Архив метки: Блогосфера и сообщество

Кибербитва

Добавить комментарий

Я думаю, многие слышали, что Сколково с Infowatch организовали Кибербитву. По сути, это плей-офф между экспертами по безопасности, где устраивается махач на заданную тему. В начале четвертьфинал, потом полуфинал. И так до заветного кубка.

980_320

Что особенно интересно — победителя выбирают слушатели. Причем по каждому вопросу. В конце очки подсчитываются, и выявляется победитель.

Разумеется, я не мог пройти мимо этого дела, и с помощью взяток и шантажа пролез в турнирную сетку. Хотя с речью у меня все еще хуже, чем с письмом, но планирую использовать грязные трюки в виде котиков и обнаженных женщин. Ближайшая битва будет в следующую среду – 6 июля в 11 часов. 6 раундов с часовым лимитом.

Тема – внутренние угрозы.  Тема весьма благодатная, мы уже прошли взвешивание с моим коллегой из Avanpost, где чуть не подрались. Не сошлись во всех представленных вопросах:

  1. Какой будет динамика роста внутренних угроз в ближайшее время?
  2. Что сдерживает рост компетенций в ИБ?
  3. Как выглядит миф о затратах на безопасность? ИБ — это дорого или доступно?
  4. Как следует оценивать эффективность ИБ в современных условиях?
  5. Почему традиционные оценки ИБ не всегда подтверждают свою эффективность?
  6. Способна ли автоматизация ИБ противостоять росту угроз?

В общем, призываю всех уделить час времени в следующую среду и посмотреть, что получится. Думаю, это самый перспективный формат для обсуждения. А то вокруг лишь джинса и проплаченные маркетинговые спикеры, которые оккупируют микрофон, заставляя их слушать. Возможно, в скором времени это будет основной формат на конференциях и выставках.

Дима прорывается на BISA Summit

Дима прорывается на BISA Summit

Разумеется, предлагаю голосовать за себя любимого. Глядишь, меня на BISA Summit в фойе постоять пустят  :)

P.S. Прошлый раунд можно посмотреть по ссылке 

У Камина: Versus battle Емельянников-Царев

1 комментарий

Друзья, я все время ищу новые форматы. Чтобы и мне было не скучно, и вас любимых порадовать. Скукотища же фигачить отчеты, которые пишут все, или гнать джинсу за родимого работодателя.

fireplace_main

Поэтому у нас сегодня Versus battle. Кто не знает — это способ выяснения, кто круче в американских рабочих районах. Versus может быть какой угодно, хотя изначально, конечно, это был рэп. Хочешь — в мешках бегай, хочешь — дротики на точность кидай. Каждый из вас делает тоже самое, когда ищет что-то нужное, но неизведанное. Автосервис, стоматолога или врача узкой специализации.

Необходимое пояснение

Михаил, Евгений, цель данного материала не в том, чтобы вас обидеть. Лично я не знаю никого из вас, и смотрю со стороны. Цель материала показать то, что видит ваш рядовой клиент. Смысл в том, чтобы эти неточности не мешали вам зарабатывать и нести добро и свет людям. Я надеюсь, вы воспримите данный материал как взрослые люди.

По сути, я с вами в одной лодке. Мы играем на одном или, как минимум, соседних полях. Ваши просчеты отражаются и на мне.

Все ниже сказанное – личное мнение автора, выраженное в пародийной манере. Автор – шут, что с него возьмешь?

Перед битвой

Диспозиция перед битвой такова. Я — рядовой клиент, которому требуется юридическая консультация по вопросам информационной безопасности. Проблема у меня серьезная, которая может перерасти в судебный процесс. Я готов решить проблему любыми способами и за любые деньги, но лучше бесплатно. Т.к. знакомых у меня в информационной безопасности нет, я запускаю гугл… или яндекс.

Гугл дал осечку

Гугл дал осечку

И Яндекс не помог

И Яндекс не помог

Вся информация почерпнута из открытых источников с сайтов участников битвы. В редких случаях были применены спецсредства для раскрытия темы.

Раунд 1 – Знакомство

Удивительно, но наших бойцов я не смог найти по запросу «юридические консультации по информационной безопасности», яндекс и гугл их не котируют. Либо это для них не важно, либо надо что-то серьезно делать с позиционированием. На одной известности в ИБ тусовке далеко не уедешь. Допустим, мне их посоветовали.

Участники

Участники

Михаил Юрьевич Емельянников

Характеризует себя следующим образом:

Эксперт в области информационной безопасности и безопасности бизнеса. Управляющий партнер Консалтингового агентства «Емельянников, Попова и партнеры»

Ссылка «Моя веб-страница» в блоге (???) ведет на сайт Агентства. Аааа… нет, конечно, хорошо быть экспертом. Но я тоже себя экспертом называю. Если вбить Михаила в гугл, то почему-то вылезают ссылки на секлаб и фейсбук. На секлабе написано:

Блог известного российского эксперта в области информационной безопасности, защиты персональных данных, коммерческой тайны, государственного регулирования охраны конфиденциальности. Комментарии к «громким» событиям, связанным с утечкой данных и взломом компьютерных сетей.

А на фейсбуке можно найти первое подтверждение квалификации – окончил школу КГБ СССР. Как вы понимаете, человеку неискушенному сложно из всего этого понять, кто же перед ним.

Не понятно, где и на каких должностях Михаил работал. Что и для кого он сделал? Согласитесь, опыт является существенной подмогой в формировании представления о человеке, который возьмет с вас деньги не пойми за что.

ЗПД для 99% — темный лес. Но если непосвященный видит, что вы делали это для Газпрома или Сбербанка, уважение начинает просыпаться. Не зря же они ему деньги платили… Этого, увы, у Михаила нет.

Оффтоп: надо сказать, что с творчеством Михаила я не знаком, был на одном выступлении на BISA 2014, и на этом все.

Евгений Царев

У Евгения есть свой сайт, а в нем раздел «Об авторе». Мелкая придирка, Жень, ну ты же не девушка, чтобы возраст себе занижать. Я понимаю, все хотят выглядеть моложе. Лучше либо убрать, либо отслеживать изменения.

Евгений более тщательно подошел к автобиографии, есть сведения об образовании. Но зря убрал сведения о прошлых местах работы. В предыдущей версии сайта они были. Покопавшись немного в интернете можно найти, что Евгений работал сплошь на руководящих должностях: замдиректора по развитию бизнеса, директор представительства и т.п. Но возникает естественный вопрос – зачем руководителю заниматься инженерно-аналитической работой? Или, во всяком случае, рекламировать ее?

И уж странно смотрится в таком контексте степень MBA «Инновационный и проектный менеджмент». Вы же по безопасности оказываете консультации, а не по менеджменту.

Цитата:

Профессионально занимаюсь развитием направления информационной безопасности в российских интеграторах и вендорах.

Каких интеграторах? Каких вендорах?

Цитата:

Являюсь участником рабочих групп ЦБ/АРБ/Минсвязи (закон «О персональных данных»), РАЭК (законопроект о спаме), НП «НПС» (защита информации в Национальной платежной системе) и др.

Вот лично я понимаю, почему стоит в конце и др. Но человек со стороны может воспринять это как желание закидать страшными аббревиатурами и списками. «Я член академий… почетный член фондов…» и т.п.

Плюс к этому, употреблено в настоящем времени «являюсь». Вопрос – откуда столько времени бывать на всех этих рабочих группах? В перечислении их 5 (с и др. – штук 10 должно быть, иначе бы все перечислили). Считаем 10 заседаний в месяц, плюс день подготовки до, плюс день чтение итогов, плюс день на правки. Получается, что занято 30 дней в месяце…

Цитата:

Автор более 12 исследований (каких?), 50 статей и 300 публикаций и комментариев в СМИ по информационной безопасности.

Евгений, да, я знаю, почему ты так написал. Но это не отменяет того, что весь этот Лукацкий-стайл – владелец заводов, газет, пароходов – выглядит, мягко скажем, не очень. Да и цифры подозрительно круглые. Уж лучше опыт писать, чем публикации. Надо сказать, что на этом же сайте в другом месте статей и комментариев указано 50+ и 300+. Евгений скромный человек.

tsarev_300+

Цитата:

Статусы:

  • Аудитор, Внедренц и Сертифицированный тренер по Стандарту Банка России в области информационной безопасности;
  • Аудитор и Тренер по ISO/IEC 27001

По ISO не совсем понятно — какой аудитор? Внутренний? Lead? Сертифицирующий (или как он там называется, который проводит аудит от BSI)? И тут я вижу немного манипуляции: все же сомневаюсь, что BSI сертифицирует тренеров в России? Да, аудитору, чтобы проводить контрольные аудиты, надо 200 часов (мб сейчас больше) потратить на аудиты, или же можно заменить их проведением обучения, но сомневаюсь, что речь об этом. Но звучит круто.

