под конец. А почему мы подставили какого-то Мишу, мы так и не узнаем.
  3. Очертить проблему. «Получаем меньше денег» это не проблема, как бы Алексею не хотелось. Это следствие (кстати, очень полезно различать, если вы хотите говорить с бизнесом). А, вот, причины этого могут быть всякие разные. У нас могла банально дебиторка вырасти, просто задерживают оплату. И еще миллион причин.
  4. Описать последствия. Ну, тут все понятно.
  5. Описать решение (по желанию).
  6. Уж точно, надо указывать подсистемы, которые не справились.
  7. Можно указывать вендоров и конкретные решения, которые справились.

Это те самые пруфы, которых очень не хватает в многочисленных историях, гуляющих в кулуарах многочисленных конференций. Из-за чего большинство из них напоминают анекдоты. Безопасники рассказывают их бизнесу с серьезными лицами, бизнес смеется. Сравните историю выше, с реальной историей.

А на сегодня все, до новых встреч.

Кто же господин N?

Всем, привет. Думаю, любой из нас любит детективы. Это, когда читая описание преступления, ты делаешь свои ставки и пытаешься угадать, кто убийца. Сегодня, я предлагаю вам такой детектив. Алексей Качалин в субботу закрутил знатную интригу, в которой я предлагаю вместе разобраться.

Алексей написал:

Кружочки-панталончики, в начале я подумал, что это про меня. Вот, вот, оно признание. Но, потом меня одолела депрессия, т.к. подхожу только по 1 пункту (это про истерики. Истерики я люблю). Поэтому предлагаю разобрать каждый из пунктов. В начале воспользуемся памятью и общим фоном в нашей поибэ. Как вы понимаете, вся информация взята из открытых источников, и является личным оценочным мнением автора.

Пункт 1

Эксперт #поИБэ N.: специалист по новым угрозам, блоггер, независисый аудитор, автор статей, бизнес-консультант, телеаналитик, визионер угроз и пророк по нормативке. И вот чтобы всё это успевать — он добавил ко всем этим титулам «Дерьмовый …».

Новые угрозы, у нас любят открывать все, кому не лень. Добавляем в шорт-лист:

  • Алексей Лукацкий
  • Рустэм Хайретдинов
  • Евгений Царев
  • Олег Седов
  • Владимир Безмалый (по выдвижению Михаила Апостолова).

Блогер – без изменений.

Независимый аудитор. Что-то не помню, что бы себя кто-нибудь так называл.

Автор статей – можно добавить еще десяток блогеров 2авторов статей2.

Бизнес-консультант – добавляем в шорт лист Дмитрия Манниникова, Алексей Лукацкий +1.

http://nbj.ru/calendar/2018/07/26/2753/

  • Алексей Лукацкий +1
  • Рустэм Хайретдинов
  • Евгений Царев
  • Олег Седов
  • Владимир Безмалый
  • Дмитрий Мананнинков +1

Телеаналитик, визионер угроз и пророк по нормативке – данные критерии не поддаются оценке, все участники шорт-листа были в телике, и любят говорить за нормативку.

 

Пункт 2

Эксперта N. никто не любит, но не потому что он истерит по никому не актуальным уязвимостям, втирает за выдуманные бизнес-эффекты от ИБ, раздувает опыт управления двумя колдырями до лучших мировых практик корпорэйт гавернанса и не потому что он везде форсит свое мнение такое же унылое как обязательные сэлфачи…
… а потому что всё это вместе.

Истерит – без оценки.

Никому не актуальные уязвимости – я, конечно, не всех блогеров читаю. Но зацепило, что написано именно уязвимости, а не риски или угрозы. Например, Безмалый пишет по рискам и угрозам. Про уязвимости, чаще всего читаю у Ильи Медведовского.

  • Алексей Лукацкий +1
  • Рустэм Хайретдинов
  • Евгений Царев
  • Олег Седов
  • Владимир Безмалый
  • Дмитрий Мананнинков +1
  • Илья Медведовский

Опыт управления двумя колдырями. Руководят у нас Хайретдинов, Седов, Мананников Медведовский.

  • Алексей Лукацкий +1
  • Рустэм Хайретдинов +1
  • евгений Царев
  • Олег Седов +1
  • Владимир Безмалый
  • Дмитрий Мананнинков +2
  • Илья Медведовский +1

Постит селфачи. Ну, тут многие отметились. Лукацкий, Хайретдинов, Мананников.

  • Алексей Лукацкий +2
  • Рустэм Хайретдинов +2
  • Евгений Царев
  • Олег Седов +1
  • Владимир Безмалый
  • Дмитрий Мананнинков +3
  • Илья Медведовский +1

 

Пункт 3

Если Эксперт N. попробует на практике хотя бы одну свою рекомендацию и не будет после этого уволен, то это никак не изменит того факта что N. — долбоящер.

Тут всего один пункт – про рекомендации. Рекомендации у нас любят Лукацкий, Хайретдинов, Царев, Седов.

  • Алексей Лукацкий +3
  • Рустэм Хайретдинов +3
  • Евгений Царев +1
  • Олег Седов +2
  • Владимир Безмалый
  • Дмитрий Мананнинков +3
  • Илья Медведовский +1

 

Пункт 4

Мало кто знает, что темы #поИБэ, особенно в изложении N., стали наконец пользоваться популярностью на неИБэшных конференциях. Кроме самого N…. он всем об этом рассказывает. Поэтому мало кто знает. Потому что N.

На неэбешные конфы у нас любит ходит Рустем Нилович.

  • Алексей Лукацкий +3
  • Рустэм Хайретдинов +4
  • Евгений Царев +1
  • Олег Седов +2
  • Владимир Безмалый
  • Дмитрий Мананнинков +3
  • Илья Медведовский +1

 

Пункт 5

Эксперт N. мастерски работает со слушателями на вебинарах. Ему и мама его вчегда это говорит.

Вебинары у нас последнее активно вел Рустем.

  • Алексей Лукацкий +3
  • Рустэм Хайретдинов +5
  • Евгений Царев +1
  • Олег Седов +2
  • Владимир Безмалый
  • Дмитрий Мананнинков +3
  • Илья Медведовский +1

 

Пункт 6

Презентации Эксперта N. все внимательно смотрят. Но не ту половину слайдов что хреново оформлена. И не ту где — котики с баянами из гартнера. А где Спасибо, Досвидания! Потому что ДОСВИДАНИЯ!!

Презентации с котиками и гартнером. Ох… скажем так, все любят.

 

Пункт 7

А ещё все согласны с идеей N. что тру-эксперт вообще мараться презами не должен. Только хардкор и плэйнтекст с кодом без разметки. Да в принципе с любой хренью N. на кофебрейке можно согласиться лишь бы он не начал свои ИБ-визионерские-теории толкать.

