Архив метки: обучение

Введение в экономику безопасности

Тяга к знаниямОт природы я человек любопытный. Любопытство мое неактивное, носит созерцательный характер. Не, я тоже любил разбирать все и смотреть, как оно устроено. Но не более, пальцы в розетку не совал. Один раз только попробовал запитать тетрис, намотав проволоку на контакты и сунув в розетку :)

Мой метод исследования — это «оказаться в нужном месте в нужное время». Посмотреть, как оно работает, увидеть какое-то редкое явление, завалить вопросами по предмету. Т.е. для меня первичен объект. Как разберемся с внешним объектом, так можно уже лезть внутрь — разбираться. А кто-то действует по-другому, например, разнообразные вивисекторы (это которые режут по живому, а потом исследуют как оно там).

Основой в моем любопытстве является простое соображение — вокруг полно информации. Если ее уметь обрабатывать, можно приблизиться к пониманию и уже делать какие-то выводы. На этом, кстати, и строится измерение безопасности.

Если учесть, что каждый объект обладает всей информацией о самом себе, информационный поток походит на шквал — утонешь и не всплывешь. С какого краю браться? Чего искать? Потому и ценится так искусство исследователя.

В чем залог успеха хорошего исследования? В умении правильно задавать вопросы. В основном себе, и уже на это рыть информацию.

Когда-то давно я ознакомился со знатной книжкой «Фрикономика. Мнение экономиста-диссидента о неожиданных связях между событиями и явлениями» (вторая часть не очень), за авторством Стивена Д. Левитта и Стивена Дж. Дабнера. Авторы доступным языком показывают необходимость вопроса при исследовании и обработке больших объемов данных на простейших бытовых примерах. Учат смотреть на вопросы с экономической точки зрения. Например, почему торговцы наркотиками продолжают жить со своими родителями? Всем рекомендую.

И вот я задался двумя новыми вопросами. Оба связаны с историей нашего народа.

Первый вопрос

Первый вопрос у меня связан с татаро-монгольским игом. Как много татаро-монгол могло прийти на Русь?

ЧингизханОбычный воин Орды — это всадник, с пикой и луком. Одна лошадь должна съедать в день до 14 кг корма (для легкой нагрузки зимой), уменьшим это количество до 10 кг для простоты счета (и скинем на мелкокостность монгольских лошадей).

Поэтому я не думаю, что монголы смогли бы собрать миллион воинов (или сколько там в учебниках пишут?). Что более вероятно? Чингизхан мог собрать под свои знамена примерно до 95 тыс. воинов. С поправками будем считать, что для похода на Русь и Европу (которую мы героически защитили от этой угрозы) монголы собрали 200 тыс. человек (150 тыс. всадников + 50 тыс. пеших с обозом и обслуживающим персоналом).

150 тыс. всадников — это минимум 150 тыс. лошадей, не считая запасных, которых надо минимум еще по одной. Таким образом, имеем 300 тысяч лошадей (это по минимуму), которые должны съедать до 3 миллионов кг корма в день или 300 тонн в день.

Здесь бы хорошо прикинуть, сколько корма произрастает на одном гектаре. Но тут у нас хуже всего, поэтому будем оценивать по траве Кинельская 100: урожай зеленой массы 30 т/га, семян 1,5 т/га. Уменьшим до 10 т/га исходя из следующих соображений: 1) это культивируемая трава, и в реальности растет не так бурно; 2) трава в степях немного не такая, как в полях, а в лесах ее совсем нет. Так что примем это как нашу экспертную оценку.

Т.е. весь этот огромный табун должен был пастись на 30 гектарах каждый день – не так плохо. Если монгол было миллион — то это 150 га в день. Много это или мало? Сложно сказать, для одного дня не особо много (100 га равно 1 квадратному километру). А если считать все стоянки? Обоз опять же не самый мобильный юнит – не однозначно все как-то. А еще зима в Сибири бывает, тогда уж травы не особо много.

Кто подскажет, сколько официально в летописях пишут численность Орды? Могли ли монголы дойти до Европы? А доходили ли они до Руси? Ведь война – это прежде всего обеспечение, фураж и походы, в иных войнах до прямых боев может и не доходить.

Во такой вопрос у меня возник :)  А про второй вопрос расскажу как-нибудь в другой раз.

Профессиональный рост специалистов по информационной безопасности

Помниться любил я сцепиться в словесной дуэли с Андреем Янкиным (человеком высокопрофессиональным в нашем деле, если Анрюха чего-то не знает, значит этого и нет) на тему профессионального роста безопасника.

Женская дружба, мужская дружба

Андрей к тому времени возглавлял группу исполнения в Компании АйТи, а я – руководил проектами по информационной безопасности. Если по-простому, я выявлял потребности, продавал и рулил процессом исполнения (продавайка (с) Янкин), а Андрюха – рулил инженерами и аналитиками, а так же разруливал совсем уж сложные рабочие проблемы (исполняйка).