Оффтоп: Евгения я знаю еще меньше, чем Михаила. Первое мое знакомство с ним состоялось с поста Алексея Лукацкого.

Итог: раунд за Царевым.

Райнд 2 – услуги

Здесь буду давать комментарии в оригинальном тексте участников.

Михаил Емельянников

Консалтинговое агентство «Емельянников, Попова и партнеры» (вот интересно – кто такая Попова и кто эти партнеры? Опять к вопросу о подаче услуги: баллы снимать не будем, т.к. разбирали это в первом раунде) предлагает услуги профессиональных консультантов (а конкретно?) в области информационной безопасности. Уникальность предлагаемых услуг состоит в комплексном решении проблем на стыке правовых, организационных и технических мер, исходя из необходимости соблюдения законодательства и оптимизации затрат (ну, скажем, что каждый первый интегратор делает такую «уникальность»).

Агентство оказывает услуги:

· предприятиям и организациям, заинтересованным в создании эффективной системы защиты информационных ресурсов и выполнении требований регуляторов (придирка профессиональная – почти невозможно сделать эффективно и соблюсти все требования регуляторов при заявленной оптимизации затрат);

· отечественным и зарубежным компаниям, работающим на российском рынке информационной безопасности или имеющим планы выхода на него;

· организаторам учебных курсов и семинаров по вопросам защиты информации.

Краткое описание услуг

· Выявление на предприятии проблем в информационной сфере, поиск путей решения, риск-менеджмент (анализ рисков, выработка стратегии управления рисками, определение мер по их снижению или компенсации).

· Разрешение сложных проблем выполнения положений законодательства в области персональных данных с учетом нормативно-правовых актов других областей правового регулирования (видимо, текст старый – сейчас сложных проблем «на стыке» что-то не припомню, или надо указывать конкретно), устанавливающих требования, связанные с обработкой персональных данных (трудовое, гражданское, налоговое законодательство, законодательство о правоохранительной, оперативно-розыскной, кредитно-финансовой деятельности и др.).

· Установление и изменение режима коммерческой тайны с целью обеспечения защиты исключительных прав обладателя секретов производства (результатов деятельности в интеллектуальной сфере) (как-то узко, есть еще куча исключительных прав, а уж видов коммерческой тайны… одним производством дело не ограничивается).

· Экспертиза законченных (есть соответствующая лицензия и аккредитация?) или находящихся в стадии приема проектов в области информационной безопасности с целью оценки соответствия требованиям законодательства, полноты, разумности и достаточности предлагаемых в проекте защитных мер, обоснованности выбора средств защиты информации.

· Обучение и повышение осведомленности персонала заказчиков в области безопасности и выполнения требований законодательства, проведение семинаров, вебинаров, учебных курсов и др. мероприятий по тематике информационной безопасности для всех категорий (тут ссылка) – от владельцев бизнеса и руководителей высшего звена до рядовых работников (почитав блог и посмотрев евенты, складывается ощущение, что обучение — это основной вид деятельности агенства…).

· Консалтинг (а чем слово консультирование не нравится?) компаний-производителей средств защиты информации, а также компаний-интеграторов (просто интересно – и часто обращались? По идее в интеграторах полно своих специалистов), оказывающих услуги в области информационной безопасности:

— сложные вопросы регулирования информационной безопасности;

— экспертная оценка развития бизнеса компании, ее позиционирование и продвижение на рынке информационной безопасности;

— консультации по развитию продуктов и услуг, предлагаемых или планируемых к запуску;

— аналитические исследования в области угроз, тенденций, технологий информационной безопасности, практики правоприменения (к сожалению, нет исследований в открытом доступе);

— представление интересов компаний на различных мероприятиях (подготовка и проведение презентаций, семинаров, участие в переговорах и пресейле, статьи с аналитическими исследованиями и др.) (кхм… а как это выглядит? Приходит Михаил и говорит: «Вы меня знаете, но сегодня я от компании «Веторк-2000». Да?).

· Консалтинг зарубежных компаний, работающих на российском рынке или планирующих такой выход, по сложным проблемам российского законодательства, таким как обработка персональных данных, защита коммерческой тайны и др. (т.е. у зарубежных компаний всего две проблемы?), для компаний, планирующих продвижение на российский рынок своих продуктов и услуг в области информационной безопасности, — по вопросам государственного регулирования, сертификации продуктов и лицензирования деятельности, особенностям поставок для государственных нужд.

Усе, дальше контакты. Кстати, почта на gmail … не секъюрно.

Евгений Царев

Подготовка судебных и досудебных экспертиз по вопросам информационной безопасности и защиты информации

Срок подготовки заключения: от 5 рабочих дней (без учета обследования на месте (так обследование может месяцы занимать. Лично мне было бы неприятно узнать, что общий срок будет 2 месяца, а не 10 дней максимум, как я мог бы ожидать по написанному. Плюс к этому не указана верхняя граница по срокам…)

Подготовка информационного письма для суда: в течение 1 рабочего дня (даже если запрос пришлют в 17-30? Если да, так это офигенное конкурентное преимущество – надо указывать)

Подготовка информационной справки: от 3 рабочих дней

Подтверждение квалификации с копиями документов прикладывается к письму и заключению (собственно, это немного отредактированная версия из 1 раунда. Но тут отсутствие опыта – жирный минус. Одни курсы, обучения и 300+ статей. Что значит «проекты по запросу»? Евгений, вы публичный эксперт, который живет доверием суда к вашему мнению. У вас весь сайт должен быть в ваших проектах, благодарственных письмах и отзывах).

Суть услуги:

— проведение судебной экспертизы в рамках арбитражного или гражданского процесса, по запросу органов дознания и следствия, а также исполнительной власти и местного самоуправления (т.е. я как ответчик или истец не могу к вам обратиться за экспертизой? Зачем такие излишние уточнения?);

— составление заключения по запросу физического или юридического лица, включая адвокатов (вы не любите адвокатов? Или они у нас теперь не физические лица?);

— подготовка рецензии на заключение других экспертов (комментарии на комментарии. Думаю, любой адвокат бы поставил под сомнение вашу экспертизу ввиду отсутствия опыта реальной работы);

— получение консультации на предмет проведения экспертного исследования.

Итог: 2-0 в пользу Царева.

Раунд 3 – разное

Сюда попадает все, что нельзя оформить в отдельный раунд. И Евгений, и Михаил – блогеры. Евгений больше года не писал, но сейчас вернулся. Видимо, повышал квалификацию по ИБ.

Евгений, в отличие от Михаила, пишет сейчас по судебной практике (что плюс), но не совсем ушел от репостов. Все-таки ссылки на чужой контент — они больше для твиттера. Михаил пишет пространные посты об угрозах домохозякам и подросткам.

Оба бойца довольно эгоцентричны, хотя Евгений в большей степени – есть раздел в видео о себе любимом.

Михаил, по сложившемуся ощущению, занимается чтением курсов. У него в блоге всего три вкладки, причем вкладка с курсами больше, чем вкладка с услугами. Кстати, Михаил, это абсолютно нечитаемо. Какая-то простыня слабо форматированного текста, конкретный курс не найти.

Евгений написал книжку «Как удалить данные о себе?» на 9 страниц, правда, не понятно, зачем он ее распространяет через почту, если она все равно лежит у него на сайте? Клиентскую базу собирает? Кстати, для поисковиков лучше название написать текстом, а не на картинке.

По поводу цен прямых данных в интернете нет. Про Михаила говорят (считайте это слухами), что он готов всем помогать с ответами на вопросы за крайне неприличные деньги.

Ну, и Евгений раньше начал вести свой блог (2009 год против 2011).

Итог: разгром 3-0.

Winner

Заключение

Будь я человеком из нашего вступления – наши участники не помогли бы мне решить мою проблему. Я бы их просто не нашел. Но если бы нашел, у меня не возникло бы доверия к ним на основании информации, которую они сами о себе предоставили.