Самый странный пункт. «Плэйнтекст с кодом без разметки», даже не знаю, кто у нас код в презы вставляет…

 

Пункт 8

Будь как N. — на коне в прямом эфире по актуальной проблеме бушующей эпидемии шифровальщиков, а не как его обосравшийся топ-менеджмент.

По теме высказывались все, кому не лень. Так, что никому баллы добавлять не будем. А уж чей топ-менеджмент напутал, можно спорить до хрипоты.

 

Шорт-лист

Список у нас получился следующий:

  • Алексей Лукацкий +3
  • Рустэм Хайретдинов +5
  • Евгений Царев +1
  • Олег Седов +2
  • Владимир Безмалый
  • Дмитрий Мананнинков +3
  • Илья Медведовский +1

Выкидываем всех, у кого меньше 3 баллов.

  • Алексей Лукацкий +3
  • Рустэм Хайретдинов +5
  • Дмитрий Мананнинков +3

Исключаем Дмитрия, т.к. он работает в заказчике. И получаем шорт-лист:

  • Алексей Лукацкий +3
  • Рустэм Хайретдинов +5

 

Факт-чекинг

Начинаем пробивать факты, с первыми двумя пунктами все понятно. Руководил ли Алексей когда-нибудь отделом? Оказывается, да, руководил.

https://lukatsky.blogspot.com/2015/12/blog-post_9.html

Писал ли, кто-нибудь в последнее время про нормативку? Да, Алексей жестко прошелся по новым требованиям ЦБеще раз).

Итоговый счет:

  • Алексей Лукацкий +5
  • Рустэм Хайретдинов +5

 

Мотивация

А, теперь посмотрим, на мотив Алексея Качалина, что его могло спровоцировать на такое заявление. Оказывается, 22 августа было совместное мероприятие, где были оба наших кандидата. Вот, выдержка из пресс-релиза:

Куратор ПРОФИ Алексей Лукацкий отметил: «Роль безопасника меняется. Сегодня это не технарь, как это было раньше. Это человек, который объединяет в себе и знание бизнеса, и знание технологий, и знание организационных вещей, и, разумеется, управление рисками, и комплаенс, и юридическую составляющую». На Западе термин «CISO» постепенно исчезает, безопасники переходят либо в защиту процессов, либо в защиту бизнеса, и, соответственно, буква «I» в аббревиатуре постепенно исчезает.

Так открылись 2 дня учебы, в которых поместились 19 мастер-классов от звезд кибербезопасности и одни киберучения. К слову, в качестве учебных легенд для киберучений «главнокомандующий» Алексей Лукацкий отобрал 9 реальных кейсов из жизни крупных компаний. Шифровальщики на компьютере топ-менеджера и главного бухгалтера, проверка Роскомнадзора, а тут еще звонок журналистки с вопросом — «Правда ли вас взломали?»… и только 2 минуты, чтобы спасти мир! Это было очень непросто, но команды с задачами справились.

Как говориться выводы, делайте сами.

А я же хочу поблагодарить Алексея Качалина, за столь увлекательный квест, интрига, в котором держалась до самого конца. У нас было 7 претендентов, мы сократили до 2. Это успех.

А на сегодня все, до новых встреч.

То, чего у нас нет

Всем, привет. Лето заканчивается, и у всяких буйных, вроде меня, начинают роиться всякие разные мысли. До настоящей истерии, еще полмесяца, но надо уже готовиться.

 

И занесла меня нелегкая на внутренний тренинг Хабра. Слово за слово, и выяснилось, что на Хабре безопасники не сидят. Ну, во всяком случае «бумажные». А где про это почитать?  Куда податься? И, вот, я как истинный джедай решил найти такое место.  Уж куда не заходил, уж кого не пробовал читать и на каких платформах, исследование целое получилось. Спешу поделиться результатами.

 

Выводы

Для тех, кому лень читать – нет для безопасников удобной платформы для общения. А теперь к конкретике.

Условия

Что нужно для хорошего общения?

  • Первое, большая концентрация людей. Это и темы порождает разные, и движуху создает.
  • Второе, возможность постить, что-то интересное. Желательно, с минимальными возможностями оформления. Картинку там вставить, ненумерованный список сделать, цветом выделить.
  • Третье, удобство комментирования, чтобы виден был вопрос, ответ и ниже лежащая дискуссия.

По этим критериям и оценивал.

Facebook

Платформа с главной концентрацией безопасников. Если тебя нет на мордокниге, считай жизнь проходит мимо тебя. И это ужасно. Более неудобного инструмента еще поискать надо. Посты писать не удобно, больше одной картинки не вставишь, оформить нельзя. Если текст больше абзаца, то он скрывается под катом.

Тексты без картинок, в ленте трудно заметны.

Комментарии чудовищны, надо постараться, чтобы создать ветвь обсуждения. Один клик не туда, минута расслабленности, и ваш ответ улетел в самый низ.

Найти конкретное обсуждение по нужной теме – нереальная вещь.

Вообще не понятно, чего мы там все сидим? Мемасики друг другу перекидывать?

Форумы

С форумами другая проблема, их практически нет, а те, что есть – не подают признаков жизни. Да, есть форум на Банкире, но там больше про банки, чем про безопасность. Форум на Секлабе заброшен (на момент написания, ни одного поста в августе).

На форумах оформление присутствует, и комментировать вполне удобно, но форму для лонг-ридов, которые любит наша тусовка.

ЖЖ

Платформа, у которой все есть, но нет людей. Да, и время ее прошло.

ВКонтакт

См. мордокнигу, только это еще и для молодежи.

Хабр

Чудовищная пользовательская политика. Что бы писать нужен специальный инвайт, посты модерятся администрацией и пользователями, система кармы (я так чувствую мои бы посты всегда улетали в минус). Да, и Хабр не платформа для блогов (читай частых постов).

Твиттер, Телеграмм

Уж не знаю, кто там сидит, но для вдумчивого обсуждения чаты точно не подходят.

Личные блоги

Вылетают из-за малого охвата аудитории. Прикручивать к блогу форум – несколько наивно, обсуждать в комментариях? Если только предмет статьи.

Агрегаторы блогов

Могли бы быть, но обсуждение опять же только в комментариях по теме статьи.

 

Вот, и получается, что для безопасников нет какой-то удобной площадки. Как мне видится, это мог бы быть форум при каком-нибудь отраслевом издании. Или платформа вроде Хабра (без инвайтов и кармы), или ЖЖ с живыми людьми. А так… улыбаемся и машем.

