BYOD, или по-русски использование личных устройств для работы, с самого начала была чисто хайповой темой для срубания денег. BYOD рука об руку идет с мифом об эффективной надомной работе. Раз уж мы выгоняем сотрудников домой, то и давайте работать они будут на своих устройствах. Экономия во все поля, показатели взлетают до небес.
Ну, давайте думать, давайте разбираться.
По самой сути BYOD я писал еще в 2014 году. Тогда еще находились журналы, которые готовы были печатать независимое мнение по насущным проблемам отрасли. Что более удивительно, мою статью о BYOD пропустили, хотя она была, мягко скажем, не в тренде.
Как я тогда и говорил, BYOD — идея, не прошедшая испытание временем. Мало кто захотел вбухивать миллионы рублей за экономию на копеечных ноутбуках. BYOD не взлетел.
Это же и подтверждает количество постов у топовых блогеров. Например, Алексей Лукацкий сделал 22 поста о BYOD: 3 в 2017 г., 5 в 2015 г. 6 в 2014 г. 14 постов за 4 года.
Не буду повторять аргументы из статьи, все они подтвердились. Посмотрим, как вендоры пытаются отбить свои вложения хоть на чем-то. В массовое сознание запускает мысль, что работа вне офиса эффективна и выгодна.
Посмотрим на эффективность. Флагманом тут выступал IBM, который выгнал сотрудников домой:
В 2009 году IBM в отчете с гордостью отмечала, что 40% из 386 тысяч сотрудников IBM в 173 странах вообще не имеют офиса. Компания продала многие офисные помещения, заработав почти $2 млрд. Кроме того, IBM предлагала свои консалтинговые услуги другим корпорациям, чтобы организовать такую же эффективную безофисную систему. Личный пример служил хорошей рекламой.
Мать моя женщина, 2 млрд сэкономили. Или почти 12000$ на человека (будем надеяться это в год), или 1000$ в месяц. Много это или мало? Сложно сказать. При доходе в 95 млрд в 2009 году это составляет 2%. Неплохо.
Следовательно, вы получите выгоду тем меньше, во сколько раз вы меньше IBM.
Издание предполагает, что изменения в IBM могут быть вызваны постоянным падением выручки в последние пять лет, а также не оправдавшимися ожиданиями по сокращению расходов за счёт экономии на офисах. Кроме того, многие крупные компании считают работу в офисах стимулом к повышению эффективности и IBM может быть частью этого тренда, полагают журналисты.
Там по ссылке много интересного. Оказывается, производительность бывает разная для сотрудников, занятых в разных сферах. Если вы работаете интеллектуально, то надомная работа снизит вашу эффективность. А если вы оператор колл-центра или страховой агент, то, наоборот, повысит. Видимо, IBM, как компания, делающая ставку на технологии и прогресс, это поняла и решила признать свою ошибку. С эффективностью разобрались.
Теперь по поводу экономии. За счет сокращения аренды мы выигрываем 2% от выручки. Еще сотые доли процента на экономии на электричестве и связи. Может еще столько же за счет экономии на рабочих станциях. Итого пускай будет 3% в дебете.
Теперь считаем кредит (расходы):
Доработка инфраструктуры;
Доработка бизнес-приложений;
Увеличение затрат на безопасность.
Цифры можно считать по-разному, но даже если они будут в 3 раза меньше, весь ваш выигрыш съедят за 3 года. Так еще и сотрудники будут чаще всего работать неэффективно…
В итоге, куда не кинь, всюду клин. BYOD забываем, как страшный сон. Если это не доступ к почте, конечно.
Давно, давно я не писал про тренды в нашей ибэ. Если вы хотя бы пару лет крутитесь в нашей сфере, то могли заметить, что каждый квартал появляется очередной модный тренд, о котором начинают говорить на каждом углу. Agile, UEBA, GRC, SOC, BYOD, искусственный интеллект и т.п.
Хедлайнерами каждой темы, разумеется, выступают топ-блогеры по информационной безопасности. По каждой теме есть множество материалов, и я решил провести некоторую ретроспективу трендов: получилось ли из этого что-нибудь, или забылось, как позавчерашний хайп?
Начнем мы с экономической оценки.
Как обосновать затраты на информационную безопасность
Надо сказать, что я был приятно удивлен, что Алексей Лукацкий обратил внимание на данную тему. Я даже слушал трансляцию в прямом эфире, делая для себя пометки. Но вынужден был прерваться и решил дослушать когда-нибудь потом. Пометки я разумеется потерял, поэтому пришлось слушать заново. Поехали.
0:00 – Выступление «Как оценить вложение в ИБ?» Очень благодатная тема, надо слушать.
1:35 – Неосязаемость информационной безопасности дело такое, двоякое. По такой логике услуги врача тоже не осязаемы, если у вас ничего не болит. А когда заболит, тогда это будет «дорого, долго и…».
1:42 – Это у кого такое мнение? У руководства? У пользователей?
1:59 – Блокирование фбешечки и вообще контроль над пользователями входит в топ-3 способов, как эти деньги бизнесу обосновать. Особенно бизнесу, далекому от ИТ и ИБ. Cisco, разумеется, таким способом не продать, поэтому это способ плохой-плохой.
2:22 – Хорошая работа ИБ часто не видна – согласимся. Но тут необходимо разделять, что хорошая работа и отсутствие работы не видны одинаково. До первого грома, конечно. Кстати, интересный демагогический прием: если не видна работа хорошей ИБ, то как она таковой стала? Значит она уже обосновала свою значимость, выстроила СУИБ, и у нее все хорошо. И бизнес, кстати, понимает, зачем ему хорошая ИБ, иначе бы он ее такой не создавал. Зачем ей что-то кому-то обосновывать?
2:35 – Не «только», а «в том числе». Или просто пока везет. Ведь в примере Алексея мы не можем оценить влияние хорошей ИБ.
2:52 – Стоп-стоп-стоп. Выделение средств и были ли они «потрачены не зря» — родственные, но разные задачи. Давайте не будем мешать все в одну кучу.
3:50 – Алексей, о какой целевой аудитории вы говорите все время? О подписчиках вашего блога? Или сотрудниках организации, где работает безопасник? Для задачи, которую вы поставили («оценка вложений в ИБ»), а потом расширили («обоснование необходимости вложений»), целевая аудитория одна – владелец бизнеса, или, может быть, чуть шире — топ-менеджмент. И вы говорите, что может быть какой-то инцидент ИБ, который надо «рекламировать» владельцу бизнеса? Вы серьезно? Если инцидент серьезный, владелец бизнеса сам с вас спросит, как это произошло и как этого не допустить в будущем. Иногда через 10 минут после того, как узнает.
4:08 – Пока не очень понятно, что Алексей подразумевает под «разговаривать с бизнесом о деньгах». Бизнес отлично считает, лучше нас, и риски для себя он видит лучше. Хорошо, если потенциальный ущерб оценен не только качественно (у нас украдут всю базу клиентов), но и количественно (на этом мы потеряем десять тысяч рублей). Но наша оценка может сильно расходится с оценкой бизнеса (см. про DLP в ритейле). Но, разумеется, необходимо помочь, когда бизнес эту оценку произвести не может.
4:23 – Так «важная», «нужная» или «так принято». Прямо какое-то «да, нет, наверное».
4:26 – Прямо откровение за откровением. Заниматься безопасностью, чтобы было безопасно – это пять.
4:35 – Нам может не понравиться ответ на вопрос «а что мы делаем внутри организации» только в том случае, если мы занимаемся не своим делом или имеем интересы, отличные от нашей сферы деятельности (в данном случае безопасности). Интересно, Алексей провел какой-то опрос среди безопасников или проецирует с себя?
7:40 – «Если улучшение можно увидеть, его можно посчитать» (с). Я просто оставлю это здесь.
7:49 – Теперь у нас можно посчитать качественную оценку… Наверно, раз критичная, два критичная.
8:15 – Апостол ИБ постоянно перепрыгивает от какой-то целевой аудитории (они) к каким-то неопределенным нам (кто это? Безопасники?).
8:25 – Алексей, из всех определений ИБ вы выбрали: «безопасность – обеспечение КЦД»? Вы серьезно? Это 2014 год, вы еще не ушли из множества рабочих групп, и сами над этими определениями работали. Может быть, это был пример неудачной коммуникации, и вы покажете, как надо было? Ответ: нет.
9:01 – Финансовый Директор, которого волнует перевод капитальных затрат в операционные. Алексей, с таким уровнем понимания темы лучше в оценку не лезть. Капитальные затраты — это когда мы что-то делаем новое (часто это очень дорого), но единовременно – строим дом, внедряем DLP и т.п. А операционные затраты – это периодические затраты, которые необходимы для нормальной работы. Капитальные затраты не могут перейти в операционные никаким боком, если мы не строим/покупаем, а берем в лизинг/аренду – это сразу операционные расходы. Никакого перехода.
9:25 – «Улучшение финансовых показателей с помощью лизинга» — золотой фонд цитат Алексея. Не буду много писать, интересно про финансовые показатели? Пишите в комментариях.
11:16 – Может быть Алексей и занимается безопасностью «потому что занимается безопасностью», но это плевок во всю отрасль. Так может говорить только человек, который пришел в отрасль по иным причинам. Может быть, тут лучше платят (буквально через 2 года мы будем обсуждать размытие компетенций вследствие популяризации темы ИБ), или хорошее место подвернулось и не хочется с него уходить.
11:27 – «Безопасность не нужна и не важна» (с) ЗФЦ Алексея. Думаю, уже после этого можно уже дальше не слушать, но продолжим.
11:40 – У Алексея какое-то превратное представление о работе генерального директора. В его представлении, директор каждый день сидит и решает, на это дам деньги, на это нет. При том, что Алексей смешивает те самые капитальные (ИБ в контексте повествования) и операционные (картриджи, кофе, туалетная бумага) вложения. Алексей, если у компании нет денег на операционную деятельность, я вам гарантирую, информационная безопасность ее будет волновать в последнюю очередь.