Но если бы это были последние эксперты в мире, то выбрал бы Царева.

На этом все. До новых встреч.

Positive Hack Days 2016 – Королева в восхищении!

3 комментария

Надо сказать, что у этого отчета не такая долгая судьба, как у предыдущего. И попал я на мероприятие на удивление легко. Думаю, это был мой последний опыт на данном поприще. Но обо всем по порядку.

phd

Восхищение

Я недолго думал, как одним словом описать PHD. Восхищение – это правильное слово. Вспомните, как давно вы чем-нибудь восхищались? В чем природа восхищения? Больше всего мы восхищаемся в детстве и отрочестве. Все для нас новое и неизвестное. Становясь старше, мы теряем эту способность, она все больше атрофируется, заедаемая бытом, нелюбимой работой и налогами.

PHD восхитителен именно потому, что большинство не понимает, что там собственно происходит. Это не та высоколобая конференция, где серьезные дяди с умным видом рассказывают что-то другим дядям. Это отвязная конфа для студентов и специалистов плоть от плоти безопасности. Назовем их инженерами (или хакерами, или администраторами безопасности), в общем, теми, кто эту безопасность трогает руками.

Разумеется, у аналитиков (или бумажных безопасников, или рисковиков), тех, кто уже давно винду-то даже не настраивал, рвет от всего этого великолепия крышу. Помнится, я как-то писал про нашу дискуссию с Андреем Янкиным про рост специалистов в интеграторах. Тут все то же самое. Когда видишь только какие-то риски, ЧМУ и ФЗ — тебе очень нравится, как взламывают кофеварку с помощью консервного ножа.

Это чем-то похоже на появление журнала «Хакер». В свое время журнал позволил приобщаться к чему-то этакому, в какой-то степени контркультурному, инженерному. Если вы читали его с самого начала, то должны помнить эти ощущения. А, возможно, дело свое играл возраст. У меня до сих пор лежат первые 50-70 выпусков (кстати, никому не нужны?), но потом я перестал его покупать. На одной контркультурности далеко не уедешь.

Мне конференция понравилась: людей много, все везде бегают, какие-то непонятные движухи. Проблема PHD в том, что у него нет альтернатив и слишком специфичная ЦА. С альтернативами все понятно — глупо сравнивать «бумажные» конференции с «железными». Да, на PHD пришли все те же люди, что и на любую другую конфу, но тут они просто растворились в инженерах.

Люди на конференции ходят за тремя вещами:

  • Послушать интересные доклады.
  • Потусоваться, поесть, попить, поговорить с друзьями, неплохо провести время.
  • Работу работать. Фактически то же, что и предыдущий пункт, но с элементом финансовой выгоды. Это скрытая часть конференции.

На всех бумажных конференциях вы увидите в фойе столько же людей, что и в зале. Все они разговаривают между собой или что-то активно обсуждают по телефону. Количество сделок, заключаемых на конференциях – серьезная величина, которой нельзя пренебречь.

На PHD такого почти не происходит. Все гораздо молодежней и быстрее. Даже залы не могли вместить всех желающих, а уж некоторые провели весь день в кресле с ноутом (благо, кресел было навалом). Если бы в наших офисах инженеры могли развалиться так же в креслах, мы бы быстро всех импортозаместили.

Не могу не отметить организационную сторону вопроса. Это первая конференция на моей памяти (за исключением инфосеков с инобезами), где не кормили. Можно было выпить халявного кофе, но на этом все. Покушать или выпить — за денюжку. Прекрасный с точки зрения окупаемости ход, думаю, что мероприятие вышло в ноль или небольшой плюс. Плюс продавали сувенирку и всякое интересное.

А, вспомнил минус: нигде не было указано, с какого входа заходить… Но это не портит общее впечатление.

Некачественные блоги

Топ блогеры с рабочими инструментами

Топ блогеры с рабочими инструментами

В силу личных причин я подъехал только к часу дня. Немного жаль, ведь в первой половине дня была пара докладов, которые хотелось бы услышать. Схватив программку, пошел на «Разговор по ИБ: «совершенно секретно» или «срочно в номер»?». Оказалось, что там собрались многие известные поибэ люди. Лично я пошел, т.к. во всем остальном понимал мало или мне было не интересно.

Зал был явно не приспособлен для такой аудитории. Я забил себе небольшое местечко с видом на противоположную стену. А вот Аркадий Прокудин – читер, пролез на сцену, хотя подкастер, а не блогер :)

Начало можно охарактеризовать цитатой: после слов, что иб очень узкая сфера, можно сразу уходить с секции, а то и конференции (Владимир Овчарук в диалоге со мной).

Вначале все шло довольно бодренько, пробовали обсуждать тему – стоит ли говорить об инцидентах или надо их замалчивать. Вот уж тема, высосанная из пальца. Понятно, что надо каждый раз смотреть по ситуации. Я думаю, даже в западном обществе, где подобная публичность является последней оградой атомарного общества, построенного на репутации, где никто никого не знает, и реноме хорошего человека, пусть и оступившегося, можно поддерживать только такими методами — все крайне хотели бы о своих косяках не сообщать, тем более, если последствия не очевидны или легко исправляются.

У нас репутации нет (с). Наше общество более кланово, более семейно. Все, что происходит внутри семьи (фирмы), должно оставаться здесь. Разумеется, сливы будут, например, от конкурентов или людей, чья профессия эти сливы организовывать – журналистов.

Затем блогеры стали говорить о том, надо ли заводить свой блог по ИБ, про качество контента, монетизацию и прочие темы. Секция длилась 2 часа, я отлучился на полчасика, вернулся, а там все то же самое.

Выводы (по сути, а не точности высказываний):

Алексей Качалин: блогеры дофига о себе думают. Надо быть скромнее.

Лукацкий: Для чего блогер пишет блог? Вариантов не много — слава, монетизация, немного добра.

Лукацкий: Лукацкий в купальнике самый топовый пост. Всем плевать на блогеров, через день забывают.

Лукацкий: у нас никто не пишет для домохозяек, все пишут для специалистов. А надо для домохозяек.

Лукацкий: качественного контента в иб ни у кого нет, нет места монетизации.

И все в таком духе. Там было много ереси про блогинг вообще. Например, кто-то сказал что-то в духе «посмотрите на количество просмотров, их несколько тысяч, а монетизация ведь происходит по просмотрам», и никто в президиуме его не одернул. Где-то в самом начале Алексей стал бомбить меня через личные наезды, что не очень хорошо с его стороны, у меня не было микрофона.

Место для не-топ блогеров

Место для не-топ блогеров

Поэтому вставлю свои пять копеек тут.

Все названные проблемы – в головах говорящих. Например, с той же несчастной монетизацией (хотите пост про монетизацию? Пишите в комментариях). Или с желанием прикрыться желанием «делать добро» посредством блога. Конечно, легко говорить, когда каждый месяц получаешь зарплату в кассе. Что-то немного у нас безработных альтруистов, которые бы повышали осведомленность населения (тех самых домохозяек) в вопросах информационной безопасности. Кто платит, тот и заказывает музыку. Интересный момент: тот же Алексей очень болезненно воспринимает критические замечания в адрес своего работодателя.

Разумеется, цель создания блога всегда одна – слава (желательно вместе с деньгами). Помните, как говорил Ницше? Альтруизм – особая форма эгоизма. Человек по природе эгоистичен, а также ленив. Никто не будет просто так поднимать задницу с дивана. Я, кстати, не исключение. Вопрос лишь в пропорциях и эго: кому-то достаточно простого «я сделал», а кто-то спать не может, ведь «в интернете кто-то не прав», и ревностно защищает свою территорию.

Кстати, о домохозяйках. Все свелось к тому, чтобы писать просто, без специальных терминов. Простите, но вы о чем говорите? Любая группа, объединенная вокруг специальных знаний (а информационная безопасность к таковым, безусловно, относится), вырабатывает свой сленг. Человек, который хочет разобраться, быстро в этом сленге разберется, а кто не хочет — тому и не надо. Домохозяйкам не нужна информационная безопасность. Давайте примиримся с этим знанием. Научите их хотя бы антивирус ставить, пароль посложнее придумывать (пусть пока на бумажке дома записывают) и менять раз в полгода. А вот задача специалистов – оберегать домохозяек, чтобы они спали спокойно. Все думающие иначе должны начать с курсов компьютерной грамотности для населения, а через поколение-другое уже переходить в поибэ.