Карьерный рост блогеров

Мысли вокруг этой заметки закрутились после локального, но не менее знакового события в нашем поибэ междусобойчике – Андрей Прозоров ушел из Solar. Событие это хорошее, подтверждающие давно наметившуюся тенденцию: блогеры рано или поздно уходят на повышение в крупные компании.

Как выбрать вендора?

 

Сложно сказать – просто так сложилось, или это была одна из целей ведения блога. Это не так уж и важно, главное результат. Блогеры востребованы, как специалисты.

Истории успеха (все по открытым источникам):

Блогер

Откуда ушел Куда перешел Должность

Статус блога

Алексей Волков ОА «Северсталь Менеджмент» Сбербанк Управляющий директор заморожен
Алексей Качалин Positive Technologies Сбербанк Исполнительный директор Центра Киберзащиты теплиться
Алексей Комаров   УЦСБ Самый главный в Москве активный
Алексей Лукацкий Информзащита Cisco Бизнес-консультант теплиться
Андрей Прозоров Solar Security RAOS Project Oy Менеджер по методологии ИБ не ясный
Аркадий Прокудин АйТи SAP Главный по ИБ заморожен
Евгений Царев Leta Открыл свое дело в судебной экспертизе Самый главный активный
Дмитрий Дудко АйТи   Ест дошираки не ясный
Сергей Борисов   РосИнтеграция Заместитель генерального директора активный

И это только верхушка айсберга.

Как видим, немногим более 20% блогеров совсем забрасывают блог. Я надеюсь, что положение не усугубиться. Т.к. в нашей поибэ уже читать совершенно некого, что крайне прискорбно. То ли кризис так влияет, то ли работы у всех прибавилось – не понятно.

Так что пожелаем нашей отрасли новых и ярких авторов, а то такими темпами мы скатимся в «каменный век» инфобеза, когда специалисты хранили у себя примеры политик ИБ других компаний и другую нормативку, а тренды передавались из уст в уста.

Не надо так.

ВУЗы и блогеры

Продолжение истории с шорт-листом ВУЗов поибэ. После того, как я ловко отбился от задачи с ВУЗами претендентов (ну, я так думал), наступила следующая фаза апокалипсиса. Меня включили в группу по оценке претендентов, а, следовательно, я теперь хожу на все собеседования и строю там из себя самого умного. А т.к. сказать мне шибко нечего, я сижу и наблюдаю. И подметил занятную тенденцию.

Но, в начале хотелось бы сказать, что абсолютно не важно, какой ВУЗ закончил человек. Я видел отличных программистов с журналистским образованием, хороших безопасников с геологическим. Если у человека есть голова на плечах, этого достаточно. А ВУЗ всего лишь рама для картины, она может быть красивой, но не затмит само полотно.

Тенденции

Провел я их уже штук 20. Т.к. вакансия начального уровня, шибко по скилам спрашивать нечего. Как учился, что интересно, чем хотел бы заниматься, что такое КЦД. И есть у нас один вопрос, из каких источников человек черпает информацию, что периодически просматривает, чтобы быть вкурсе.

Именно черпает, ибо книги по информационной безопасности уже давно все прочитаны, и там нового ничего нет. А, вот, источники новостей интересны. Статистика среди выпускников следующая (всего 20 человек):

  • Ничего не читаю/читаю законы – 15 человек
  • Блоги людей – 3 человека
  • Блоги компаний – 1 человек
  • SecLab – 1 человек

Всего 21, но один респондент читает и блоги людей и компаний.

Что сказать, ситуация крайне печальная. Студенты и выпускники совсем не охвачены коллективным бессознательным поибэ. Их, все еще мучают дилеммы и вопросы, которые мучали отрасль 10 и 15 лет назад. Может кто-нибудь подберет себе не охваченную аудиторию?

В блоги компаний попали Касперский и Инфовотч.

Те, кто смогли вспомнить хоть какие-то блоги в 100% случаев называли блог Алексея Лукацкого. И это особенно важно. Как бы Алексей не отнекивался, что пишет для домохозяек, он должен принять на себя ответственность перед своей аудиторией. Если уж он взрастил поколение безопасников от Лукацкого, то должен быть более нейтрален и объективен. А не как получилось с ЗПД, АСУТП и сейчас развивается в КИИ.

Кстати, выбор блога для специалиста поибэ – очень важен. Как только Алексей Лукацкий сузил тематику информационной безопасности, место оказалось вакантным (Андрей Прозоров не смог подхватить падающее знамя, там теперь другие проблемы). Лично я теперь читаю Валерия Комарова, по нормативке и реальному применению – самое-то.

 

И, вот, сижу я и думаю. Только все так плохо, или все очень хорошо… не определился, пока.

Хайпожор: BYOD

BYOD, или по-русски использование личных устройств для работы, с самого начала была чисто хайповой темой для срубания денег. BYOD рука об руку идет с мифом об эффективной надомной работе. Раз уж мы выгоняем сотрудников домой, то и давайте работать они будут на своих устройствах. Экономия во все поля, показатели взлетают до небес.

Ну, давайте думать, давайте разбираться.

По самой сути BYOD я писал еще в 2014 году. Тогда еще находились журналы, которые готовы были печатать независимое мнение по насущным проблемам отрасли. Что более удивительно, мою статью о BYOD пропустили, хотя она была, мягко скажем, не в тренде.

Как я тогда и говорил, BYOD идея не прошедшая испытание временем. Мало кто захотел вбухивать миллионы рублей, за экономию на копеечных ноутбуках. BYOD не взлетел.

Это же и подтверждает количество постов у топовых блогеров. Например, Алексей Лукацкий сделал 22 поста о BYOD: 3 в 2017 г., 5 в 2015 г. 6 в 2014 г. 14 постов за 4 года.

Не буду повторять аргументы из статьи, все они подтвердились. Посмотрим, как вендоры пытаются отбить свои вложения хоть на чем-то. В массовое сознание запускает мысль,что работа вне офиса эффективна и выгодна.

Посмотрим на эффективность. Флагманом тут выступал IBM, который выгнал сотрудников домой:

В 2009 году IBM в отчете с гордостью отмечала, что 40% из 386 тысяч сотрудников IBM в 173 странах вообще не имеют офиса. Компания продала многие офисные помещения, заработав почти $2 млрд. Кроме того, IBM предлагала свои консалтинговые услуги другим корпорациям, чтобы организовать такую же эффективную безофисную систему. Личный пример служил хорошей рекламой.

Мать моя женщина, 2 млрд сэкономили. Или почти 12000$ на человека (будем надеяться это в год), или 1000$ в месяц. Много это или мало? Сложно сказать. При доходе в 95 млрд в 2009 году, это составляет 2%. Неплохо.