12:08 – Ох, результаты в процессной деятельности… а безопасность — это бесконечный процесс, как например, забота о здоровье.
12:14 – Алексей, у меня для вас лайфхак, как снизить количество инцидентов: не сообщайте о них. А если вас будут припирать фактами, все отрицайте. KPI взлетит до небес, и затраты нулевые.
15:13 – «Безопасность сама по себе волнует только безопасников» (с) ЗФЦ. А вот интересно, для кого Алексей это все рассказывает? Для безопасников? С такой позиций низвержения нас? Не похоже. Для бизнеса? Опять же нет. Такое ощущение, что Алексей пришел покрасоваться на очередную модную тему.
18:05 – Алексей, вы правда считаете, что показать эффект от 1 элемента сложнее (не важно, положительный или отрицательный), чем от суммы многих? Само по себе это требует обоснования, т.к. все последующие примеры будут основаны на этих 2+2=4. Это только в математике. В физике уже приходится брать поправку на дефект массы, а в социологии не то, что 2+2, а даже 1+1 – это то ли будущая семья, то ли сговор с целью ограбления банка.
А вы основываете все свое выступление на том, что надо найти как можно больше элементов, спрятать там безопасность, чтобы было легче потом отбрехаться, куда пропали деньги. Этот подход имеет место быть, но не в безопасности, и тем более оценке вложений в нее. Хотя для продажи Cisco под любым соусом самое оно.
18:22 – Кто эти мифические мы, которые хотят поднять выручку от продаж? Отдел продаж? Или Алексей предлагает безопасникам думать над проблемами, для решения которых есть специальные люди?
18:48 – Рост выручки: за счет увеличения числа клиентов, за счет увеличения числа сделок, за счет ускорения сделок, за счет снижения себестоимости оказания услуги.
Увеличение клиентов – понятный путь, но надо сразу говорить о цене привлечения новых клиентов. Она может быть такой высокой, что многие предпочитают работать с уже имеющимися.
Что такое увеличение числа сделок? Видимо, имеется ввиду в уже существующих клиентах (иначе это вырожденный случай увеличения числа клиентов). Возможно, если у нас широкий ассортимент. Продали антивирус, а купите у нас еще и SIEM.
Что такое ускорение сделки? Чтобы она быстрее закрылась и мы получили деньги?
Снижение себестоимости. Такое… если мы что-то производим, то от такого сокращения затрат можем потерять в качестве, что в свою очередь может отпугнуть клиентов, что приведет к снижению выручки. Но идем дальше.
20:15 – Чем вынос точки продаж «в поля» отличается от найма представителей в примере выше?
21:50 – Пассажи «А давайте купим MDM, потому что это круто» сразу наводят на мысли: а Алексей хоть раз сам что-нибудь обосновывал? Или это личные мысли автора, как оно в реальности происходит. По такой логике есть безопасники, которые хотят купить маршрутизаторы Cisco, обрабатывая информацию на локальных АРМах. Понятно, что утрирование позволяет донести суть, но глупости совсем уж говорить не надо.
24:00 – Насколько я помню, чтобы получить доступ к интернет-банку, надо в офис сначала прийти. Договор заключить, доступ оформить. Алексей, как много общающийся с банками, не может этого не знать. Никакие 10000 клиентов в мобильном банке не появятся, прежде чем они не посетят обычный офис. Пример, вводящий в заблуждение.
24:45 – Алексей, при коллективной работе всегда найдется самый крайний, который будет за все отвечать. Ваши слова не соотносятся с реальностью, но в книжках так пишут, да.
25:45 – И огромное проседание в производительности работы и качестве. Даже в 2014 году были уже исследования о сложности надомной работы. Что и показала последующая история в IBM с выселением и обратным заселение в офис сотрудников.
27:00 – Какой волшебный мир, в котором поставщики сами отслеживают наличие комплектующих у клиента. А что делать с поставщиками, которые затоварят склад? Больше поставили, больше получили. Мощности перенаправили на других клиентов. Вот уж дыра в безопасности бизнеса, так дыра.
30:20 – Алексей, чем же вам так капитальные затраты не угодили? Уже который раз вы о них негативно отзываетесь. И в чем проблемы со списанием оборудования?
30:32 – Да, если сегодня взять в аренду, то сегодня это будет выгодно и финансовые показатели на высоте. Но на большом промежутке времени аренда может стать дороже покупки. И тогда финансовые показатели улетят в трубу.
32:33 – Бред какой-то. Алексей утверждает, что среднестатистический работник из 8 часов рабочих 5,5 часов работает, а 2,5 стоит в пробке? Интересно увидеть тех работодателей, которые такое позволяют. Я-то думал, как? В 9 на работу пришел, в 18 – ушел. А то, что ты там встал в 6 утра, чтобы доехать, так это твои трудности. В реальности Алексея ты можешь спокойно постоять в пробке в рабочее время.
33:00 – Рукалицо.
35:00 – Видимо, речь идет только о командировках по переговорам. Если надо что-либо сделать, то тут уж никакой скайп не поможет.
40:00 – Алексей, я даже больше скажу: безопасность не относится ни к одной из перечисленных вами категорий.
41:00 – Алексей все время с таким надрывом говорит про понимание задач бизнеса, будто это что-то такое неведомое и сложное. Вот выпустился студент, и пошел работать по тайному кодексу безопасников, все равно где и на кого, главное кодекс чтить:
Никому не рассказывай про Кодекс.
Никогда и никому не рассказывай про Кодекс.
Скрывай цели безопасности.
Безопасность нужна.
Никому не говори, что ты делаешь и зачем.
Бери все деньги, что выбьешь.
46:55 – Такие байки преподаватели первокурсникам рассказывают. Для должного эффекта в этой истории не хватает обязанностей этого сотрудника.
49:11 – Алексей, ничего это не значит. Люди сидят в соцсетях, когда у них нет текущих задач. И, о ужас, не сидят там, когда им надо срочно что-то сделать. И вы действительно думаете, что сотрудник задержится на работе, чтобы сделать то, что он не успел благодаря тому, что сидел в фейсбуке?
49:27 – Мотивация на труд с помощью доступа к фейсбуку? Алексей гробит свой талант в управлении персоналом.
52:50 – Ох, т.е. информация имеет стоимость. Отлично. Ее можно посчитать. Замечательно. Но результат зависит от того, кто будет считать… ну как так-то? У нас что, квантовая теория? Нет. Как можно в правильном ряду исходить из таких чудовищных предпосылок? Алексей, задача решается, когда считает 1 человек.
53:00 – Что интересно, в лекции по оценке вложений методики не называются. Хотя бы просто перечислили для интересующихся.
1:00:50 – Плохая черта спикера — не проговаривать то, что написано на слайдах. У нас же новая тема, и вроде как вхождение в тему…
1:03:50 – Как оказалось, и на западе тоже особо репутацией не заморачиваются.
1:04:29 – Алексей, «отдача» и экономическая целесообразность — две разные вещи. И хорошо бы раскрывать термины, которые вы вводите: что такое «отдача»? Прибыль от проекта? Нет, прибыль она и в Африке прибыль. Экономическая целесообразность чуть-чуть сложнее описанной вами схемы затраты-возможные штрафы. В 2014 году могли и бизнес приостановить на 90 дней. «Отдачи» никакой, да.
1:07:02 – Потери бывают в разной форме (с) ЗФЦ. Алексей, если уж вы взялись говорить за экономику, то там есть прибыль и убыток. Никаких «потерь» там нет. Убыток может иметь множество причин (вы это называете «разной формой»), но всегда выражается в деньгах. Всегда. Все эти ваши простои, замены и т.п. — это деньги. И их уже лет 100 как научились считать. Кстати, как и потери от инцидентов информационной безопасности.
1:09:26 – «Смерть пациента – это страховые выплаты и судебные издержки» (с) ЗФЦ
1:09:40 – Алексей, вы еще ничего не рассказали по теме оценки.
1:10:00 – Где же Алексей видел бизнес, который бы отказывался от реального улучшения своей работы? Бизнес, который должен захотеть увидеть отдачу… Бизнес-консультант.
1:11:27 – Алексей, зачем городить высосанный из пальца пример? Если банк-клиент ломают и деньги утекают, если доказывается, что это произошло в результате взлома, то банк несет прямые убытки (компенсации, исправление, прохождение проверок и т.п.). Так в любимом вами банковском секторе действуют. Прямой связи между взломом и уходом клиента нет. Наоборот, если банк все компенсировал – клиент останется, а убытки будут. Весь пример насмарку.
1:11:57 – Некоторая фальшь чувствуется от этой лекции.
1:12:08 – Алексей, ну что вы? Какая уже оговорка по Фрейду? Все эти поверят нам, уверенность в себе и т.п. Экономика чудесна тем, что в ней есть циферки. Над циферками производятся математические действия (очень простые), которые дают воспроизводимый результат. Предмет дискуссии лишь в исходном значении циферок, а не в результате. Уж коль вы так боитесь, зачем разговор об этом завели?
1:12:17 – Как нам всем повезло. Нас принято держать, несмотря на то, что мы такие плохие. Надо ввести моду на ИБ среди топ-менеджеров. Как с чихуахуа или айфонами. У кого безопасник круче и красивей. А? Как идея?
1:13:07 – А у нас в «неумытой» России, разумеется, все по-другому. Все только на Западе работает. А надо-то всего лишь оплату труда поменять.
1:14:48 – Посыл, что ИБ не обосновывается, потому что зарплаты маленькие – это даже не пять, это десять. А, может быть, просто решения от Cisco стоят неадекватных денег?
1:16:15 – А можно подробнее, какие методы уже были предложены?
1:16:31 – 30 методик о «оценке отдачи проектов по информационной безопасности»? О чем же тогда автор тут больше часа говорит? Сколько из них он применил? Какой результат получил? Что рекомендует использовать в тех или иных случаях? Нет. Просто почитал парочку, результата не получил, сказал не работает.