И в заключении качественный контент. Почему-то все сразу стали обсуждать лишь две грани контента – оперативность новостей и мега-аналитику по угрозам/уязвимостям. Кстати, это типичный прием демагогии – нарисовать жупел и с боем его побеждать. Качественный контент не произрастает из текстов, новостей или аналитики. Качество вообще вещь довольно дискуссионная – там можно еще одну портянку на три листа написать.

В инфосфере качество проистекает лишь от одной величины – личности говорящего. Если личность блогера импонирует — для вас его контент будет качественным. Если блогер — мудлан, вы читать его не будете, как бы он не извернулся, что наша дискуссия с Алексеем  и показала.

Не смотря на нашу историю с Алексеем, я говорил и буду говорить, что он остается непревзойденным новостником с первичной аналитикой. Т.е. все эти разборы изменений ФЗ, РД и всяких проектов читать интересно. Конечно, после этого начинаешь читать сам, но первичный фильтр уже отработал.

А вот Андрей Прозоров больше читает книжки и постит маркетинг про Solar. Мне, например, про книги совсем не интересно, а про Solar интересно.

И напоследок. Hint для начинающих блогеров от Рустема Хайретдинова:

Как показал сегодняшний день, вход на рынок ИБ-блоггерства с позиционированием «пишу, какие все идиоты, имею скандальное мнение по любому поводу» стоит недорого. Поэтому ветеранам надо заботиться об отстройке, повышающей стоимость входа. Отличная отстройка — «рецензировать книги, которые читаешь»: чтобы конкурировать, придётся много читать. Или ассоциативно привязывать интересные новости к теме ИБ — конкурентам придётся ориентироваться в политике.

На этом все, до новых встреч.

Войны блогеров по ИБ

1 комментарий

Когда воюют блогеры, комментариев в избытке (с) мое

Сегодня произошло странное, о чем и хотелось бы сказать, чтобы расставить все точки. В чем суть? Сегодня была настоящая война блогеров со мной. Весь топ блогинга поибэ ринулся защищать свои интересы от моих мнимых нападок.

5753_900

Началось все со второй части моего отчета о CISO-Forum, где в одном предложении был упомянут Алексей Лукацкий. Упомянут был в контексте того, что Алексей неважно модерировал пленарное заседание, на котором была джинса от ISACA, съевшая 30 минут из 40 всей пленарки.

Через 2 минуты после заброса в фейсбук я получил комментарий от Алексея. Удивительно, какая скорость. Думаю, фильтр какой-то на собственную фамилию поставил, или что-то в этом роде. Хотя еще недавно Алексей заявлял, что репутации в России не существует, а ему конкретно – все равно, что о нем пишут, уже столько написали.

Алексею показалось, что я говорил о его секции, на которой меня якобы не было (Алексей, я там был. Я в тот день был почти на всех секциях, за исключение круглых столов, т.к. сам вел один). Но не суть, говорил-то я о пленарном заседании, а не о секции Лукацкого. Как видно, фейл на лицо. Ну, с кем не бывает. Утром я указал на ошибку, и забыл.

Приехал на PHD, зашел на секцию публичности в ИБ. Сижу, никого не трогаю, и тут Алексей с поддержкой начинает шпильки мне кидать… я так понимаю, это что-то личное, Алексей еще на CISO-forum желал мне провала. И тут подошла тяжелая артиллерия. Закончилось все тем, что Алексей высказал мысль, что у нас нет качественного контента в принципе. На мое уточнение «и среди сидящих за кафедрой?» Алексей выкрикнул мне персональное разрешение с предложением написать это в фейсбуке.

Было крайне неожиданно узнать, что я, оказывается, залез на священную землю блогов по иб и топчу ее бесправно. Что сам я пишу хуйню (чего не скрываю), грамотную аналитику не даю, а выезжаю за счет скандальных тем и критики. Ну, а потом все перешло в фейсбук, где Лукацкий оставил полсотни комментариев, а когда я уже признал свою тупость и ограниченность, продолжил доказывать свою правоту каждому, кто отписался у меня на стене.

Лично для Алексея. Алексей, то, что конкретно этот блог молод – не значит ничего. У меня есть еще 4 более или менее популярных блога. Один из них я начал вести, когда вы 10 лет назад еще и не думали открывать свой. Я прекрасно осведомлен о методике проведения срачей как в интернете, так и в реале, которые, к тому же, длятся месяцами, а не пару часов. Вы позволили себе перейти на личности, что ж – ваше право. Мне же этот метод не интересен.

Вы — личность публичная. Отличный теоретик. Я, можно сказать, рос как специалист на ваших постах, но сегодня вы потеряли лицо. Спорить с каким-то ноунеймом (кстати, это уже не первый раз) по пустяковому поводу так, что теперь об этом знают все. Зачем? Ладно, хватит об этом. Тему закрыли.

Для читателей. Друзья, этот блог не про информационную безопасность, и никогда о ней не был. Топ блогинга может спать спокойно. С помощью блога у меня нет цели распиариться, монетизироваться, найти новых клиентов и т.п. Цель у блога лишь одна – писать. То, что вы это читаете — для меня большая удача. На один из моих блогов подписан 1 человек. Мне этого достаточно. Я просто надеюсь, что мой взгляд на вещи кого-то побудит к разговору. А уж что писать – про ИБ, рассказы или стихи, все равно.

ilive

CISO FORUM 2016 – И дамы, погасших пылающих гнезд, спалят кавалеров с тупых белых звезд

2 комментария

Я в несколько подходов принимался за вторую часть отчета. Я долго собирался с силами, чтобы рассказать о своих страхах и предчувствиях. Основная (негативная) часть была написана в пятницу. Пятница 13 — лучшее время для отчета. Но должна быть и капля позитива, ведь я верю в хорошее.

Текст далее не будет хронологически связным, скорее это будут определенные законченные сцены, иначе общая бессвязность моей речи совсем зашкалит.

ciso_forum_2016

Правильные SOC

Основным светлым пятном было выступление Феди Горловского. В отличие от «кошмаров Лукацкого» (лепить в выступление как можно больше рекламы), Федор не стал разводить рекламу в своем выступлении «CISO‐KIT или Меч самурая Хандзо». Хотя теперь он Директор по развитию в Security Vision (а я безработный блогер), а они, в свою очередь, были главным спонсором всей выставки. Растут ребята.

Ключевое, что сказал Федя, и чего я не услышал на SOC- forum: хватит говорить о технологиях. Технологии — это лишь один, при том самый низший уровень SOC.

Иерархия выглядит так (в порядке повышения значимости):

  1. Люди.
  2. Процессы.
  3. Технологии.

Вот и весь SOC- forum крутился вокруг технологий… мда. Еще Федор интересно рассказывал про западные SOCи и отечественные, о той локализации, что присуща только нам. Можно сказать, что у нас образуются два отдельных направления в SOC: это подход Solar с его аутсорсингом и вытекающими от сюда проблемами и Security Vision, который старается нивелировать пробелы уровней процессов и людей с помощью технологий.

Фактически Solar заявляет, что у него лучшие специалисты, а процессы и люди не важны (взяты на аутсорсинг). Security Vision идет снизу и выстраивает процессы сам, адаптируясь под предприятие. Люди должны повышать свой скилл в боевых условиях на живом материале. Конечно, не идеальная ситуация, но гораздо лучше неизвестности аутсорсинга.

Ну, и заценил функционал Security Vision, который, говорят, оценил В.В. Путин. Приобщился к великому, так сказать.

Луч света в темном царстве

Чтобы закончить с хорошим, хотел бы отдать должное организации. Конечно, были у них косяки – пару раз перепутали залы и спикеров, колонки немного фонили, переключатели не работали. Но программка – мое почтение. На моей памяти они единственные, кто догадался сделать ее формата А5. На полиграфию денег не пожалели.

Ну, и развлечения были неплохи. Особенно алко-казино:)

ISACA — российские туристы переключаются с Крыма на Сочи

У ISACA было аж два выступления (мб и больше, я был 1 день). И оба оставили тягостное впечатление. С места в карьер – Андрей Дроздов (Вице‐президент Московского отделения ISACA) пересказывал какой-то западный отчет по угрозам. Потом вещал о том, какая ISACA крутая организация, и все это съело 80% пленарного заседания.