Следовательно, вы получите выгоду тем меньше, во сколько раз вы меньше IBM.

Но в 2017 году IBM вернула своих сотрудников в офис. Что? Почему? Предположения совсем разные:

Издание предполагает, что изменения в IBM могут быть вызваны постоянным падением выручки в последние пять лет, а также не оправдавшимися ожиданиями по сокращению расходов за счёт экономии на офисах. Кроме того, многие крупные компании считают работу в офисах стимулом к повышению эффективности и IBM может быть частью этого тренда, полагают журналисты.

Там по ссылке много интересного. Оказывается, производительность бывает разная для сотрудников занятых в разных сферах. Если вы работаете интеллектуально, то надомная работа снизит вашу эффективность. Ну, а если вы оператор колл-центра или страховой агент, то, наоборот, повысит. Видимо, IBM, как компания, делающая ставку на технологии и прогресс, это поняла и решила признать свою ошибку. С эффективностью разобрались.

Теперь по поводу экономии. За счет сокращения аренды мы выигрываем – 2% от выручки. Еще сотые доли процента на экономии на электричестве и связи. Может еще столько же за счет экономии на рабочих станциях. Итого пускай будет 3% в дебете.

Теперь считаем кредит (расходы):

  • Доработка инфраструктуры;
  • Доработка бизнес-приложений;
  • Увеличение затрат на безопасность.

Цифры можно считать по-разному, но даже если они будут в 3 раза меньше, весь ваш выигрыш съедят за 3 года. Так еще и сотрудники будут чаще всего работать неэффективно…

В общем куда не кинь, всюду клин. BYOD забываем, как страшный сон. Если это не доступ к почте, конечно.

10 поленьев из 10.

Хайпожор: Обоснование затрат на информационную безопасность

Давно, давно я не писал про тренды в нашей поибэ. Если вы хотя бы пару лет крутитесь в нашей сфере, то могли заметить, что каждый квартала или парочку, появляется очередной модный тренд, о котором начинают говорить на каждом углу. Agile, UEBA, GRC, SOC, BYOD, искусственный интеллект и т.п.

Хедлайнерами каждой темы, разумеется, выступают топ-блогеры по информационной безопасности. По каждой теме есть множества материалы, и я решил провести некоторую ретроспективу трендов и что из них получилось. получилось ли из этого что-нибудь, или забылось, как позавчерашний хайп?

Начнем мы с экономической оценки.

 

Как обосновать затраты на информационную безопасность

Надо сказать, что я был приятно удивлен, что Алексей Лукацкий обратил внимание на данную тему. Я даже слушал трансляцию в прямом эфире, делая для себя пометки. Но вынужден был прерваться и решил дослушать когда-нибудь потом. Пометки я разумеется потерял, поэтому пришлось слушать заново. Поехали.


0:00 – Выступление «Как оценить вложение в ИБ?» Очень благодатная тема, надо слушать.

1:35 – Неосязаемость информационной безопасности дело такое, двоякое. По такой логике услуги врача тоже не осязаемы, если у вас ничего не болит. А когда заболит, тогда это будет «дорого, долго и…».

1:42 – Это у кого такое мнение? У руководства? У пользователей?

1:59 – Блокирование фбешечки и вообще контроль над пользователями, входит в топ-3 способов, как раз эти деньги бизнесу обосновать. Особенно бизнесу далекому от ИТ и ИБ. Cisco разумеется, таким способом не продать, поэтому это способ плохой-плохой.

2:22 – Хорошая работа ИБ, часто не видна – согласимся. Но тут необходимо разделять, что хорошая работа и отсутствие работы не видны одинаково. До первого грома, конечно. Кстати, интересный демагогический прием: если не видна работа хорошей ИБ, то как она таковой стала? Значит она уже обосновала свою значимость, выстроила СУИБ, и у нее все хорошо. И бизнес, кстати, понимает, зачем ему хорошая ИБ, иначе бы он ее такой не создавал. Зачем ей что-то кому-то обосновывать?

2:35 – Не «только», а «в том числе». Или просто, пока везет. Ведь, в примере Алексея, мы не можем оценить влияние хорошей ИБ.

2:52 – Стоп-стоп-стоп. Выделение средств, и были ли они «потрачены не зря» родственные, но разные задачи. Давайте не будем мешать все в одну кучу.

3:50 – Алексей, о какой целевой аудитории вы говорите все время? О подписчиках вашего блога? Или сотрудниках организации, где работает безопасник? Для задачи, которую вы поставили «оценка вложений в ИБ», а потом расширили «обоснование необходимости вложений», целевая аудитория одна – владелец бизнеса, или может быть чуть шире топ-менеджмент. И вы на голубом глазу заявляете, что может быть какой-то инцидент ИБ, который надо «рекламировать» владельцу бизнеса? Вы серьезно? Если инцидент серьезный, владелец бизнеса сам с вас спросит, как это произошло и как этого не допустить в будущем. Иногда, через 10 минут после того как узнает.

4:08 – Пока, не очень понятно, что Алексей подразумевает под «разговаривать с бизнесом о деньгах». Бизнес отлично считает, лучше нас, и риски для себя он видит лучше. Хорошо, если потенциальный ущерб оценен не только качественно (у нас украдут всю базу клиентов), но и количественно (на этом мы потеряем десять тысяч рублей). Но наша оценка может сильно расходиться с оценкой бизнеса (см. про DLP в ритейле). Но разумеется необходимо помочь, когда бизнес эту оценку произвести не может.

4:23 – Так «важная», «нужная» или «так принято». Прямо какое-то «да, нет, наверное».

4:26 – Прямо откровение за откровением. Заниматься безопасностью, чтобы было безопасно – это пять.

4:35 – Нам может не понравиться ответ на вопрос «а что мы делаем внутри организации», только в том случае, если мы занимаемся не своим делом или имеем интересы отличные от нашей сферы деятельности (в данном случае безопасности). Интересно, Алексей провел какой-то опрос среди безопасников, или проецирует с себя?

7:40 – «Если улучшение можно увидеть, его можно посчитать» (с). Я просто оставлю это здесь.

7:49 – Теперь у нас можно посчитать, качественную оценку… Наверно, раз критичная, два критичная.

8:15 – Апостол ИБ, постоянно перепрыгивает от какой-то целевой аудитории (они), к каким-то неопределенным нам (кто это? Безопасники?).

8:25 – Алексей, из всех определений ИБ, вы выбрали: «безопасность – обеспечение КЦД»? Вы серьезно? Это 2014 год, вы еще не ушли из множества рабочих групп, и сами над этими определениями работали. Может быть это был пример неудачной коммуникации, и вы покажите, как надо было? Ответ: нет.