1:20:29 – Что такое 100% результат? Выход проекта в ноль? 100% прибыль на вложенные инвестиции? Нет ответа.
1:21:30 – Алексей, о чем же вы тогда говорили почти полтора часа? А, о том, как все сложно и безопасники сами в себе.
1:22:03 – А еще эффект масштаба иногда имеет обратный эффект. Когда из-за своего объема компания не может достичь запланированных выгод. Например, накладные расходы на перестройку процессов могут длиться годами и съесть весь «запланированный» профит. Об этом, кстати, рассказывают даже студентам технарям. Но зачем нам такие тонкости.
1:22:17 – Алексей, в среднем рабочих дней в году 247 (в 2014, кстати, тоже). Фиг с ним, округлим до 250, чтобы считать было проще. Но откуда 260? Не думая скопипастили пример и его презентуете? Глубокое уважение к аудитории. Почти 5% съели.
1:23:10 – Алексей, хорошо, вы не курите и можете не знать, что перекуров может быть и 5, и 10 в день. Но ограничить бедных сотрудников 2 походами в туалет в день — это круто. А еще есть предусмотренные СанПиН требования по работе за компьютером, предписывающие отдых (а, следовательно, блокировку компьютера), каждые 45 минут. Кстати, от этого ваш пример только выигрывает. Оценка будет за 10 млн часов.
1:23:50 – Алексей, ну какая повторная регистрация через 60 секунд после первой ошибки? Вас с такими требованиями линчуют через неделю, никакие обоснования не помогут. Хотя понятно, почему вы ввели эту переменную, надо было показать больший выигрыш. Но не пришлось бы так сильно натягивать ужа на глобус, если бы в предыдущем параметре вы были бы более близки к реальности.
1:25:15 – Кстати, об эффекте масштаба. Для GM 22 млн долларов может быть и не такой большой суммой. Уж наверняка реальный проект по управлению учетками там будет стоить огромных денег, за 100 млн точно. Озвученная сумма в сотни тысяч долларов на проект маловероятна, или считали только прямые расходы на лицензии, сервера и консультантов, или специально для пиару. Накладные расходы на перестройку процессов в такой огромной компании, судя по всему, не были учтены.
Допустим 100 ИС, 100 коннекторов по 1 млн рублей (это минимальный ценник в отечественных компаниях), поделим на курс в 2014 годы – уже получается 2,8 млн долларов. Плюс западные расценки, плюс стоимость внедрения, исчисляемой в несколько трудолет, плюс командировки по всему миру на квартал-другой, плюс стоимость лицензий, серверов и обучения. Думаю, реально около 100 млн долларов и будет.
Плюс хинт: пока проект внедряется в убыток, в 22 млн плюсуется в расходы. Проект 100 млн, внедряем 3 года, итого 160 млн. Если бы ничего не делали, этих денег хватило бы на 8 лет «обычных» убытков. Чем не расчет целесообразности?
1:27:15 – С джинсой за Cisco все понятно. Надо было пропиарить решение, пропиарили. Оговорки, что все сложнее, не работают, см. выше про удаленную работу.
1:33:30 – «Безопасность – это неизбежное зло» (с) ЗФЦ
1:34:25 – Что такое «эффект» от ИТ проекта? Окупаемость? Польза? На каких проектах проводилось исследование? В каких компаниях? Если предположить, что под эффектом подразумевается окупаемость, то срок в 4-5 лет – вообще какой-то фантастически нереальный. Такой эксперт в оценке, как Алексей, должен знать, что за 4-5 лет ИТ системы уже 2-4 раза самортизируются и будут списаны. Их надо менять и обновлять. И еще множество и множество вопросов к данному заявлению. Факты все же необходимо чекать, хотя бы на банальное соответствие.
Итого
По прошествии лет видно, что экономической оценкой занимаются только те, кто и занимался. Блогеры хайпанули и благополучно перескочили на других лошадей, а потом еще и еще. В дальнейшем мы увидим одну и ту же картину, когда в качестве знамени будет водружаться та или иная неведомая вещь. Будет много воды, мало сути, отвлеченные примеры и отсутствие личного опыта по теме. На ней будут усиленно пиариться, а потом забывать.
Будем считать этот уровень погружения за ноль и дальше будем мерить по нему.
Сам Алексей данную тему никак дальше не развивал, подвижек в этом направлении в его блоге мне не удалось увидеть.
Здравствуйте, здравствуйте мои ненаглядные. Очень давно мы не виделись. У меня для вас куча грустных новостей. Сейчас расскажу по порядку.
BIS Summit 2017
Недавно сходил на BIS Summit 2017. Очень любил эту конференцию и был ее участником много лет. Застал еще ее проведение в Сокольниках. Был пионером в новом формате StandUp for StartUp в 2015. А в прошлом отхватил приз за кибербетал (еще раз огромное спасибо всем, кто за меня голосовал).
Все прекрасно понимают, что конференция чисто вендорская. Помню, как предки Солара получили маленький стендик и ни одного доклада в 2014. BIS Summit — это огромная махина, которую очень долго строили. Но для меня ее пик уже пройден и пошел спад.
Надо сказать, я очень хотел попасть на эту конференцию. В фебешечке прошла новость, что Дмитрий Мананников будет вести целую секцию по измерениям в ИБ. И я сказал себе: «Огогошенки, ты должен там быть». Надо сказать, что нашему рандеву с Дмитрием всегда что-то мешало. Я никогда не был на его выступлениях: то я не приходил на второй день, как с CISO-форумом, то были срочные дела, и я сваливал до начала.
Привычно придя к гостинице Украина, я зарегистрировался и пошел смотреть конференцию. Техзону расширили, увидел и пообщался с Андреем Янкиным. Узнал расценки RuSIEM. Попил кофе. И… все.
Первая половина дня была точной копией прошлого года, а та, в свою очередь, позапрошлого. Отсутствие альтернативных секций в первой половине дня вгоняет в отчаяние. Больше половины участников слонялось в фойе и техзоне, ходило курить и мечтало об обеде.
В это время гуру поибэ развлекали сами себя на сцене. Какие-то шутки и намеки, понятные лишь их узкому кругу. Алексей Лукацкий опять отметился (цитата по памяти): безопасник, который прикрывается (в разговорах с бизнесом) документами регулятора, должен получать там (у регулятора) зарплату. Взял со сцены и засрал всех безопасников. Хорошо, что всем к этому моменту было так пофиг, что его никто не слушал. И стоят, о чем-то с Олегом Седовым перешучиваются…
Куча иностранных спикеров. Мб это и поднимает статус конференции, но сколько можно лить из пустого в порожнее? Они же были в прошлом году.
В общем, кое-как досидел до обеда. Выстроилась очередь, все стали потихоньку кушать. Как всегда нашлись невоспитанные люди, которые решили организовать очередь с другого конца стола раздачи, двигаясь на встречу основному потоку. Разумеется, возникла давка. Разумеется, некоторые простояли в очереди 2/3 обеда. А уж о мразях, которые лезли без очереди, и говорить не хочется. Они были, и мы все их ненавидели.
И вот я на секции, где должен был выступать Дмитрий. Оказалось, что Мананников лишь читает доклад. Ну, тут я наверно не так понял, оки. Разочарование наступило с первых минут. Рассказывать с пафосом о выписывании «идеальных» бизнес-процессов, а потом контролировать «отклонения» от них – это за гранью добра и зла. Во всяком случае, в 2017 году. Этакий пересказ вводных лекций по BPM (business process management, управление бизнес-процессами). И я понял, что это всего лишь пиар на новой теме. Ведь неважно, на чем пиариться, главное — делать это регулярно. До этого был аджайл, потом уеба. Где они сейчас? Забыли тему. А уж в нашей отрасли пиариться можно на чем угодно: берешь любую тему, добавляешь туда безопасность — профит.
А уж когда Дмитрий заговорил о безопасниках, изменяющих бизнес-процессы, я встал и ушел. Безопасники, изменяющие бизнес-процессы Мананникова — это где-то рядом с безопасниками, предлагающими «byod, потому что электричество сэкономим» Лукацкого. Будем ждать, когда Дмитрий придумает, как прикрутить «безопасность» к адаптивным бизнес-процессам.
«Машинное обучение с 5% ошибок» Дмитрия примерно туда же. Когда Дмитрий расскажет о внедренном им дереве решений (не говоря уже о нейронной сети) у себя в безопасности, тогда можно будет всерьез обсуждать эту цифру.
В общем, еще немного проведя времени, поехал пить пиво.
Наверно, это последнее мое посещение BIS Summit. Конференция из года в год повторяет себя. Пленарные части вводят в сон. Независимые спикеры и представители вендоров занимаются джинсой и пиаром. Единственным светлым пятном был Олег Бакшинский, который вместо урагана маркетинга от IBM наглядно рассказал об автоматизации и ее текущем уровне. Какие там 5%? До автоматизации добраться бы.
Тратить целый день ради пары докладов – нерационально. Так что до свидания BIS Summit.
Олег Седов
Как обычно бывает после конференций все обсуждение переходит в комьюнити. Пишутся посты в блогах, в фебешечке даются отчеты, строчат комментарии – жизнь кипит. Кидают мне ссылку, где какое-то огромное обсуждение, как все круто прошло. Комментариев под 100. И вдруг все скатилось к обсуждению моей скромной персоны. Вылезает Олег Седов и кроет меня последними словами. Как я понимаю, Олег не принадлежит к тусовке гуру, так, околоплавающий, но отчаянно туда хочет.
Олег Седов — это главный редактор BISA, которая и организует BIS Summit. Олег — самый высокооплачиваемый главный редактор в нашей отрасли, а, может быть, и во всем ИТ. Человек это влиятельный и серьезный.
Пересекались мы с ним по работе над Кибербаталиями. Год был очень сложный, из команды пиарщиков работодателя Олега только что ушла главная звезда, и упорно ходили слухи, что Олег сам может уйти. Чтобы ответить на вызовы времени, были придуманы Кибербаталии. Меня туда позвали по итогу работы над секцией StandUp for StartUp.