Иероним Босх, Семь смертных грехов

Иероним Босх, Семь смертных грехов

Я, честно сказать, был в шоке. Никогда не думал, что на таком уровне можно так явно гнать джинсу. Андрей заполнил собой всю пленарку, оставив остальным по 2 минуты на реплику. Не знаю, как там в высшем свете, а на Нижегородской конференции по ЗПД в 2008 году за такое пара лиц были биты. Завершилось все фееричной новостью, что доступны учебники ISACA со скидкой для студентов. Хотя какие студенты на платной конференции для директоров по ИБ? Куда смотрел Алексей Лукацкий, он вроде был модератором…

В конце дня выступал Фарит Музипов (председатель правления, НП «Партнерство специалистов информационной безопасности»). Фарит, в целом, интересно рассказал о своем опыте сертификации CISA, CISM и CISSP. Рассказ об этом занял минут 5. Потом началась опять джинса – как хороши западные сертификации, как много западных друзей можно получить и т.п. У меня сложилось ощущение, что московскому отделению ISACA надо срочно заполнить аудитории на курсах по подготовке к этим самым сертификациям.

Я задал Фариту аж четыре вопроса:

  • Насколько применимы западные стандарты и подходы к отечественной специфике? Как именно вы применяете их в работе? Особенно учитывая, что CISA содержит 2,5 раздела (из 8) по западной (чуждой нам) нормативке?
  • Вы сказали, что данные сертификации являются экспертными, но вместе с тем вы также сказали, что они носят общий характер. Верно ли, что единственным отличием CISA специалиста от не-CISA – это знание английского языка?
  • Как вы относитесь к тому факту, что данные сертификации носят общеобразовательный смысл, не привязанный ни к какой конкретике, в отличие от CCIE Security или Lead Auditor ISO 27000? Что они могут быть просто задамплены и не отражают должного уровня специалиста?
  • Как лично вы применяете знания из международных сертификаций?

Фарит высказал свое мнение, и тут опять появился Андрей Дроздов и начал рассказывать, как они готовят к сдаче сертификации…

И это был словно третий круг ада – чревоугодие. Т.е. какие-то люди собрались, придумали свою сертификацию и за деньги обучают своей методике. Так мало того — вы каждый год должны покупать книжки, чтобы остаться в кругу Элиты. Я уже рассказывал про одного CISA. На моей памяти лишь несколько человек были достойными специалистами. Один из них Андрей Янкин, который в большей степени получил корочку для защиты конкурсов. В его квалификации и так никто никогда не сомневался.

Так началось наше снисхождение…

Безопасники бывшими не бывают

В этот день много говорили про бывших безопасников. В начале Александр Баранов (секция «ОДИН НА ОДИН». Генерал Баранов. Жизнь после 8‐го Центра ФСБ) рассказывал, как устроиться на гражданке после ФСБ. Не шибко помню все выступление, лишь несколько цитат:

Александр Баранов: служба продолжается и на гражданке.

Александр Баранов: нормативка не совсем отражает реалии.

Александр Баранов: регуляторы заточены на защиту гостайны, а ее 2-3%. Требования слишком жесткие.

Александр Баранов: выбить деньги на иб сложно, безопасник плохой продавец. Надо учиться выбивать.

Александр Баранов: iso, стандарты и методички рассказывают банальности, но не дают никакой конкретики.

А затем была целая секция «Жизнь после ИБ», от которой я просто выпал в осадок. Там вещали девушка и молодой человек. Оба занимались ИБ, но потом ушли из профессии.

Рене Магритт, Сын человеческий

Рене Магритт, Сын человеческий

Крайне покоробили их причины прихода в ИБ (я уже не помню, кто и что конкретно сказал, главное — общий посыл, оба спикера были похожи в своих предпосылках), так это я записал с места событий: в ИБ попадают, потому что деньги платят, или была перспектива в начале обучения.

Что сказать? Пиздец. Лично я остаюсь при мнении, что безопасник (пусть и на гражданке) – это ум, честь и совесть компании. Это верные, в том числе своему пути, люди. По мне корыстный безопасник – это оксюморон. Помню, мне Руслан Рахметов (сейчас директор в Security Vision), рассказывал о причинах, почему он стал делать средства защиты. В топ 10 причин не было ни слова о деньгах, одни чистые, светлые идеи.

И это наш четвертый круг ада – жадность. Среди нас появились корыстные люди, готовые переметнуться к буржуинам: туда, где вкусно кормят и мягко стелют.

Дамы пылающих гнезд

Алексей Волков решил провести секцию «ИБ «под каблуком. Женщина в профессии CISO». Вообще надо сказать, что все выступающие независимые эксперты (а независимы они видимо потому, что их компании не были спонсорами форума), как-то странно выбрали себе темы. Видимо, решили постебать всех… такие темы надо на автопати обсуждать.

Алексей пригласил 5 тигриц и смело вошел в их клетку. Хорошо, что вышел живым. Затролили по самое не балуйся.

Вообще странно, что на нашем рынке женщина воспринимается как что-то такое неведомое и экзотическое. Типа безопасность для суровых мужиков, которые пьют, не закусывая, и ругаются матом. Как же женщина пить-то будет? Помню, в 2006 году, когда я учился по ISO 27000 в АИСе, курс читала девушка из Джетов (недавно ушла оттуда). Она готовилась стать сертифицированным аудитором и начитывала для этого часы. И надо сказать, отлично читала. Беспочвенно критикуемый сейчас цикл Деминга был понят мной во всех нюансах и подробностях.

Скажем нет сексизму в ИБ! Можно сказать, это был второй круг – похоть.

Сизифы

Про отважных людей, живущих в парадигме: «руководству плевать на иб, если оно решило идти в облака. А если риски, связанные с этим, реализуются, виноват будет безопасник. Ему и отвечать.» Читайте в первой части.

И это был пятый круг – гнев и уныние.

Иероним Босх, Восхождение в Эмпирей

Иероним Босх, Восхождение в Эмпирей

Я не знаю, может быть, там было что-то прекрасное на второй день. Хотя сильно сомневаюсь… Забавно было про китайский банкомат. Или как Solar сказал: «мы будем рады, если на торрент-трекерах будут лежать исходники наших продуктов».

Но все это хорошая мина при плохой игре. Первый день CISO- forum был… душным. И дело не в работе кондиционера, с ним все было нормально. Дело в давлении. Это как с двоемыслием в Оруэлла. Океания всегда воевала с Остазией. Если вы читали классику кибер-панка, то вы должны понять то ощущение безнадежности, что за тебя уже все решили. Или вспомните Горец 3 с Ламбертом. Вот корпорации – они всем рулят, а вот модная сертификация — ее надо получить, иначе к баланде не допустят. И ты бежишь как белка в колесе за целями, поставленными другими. Хотя добро — вот оно. Ты только что свернул от него в другую сторону…

Были там и другие круги… но я не хочу об этом писать.

Всего вам доброго.

У Камина с Рустемом Хайретдиновым

Добавить комментарий

Сегодня решил посидеть у камина с Рустемом Хайретдиновым и понекропостить его заметку аж от 1 марта. Вы спросите: Дима, какого хрена? Что за рандомный набор тем? А я отвечу: есть у меня блокнотик, куда я записываю идеи для своего потока сознания, и, если нет ничего насущного, подглядываю туда. Сегодня как раз ничего насущного. Заметьте, никакого тайм-менеджмента.

fireplace_main

Так как это запись на Фейсбуке, приведу ее полностью:

Помня, что после слов «никого не хотел обидеть» можно обижать кого угодно, вброшу, пожалуй.

Так вот, никого в действительности не хочу обидеть, но дописал в требования к вакансии к «статьи в профильных и бизнес-изданиях — плюс» фразу «собственный блог — минус». Раньше я думал, что популярный блог — это плюс для работодателя: человек активно делится идеями, имеет устойчивую аудиторию, которой будет доносить наши ценности. Но несколько раз столкнулся с тем, что блогер — отдельное состояние души, блог требует постоянного внимания, регулярных публикаций, подсчёта посещений и т.п. Блогер зависит от блога, его аудитории, позитивных откликов, рейтинга и т.п. чуть ли не больше, чем от работодателя и конфликт между ценностями компании и ценности своей аудитории будут чаще решаться блогером в пользу последней. А работодателю это не надо.

Статьи в прессе создают доверенное имя, аудиторию и уважение, но не создают зависимости от аудитории. Что скажешь, [нет разрешения на обработку персональных данных ]?