9:01 – Финансовый Директор, которого волнует перевод капитальных затрата в операционные. Алексей, с таким уровнем понимания темы, лучше в оценку не лезть. Капитальные затраты, это когда мы что-то делаем новое (часто это очень дорого), но единовременно – строим дом, внедряем DLP и т.п. А операционные затраты – это периодические затраты, которые необходимы для нормальной работы. Капитальные затраты не могут перейти в операционные ни каким боком, если мы не строем/покупаем, а берем в лизинг/аренду – это сразу операционные расходы. Никакого перехода.

9:25 – «Улучшение финансовых показателей с помощью лизинга», золотой фонд цитат Алексея. Не буду много писать, интересно про финансовые показатели? Пишите в комментариях.

11:16 – Может быть Алексей и занимается безопасностью «потому что занимается безопасностью», но это плевок во всю отрасль. Так может говорить только человек, который пришел в отрасль, по иным причинам. Может быть тут лучше платят (буквально через 2 года, мы будем обсуждать размытие компетенций, в следствие популяризации темы ИБ), или хорошее место подвернулось и не хочется с него уходить.

11:27 – «Безопасность не нужна и не важна» (с) ЗФЦ Алексея. Думаю, уже после этого можно уже дальше не слушать, но продолжим.

11:40 – У Алексея, какое-то превратное представление о работе генерального директора. В его представлении, директор каждый день сидит и решает, на это дам деньги, на это нет. При том, что Алексей смешивает те самые капитальные (ИБ в контексте повествования) и операционные (картриджи, кофе, туалетная бумага) вложения. Алексей, если у компании нет денег на операционную деятельность, я вам гарантирую, информационная безопасность ее будет волновать в последнюю очередь.

12:08 – Ох, результаты в процессной деятельности… а безопасность — это бесконечный процесс, как например, забота о здоровье.

12:14 – Алексей, у меня для вас лайфхак, как снизить количество инцидентов: не сообщайте о них. А если, вас будут припирать фактами, все отрицайте. KPI взлетит до небес, и затраты нулевые.

15:13 – «Безопасность сама по себе, волнует только безопасников» (с) ЗФЦ. А, вот, интересно для кого Алексей это все рассказывает? Для безопасников? С такой позиций низвержения нас? Не похоже. Для бизнеса? Опять же нет. Такое ощущение, что Алексей пришел покрасоваться на очередную модную тему.

18:05 – Алексей, вы правда считаете, что показать эффект от 1 элемента сложнее (не важно положительный или отрицательный), чем от суммы многих? Само по себе это требует обоснования, т.к. все последующие примеры будут основаны на этих 2+2=4. Это только в математике. В физике уже приходится брать поправку на дефект массы, а в социологии не то, что 2+2, а даже 1+1 – это то ли будущая семья, то ли сговор с целью ограбления банка.

А вы основываете все свое выступление на том, что надо найти как можно больше элементов, спрятать там безопасность, чтобы было легче потом отбрехаться куда пропали деньги. Этот подход имеет место быть, но не в безопасности, и тем более оценке вложений в нее. Хотя для продажи Cisco под любым соусом, самое оно.

18:22 – Кто эти мифические мы, которые хотят поднять выручку от продаж? Отдел продаж? Или Алексей, предлагает безопасникам думать над проблемами, для которые есть специальные люди?

18:48 – Рост выручки: за счет увеличения числа клиентов, за счет увеличения числа сделок, за счет ускорения сделок, за счет снижения себестоимости оказания услуги.

Увеличение клиентов – понятный путь, но надо сразу говорить о цене привлечения новых клиентов. Она может быть такой высокой, что многие предпочитают работать с уже имеющимися.

Что такое увеличение числа сделок? Видимо, имеется ввиду в уже существующих клиентах (иначе, это вырожденный случай увеличения числа клиентов). Возможно, если у нас широкий ассортимент. Продали антивирус, а купите у нас еще и SIEM.

Что такое ускорение сделки? Чтобы она быстрее закрылась и мы получили деньги?

Снижение себестоимости. Такое… если, мы что-то производим, то от такого сокращения затрат, можем потерять в качестве, что в свою очередь может отпугнуть клиентов, что приведет к снижению выручки. Но идем дальше.

20:15 – Чем вынос точки продаж «в поля», отличается от найма представителей в примере выше?

21:50 – Пассажи «А давайте купим MDM, потому что это круто» сразу наводят на мысли, а Алексей хоть раз сам что-нибудь обосновывал? Или это личные мысли автора, как оно в реальности происходит. По такой логике, есть безопасники, которые хотят купить маршрутизаторы Cisco, обрабатывая информацию на локальных  АРМах. Понятно, что утрирование позволяет донести суть, но глупости совсем уж говорить не надо.

24:00 – Насколько я помню, чтобы получить доступ к интернет-банку, надо в офис в начале прийти. Договор заключить, доступ оформить. Алексей, как много общающийся с банками, не может этого не знать. Никакие 10000 клиентов в мобильном банке не появятся, прежде чем они не посетят обычный офис. Пример вводящий в заблуждение.

24:45 – Алексей, при коллективной работе, всегда найдется самый крайний, который будет за все отвечать. Ваши слова не соотносятся с реальностью, но в книжках так пишут, да.

25:45 – И огромное проседание в производительности работы и качестве. Даже в 2014 году, были уже исследования о сложности надомной работы. Что и показала последующая история в IBM с выселением и обратным заселение в офис сотрудников.

27:00 – Какой волшебный мир, в котором поставщики сами отслеживают наличие комплектующих у клиента. А что делать с поставщиками, которые затоварят склад? Больше поставили, больше получили. Мощности перенаправили на других клиентов. Вот, уж дыра в безопасности бизнеса, так дыра.

30:20 – Алексей, чем же вам так капитальные затраты не угодили? Уже который раз вы о них негативно отзываетесь. И в чем проблемы со списанием оборудования?

30:32 – Да, если сегодня взять в аренду, то сегодня это будет выгодно и финансовые показатели на высоте. Но на большом промежутке времени, аренда может стать дороже покупки. И тогда финансовые показатели улетят в трубу.

32:05 – Как интересно. Видимо, подразумевается, что если сотрудник не тратит час на дорогу он в это время работать будет?

32:33 – Бред какой-то. Алексей утверждает, что среднестатистический работник из 8 часов рабочих – 5,5 часов работает, а 2,5 стоит в пробке? Интересно, увидеть тех работодателей, которые такое позволяют. Я-то думал, как? В 9 на работу пришел, в 18 – ушел. А то, что ты там встал в 6 утра, чтобы доехать, так это твои трудности. В реальности Алексея, ты можешь спокойно постоять в пробке в рабочее время.