Суть мероприятия простая: участвуют два спикера, обсуждая злободневные темы, а зрители голосуют. Мне была поставлена Олегом задача – делать шоу. Под этим понималось оппонирование по банальным вопросам. Т.е. когда вопрос ставится – надо ли чистить зубы, я должен был усираться, что это делать вредно и совсем не нужно.
Надо сказать, что Олег человек очень своеобразный. Например, тема моей первой битвы была изменена за пару дней. Изначально она звучала «Появляются ли новые риски информационной безопасности?» (точное название не помню) и вдруг стала «Возможно ли доверить безопасность бизнеса роботам?»
Почему роботы? Зачем тут они? В итоге мы с коллегой оттарабанили все по рискам, не коснувшись роботов чуть менее чем никак. Олег вообще любит две темы – роботов и падение компетенций. И лепит их везде, где успеет.
Надо сказать, что формат был выбран крайне странно. В комьюнити, где ни у кого нет времени что-то слушать онлайн в течение пары часов, затевать словесные соревнования – контрпродуктивно. В итоге прямо по ходу поменяли систему голосования, вместо голосования по раундам сделали общее. В итоге все голосовали в первые 5 минут и уходили.
Со вторым боем вообще вышел анекдот. С легкой руки Олега форсился конфликт Solar vs Дудко. Понятно, что в такой ситуации у меня не было шансов. Начиная с темы. Была выбрана тема «Как выглядит будущее ИБ-вендоров?» с такими вопросами:
Все чаще ИБ-вендор реализует проекты самостоятельно. В чем плюсы и минусы смещения в сторону внедрения собственными силами?
В поведении ИБ-вендора все чаще прослеживается желание усидеть на нескольких стульях, увеличивая перечень предлагаемых им продуктов. В чем причины подобных решений? Какие плюсы и минусы от количества «стульев», на которых им хочется удержаться?
Каким образом расширение продуктовой линейки ИБ-вендора влияет на качество продуктов, сервисов и поддержки?
Каким образом объем рынка ИБ зависит от качества предлагаемых продуктов?
Как выглядит нефункциональная конкуренция между вендорами?
Если вы вендор, то для вас ответы на них будут однозначными. Мы с Эльманом сходились по 3 из 5 вопросов. Но шоу же не будет, если все будут друг с другом соглашаться. И мне была распределена задача оппонента очевидным вещам. Потом, благодаря системе голосования, я в первые три минуты получил минус 50 голосов, и стал делать шоу оставшимся 30 слушателям.
Уж не знаю, как там было дальше. Но на мероприятии Infowatch выиграл их основной конкурент :). Маркетинговый прорыв обернулся серьезным провалом. Ох, как там пригорало. Я получил приз зрительских симпатий.
Олег, хочу тебе сказать следующее. Твои методы плохо пахнут, желание подняться на костях других чаще всего оборачивается провалом. Все, что ты хотел мне сказать, у тебя была возможность сказать лично. Ты выбрал другой путь. Твои инициативы вторичны и не проработаны. Как пиар и маркетинговый инструмент, BISA пребывает в забвении. Туда, кроме тебя и пары блогеров, которые копипастят свои материалы до кучи, никого нет. Оставайся со своими грезами о роботах и компетенциях. Теперь у тебя есть все основания официально «дружить против». Пока.
Рагнарек
Дорогие друзья, как вы видите, у меня бомбило больше месяца. Я аж кушать не мог. Посмотрел я на BIS Summit вокруг, и так стало тоскливо. И пусть уважаемые люди на рынке не признают, что у нас человек человеку волк, но это так. Такой концентрации ненависти и зависти, как в этом году в Техзоне, я давно не видел.
Все это до крайности грустно и печально. Комьюнити наше загнило окончательно. Причина благая. Люди находят работу и забивают на всю эту мишуру в фейсбуке и срачи в комментариях. Уже несколько блогеров тихо и мирно ушли в тень. Теперь там тихий междусобойчик – кукушка хвалит петуха за то, что хвалит он кукушку. Участвовать в этом смысла не вижу, а поэтому закрываю тематику информационной безопасности.
Уже пять лет я занимаюсь исследованиями в области измерения риска и угроз. Информационной безопасностью не занимаюсь 2 года, только наблюдаю. Так что о ней писать? Буду писать про насущное и об окружающем. Разумеется доведу до конца цикл про пресейл и «почему в ИБ полная ж…», но на этом все.
В общем, думаю никто не расстроится, а в определенной группе так вообще праздник будет. :)
Как вы знаете, я очень люблю интервью. Особенно люблю интервью живые, а не по переписке. В живых интервью нет этой вычурной и сухой подготовленности. И тут, значит, заглянул я к друзьям из Джет Инфо. Да-да, Рустэм, я помню, что маленьких обижать не хорошо. Но какой пиар был. В итоге, не удержался.
Как всегда, читаю вместе с вами.
«БИЗНЕС БЕЗ ОПАСНОСТИ», ИЛИ ЗАЧЕМ СПЕЦИАЛИСТУ ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СВОЙ БЛОГ?
Первый раз когда я прочитал заголовок подумал – «о, сейчас почитаем про каждому эксперту по блогу». Потом, почитав содержание, я пришел к выводу, что заголовок – «зачем Алексею Лукацкому (специалисту) свой блог?» Это тоже интересная тема. Поехали.
Пришлось сразу же похакать статью, т.к. она не копируется с Джет Инфо. Вернее копируется, и даже ссылка на статью автоматом вставляется, но вся разбивка на абзацы херится. :( Надеюсь это баг, а то как-то неудобно.
Сегодня мы беседуем с Алексеем Лукацким, бизнес-консультантом по безопасности Cisco Systems и автором одного из самых популярных ИБ-блогов в России «Бизнес без опасности».
– Алексей, ни для кого не секрет, что Ваш блог, посвященный теме информационной безопасности, является одним из самых популярных ресурсов на эту тему в России. Почему Вы решили запустить этот проект?
Как говорил Михаил Жванецкий, писАть, как и пИсать надо тогда, когда уже невмоготу. 10 лет назад, когда я начинал вести свой блог, в России это было в новинку и мне хотелось попробовать.
А как связаны слова Жванецкого с последующим повествованием? Мол, 10 лет назад стало невмоготу? Ну, и видимо, речь идет про ИБ-блоги. Так-то блоги уже были обыденностью.
Кроме того, у меня было много разных заметок и зарисовок, которые сложно было уложить в формат статьи, а терять их мне не хотелось. Поэтому блог стал прибежищем таких коротких текстов по ИБ. Кроме того, у меня была идея написать очередную книгу, и блог, как мне казалось, мог стать хорошим способом для хранения и систематизации материала.
Нашел упоминание о 3 книгах, видимо, до новой так и не дошли руки.
Потом я понял, что это не самая лучшая идея – блог очень плохо приспособлен для систематизации материала и последующего поиска в нем. Но к тому моменту бросать начатое было уже поздно.
– Почему Вы изначально выбрали именно формат блога?
А других вариантов просто не было. Их и сейчас нет для человека, который хочет чем-то делиться с окружающим миром.
Ну, я не знаю… Можно, например, что-нибудь реальное сделать. Систему там защитить…
Формат традиционных тематических СМИ не подходит для столь динамичной сферы, как наша.
Сферы, где уже 3 года застой? А за 5 лет из новых систем появились SIEM/SOC и второе рождение WAF?
Журналы раньше выходили один раз в месяц, сейчас и того реже. Поэтому я этот формат отбросил сразу. Газет в нашей области нет, а у еженедельников та же проблема, что и у журналов. Да и редакционная политика многих изданий не всегда позволяет публиковать все, что приходит мне в голову.
Надо понимать – именно по ИБ, т.к. в блоге больше ни о чем не написано.
Подкасты и видеокасты требуют очень большой работы по монтажу, очистке звука и т.п. Я от этого формата отказался почти сразу. Поэтому блог – единственный вариант, который подошел мне для самовыражения.
– Кто является Вашей целевой аудиторией? На кого Вы прежде всего ориентируетесь?
Никогда не задавался этим вопросом перед написанием своих материалов.
Первоначально я писал свои заметки «для себя». Потом коллеги стали комментировать, репостить. Я втянулся в процесс, но по-прежнему пишу то, что так или иначе входит в сферу моих интересов (именно моих, а не моего работодателя). Так получается, что это также интересно многим.
В-третьих, те, кто может что-то написать интересное и поделиться своим опытом, предпочитают работать, а не брать в руки перо и радовать читателя (с) Алексей Лукацкий в другом интервью.
Отчасти потому, что мне удается (как говорят читатели блога) простым языком объяснять сложные вещи, систематизировать информацию, фокусировать внимание на важных моментах, например, в законодательстве.
Так блог же не подходит для систематизации… или имеется ввиду систематизация внутри заметки в 4 тысячи знаков?
Поэтому мои читатели – это широкий круг специалистов по ИБ или айтишников и юристов, которые вовлечены в процессы ИБ.
Да, видел я юристов, которые апеллировали к блогу Алексея. Было забавно. О, вспомнил личную историю про этот блог, расскажу в следующий раз.
Под специалистами по ИБ я понимаю не весь спектр людей, вовлеченных в процессы информационной безопасности, а тех, кто больше сталкивается с процессами, нормативной базой, процедурами.
U bestelt Viagra online in alle rust en privacy, snelle levering Viagra kopen in Nederland bezorging aan huis, op kantoor of bij afhaalpunt. Snel geleverd & beveiligde betaling.
Да у нас тут сегрегацией попахивает…
То есть это ближе к CISO и ведущим специалистам по ИБ. Технари не являются моей целевой аудиторией; для них я «пиджак» или «бумажный безопасник». Также меня читают регуляторы – поэтому часть моих заметок (пусть и не явно) адресована им.