*Речь здесь идет только о тех, для кого ведение блога — не часть профессии, то есть этот пост не про топ-менеджеров, консультантов и PR-специалистов, а про специалистов и средний менеджмент.

Рустем, да полноте вам. Блогеру не нужно делиться идеями и иметь устойчивую аудиторию для донесения ценностей. Если блог корпоративный — так там этим и так занимаются (см. блог любой компании). И никакого конфликта тут нет. Все зависит от целей человека.

Буквально недавно разговаривал с молодым блогером, который рассказывал мне, что «есть тусовка «старых блогеров», которая никого к себе не пускает и гоняет молодняк ссаными тряпками». Тут цели и тех и других понятны — главное застолбить местечко в кругу гуру и скопом скидывать всех остальных с вершины. Ну, а тех, кто пролез, придется терпеть. Но таких единицы.

Именно в тусовке важно внимание, рейтинг и отклики. Хотя какие уж в ИБ отклики? У Алексея Лукацкого в среднем 3 комментария на пост. А это не какой-то там блогер, титан! Что уж говорить про все остальных? Нет, отклики и рейтинги не так важны.

А все почему? Потому что люди блогом не зарабатывают денег (во всяком случае в ИБ). Даже косвенно. Вот, возьмем меня. Предположим, меня переклинило, я стал вести блог. И что в моей жизни изменилось? Как был бомжующим босяком, так и остался. Разве что теперь могу вам об этом рассказать :) (Где тот добродетельный меценат, готовый меня спонсировать? Совершу переворот в медиа-пространстве. Готов работать за еду.) Понятно, к корпоративным блогам это не относится. Но и души в них нет, так, пресс-релизы.

Блогер – это состояние души. Но какой может быть конфликт интересов между работником и компанией? Допустим, Рустем собеседует человека – он отличный специалист и человеческие качества у него хорошие. Но что изменится, если этот человек блогер? Понято, что ничего, так как его блог является следствием профессиональных и человеческих качеств. А не наоборот. Я, например, использую обсценную лексику. Понятно, что нам с работодателем будет сложно общаться, пытаясь не называть мудака мудаком. Мне ближе конкретика и точность высказывания, а кому-то дипломатические кружева. И то же самое будет в моем блоге.

Никто ведь не возражает против ведения личных блогов. А там и аудитория, и рейтинги, и отклики. У меня целый блог личной графомании (не этот). Хочешь – читай, не хочешь – не читай. Я от этого никак не изменился, это все во мне, это все я и есть. Именно поэтому со мной общаются или не общаются люди.

И так с каждым. Ну, будет человек вести блог под псевдонимом, кому лучше-то? Вот Андрей Прозоров – наглядный пример моего тезиса. Он разве потерял квалификацию от того, что в своем блоге писал когда-то про прямого конкурента? Я думаю, это даже плюс для Solar был.

Единственный вариант для конфликта – если в блоге поливают грязью родную компанию. Да, такое есть. Конфликт на лицо.

Так что блогеры тоже люди, как и графоманы :)

Всего вам доброго.

О планах и как к ним относиться

Добавить комментарий

Хотел бы вам рассказать о моем коллеге по работе – Федоре Горловском. Хотя мы с Федей братья в нелегком деле пресейла и борьбы за квоту, мы ярые антагонисты на идеологическом поле. Главное наше расхождение – планы vs цели. Суть противостояния сводится к следующему: Федор считает, что путь к личному счастью (или хотя мы к материальному) лежит через планирование. И шаг за шагом, этап за этапом вы обретаете счастье. Я, разумеется, ему оппонирую всеми фибрами своего естества. Рассмотрим противоборствующие стороны.

versus

Федор – человек-планировщик. Федя любит учет и порядок. Деловой стиль в одежде и общении. У него есть план(ы) на ближайшие 50 лет, которые он корректирует в зависимости от обстановки. Федя ведет домашнюю бухгалтерию. В свободное время Федя инвестирует в российские и западные компании. Карьерно и финансово успешен.

Ну, себя, распиздяя, описывать не буду, вы и так все обо мне знаете. Главное другое: в итоговом плане мы с Федей одинаковые (плюс-минус). Но идем к этому разными путями. Для меня любое планирование бесперспективно. Не в смысле, что я вообще планов не строю. Просто долгосрочное планирование при недостатке информации все равно, что гадание на кофейной гуще. Я заменяю их целями. Человек-цель.

Возьмем какую-нибудь цель для простоты повествования. Например, купить машину. Человек-планировщик сразу намечает все шаги и подэтапы, определяется с маркой, характеристиками машины, понимает, где он достанет деньги, когда он сдаст на права и т.п.

Человек-цель просто ставит цель купить машину. Не сказать, что у меня нет совсем понимания, как этого достичь. Основные шаги все те же самые (найти деньги, выбрать машину), но они не конкретны. Я готов переставить шаги или отложить цель в зависимости от обстоятельств. Например, свою первую машину я купил совершенно случайно за 1000 долларов и был счастлив с ней 5 лет. А вторую был готов поменять еще 5 лет назад, но забил – мне и так круто.

Как мне видится, главное различие в работе с информаций. Планировщик сидит внутри своих планов и возможных вариантов развития, которые он проработал. Чем лучше планировщик, тем к большему количеству неожиданностей он готов, ну как Госдеп США, у которых есть планы на все случаи жизни. Именно эти люди основные потребители бесчисленной «аналитики» обо всем на свете. Аналитика на основании аналитики.

Но это не исключает, что произойдет что-то (черный лебедь, например), к чему мы не готовы, что похерит к ебеням весь труд по планированию. Это меня просто убивает. Жизнь — она не бесконечная. Понятно, что чем детальнее проработка планов, тем больше похерит. Не верите? Посмотрите на первую версию любого календарного плана по внедрению чего бы то ни было и сравните с фактическими итогами. Сюрприз.

Основное следствие из этого — не стоит слишком серьезно воспринимать и строить планы. Воздушные замки на основании других воздушных замков. Не слишком ли зыбко?

— Хорошо, — скажите вы, — Дима, кул стори. Но к чему это?

Я это к тому, что в блогосфере просто полыхает от планов регуляторов на этот год. Люди, ау. Работать можно лишь с тем, что по факту есть. Как и делать далеко идущие выводы. Помню, как в 2012 все обсуждали бесконечные проекты документов ФСТЭК (в итоге вышли через 2 года) и ФСБ (большинство так и остались проектами). Какие тогда споры велись, сколько бугурта было у экспертов. Сейчас все поуспокоились.

То, что будут новые документы – хорошо. А бугуртить по их поводу – плохо, выйдут – посмотрим.

Всего вам доброго.

P.S. Ставьте лайки, если хотите большей «грязных подробностей» нашего с Федей противостояния.

СМИ по информационной безопасности, или «глубина 12000 м, спуск нормальный»

2 комментария

Вот и закончились праздники, все неспешно вышли на работу. Хотя какая сейчас работа? Некоторые еще в отпусках, остальные плавно входят в новый год. И только я вынужден херачить заявки на конкурсы :) Но я о другом. Аккурат 31 декабря посмотрел я в нашу песочницу (которая информационная безопасность) и понял, что все грустно.

kladbishche_11

Вообще, печаль моя велика. Но особое место в ней занимают СМИ по информационной безопасности, или говоря обще – наше инфополе. Что это такое? Это некий набор тем (мемов, паттернов, называйте, как хотите), которые позволяют отличить одну группу профессионалов от другой. Если вы попадете на медицинскую выставку (даже если она будет по ИТ или ИБ), вы заметите это. Специфические темы, проблемы, термины. И так у всех: у бухгалтеров, строителей, даже у ичаров. А у безопасников нет. Конечно, это уже более глобальная проблема для отдельного разбирательства, но посмотрите на частности. Нам банально нечего почитать, все темы заезжены, жизнь теплится лишь в социальных сетях вокруг небольшой стайки. Не согласны? Смотрите, что получается.

Телевидение и видео-блоги

Этого у нас нет. Были отдельные попытки «показать про безопасность», но все они упирались в одно – деньги. Делать это на энтузиазме некому – студенты не тянут по уровню, а старикам не хватает времени.

Подкасты

Тут признаки жизни все же есть. Например, вот список от Андрея Прозорова по Подкастам.