33:00 – Рукалицо.

35:00 – Видимо, речь идет только о командировках по переговорам. Если надо что-либо сделать, то тут уж никакой скайп не поможет.

40:00 – Алексей, я даже больше скажу, безопасность не относится ни к одной из перечисленных вами категорий.

41:00 – Алексей все время с таким надрывом говорит про понимание задач бизнеса, будто это что-то такое неведомое и сложное. Вот, выпустился студент, и пошел работать по тайному кодексу безопасников, все равно где и на кого, главное кодекс чтить:

  1. Никому не рассказывай про Кодекс.
  2. Никогда и никому не рассказывай про Кодекс.
  3. Скрывай цели безопасности.
  4. Безопасность нужна.
  5. Никому не говори, что ты делаешь и зачем.
  6. Бери все деньги, что выбьешь.

46:55 – Такие байки преподаватели первокурсникам рассказывают. Для должного эффекта в этой истории не хватает обязанностей этого сотрудника.

49:11 – Алексей, ничего это не значит. Люди сидят в соцсетях, когда у них нет текущих задач. И, о ужас, не сидят там, когда им надо срочно что-то сделать. И вы действительно думаете, что сотрудник задержится на работе, чтобы сделать то, что он не успел благодаря тому, что сидел в фейсбуке?

49:27 – Мотивация на труд с помощью доступа к фейсбуку? Алексей гробит свой талант в управлении персоналом.

52:50 – Ох, т.е. информация имеет стоимость. Отлично. Ее можно посчитать. Замечательно. Но результат зависит от того, кто будет считать… ну как так-то? У нас что квантовая теория? Нет. Как можно в правильном ряду исходить из таких чудовищных предпосылок? Алексей, задача решается, когда считает 1 человек.

53:00 – Что интересно, в лекции по оценке вложений, методики не называются. Хотя бы просто перечислили для интересующихся.

1:00:50 – Плохая черта спикера, не проговаривать то, что написано на слайдах. У нас же новая тема, и вроде как вхождение в тему…

1:03:50 – Как оказалось и на западе то ж особо репутацией не заморачиваются.

1:04:29 – Алексей, «отдача» и экономическая целесообразность, две разные вещи. И хорошо бы раскрывать термины, которые вы вводите, что такое «отдача»? Прибыль от проекта? Нет, прибыль она и в Африке прибыль. Экономическая целесообразность чуть-чуть сложнее описанной вами схемы затраты-возможные штрафы. В 2014 году могли и бизнес приостановить на 90 дней. «Отдачи» никакой, да.

1:07:02 – Потери бывают в разной форме (с) ЗФЦ. Алексей, если уж вы взялись говорить за экономику, то там есть прибыль и убыток. Никаких «потерь» там нет.  Убыток, может иметь множество причин (вы это называете «разной формой»), но всегда выражается в деньгах. Всегда. Все эти ваши простои, замены и т.п., это деньги. И их уже лет 100, как научились считать. Кстати, как и потери от инцидентов информационной безопасности.

1:09:26 – «Смерть пациента – это страховые выплаты и судебные издержки» (с) ЗФЦ

1:09:40 – Алексей, вы еще ничего не рассказали по теме оценки.

1:10:00 – Где ж Алексей видел бизнес, который бы отказывался от реального улучшения своей работы? Бизнес, который должен захотеть увидеть отдачу… Бизнес-консультант.

1:11:27 – Алексей, зачем городить высосанный из пальца пример? Если банк-клиент ломают и деньги утекают, если доказывается, что это именно в результате взлома, то банк несет прямые убытки (компенсации, исправление, прохождение проверок и т.п.). Так в любимом вами банковском секторе действуют. Прямой связи между взломом и уходом клиента нет. Наоборот, если банк все компенсировал – клиент останется, а убытки будут. Весь пример насмарку.

1:11:57 – Некоторая фальшь чувствуется от этой лекции.

1:12:08 – Алексей, ну, что вы? Какая уже оговорка по Фрейду? Все эти поверят нам, уверенность в себе и т.п. Экономика чудесна тем, что в ней есть циферки. Над циферками производятся математические действия (очень простые), которые дают воспроизводимый результат. Предмет дискуссии, лишь в исходном значении циферок, а не в результате. Уж, коль вы так боитесь, зачем разговор об этом завели?

1:12:17 – Как нам всем повезло. Нас принято держать, несмотря на то, что мы такие плохие. Надо ввести моду на ИБ среди топ-менеджеров. Как с чихуахуа или айфонами. У кого безопасник круче и красивей. А? Как идея?

1:13:07 – А у нас в «неумытой» России разумеется все по-другому. Все только на Западе работает, только. А надо-то всего лишь, оплату труда поменять.

1:14:48 – Посыл, что ИБ не обосновывается, потому что зарплаты маленькие – это даже не пять, это десять. А может быть просто решения от Cisco стоят неадекватных денег?

1:16:15 – А можно подробнее, какие методы уже были предложены?

1:16:31 – 30 методик о «оценке отдачи проектов по информационной безопасности»? О чем же тогда автор тут больше часа говорит? Сколько из них он применил? Какой результат получил? Что рекомендует использовать в тех или иных случаях? Нет. Просто почитал парочку, результата не получил, сказал не работает.

1:20:29 – Что такое 100% результат? Выход проекта в ноль? 100% прибыль на вложенные инвестиции? Нет ответа.

1:21:30 – Алексей, о чем же вы тогда говорили, почти, полтора часа? А, о том, как все сложно и безопасники сами в себе.

1:22:03 – А еще эффект масштаба, иногда, имеет обратный эффект. Когда из-за своего объема компания не может достичь запланированных выгод. Например, накладные расходы на перестройку процессов, могут длиться годами и съесть весь «запланированный» профит. Об этом, кстати, рассказывают даже студентам технарям. Но зачем нам такие тонкости.

1:22:17 – Алексей, в среднем рабочих дней в году 247 (в 2014, кстати, тоже). Фиг с ним, округлим до 250, чтобы считать было проще. Но откуда 260? Не думая скопипастили пример, и его презентуете? Глубокое уважение к аудитории. Почти, 5% съели.

1:23:10 – Алексей, хорошо, вы не курите и можете не знать, что перекуров может быть и 5, и 10 в день. Но ограничить бедных сотрудников 2 походами в туалет в день, это круто. А еще есть предусмотренные СанПиН, по работе за компьютером, предписывающий отдых (а, следовательно, блокировку компьютера), каждые 45 минут. Кстати, от этого ваш пример только выигрывает. Оценка будет за 10 млн часов.