– На рынке ИБ существует шутка про молодых специалистов по информационной безопасности, которые учились профессии, читая Ваш блог. Вы чувствуете какую-то ответственность перед своей большой аудиторией? Влияет ли она на контент?
Ну, не такая уж и шутка. При желании их даже почитать можно :)
На мой контент влияю только я и мои интересы. Я никогда не пишу в угоду аудитории или для удовлетворения ее потребностей.
А еще в угоду работодателям и ключевым (для работодателя) регуляторам…
Но ответственность за «тех, кого я приручил» я безусловно (здесь должны были быть запятые?) чувствую. Особенно когда хочу перестать писать с такой же периодичностью, как и раньше. Но я понимаю, что многие специалисты уже привыкли получать актуальные материалы, особенно по законодательству, из блога, и поэтому я продолжаю писать.
Еще бы нести ответственность за «свое» прочтение нормативки…
Но это окупается тем, что я часто на мероприятиях слышу слова благодарности от людей, которые говорят, что мой блог им сильно помог в свое время и продолжает помогать в текущей работе. Значит, пишу я не зря.
– В профессиональной жизни блог помог Вам? Если «да», как именно?
Во-первых, блог учит выражать свои мысли «на бумаге», позволяет оттачивать язык, что полезно само по себе, а также помогает при выступлениях и написании тех или иных материалов. Во-вторых, публикации в блоге дают определенную известность; сначала в среде специалистов, потом тебя индексирует Google, и тебя узнает большее количество людей. Тебя начинают приглашать на различные мероприятия для выступлений, что нередко позволяет экономить маркетинговые бюджеты Cisco J.
Мне кажется, или тут прямым текстом сказано, что цель блога — сделать экспертом для участия в мероприятиях, где можно делать продукт плейсмент работодателя?
В-третьих, именно блог стал моим «трамплином» при общении с регуляторами, при включении меня в различные рабочие группы и экспертные советы.
Видимо, не кажется…
Видимо, их организаторы посчитали, что я достаточно квалифицирован, чтобы заниматься не только графоманством и публичной критикой,
Хинт от гуру: хочешь раскрутить блог – критикуй.
но и приносить пользу, участвовать в разработке и экспертизе нормативной базы. Некоторые из моих коллег, насколько я знаю, используют блог как бесплатный пропуск на мероприятия по ИБ – этакое удостоверение журналиста. Есть и ряд других «бенефитов», которые дает мне блог, но пусть они останутся моим секретом.
Наливают? Алексею не наливают. Помогают продавать? Алексей не продает… Мб лоббировать интересы работодателя?
– Зачем вообще специалистам по безопасности вести блог?
Зачем крупные компании занимаются благотворительностью?
Чтобы проиариться. Делают они это максимально публично и открыто, чтобы на фоне выгодоприобретателей большое такое лого благотворителя было. Бескорыстно делают,тихо.
Им хочется делиться с менее обеспеченными организациями и людьми своим «богатством».
Ох, Ричард Докинз, наверное, сделал бы facepalm.
Попутно они получают и некую PR-составляющую, но это не всегда. Так и специалисту по ИБ, который достиг определенного уровня квалификации и опыта, иногда хочется делиться своим положительным, а иногда и отрицательным опытом с другими людьми.
21 октября 2016 года у Алексея было другое мнение… см. ссылку на интервью выше.
Начинается все с кулуаров на мероприятиях, потом следуют выступления на конференциях, потом аудитория расширяется на сотни, а то и тысячи человек. Это одна из причин. Есть и другие – я их описал, отвечая на вопрос о том, чем помогает блог в профессиональной жизни.
Еще блог помогает выбить себе место потеплее и зарплату побольше. На рынке есть примеры, когда основным достижением людей были блоги-выступления.
– Если у Вас дальнейшие планы по развитию блога? Может быть, Вам интересно было бы попробовать какие-то новые форматы?
Я много лет порываюсь создать собственный сайт, чтобы вести на нем ряд проектов, которые у меня законсервированы и просто ждут своего часа. Но меня останавливает одно – безопасность сайта.
С одной стороны – дельные слова для безопасника.
Сейчас, на площадке Google, я могу быть уверен в том, что вероятность взлома блога близка к минимальной – все работы берет на себя Google. В случае со своим сайтом я получаю больше гибкости, но и больше головной боли.
С другой – какое-то зарывание головы в песок от злых хакеров…
Προσφέρουμε χάπια ισχύος χωρίς ιατρική συνταγή, καθώς και τη διατήρηση της ιδιωτικής ζωής κάθε πελάτ Cialis τιμή. Cialis Professional 20 mg τιμή στο φαρμακείο στην Ελλάδα.
Мне придется думать о непрерывном улучшении сайта, его стабильности, пропускной способности, безопасности. А у меня времени не хватает, чтобы вести просто блог. Если бы я зарабатывал на этом проекте, то может я и сделал бы этот шаг «в пропасть». Пока же меня устраивает текущий вариант. Планы по его развитию я не форсирую, хотя идей полно…
Ждем-с.
– Алексей, какой бы Вы дали совет молодому специалисты, который бы хотел начать вести свой блог и развиваться в этом направлении? С чего ему начать?
En México créditos rápidos sin papeles a la Tasa más baja con la garantía de los documentos de auto. Simple, rápido y flexible. Las plataformas en línea son el mecanismo más rápido para pedir un préstamo créditos rápidos en línea. Hasta 1.400€. Sin nóminas. Sin avales.
Советов я могу дать два и оба они касаются абсолютно любого дела. Первый совет – начать. Второй совет – не бросать. Все остальное вторично. Разумеется, за кадром остается еще много разных вопросов, от которых зависит успех блога. Например, целеполагание, наличие практического опыта или умения систематизировать информацию. Неплохо русским языком владеть на хорошем уровне, чтобы читать заметки было интересно не только с точки зрения содержания. И еще один совет – блог не должен быть самоцелью и вестись ради собственного PR, как это иногда бывает.
… вестись ради собственного PR, как это делаю я.
Как вам? Я лично прочитал с удовольствием. Учитесь у мастера. А в следующий раз поговорим про раскрутку блога.
Надо сказать, я очень люблю наблюдать в динамике различные отрасли. Так, чтобы лет 15-20 смотришь, а потом вспоминаешь – эка раньше было. В основном это что-нибудь совсем бытовое, например, таксисты. Думаю, каждый с ними сталкивался.
О, эти разбойники пассажирских перевозок. Таксисты всегда были обманщиками, во всяком случае те, кто занимался перевозками на периодической основе. На моей улице 3 остановки, на двух из них стоят частники и чего-то ждут. Лет пятнадцать назад у них было море работы, до метро можно было доехать и за 50 рублей, и за 300. Сейчас их бизнес подзахерел, но они все равно стоят, мб еще кого-то возят.
Но таксисты совсем не заменимы, когда ты в чужом городе. Во-первых, ты в командировке и богатый парень, можешь форсануть. Во-вторых, ты просто не знаешь маршрутов быстрой передислокации. В-третьих, хотелось бы еще и что-нибудь о городе узнать, и таксист не самый плохой вариант.
Собственно, я этого бы не писал, если бы не столкнулся с совершенно новым для меня явлением в такси. Случилось это в Петрозаводске, где я решил встретить Новый год. Заказали трансфер, нас встретили и довезли. Смотрю, парень вроде нормальный – говорю, дай телефон, мы будем много ездить, нам хорошо и тебе легче.
Надо сказать, что это стандартная практика – выбираешь 1 водилуи мотаешься с ним. Помню, я как-то из Мурманска в Полярные Зори 400 км ехал на такси, ехали часов 5 или 6, зимой в ночь. Так этот же парень нас и забрал оттуда через два дня. Покатались хорошо.
И тут, значит, разложили вещи, хотим покататься. Звоню. Говорит, я на вызове в другой части города. Ну, ок. Через некоторое время еще раз попробовал. Опять то же самое. Оказалось, в Петрозаводске все таксисты сидят на зарплате. Диспетчер принимает звонки и распределяет их водителю, а у него в свою очередь план, который он должен в смену выполнить. Я-то с таким не сталкивался, для меня таксист – свободный волк на охоте.
А тут – план. Но все цивильно, даже карточкой платить можно.
И этой бы истории не было, если она не была обрамлена еще двумя фактами. Когда мы собирались уезжать в Москве из дома до вокзала, захотел вызвать такси к определенному времени. Яндекс-такси в этом не помог, т.к. у него можно максимум за 15 минут время поставить. Поставил Убер и заказал машину к назначенному времени. И началось. Во-первых, он опоздал на 20 минут. Ехал откуда-то с Лосиноостровской. Во-вторых, врал, что едет к нам, хотя вез другого клиента. В-третьих, включил счетчик на подъезде к нам, и стартанули мы со 20 рублей. Я был уже мыслями в отпуске, не стал мандиться и просто поставил ему 3 звезды.
Второй случай произошел уже по приезде. Посмотрел, сколько стоит в Яндексе – выходило 500-600 рублей. Неспешно выхожу, вытаскивая чемоданы. Стоят два бомбилы, предлагая подвезти. Спрашиваю – сколько? О, это любимый вопрос бомбил в аэропортах и вокзалах. Есть целый спектр кидалова о невнятно сказанных суммах. Получил классический вопрос – сколько дашь? Говорю, 500 рублей. И получил волну ненависти с общим посылом, что только заехать на площадь перед вокзалом стоит 300 рублей. И за каким хером ты тогда спрашивал, сколько я дам? Чтобы поторговаться? Или что? Так и остались они стоять на пустой платформе, а я доехал за 550 рублей.
Hvor kan jeg købe Levitra billigt online, og hvordan bestiller jeg det uden recept? Køb levitra på apoteket læs med og få alle relevante svar her!
Таким образом, можно выделить следующие виды таксистов:
Обычные таксисты. Чаще всего работают с диспетчером, но сами себе волки. Если ничего не остается, работают с Яндексом или Убером, которые их тиранят как хотят, но деваться некуда.