  1. Securit13 Podcast (жив)
  2. Диалоги #поИБэ (1 год был в коме, обновился вчера на «модную тему» SOC – как будто других тем нету)
  3. Открытая безопасность (умер. Аркадий!!)
  4. Радио-Т (про ИТ)
  5. Noise Security Bit (скорее умер – 5 выпусков за прошлый год, причем 4 из них с января по апрель).
  6. Kaspersky Lab (про вирусы и не обновляется)
  7. 100% Virus Free Podcast (умер).

Итого 1 из 7. Есть еще «Квант Безопасности», где Евгений Бабицкий и Никита Ремезов пытаются обсуждать новости в два голоса. Но я про подкаст узнал случайно, потому что Никита упомянул меня в фейсбуке, а потом Евгений ринулся защищать PCI DSS. 24 выпуска за полгода – отличный результат. Но подкастер – это не спринтер, а марафонец.

Можно сказать, что и тут по нулям. Все обсуждают новости и всякие избитые темы, подхватывая что-нибудь модное, чтобы «быть в тренде».

Журналы

Журналов по информационной безопасности всегда было достаточно, штук 5 точно. Я и сам больше года печатался в «Information Security/Информационная безопасность». Есть и электронные журналы, и по подписке (например, «Проблемы информационной безопасности. Компьютерные системы»). Но у них всех две проблемы:

  1. «Кошмар Алексея Лукацкого». Это журналы, размещающие статьи в рекламных целях. Кто-то больше, кто-то меньше. У кого-то это завуалировано, а кто-то лупит в каждой фразе название своей компании или продукта. Как жбахнул кризис, так доля коммерческих материалов резко выросла.
  2. «Академичность». Пишутся как диссертации в миниатюре. С тоже структурой, тем же языком. На тысячи и тысячи знаков…

И знаете что? У нас нет ИБ-журналистики. У нас не задают острых вопросов, у нас на круглых столах все друг другу улыбаются, подтрунивая друг над другом в кулуарах. Все эти статьи пресны, как манка без сгущенки.

T_intro1

Блоги

Блоги вообще странно относить к СМИ. Блог — это личная площадка, где автор куражится в меру сил и способностей. Но именно блоги (твитеры, фейсбуки и т.п.), двигают все инфополе «по ИБ». У нас это удел каких-то одиночек, которые создают инфоповоды. Посмотрите на блог Алексей Лукацкого: даже такому титану шибко не о чем писать, если новостей нет. Отсюда значительное количество постов «по мотивам вчерашних твитов».

И комьюнити, которое хотя бы комментарии пишет, довольно небольшое. У Алексея на 20 последних постов в среднем 3,5 комментария. Это у топ1 блогера. Я думаю, есть большой пласт безопасников, которым некогда читать все подряд, чтобы найти интересное. А когда они попадают на конференцию, их ждет куча рекламы

Так и живем. Всего вам доброго.

 

Тайм-менеджмент как секта

1 комментарий

Давно обещал Андрею Прозорову рассказать, почему тайм-менеджмент – это вредная фикция, и даже лже-наука. Начнем чутка из далека. Последние две недели все стали активно писать о том, как развиваться безопаснику. Например, типичная статья: Александр Бондаренко пишет о том, как повышать компетенции.

Если почитать внимательней, то там приводится копипаста с исследованием Deloitte о компетенциях безопасника, а потом идут мысли Александра, как этого достичь. Список там просто божественный, никак у меня подсмотрели. :) Главная проблема всех этих списков, всех этих 5 шагов к успеху, 7 ступеней к счастью и т.п., в том, что они совершенно оторваны от жизни. Например, в статье выше навязываются четкие 4 роли, причем переход от Защитника к Советнику — это качественный переход в карьерном плане, а в статье говорится лишь о развитии навыков. Советник в западной культуре — это человек, получающий деньги за консультации по фиксированному прайсу (самый яркий пример у нас – нотариусы). Такого в безопасности нет. В наших реалиях роль Советника – это роль директора департамента или его зама. Там много спорного (например, ROI :)), сегодня не об этом.

Тайм-менеджмент - секта. Глеб АрхангельскийСегодня о тайм-менеджменте. Я честно изучал тайм-менеджмент и купил книжку Глеба Архангельского «Тайм-драйв» (еще в 2010 году). И это не работает.

Во-первых, о названии. Менеджмент все у нас переводят как управление. Верно. Только менеджмент – это управление людьми. Если быть точным, то тайм-менеджмент переводится как «управление людьми времени» (сюда же риск-менеджмент, комплайнс менеджмент и т.п.). Ни про каких людей в книге нет. Наоборот, это книга управляет вами.

Во-вторых, структура книги, сама форма подачи слизана с тренингов личностного роста и методик а-ля «Простой способ быть счастливым». Если вам 25 лет, и вы до сих пор не умеете организовать свою жизнь, книги вам не помогут. Там есть всего один способ, или смерть как профессионала. Что уж говорить про 30, 35 и далее лет.

Цитата:

  • Используйте «якоря» для настройки на различные задачи и отдых.
  • Применяйте «метод швейцарского сыра» при раскачке.
  • Ежедневно съедайте минимум одну «лягушку».

Срань господня, это что такое? А я вам отвечу: в этих трех предложениях сразу пять фишек, использующиеся лже-науками, бизнес-тренерами и тоталитарными сектами:

  1. Птичий язык. Больше обычных слов в специфическом понимании данного учения. После якоря я съел лягушку после швейцарского сыра. Посмотрите на НЛП, или соционику, или на гороскопы. Сходства очевидны.
  2. Как можно больше слов на птичьем языке. Чтобы у неофита создалось впечатление, что это круто и ему надо больше узнать. А точнее вбухать больше денег в книжки, семинары и встречи. По тайм-менеджменту проводят семинары! Куча потраченного времени, за которое можно было съесть кучу лягушек. И это по нескольку раз в неделю.
  3. Непроверяемость результатов. Я знаю 3 адептов тайм-менеджмента, они часто опаздывают и срывают дед-лайны. Вы никогда не узнаете, насколько «успешнее вы стали», потому что тайм-менеджмент это процесс, а важны лишь результаты (кстати, именно поэтому теория решения изобретательских задач (ТРИЗ) — чушь собачья).
  4. Гарантируемое счастье. Об этом прямо в книге и написано, начиная с 8 страницы. И эта книга — «программа-минимум» (с). А дальше как у сайентологов: пройди 12 ступеней, вложив миллионы долларов.
  5. Сакральность знания. «Мало кто знал о том, что еще в 1926 году существовала лига «Время», распространяющая передовые технологии управления временем: мало кто был знаком с богатой историей отечественного тайм-менеджмента». (с) Ну, тут все понятно, гороскопы уже 2000 лет делают – они как-то понадежней. Интересно, в 1926 году это тоже называли тайм-менеджментом?

В-третьих, это просто не работает. Чтобы следовать всем этим методам, надо потратить кучу времени на их воплощение. Я, например, выполняю обязанности пресейла, гипа и аккаунта. Я как-то пробовал посчитать, сколько звонков и писем я отправляю/получаю в день, забил на третий день – за три дня получилось 37,2 письма и 22,7 звонка. Если я каждый раз после звонка буду вносить коррективы по методу «неделя-месяц» — у меня рука устанет писать и зачеркивать.

time_mng2

Окей, мб это я плохой и не быстрый. Но это не работает даже в выборе приоритетов для задач. В книге есть слезный пример, как надо учить детей тайм-менеджменту. Например, определить отстающие предметы и заниматься по ним. Чушь собачья.

На второй вышке в курсе организационного поведения нам рассказали замечательную историю.

Жил был д.т.н. и был он несчастлив. Он долго маялся, а потом в 40 лет решил сменить вид деятельности. И стал дальнобойщиком. Оказалось, что ему нравилось ехать по дороге, а не бумажки перекладывать.

Тайм-менеджмент же нас подталкивает закрывать слабые стороны, а не развивать сильные. Вот Аркадий Прокудин периодически что-нибудь забывал, но это не помешало ему достичь успеха.

В сектах это распространенный примем – навязывание ложных целей, борьба с внутренним я в угоду гуру.

Например, я отвожу на написание поста в блог 1 час. Поэтому тут полно опечаток и ошибок. Но я знаю, что если тратить больше времени – результата будет всего на 10% лучше. Преодоление этого разрыва возможно лишь за деньги. В противоположность Андрей Прозоров или Алексей Лукацкий этим зарабатывают себе на жизнь.