1:23:50 – Алексей, ну, какая повторная регистрация через 60 секунд после первой ошибки? Вас с такими требованиями линчуют через неделю, никакие обоснования не помогут. Хотя понятно, почему вы ввели эту переменную, надо было показать больший выигрыш. Но не пришлось бы так сильно натягивать ужа на глобус, если бы в предыдущем параметре вы были бы более близки к реальности.

1:25:15 – Кстати, об эффекте масштаба. Для GM – 22 млн долларов, может быть и не такой большой суммой. Уж наверняка, реальный проект по управлению учетками там будет стоить огромных денег, за 100 млн точно. Озвученная сумма в сотни тысяч долларов на проект маловероятна, или считали только прямые расходы на лицензии, сервера и консультантов, или специально для пиару. Накладные расходы на перестройку процессов в такой огромной компании судя по всему не были учтены.

Допустим 100 ИС, 100 коннекторов по 1 млн рублей (это минимальный ценник в отечественных компаниях), поделим на курс в 2014 годы – уже получается 2,8 млн долларов. Плюс западные расценки, плюс стоимость внедрения исчисляемой в несколько трудолет, плюс командировки по всему миру на квартал другой, плюс стоимость лицензий, серверов и обучения. Думаю реально около 100 млн долларов и будет.

Плюс хинт: пока проект внедряется в убыток в 22 млн плюсуется в расходы. Проект 100 млн, внедряем 3 года, итого 160 млн. Если бы ничего не делали, этих денег хватило бы на 8 лет «обычных» убытков. Чем не расчет целесообразности?

1:27:15 – С джинсой за Cisco все понятно. Надо было пропиарить решение, пропиарили. Оговорки, что все сложнее не работают, см. выше про удаленную работу.

1:33:30 – «Безопасность – это неизбежное зло» (с) ЗФЦ

1:34:25 – Что такое «эффект» от ИТ проекта? Окупаемость? Польза? На каких проектах проводилось исследование? В каких компаниях? Если предположить, что под эффектом подразумевается окупаемость, то срок в 4-5 лет – вообще какой-то фантастически нереальный. Такой эксперт в оценке, как Алексей, должен знать, что за 4-5 лет ИТ системы уже 2-4 раза самортизируются и будут списаны. Их надо менять и обновлять. И еще множество и множество вопросов к данному заявлению. Факты все же необходимо чекать, хотя бы на банальное соответствие.

 

Итого

Алексей ЛукацкийПо прошествии лет, видно, что экономической оценкой занимаются только те, кто и занимался. Блогеры хайпанули и благополучно перескочили на других лошадей, а потом еще и еще. В дальнейшем мы увидим одну и туже картину, когда в качестве знамени будет водружаться та или иная неведомая вещь. Будет много воды, мало сути, отвлеченные примеры, и отсутствие личного опыта по теме. На ней будут усиленно пиариться, а потом забывать.

Будем считать этот уровень погружения за ноль, и дальше будем мерить по нему.

Сам Алексей данную тему никак дальше не развивал, подвижек в этом направлении в его блоге мне не удалось.

Алексей Лукацкий получает 10 поленьев из 10.

 

 

BIS Summit. Олег Седов. Рагнарек.

Здравствуйте, здравствуйте мои ненаглядные.  Очень давно мы не виделись. У меня для вас куча грустных новостей, сейчас расскажу по порядку.

BIS Summit 2017

Недавно сходил на BIS Summit 2017. Очень любил эту конференцию и был ее участником много лет. Застал еще ее проведение в Сокольниках. Был пионером в новом формате StandUp for StartUp в 2015. А в прошлом отхватил приз за кибербетал (еще раз огромное спасибо всем, кто за меня голосовал).

Все прекрасно понимают, что конференция чисто вендорская. Помню, как предки Солара получили маленький стендик и ни одного доклада в 2014. BIS Summit это огромная махина, которую очень долго строили. Но для меня, ее пик уже пройден и пошел спад.

Надо сказать, я очень хотел попасть на эту конференцию. В фебешечке прошла новость, что Дмитрий Мананников будет вести, целую секцию по измерениям в ИБ. И я сказал себе: «Огогошенки, ты должен там быть». Надо сказать, что нашему рандеву с Дмитрием всегда что-то мешало. Я никогда не был на его выступлениях, то я не приходил на второй день, как с CISO-форумом, то были срочные дела, и я сваливал до начала.

Привычно придя к гостинице Украина, я зарегистрировался и пошел смотреть конференцию. Техзону расширили, увидел и пообщался с Андреем Янкиным. Узнал расценки RuSIEM. Попил кофе. И… все.

Первая половина дня была точной копией прошлого года, а та в свою очередь позапрошлого. Отсутствие альтернативных секций в первой половине дня, вгоняет в отчаяние. Больше половины участников слонялось в фойе и техзоне, ходило курить и мечтало об обеде.

В это время гуру поибэ, развлекали сами себя на сцене. Какие-то шутки и намеки понятные лишь их узкому кругу. Алексей Лукацкий опять отметился (цитата по памяти): безопасник, который прикрывается (в разговорах с бизнесом) документами регулятора, должен получать там (у регулятора) зарплату. Взял со сцены и засрал всех безопасников. Хорошо, что всем к этому моменту было так пофиг, что его никто не слушал. И стоят, о чем-то с Олегом Седовым перешучиваются…

Куча иностранных спикеров. Мб это и поднимает статус конференции, но сколько можно лить из пустого в порожнее? Они же были в прошлом году.

В общем, кое-как досидел до обеда. Выстроилась очередь, все стали потихоньку кушать. Как всегда нашлись невоспитанные люди, которые решили организовать очередь с другого конца стола раздачи двигаясь на встречу основному потоку. Разумеется, возникла давка. Разумеется, некоторые простояли в очереди 2/3 обеда. А уж о мразях, которые лезли без очереди, и говорить не хочется. Они были, и мы все их ненавидели.

И, вот, я на секции, где должен был выступать Дмитрий. Оказалось, что Мананников лишь читает доклад. Ну, тут я наверно не так понял, оки. Разочарование наступило с первых минут. Рассказывать с пафосом о выписывании «идеальных» бизнес-процессов, а потом контролировать «отклонения» от них – это за гранью добра и зла. Во всяком случае, в 2017 году. Этакий пересказ вводных лекций по BPM (business process management, управление бизнес-процессами). И я понял, что это всего лишь пиар на новой теме. Ведь неважно на чем пиариться, главное делать это регулярно. До этого был аджайл, потом уеба. Где они сейчас? Забыли тему. А уж в нашей отрасли пиариться можно на чем угодно, берешь любую тему, добавляешь туда безопасность, профит.