Зарплатники. Водители на зарплате. Не прочь подзаработать, но диспетчер главнее.
Бомбилы. Грабящие людей на вокзалах и в аэропортах. Готовы целый день простоять, но меньше, чем за 3 000 не поедут. Поджидающие людей неопытных, туристов и с временной потерей концентрации.
Вы спросите, а при чем тут информационная безопасность? Так ведь наш рынок – просто калька с таксистов.
У нас есть свои бомбилы. В основном это крупные интеграторы, которые «не хотят связываться с маленькими проектами». У них же большой штат дармоедов, и им непременно нужны проекты на десятки миллионов рублей. Вот и сидят они в ожидании, когда что-нибудь такое свалится. Сюда же относятся всякие крупные вендоры с непомерным ценником за сомнительные функции, например, SAP. Но этот путь хиреет, т.к. ничего нового не появляется. Да, некоторым вендорам везет отхватить денег, но если копнуть ближе – 80% суммы там закупка иностранного железа с софтом.
Vi sender indenfor 1-2 hverdage med fri fragt og tracking. Medicin på abonnement Levitra generisk online i Danmark den seksuelle forstærker mod erektil dysfunktion. Køb pris Cialis Soft Tabs 20, 40 mg direkte online, Cialis pris Soft får dig til at glemme alt om et sådant problem som erektil dysfunktion.
Есть у нас и свои зарплатники. Среди интеграторов – это карманные интеграторы каких-то структур, отечественных или западных. Они могут быть сколько угодно разными в размерах от огромных до микроскопических. У них в принципе все хорошо, заказы идут, они работают. Правда, неожиданно могут какую-нибудь реструктуризацию устроить или продать нафиг. Среди вендоров это выражается в явной нацеленности на конкретного заказчика. Допустим, вы продали Газпрому свои шлюзы с VPN – и будете продавать их вечность. И уже пофиг на качество и все такое. Грузите апельсины бочками (с).
Ну, а с обычными все понятно. Это среднестатистические вендоры и интеграторы. Как все. Где-то конкурс отожмут, где-то бочком пройдут. Работа кипит. Красота.
Наконец я добрался до вопросов. Если честно, думал, будет гораздо хуже. В топе вопросов – работа и Лукацкий :) Поехали потихоньку.
Блогер Сергей:
В 2007 году ты писал для домохозяек? В ИБ столько не бывает …
Резонный вопрос. Разумеется, я писал несколько для других аудиторий, они были более многочисленными и разнообразными. В 2007 писал в основном для националистов, коммунистов, сатанистов и прочей маргинальной публики. Также у меня было несколько блогов и пара сайтов, так что спрашивали всякое.
А.:
Почему ты все время засираешь Solar Security? Потому что они конкуренты Security Vision?
Хз, почему сложилось такое мнение, что я кого-то засираю? Тот же Солар – отличные ребята, да, не без косяков, но у кого их нет? Я рассматриваю это как бесплатную помощь. Если косяк имеет место быть — парни поправят. А если это пустая болтовня — отточат скилл отмазок.
Вот, из последнего. Андрей Прозоров заявил, что JSOC скоро будет в «магическом квадрате» Гартнера. Как вы понимаете, любой бы спросил – а зачем он там, если там уже есть HP ArcSight? Я просто был первым. Андрей ушел от ответа под предлогом, что я должен разбираться в их продуктах (это вендор говорит, ага), которые суть все равно работают на ArcSight. Глядишь, кому-то дали задание, что отвечать в таких случаях.
Роман:
Почему ушел из АйТи и чем сейчас занимаешься?
Ушел из АйТи, т.к. кадровая политика компании навязывала мне не совместимые с моими моральные нормы. Продавай говно, обманывай, будь верен компании, когда она тебя кидает и т.п. Плюс к этому, сам интегратор уже многие годы катится по наклонной, в чем явно прослеживается просчет акционеров.
Про занятия – см.выше.
Александр:
Привет. Очень нравится твой блог. Всегда читаю, но выбор тем печалит. Очень мало про информационную безопасность. Как ты выбираешь темы?
Уже скоро год, как этот блог не про информационную безопасность. Сама по себе информационная безопасность тема довольно узкая, а внутреннее разделение на «бумажную» и «настоящую» еще больше зауживает выбор. Здесь просто нет тем для периодического бумагомарания. Да и отклик аудитории небольшой, посмотрите на Лукацкого.
Темы выбираю строго по-научному. Что вижу, о том пишу.
Аноним:
Чем обусловлен конфликт с Алексеем Лукацким? Чуть ли не в каждом посте ты пытаешься его поддеть.
У меня никакого конфликта с Алексеем нет. Алексей ввиду каких-то внешних причин был в измененном состоянии сознания и увидел в констатации факта личный наезд. Уж что это было – личная дружба с объектом факта, проблемы на работе или дома, мне не ведомо.
Если бы я хотел поддеть Алексея, я бы разбирал каждый его пост, указывая на все фактические ошибки и несуразицы, макал носом в непоследовательность мнений, сделал сайт анти-Лукацкий и спамил бы его комментариями.
Я же всего лишь, с уважением к сделанному, использую Алексея как иллюстрацию в тех или иных случаях. Что поделать — у нас нет более известной личности в поибэ. Алексей сам выбрал этот путь, так что немного сравнений и пиара с моей стороны ему не повредят.
Борис:
Что плохого в безопасниках, «воспитанных на блоге Лукацкого»?
Если кратко – все. Я сам когда-то его читал, т.к. это был самый оперативный источник по изменениям нормативки. В этом нет ничего плохого. Плохо, когда люди выпячивают, что они читают Лукацкого. Говорят, что чему-то там научились. В блогах нельзя ничему научиться, включая этот. Можно только принять информацию и пропустить через себя, найдя или нет в ней пользу.
Следовательно, безопасники-лукоблогеры сами расписываются в собственной неспособности думать. Они прочитали что-то где-то, и, как стадо хомячков, пошли разносить чуму по Европе. Потом глядь тебе выдают заученную фразу (например (устал про ЗПД говорить), в Cisco нет закладок). Спрашиваешь – почему? Потому. И тишина.
Лукоблогеры убивают интеллект в нашей профессии, поэтому я против них.
Santor:
Почему ты со всеми конфликтуешь? Это такой способ пиара?
Разумеется, конфликт — один из основных источников пиара, лидирующий с круговым гандикапом. Этого не отнять.
И нет. Я ни с кем не конфликтую. Да, там кто-то думает, что у него конфликт со мной. Но это их путь, не мой. Наверно, у них и особое сборище есть – «дружащих против». Они могут собираться каждую неделю, в темном подвале, и с пристрастием рассматривать мои посты и комментарии, демонически хохоча. Они пересылают друг другу в чатах ссылки на обновления и т.д. и т.п.
Конфликты слишком затратны по времени и энергии. Конфликт должен приносить пользу, хотя бы деньги.
Вот Олеся Шелестова периодически накидывает на позитив. Тут все ясно – они прямые конкуренты, плюс что-то личное.
А мне с кем конфликтовать в поибэ? Из-за чего? Все это пустое. То, что многим кажется конфликтом, на самом деле лишь удобный способ проиллюстрировать тот или иной вопрос.
Аноним:
Так ты в Positive Technologies или нет?
Нет.
SvX:
Как думаешь, на теме персональных данных еще долго можно будет зарабатывать? И какое сейчас самое перспективное направление в ИБ?
Проще сказать, какое направление не перспективное. Ввиду последних новостей – сейчас просто вал SIEM, SOC, WAF. Понятно, что там уже ловить нечего. В итоге можно продавать, чего хочешь, если сможешь напугать или показать эффективность. Думаю, за ним перспектива.
Это первый пост в 2017 году, и я несказанно рад, что столько подписчиков поддержали мою ежегодную традицию. Я получил определенное количество вопросов и один интересный запрос на версус. Но об этом завтра. А сегодня о другом. Троих читателей интересовало, что же я делал весь прошлый год. Об этом и расскажу.
Если вы вдруг следите за моей карьерой (а если нет, то узнаете сейчас), что 29 февраля 2016 года я уволился из компании АйТи по причинам несовместимости по этическим вопросам между мной и акционерами компании и бедственном положении оного интегратора. Т.к. с бонусами меня прокинули через мужской половой орган, передо мной в полный рост встал вопрос о заработке хлеба насущного.
Как может заработать информационный безопасник, да еще и занимавшийся пресейлом?
Загнать все, что можно было, с последнего места работы? Так все уже украдено до нас, да и не надо это никому.
Можно устроиться на другую работу. Но, оказалось, это не вариант, никому не сдались блогеры, не берут даже за еду.
Можно давать мега-консультации за деньги, но топ нашего комплайнс-сообщества доказал несостоятельность этой идее. И даже у Максима не получилось.
Можно было бы продавать мега аналитику. Но кто б ее еще взял, да и место было уже занято. Да и не мое это, высасывать из пальца очередной мега-отчет на никому не нужную тему, вроде «особенности использования проприетарных антивирусов на рынке ДБО в первом полугодии 2016 года». Бррр.
Куда не кинь, всюду клин… В результате долгих и тщетных поисков я нашел решение. И даже в области безопасности.
Дегустатор дошираков
Многие улыбаются, когда я говорю о своем занятии. Но на самом деле безопасность питания — одна из основ человеческой жизни. Вот если ваш сертифицированный специалист траванется и будет обниматься с белым другом, а в это время вас начнут ломать – кто отразит нападение? Да вас за таблеточку активируемого угля продадут.
Как я к этому пришел? Очень просто — любая продукция в нашей стране должна быть сертифицирована. Можно и не сертифицировать, но это уже области, граничащие с контрафактом, поэтому об этом не будем.
В области сертификации пищевых продуктов, лекарств и потребительских товаров есть свои сертифицированные лаборатории. Все, как в нашей поибэ. Правда, их поменьше, и конкуренция пожиже. Например, у меня есть подруга, их лаборатория занимается только мороженным. Баскин Робинс их обеспечивает работой уже пару десятков лет.