Как итог. Тайм-менеджмент — сомнительная вещь, калечащая вашу жизнь, т.к. противоестественна для нашего мозга. Есть более простые техники, которые сделают вашу жизнь проще. Интересно? Напишите в комментариях, и это будет в одном из следующих постов.

Всего вам доброго.

Аутсорсинг ИБ – будущее, которое может и не наступить

1 комментарий

Оказалось, что тема аутсорсинга волнует многих. Вставлю и я свои пять копеек. Если лень читать много букв, то краткий вывод – у аутсорсинга информационной безопасности будущего в ближайшей перспективе нет. А теперь много букв.

outsoursing2

Лирика для вхождения в тему

Как-то месяца два назад наткнулся в ленте новостей на статью «почему западные методики бизнеса не приживаются в России» или как-то так. Главный посыл: потому что у нас другой менталитет. А вот вывод был неправильный – «давайте менять менталитет».

Вся стратегия аутсорсинга (слово-то какое буржуинское :)) строится на том, что мы доверяем компании аутсорсеру. А если не доверяем, то сможем с нее взыскать убытки по договору через суд. Как вы понимаете, чтобы не допустить второго, наше доверие должно быть избирательным. Помочь ему в этом может множество факторов, но главный – репутация. И это первая проблема.

Вчера я упоминал круглый стол у Алексей Лукацкого на Infosec2013. Там Алексей впрямую заявил – «в России репутация стоит ноль». И я был шокирован, какое большое количество фанатов Алексея его поддержало. На BISA саммите в 2014 году я решил уточнить у Алексея, изменилось ли его мнение (не дословное цитирование):

— Нет. У нас в куче банков происходят утечки и кража денег, но все остается как есть.

— Хорошо. Но начнем с малого, есть же личная репутация, и…

— А и ее нет. Про меня такое говорят, устал читать.

Т.е. в нашей сфере известный блоггер, формирующий общественное мнение, не верит в репутацию и что она чего-то стоит. Вот от этого и оттолкнемся.

У аутсорсинга нет репутации, а следовательно доверия к нему

Я затрону всего три грани, почему аутсорсинг — это не про нас:

  • со стороны заказчика;
  • со стороны рынка;
  • и со стороны продаж.

Почему аутсорсинг ИБ не нужен заказчику?

Аутсорсинг, в принципе, выгодная вещь. Например, чтобы не держать собственную логистическую структуру, проще нанять специальную компанию. Качество сервиса растет, прямые расходы известны, бери и радуйся. Но уже на этапе, когда мы переходим к аутсорсингу ИТ, а тем более ИБ – это мало работает.

Во-первых, это очень дорого. Посмотрите материалы Solar с SOC форума, в каждой презентации у них есть слайд, где затраты на внедрение собственного SOC и аутсорсинг сходятся в районе 3 лет (парни без контактов – вы еще не оплатили прошлый счет за product placement :) ).

Окупаемость внедрения SOC

Т.е. дальше аутсорсинг будет только дороже. Вообще, нанять 1 специалиста на аутсорсинг на рынке стоит 3 ФОТ от стоимости собственного специалиста.

Это не говоря уже о том, что, если вы берете на аутсорсинг сложные системы (те же SOC), вы их банально не сможете амортизировать, а любой бухгалтер вам скажет, что амортизационные отчисления — один из главных источников модернизации. Для сложных систем срок амортизации варьируется от 3 до 7 лет. Т.е. и здесь не выгодно.

Но вернемся к сути. Если вы увлекаетесь теорией литературы, то должны знать или хотя бы слышали, что есть с десяток классических сюжетов и остальное лишь вариация на тему. Один из этих классических сюжетов – разорившийся богач (Гобсек, например), от которого отворачиваются все, остается лишь пара верных слуг. В нынешних реалиях – обычно водитель, охранник и экономка. Можно долго рассуждать, почему и как, но основная причина такова: потому что эти люди тесно общались с хозяином и стали частью жизни друг друга.

Я не хочу сказать, что безопасники – слуги. Но это наиболее близкая к владельцу структура, призванная его защищать от всего, от чего сможет. Если он не доверяет собственным безопасникам, то кому ж доверять? Скажем прямо, безопасники – это наиболее преданная и лояльная к организации структура. Да, преданность и лояльность можно купить. Ведь всегда в условиях войны можно было купить наемников. Но надо быть уверенным, что вас не кинут в трудную минуту. И тут опять всплывает вопрос репутации.

Рассмотрим разные ситуации взаимоотношений. Например, я. Любой человек, работающий со мной знает, что я человек слова, у меня есть несколько пунктиков на счет сроков и другие заморочки. Но если я с кем-то договорился, то слово назад не вертаю. Это отношения человек–человек.

В ситуации отношений человек-организация все примерно также. Правда, возрастает неопределенность в отношении организации.

А вот в ситуации организация-организация все катится в кромешный ад. По сути, эти отношения переворачиваются в организация (аутсорсер)-человек (заказчик), т.к. в Заказчике за привлечение аусорсера отвечает 1 человек, он принимает решение, контролирует и получает результат. Сами понимаете, что в данном случае заказчик будет в положении Алисы в стране чудес. Аутсорсер для него совсем не прозрачен (кто сомневается, можете как физическое лицо повзаимодействовать с любой государственной или коммерческой структурой по нетривиальному вопросу).

Кто эти люди? Кому они расскажут мои тайны? Уйдут ли через месяц работать к конкурентам? И еще тысяча вопросов. И, увы, все эти SLA, NDA, KPI и прочее не дают ответа. Закачаешься, какая информация внутри тусовки циркулирует.

Собственного сотрудника хотя бы обматерить можно. А Оператора Антона — иди еще найди, кто это.

Почему рынку не нужен аутсорсинг ИБ?

Тут уже не буду растекаться мыслью по древу. Чтобы аутсорсинг работал, должно быть множество компаний с определенной репутацией. Это на рынке телефонов могут быть пионеры, которые загребают все деньги. На рынке услуг все совсем иначе. Если нет альтернативы, то не понятно чего ожидать. Сейчас вот Solar продвигает аусорсинг SOCов. Молодцы. Но мне не с чем сравнить. Я не понимаю ни ценообразования, ни своих затрат, не могу оценить качество сервиса. Да, и банально могу не доверять другим организациям в таком тонком деле как управление инцидентами. Потому что глядя в окно, я вижу совсем иную картину. Почему Solar Security считает себя особенной? «Где ваши доказательства?» (с)

Поэтому понятно, почему Игорь Ляпунов (директор Solar) говорит: «Ответственность за информационную безопасность на заказчике, нельзя ее переложить на аутсорсера».

Главный посыл: как только на рынке все будут играть по одним правилам с единой этикой поведения, тогда поговорим. Говоря проще, как Solar начнет отчитываться о пропущенных инцидентах и штрафах, что они заплатили, тогда имеет смысл присмотреться.

Почему аутсорсинг ИБ не продается?

Я обещал рассказать историю. Выполняю.

Жила была компания, оказывающая услуги по аутсорсингу. Взялись за дело они шибко, и скоро стали отличными специалистами в узкой области. Но потом уперлись головой в потолок (или дно, как посмотреть). Текущие их заказчики уже не покрывали их расходов, т.к. аутсорсинг услуг масштабируется линейно. Надо было искать новых. Решила наша компания развивать партнерскую сеть, стали они везде ездить и всех агитировать «продавайте нас!». Но не получилось, никто их продавать не захотел. История еще не закончилась, посмотрим, что будет.

К чему это я? Все просто: в цепочке аутсорсер-заказчик нет места партнеру (интегратору). Получается, что партнер может заработать только на скидке, которую даст аусорсер, т.к. интеграторских работ нет. И зачем заказчику работать с партнером, если можно напрямую с аутсорсером – мб и дешевле выйдет. К тому же я не уверен, что аутсорсер банально не уведет моего клиента. Вот и люди из истории – ходят по рынку и пробуют что-то сделать.

outsoursing3

В этом случае аутсорсер рассчитывает в основном на свои продажные силы, а их всегда недостаточно. Ирония: аутсорсеру, чтобы продавать аутсорсинг, нужны продавцы на аутсорсинге в партнерах. :)

Куда не кинь, всюду клин. Аутсорсинг дорого, стремно и ненадежно. Печаль.