А уж когда Дмитрий заговорил о безопасниках изменяющих бизнес-процессы, я встал и ушел. Безопасники изменяющие бизнес-процессы Мананникова, это где-то рядом с безопасниками предлагающими «byod, потому что электричество сэкономим» Лукацкого. Будем ждать, когда Дмитрий придумает, как прикрутить «безопасность» к адаптивным бизнес-процессам.

«Машинное обучение с 5% ошибок» Дмитрия, примерно туда же. Когда Дмитрий расскажет о внедренном им дереве решений (не говоря уже о нейронной сети) у себя в безопасности, тогда можно будет всерьез обсуждать эту цифру.

В общем, еще немного проведя времени, поехал пить пиво.

Наверно, это последнее мое посещение BIS Summit. Конференция из года в год повторяет себя. Пленарные части вводят в сон. Независимые спикеры и представители вендоров занимаются джинсой и пиаром. Единственным светлым пятном был Олег Бакшинский, который вместо урагана маркетинга от IBM наглядно рассказал об автоматизации и ее текущем уровне. Какие там 5%? До автоматизации добраться бы.

Тратить целый день, ради пары докладов – нерационально. Так что, до свидания BIS Summit.

 

Олег Седов

Как обычно бывает после конференций, все обсуждение переходит в комьюнити. Пишутся посты в блогах, в фебешечке даются отчеты, строчат комментарии – жизнь кипит. Кидают мне ссылку, где какое-то огромное обсуждение, как все круто прошло. Комментариев под 100. И, вдруг, все скатилось к обсуждению моей скромной персоны. Вылезает Олег Седов и кроет меня последними словами. Как я понимаю, Олег не принадлежит к тусовке гуру, так, около плавающий, но отчаянно туда хочет.

Олег Седов — это главный редактор BISA, которая и организует BIS Summit. Олег, самый высокооплачиваемый главный редактор в нашей отрасли, а может быть и во всем ИТ. Человек это влиятельный и серьезный.

Пересекались мы с ним по работе над Кибербаталиями. Год был очень сложный, из команды пиарщиков работодателя Олега только что ушла главная звезда, и упорно ходили слухи, что Олег может и уйти. Что бы ответить на вызовам времени, были придуманы Кибербаталии. Меня туда позвали по итогу работы над секцией StandUp for StartUp.

Суть мероприятия простая, участвуют два спикера, обсуждая злободневные темы, а зрители голосуют. Мне была поставлена Олегом задача – делать шоу. Под этим понималось оппонирование по банальным вопросам. Т.е. когда вопрос ставиться – надо ли чистить зубы, я должен был усираться, что это делать вредно и совсем не нужно.

Надо сказать, что Олег человек очень своеобразный. Например, тема моей первой битвы была изменена за пару дней. Изначально она звучала «Появляются ли новые риски информационной безопасности?» (точное название не помню) и вдруг стала «Возможно ли доверить безопасность бизнеса роботам?»

Почему роботы? Зачем тут они? В итоге мы с коллегой оттарабанили все по рискам, не коснувшись роботов чуть менее чем никак. Олег вообще любит две темы – роботов и падение компетенций. И лепит их везде, где успеет.

Надо сказать, что формат был выбран крайне странно. В комьюнити, где ни у кого нет времени что-то слушать онлайн в течение пары часов, затевать словесные соревнования – контрпродуктивно. В итоге, прямо по ходу поменяли систему голосования, вместо голосования по раундам, сделали общее. В итоге все голосовали в первые 5 минут и уходили.

Со вторым боем вообще вышел анекдот. С легкой руки Олега форсился конфликт Solar vs Дудко. Понятно, что в такой ситуации у меня не было шансов. Начиная с темы. Была выбрана тема «Как выглядит будущее ИБ-вендоров?» с такими вопросами:

  • Все чаще ИБ-вендор реализует проекты самостоятельно. В чем плюсы и минусы смещения в сторону внедрения собственными силами?
  • В поведении ИБ-вендора все чаще прослеживается желание усидеть на нескольких стульях, увеличивая перечень предлагаемых им продуктов. В чем причины подобных решений? Какие плюсы и минусы от количества «стульев», на которых им хочется удержаться?
  • Каким образом расширение продуктовой линейки ИБ-вендора влияет на качество продуктов, сервисов и поддержки?
  • Каким образом объем рынка ИБ зависит от качества предлагаемых продуктов?
  • Как выглядит нефункциональная конкуренция между вендорами?

Если вы вендор, то для вас ответы на них будут однозначными. Мы с Эльманом сходились по 3 из 5 вопросов. Но шоу же не будет, если все будут друг с другом соглашаться. И мне была распределена задача — оппонента очевидным вещам. Потом, благодаря системе голосования я в первые три минуты получил минус 50 голосов, и стал делать шоу оставшимся 30 слушателям.

Уж не знаю, как там было дальше. Но на мероприятии Infowatch, выиграл их основной конкурент :). Маркетинговый прорыв, обернулся серьезным провалом. Ох, как там пригорало. Я получил приз зрительских симпатий.

 

Олег хочу тебе сказать следующее. Твои методы плохо пахнут, желание подняться на костях других – чаще всего оборачивается провалом. Все, что ты хотел мне сказать, у тебя была возможность сказать лично. Ты выбрал другой путь. Твои инициативы вторичны и не проработаны. Как пиар и маркетинговый инструмент, BISA пребывает в забвении. Туда, кроме тебя и пары блогеров, которые копипастят свои материалы до кучи, никого нет. Оставайся со своими грезами о роботах и компетенциях. Теперь у тебя есть все основания официально «дружить против». Пока.

 

Рагнарек

Дорогие друзья, как вы видите, у меня бомбило больше месяца. Я аж кушать не мог. Посмотрел я на BIS Summit вокруг, и так стало тоскливо. И пусть уважаемые люди на рынке не признают, что у нас человек человеку волк, но это так. Такой концентрации ненависти и зависти, как в этом году в Техзоне – я давно не видел.

Все это до крайности грустно и печально. Комьюнити наше загнило окончательно. Причина благая. Люди находят работу и забивают на всю эту мишуру в фейсбуке и срачи в комментариях. Уже несколько блогеров тихо и мирно ушли в тень. Теперь там тихий междусобойчик – кукушка хвалит петуха за то, что хвалит он кукушку. Участвовать в этом смысла не вижу, а поэтому закрываю тематику информационной безопасности.

Уже пять лет я занимаюсь исследованиями в области измерения риска и угроз. Информационной безопасностью не занимаюсь 2 года, только наблюдаю. Так что о ней писать? Буду писать про насущное и об окружающем. Разумеется доведу до конца цикл про пресейл и «почему в ИБ полная ж…», но на этом все.

В общем, думаю никто не расстроиться, а в определенной группе так вообще праздник будет. :)

Пока-пока.