Экспертиза есть лабораторная и потребительская. Понятно, что я со своим рабочим рылом в лабораторную не тянул никак. А вот в потребительскую – самое оно. Один из краеугольных камней потребительской сертификации – дегустация. Об этом практически невозможно найти информацию в открытых источниках, но у нас дегустируются вообще все продукты питания.
Понятно, что на вершине этой цепочки – дегустаторы вин. Они же самые дорогие, мажорные и раскрученные. Поинтересуетесь (если найдете, конечно) экзаменационными вопросами на дегустатора. Да и навыки нужны соответствующие, плюс вкусовые рецепторы и обоняние.
Но это совсем космос для простых смертных. Надо было выбрать что-то попроще. Изучив ГОСТ 31749-2012, мой выбор пал на лапшу быстрого приготовления (или сублимированную). Довольно востребованный продукт, где с помощью демпинга можно не умереть с голоду.
Лапша сублимированная (недоваренная)
Изучив матчасть и организовав свою потребительскую лабораторию (ИП, конечно, без этого никуда), начался процесс активного пиара. Все по заветам ИБ-стартапов, но в реальном секторе экономики. Два месяца рекламы и активных продаж — и вот, у меня потребительская лаборатория топ-20 в Москве с упором в макаронные изделия. А там и госаккредитация подоспела. Дальше уже дело техники.
Собственно дегустация
Сама по себе работа довольно скучная. Основных марок доширака у нас 7, в регионах больше, но там свои игроки. У каждого 3-5 вкусов, итого, все разнообразие ограничивается 35 позициями. Сертификацию обычно проводят для каждой партии по позициям (например, фуры или контейнера). А т.к. дошиков в фуру влезает дофига, вы не будете сильно напрягаться. Но доход стабильный.
Рабочее место
Привозят тебе образцы, и ты должен их проверить. Кстати, образцы можно натурально съесть, так что голодать не будете в любом случае. :) Часто производители просят еще провести и дополнительный выходной контроль партии, по рынку это стоит 100 т.р., я делаю за 5.
И вот перед тобой заветные пачечки. Тут главное не бросаться сразу открывать и пробовать. Надо провести кучу предварительных тестов, ну, словно самооценку по СТО БР заполняешь. Галочки, галочки, тут упаковка, комплектность, срок годности и т.п.
Дальше уже начинаешь пробовать. Тут главное все правильно заварить. Кстати, пиздеж, что дошики завариваются за 2-5 минут. Чтобы лапша напиталась водой/влагой, контейнер или тарелку надо закрыть, чтобы она немного потомилась в кипятке. Если у вас в бульоне плавают жидкие макаронины, вы едите гнусный полуфабрикат. Готовая лапша должна занимать весь доступный объем (например, весь контейнер Биг Ланча), это именно лапша, а не макаронной суп.
С опытом вы уже не будете съедать все позиции. У меня, например, есть стойкое отвращение к некоторым вкусам. Поэтому их я не глотаю, а выплевываю – это допускается процедурой.
Работа в комфортных условиях
В сущности, в лапше ничего вредного нет. И можно ее вполне использовать в качестве гарнира, когда готовить лень. Правда, если есть каждый день – можно потолстеть. 99,99% сублимированной лапши – яичная. Самый калорийные вид.
Все марки примерно на одном уровне. Отличаются всякими фишками. Например, дают вилки (которые ломаются в 4 случаях из 5). Лично мне нравится Биг Ланч.
Меня часто упрекают, что мне ничего не нравится, и я всех критикую. Разумеется, это не так. Каноны жанра диктуют свои законы. Никому не интересно читать про хорошее, всем интересно читать про плохое. Что доказывает существование таких телеканалов, как НТВ и РЕН-ТВ. Да вся наша поибэ держится на негативе: тут взломали, тут украли, тут риски новые, буууу!!
Как вы знаете, я пишу о недоработках, чтобы их можно было исправить. Чтобы помочь нам всем стать лучше. Но хватит обо мне, давайте о хорошем.
В нашей поибэ есть много прекрасного, чем я истинно восхищаюсь. И раз вы хотите хорошего — вот вам хорошее.
Хорошее в информационной безопасности
В категории лучший firewall – CheckPoint. Просто нравится, за 8 лет только лучше становятся.
Лучший отечественный firewall – С-Терра. Самый приятный и честный вендор, с самой большой пропускной способностью. Всегда продавал с удовольствием.
Лучший антивирус – Касперский. Если антивирус все же покупать, то покупать Касперский. Да, поджирает память, да, делает что-то странное сам. Но лучше не найти.
Лучший WAF/DBS – Imperva. Стоит просто везде, самые первые на рынке (вроде). Очень люблю. К сожалению, ни одной не продал. Была возможность, но Информзащита загопстопила.
Лучший DLP – Infowatch. Давно их не видел, да и рынок DLP схлопывается до тошнотворной однообразности, но из всех Infowatch лучший по большинству параметров.
Лучший SIEM/SOC – IBM QRadar. И Гартнер со мной согласен.
Лучший сканер уязвимостей – XSpider.
Отечественный продукт, за которым интересно наблюдать – RuSIEM. Просто интересно, что у них получится.
Лучший маркетинг – Solar Security. Чего у парней не отнять, так это их вездесущности. Куда не глянь, увидишь оранжевенькое. Конечно, не без косяков, но это самый всепоглощающий маркетинг на рынке.
Стартапер – Максим Лагутин. Можно только позавидовать чистоте упорства Максима в освоении денег инвесторов.
Топтание на месте – R-Vision. Давно наблюдаю за этой компанией. Парни оседлали волну самопроверки по СТО БР, и уже пару лет пробуют сделать свой SOC. R-Vision выступает просто на всех мероприятиях в это году, только на Инфосеке не были. Лучший образец бесцельного использования энергии.
Интегратор – Инфосистемы Джет. Наверное, потому, что за 4 попытки у нас так и не срослось совместной работы.
Пресейл – Камиль из Техносерва. Реальное уважение к трудоспособности и навыкам.
Алексей Лукацкий как лучшее лицо отрасли. Ну да, вы можете сказать – какое лицо, такая и отрасль. Но посмотрите, как человек упорно трудится. Разумеется, не стоит читать все, что пишет Алексей, а то, что прочли, провести через десяток фильтров. Но нельзя не восхититься последовательности и комплексности проводимой им работы. И не важно, что эта работа имеет деструктивную направленность – главное реализация и подход. А они – великолепны.
Наверняка я что-то забыл, а где-то нет ничего хорошего. Но как видите, у нас есть повод для оптимизма. До новых встреч.
Фух, вернулся я с Infosec. Надо сказать, что занесло меня туда случайно. Тем из вас, кто смотрит сериалы (или аниме), должно быть знакомо понятие филера. Это серии, не двигающие основной сюжет, и созданные, чтобы забить время. Я и был таким филером :) Заполнил собой 20 минут, как мог.
Приехал я раньше, чем планировал, и больше общался с коллегами. Идем мы с одним таким коллегой (а он, надо сказать, человек тонко чувствующий), а он говорит: «Посмотри, как на этой выставке все ненавидят друг друга. Они же все прямые конкуренты. В лицо улыбаются, а сами бы разорвали оппонентов на куски».
Я удивился. Сам-то я абстрагируюсь от этого, по большому счету мне нет дела до мнения окружающих. Бывает, конечно, у меня бомбит на какую-нибудь крайнюю несправедливость, но в целом я глух ко всяким иммонациям и всем этим «веяниям злобы».
И тут у Александра Бондаренко (R-Vision) бомбануло не на шутку. Сам R-Vision участия в выставке не принимал, но по стендам конкурентов прошелся.
Надо сказать, что это обычное явление. У меня на первом ряду сидел Андрей Прозоров и задавал наводящие вопросы. Андрей сам пробует заниматься расчетами в ИБ, а значит — конкурент. Зачем же мне ему секреты рассказывать, да еще и бесплатно? :)
Но вернемся к R-Vison. Александр написал следующий пост:
Это Александр зашел на стенд Security Vision, видимо, в очередной раз что-нибудь скопировать (кстати, мои поздравления, R-Vision теперь умеет автоматически регистрировать инциденты – редкий функционал в 2016 году).
Там в комментариях Александру пояснили его ошибку. Понятно, что если у вас решение-клон экселя с методикой СТО БР и ручным заведением инцидентов, вы можете его запустить на ноутбуке. А все более или менее сложные решения демонстрируются на слайдах, т.к. для демонстрации той же генерации и обработки инцидентов хорошо бы еще и стенд развернуть. Я был в демо Security Vision – там развернуто 12 источников событий с кучей всяких интересных штук. Везти это все на выставку крайне нецелесообразно. А интернет на выставках всегда нестабильный.
А знаете, что меня поразило? Видимо, мой друг прав. Как-то неуютно стало в нашем поибэ. Кризис что-ли так влияет на всех? Фбешечку вообще невозможно читать, все друг на друга наезжают, ругаются, обижают и обижаются. Как-то не сформировалось у нас единства в комьюнити, этакой профессиональной солидарности. Вот у врачей есть профессиональная солидарность. Наглядней всего она проявляется, если захотите доказать врачебную ошибку. Своих сдают со скрипом.
У нас же каждый сидит на своем суку и смотрит на всех злыми глазами, будто у него кусок хлеба отнимают. Все ненавидят всех, начиная с блогеров и заканчивая ассоциациями и выставками.
Того же Александра можно упрекнуть в лукавстве. Александр! Наверняка, отсутствие стенда на этой конференции перечеркивает наличие решения, которое вы уже видели на всех прошлых конференциях, где мы были! Да и про образование R-Vision говорят много разного, что-то там крайне темное. Но ведь это все не так важно. Конкурируйте в заказчиках, а не постами в твиттере.