Суть наших дуэлей крутилась вокруг вектора движения. Откуда и куда он идет – от исполняйки к продавайке, или наоборот? Андрей считал, что от продавайки к исполняйке.

Рассмотрим мой тезис на примере.

Пример

В бытность, когда персональные данные еще только становились драйвером рынка, и на дворе был приказ трех, я был аналитиком и работал по специальности «защита персональных данных». Вначале просто делал, потом уже руководил группой аналитиков. И был 2010 год, и за этот год я сделал просто ТЬМУ!!!!!11111 проектов по персональным данным (когда-нибудь, исключительно для жесткого пиара, я сделаю табличку по всем своим проектам). Эти проекты лезли из всех щелей, и, как любого профессионала от этой темы, меня стало немного подташнивать (что наблюдается в среде аналитиков любого интегратора)

Уже к концу 2010 года, я стал больше заниматься пресейлом, и уже с 2011 года окончательно занялся этим пагубным делом. Я все еще был играющим тренером, но занимался этим все меньше и меньше. Сделав все в ЗПД, я уже мог рассказать об этом заказчикам и проконтролировать исполнителей.

Т.е. можно условно выделить три стадии взросления:

  • Инженер – умеют что-то делать руками, не умею писать документы и общаться с заказчиком.
  • Аналитик – умею делать руками и писать документы, не хочу (не умею, не нравиться) общаться с заказчиком.
  • Пресейл/аккаунт – умею делать руками, писать документы, хочу (умею, нравиться) общаться с заказчиком.

Блоггер – вырастает где-то между этими стадиями :)

Таким образом естественный процесс развития профессионала: инженер – аналитик – продажи. Разумеется, есть люди, у которых душа не лежит к аналитике или продажам, как у уважаемого Михаила Кадера, который инженер от бога.

Согласны, со мной?

Стоит ли идти учиться на информационную безопасность?

Был это год 2000, я был старшеклассником и ходил на подготовительные курсы в Московский авиационный институт. Хотел получить техническую специальность, желательно связанную с компьютерами. На мое счастье, моя приятель Леша, с которым мы ходили на подготовительные курсы – рассказал мне про специальность «Информационная безопасность», на 4 факультете.

— О, то, что нужно, — подумал я и подал документы туда. Специальность была новая и называлась «Комплексная защита объектов информатизации».  Можно сказать, что я безопасник первой волны. :)

О том, как и чему учился, сейчас рассказывать не буду. На это можно потратить не один час. А хотел я рассказать о том, чему там меня не научили. Не знаю как сейчас, а тогда, я – молодой специалист по информационной безопасности, не знал чем же мне заниматься?

Это сейчас более-менее понятно: есть персональные данные, все более-менее разобрались со средствами защиты информации и их применением. Из нас же готовили безопасников по защите государственной тайны с упором в ПЭМИН и криптографию. Один из наших краснодипломников писал проект по работе фаервола Check-Point. Куда уж дальше ехать?

Сейчас у молодых людей выбравших нашу специальность есть три основные дороги (разумеется, с возможностью совмещения):

  1. Стать программистом, обладающим видением и навыками безопасного программирования. Сюда же относится разработка средств защиты информации, безопасное программирование, поиск бэкдоров в ПО и т.п.
  2. Стать техническим специалистом по настройке средств защиты, включая пен-тесты, и прочие хаки.
  3. Стать аналитиком и заниматься бумажками. Делать аудиты на соответствие стандартным и законам, проектировать системы защиты персональным данным, оценивать риски, писать приказы, политики и инструкции и т.п.

Зарплаты по данным пунктам уменьшаются от начала к концу, а карьерные перспективы — увеличиваются. Главное, это верить в себя и не отворачиваться от своей мечты, как эта девушка:

Училась на архитектора. Лучшие 6 лет в моей жизни. Учеба безумно нравилась, была отличницей, всё получалось, хотела пойти работать по профессии.

Но на последнем курсе меня знакомый поманил работать в дизайн-агентство. Мол, интереснее, зарплата больше, что ты будешь два года за копейки рабочку чертить. Я повелась, пошла туда работать дизайнером — и застряла.

Четвёртый год уже там работаю и понимаю, что упустила всё к чертям. Мои одногруппники, которые после универа работали за копейки помощниками архитекторов, сейчас сами уже архитекторы с опытом, нормальной зарплатой, делают классные штуки. А я… в 22 дизайнер, в 26 дизайнер и в 35 буду дизайнером. В архитектуру возвращаться поздно, я уже все забыла, только если с нуля всё вспоминать и снова идти за копейки работать. Хожу на нелюбимую работу, делаю какую-то ерунду, работаю плохо, хожу в постоянной депрессии. Держит только зарплата: в среднем по городу выше, чем у многих. Но свою истинную мечту я профукала окончательно.