Сегодня я встретился с человеком, который уже три года занимается числовой оценкой рисков. И стартом к этому послужило мое выступление 3 года назад. Хотя за 20 минут мы серьезно поспорили о методике, было чертовски здорово (хотя весь спор возник лишь из-за неустоявшихся терминов). Круто, что кто-то встал рядом с тобой и идет схожей дорогой. Именно в объединении лежит залог выздоровления нашей профессии.
Посмотрите, уже идут разговоры о смерти специальности по ИБ, некоторые эксперты уже седлают волну – куда уходить ИБэшникам. Происходит все большее отдаление от задач бизнеса. Отрасль больна, и вместо того, чтобы решать общие для всех проблемы – мы вырываем кусок друг у друга. Окей, ты усидел, твой враг отвалился. С ним отвалились его клиенты и партнеры, и далеко не факт, что они придут тебе. Скорее бизнес забьет на ИБ, и передаст это в ИТ, где другие игроки, и вопросы решаются совершенно иначе.
«Граждане, любите друг дружку! Уважайте друг дружку! О, как заносит» (с) Бургомистр.
Поодиночке потонем все, а выплыть можно только вместе. Надо больше хороших решений, вместе решать жизненно важные вопросы, и выступать единым фронтом перед остальными. А то так и останемся с «рисками неотказуемости».
Фбешечка в ленте принесла сегодня ссылку на статью «Когда обман стал нормой?». Статья — какой-то феерический маразм, с непонятным смыслом, неоконченной историей и неясным выводом. Прямо как я писал.
Зацепился взгляд за фразу:
Сейчас вообще, поколение тренингов и саморазвития. А нас как всегда, ведет не в ту сторону. «Не умеете делать минет? Научим. Вам изменяет муж? Это нормально. Слава богу, он вообще может. У вас высшее образование, а по вечерам вы любите читать Бродского? Ну что за глупости. Живите как дура! Берите карту и дуйте в магаз. Dior сам себя не купит». Откуда это?
Действительно, сейчас мир тренингов и саморазвития, возведенного в культ. И это прекрасно. Но обо всем по порядку.
Как вы уже знаете, юность моя происходила в душевных метаниях и маргинальной неге. Как любой нормальный подросток, я пробовал на прочность этот мир. И нет, мир не оказался прочней. Просто жизнь совершенно не об этом, но это нас уведет далеко от тренингов.
И, в определенный момент моей жизни, решил я сходить в секту. Где наша не пропадала? Разумеется, было боязно, поэтому я выбрал более или менее лайтовых саентологов, а не какую-нибудь Харе-Кришну. Готовился я к этому делу основательно, оставил все вещи дома, взял только проездной и мобильный телефон, чтобы позвать на помощь. Кстати, очень важно не брать с собой документы и деньги. У вас появляется шанс соскочить. Оставите данные — и уже не вырвитесь: схема крайне отлаженная, ее, кстати, и скопировали тренинги.
Надо сказать, что каждый тренер хотел бы организовать секту. Такую настоящую секту, чтобы с кучей последователей, чтобы машины и квартиры отписывали. В силу разных обстоятельств они этого не делают – где-то шибко палевно, где-то лучше замаскироваться под бизнес-тренинг. Но главную суть копируют все, кто-то лучше, кто-то хуже.
Но вернемся к нашим саентологам. Основа любой секты — выявить причины не идеальности человека. Зашлакованный организм, чакры закрыт, энергетические паразиты. Никому не хочется быть грязным, внушаемым, глупым (о, зацепочка для бизнес-тренингов). Понятно, что во всем этом виноваты не вы, а какой-нибудь ублюдок, который сидит в вас, и с которым надо срочно бороться. Разумеется, лишь нашими, проверенными способами.
В саентологии такими ублюдками выступают энграмы. Энграмы – особая ситуативная память, которая запоминает ситуацию во всей полноте (мысли, чувства, окружение, люди, слова). Если энграма содержит негатив (шок, боль и т.п.) – это очень плохо. Проблема с энграмами в том, что вы не имеет к ней доступа. И, если вы попали в обстановку, похожую с пережитой, то испытываете все негативные последствия. Все слова, что нам произнесли в этой ситуации, будут действовать на нас как команды, вы более внушаемы в этих ситуациях. И существуют некие клиры. Если кратко — люди, очистившиеся от всех энграм. У них повышается тонус, улучшается зрение, потенция и все-все-все. Разумеется, чтобы стать клиром, надо пройти ряд очищающих процедур. Конечно, за огромные деньги.
По итогу, мозг там чистят капитально. После двухчасовой лекции и разбора моего теста считал дедушку Хаббарда родным отцом и учителем. Хорошо, что денег на книжку не было и паспорта для заполнения анкеты. Так и не стал я саентологом.
Надо понимать, что задача любого тренинга – выкачать с вас бабло, а не научить чему-то полезному. Любой тренинг стоит на этом, если он не по каким-то специализированным прикладным навыкам. Вся эта болтология, лучшие практики от экспертов, повышение личной эффективности – чушь, по сути.
Помнится, как-то на партнерке Infowatch был мастер-класс по приготовлению суши. Вот это была реальная тема, где специалист в своем деле рассказывал неофитам основы. Мастер-класс, наверное, единственный сейчас вариант обучиться чему-то новому. Т.е. въехать в основы, а дальше думать своей головой.
Несколько отличительных признаков лажовых тренингов:
В тренинге есть гуру, который или сам его ведет, или ведет специальный сертифицированный ученик.
Тренинг периодический. Это чуть ли не главный маркер, показывающий, что тренер зарабатывает деньги тренингами, а не тем, чему учит. Т.е. зарабатывает, рассказывая, как заработать.
Тренинг является частью системы других тренингов. Чтобы просветлиться окончательно, надо посетить их все, а лучше и не один раз.
Описание тренинга оперирует словами: эффективность, личная эффективность, саморазвитие и т.п. Ну, т.е. какими-то сущностями, которые нельзя измерить (см. тайм-менеджмент).
Главное достоинство тренинга, что он от тренера, который провел 400+ тренингов. Т.е. тренер в лучшем случае теоретик, в худшем – дилетант с вредными фантазиями.
Мощный пиар. От гуру, от участников, расписание следующих курсов на всех углах и т.п.
И так далее. Единственный тренинг, который мне помог – тренинг Гандапаса «Учимся выступать публично». Уже потом я понял, что это была компиляция потребительских методов и прикладных приемов. Большинство из них обретаются сами, после 2-3 выступлений. Текущая деятельность Радислава состоит из обогащения через тренинг чуть менее, чем полностью.
Можно ли чему-то научиться на тренингах? Вряд ли. Но главная проблема не в этом. Идти на тренинг (или мастер-класс) надо с определенной задачей или проблемой. Например, вы дизайнер и мучаетесь, какой дизайн сделать: финтефлюшечный или минималистичный. В этом случае, конечно, хорошо бы пойти и послушать знающего человека, вопрос ему задать. Хотя лучше всего знать нужный телефон, напроситься на встречу, и, проставив вискаря, решить все свои метания.
Посмотрите вокруг, вспомните школу, институт. Групповое обучение крайне неэффективно. Кто-то не догоняет, кому-то скучно т.к. на месте топчемся, интересующий момент до конца не разберешь – он интересен только тебе. И еще множество причин. В группе хорошо ОФП заниматься, хоть не скучно. Во всем остальном все выбрали бы индивидуальные занятия.
Вы никогда не измените свою жизнь через тренинги. Сама система тренингов заточена на то, чтобы ваши результаты были лишь внутри тренинга, с конкретной группой. Она будет вас поддерживать, и она же будет вас затягивать на следующий тренинг. А то, что на работе ваши навыки продаж не работают, так это процессы выстроены не так. Но на нашем вечернем занятии у тебя все получится. Приходи, касса работает до 20-00.
Вы такой, какой есть. В вас заложено ваше воспитание, школа, институт, дворовые друзья, гельштат ваших родителей и гены, которые влияют в 5 раз сильнее, чем любое воспитание. И вы думаете, что какой-то дядя за 8 часов и 20 000 рублей вас изменит? За это время вам можно продать лишь иллюзии, что вы не такой как все, что вы развиваетесь, не то, что остальное быдло.
Полезным тренером может быть лишь профессионал своего дела. Но, если он профессионал, у него нет времени делать тренинги каждую неделю. В лучшем случае раз в квартал. Немаловажный вопрос: а зачем это ему? Зачем ему плодить конкурентов, разжевывая то, что он постигал годами? Просто задайте себе этот вопрос.
А самое печальное, что тема тренингов добралась и до нашей поИБэ. Атака идет с двух флангов. Первый – это тренинги общей направленности. Попавшие в паутину начинают активно ее рекламировать. На деловых переговорах уже можно услышать, кто какую сегодня «лягушку съел». А иногда уже проскальзывает и «ваши материалы не отвечают нашей методике продаж СПОР – вам надо доработать их».
Второе – это активное продвижение собственных тренингов по нашей тематике. Я помню, как один «бизнес-консультант по ИБ» рекомендовал всем безопасникам подойти к генеральному директору и предложить перевести сотрудников на удаленную работу. Мол – «это выгодно, я посчитал, экономим на электроэнергии, и производительность вырастет! А еще BYOD! Совсем шикарно заживем». Понятно, что маразматичность таких предложений зашкаливает. Будь это какой-нибудь дурачок, никто бы и не заметил. А это один из уважаемых гуру поИБэ. И самое главное – с гуру взятки гладки. Он ведь пример приводил, а «Кирпич, дурачок, взял и сделал».
Не смотря ни на что, тренинги – это великое благо. Они позволяют вам получить существенное преимущество перед их посетителями. Точно так же, как нет ни одного одинакового проекта, нет и одинакового приложения опыта, своего или чужого. В каждой ситуации надо думать своей башкой. И лучше бы, чтобы она не была замусорена дорогим тренингом.
До новых встреч.
P.S. ОБЪЯВЛЕНИЕ. Тренинг с 10 сентября переносится на 21.