Архив метки: Олег Седов

BIS Summit. Олег Седов. Рагнарек.

Здравствуйте, здравствуйте мои ненаглядные.  Очень давно мы не виделись. У меня для вас куча грустных новостей, сейчас расскажу по порядку.

BIS Summit 2017

Недавно сходил на BIS Summit 2017. Очень любил эту конференцию и был ее участником много лет. Застал еще ее проведение в Сокольниках. Был пионером в новом формате StandUp for StartUp в 2015. А в прошлом отхватил приз за кибербетал (еще раз огромное спасибо всем, кто за меня голосовал).

Все прекрасно понимают, что конференция чисто вендорская. Помню, как предки Солара получили маленький стендик и ни одного доклада в 2014. BIS Summit это огромная махина, которую очень долго строили. Но для меня, ее пик уже пройден и пошел спад.

Надо сказать, я очень хотел попасть на эту конференцию. В фебешечке прошла новость, что Дмитрий Мананников будет вести, целую секцию по измерениям в ИБ. И я сказал себе: «Огогошенки, ты должен там быть». Надо сказать, что нашему рандеву с Дмитрием всегда что-то мешало. Я никогда не был на его выступлениях, то я не приходил на второй день, как с CISO-форумом, то были срочные дела, и я сваливал до начала.

Привычно придя к гостинице Украина, я зарегистрировался и пошел смотреть конференцию. Техзону расширили, увидел и пообщался с Андреем Янкиным. Узнал расценки RuSIEM. Попил кофе. И… все.

Первая половина дня была точной копией прошлого года, а та в свою очередь позапрошлого. Отсутствие альтернативных секций в первой половине дня, вгоняет в отчаяние. Больше половины участников слонялось в фойе и техзоне, ходило курить и мечтало об обеде.

В это время гуру поибэ, развлекали сами себя на сцене. Какие-то шутки и намеки понятные лишь их узкому кругу. Алексей Лукацкий опять отметился (цитата по памяти): безопасник, который прикрывается (в разговорах с бизнесом) документами регулятора, должен получать там (у регулятора) зарплату. Взял со сцены и засрал всех безопасников. Хорошо, что всем к этому моменту было так пофиг, что его никто не слушал. И стоят, о чем-то с Олегом Седовым перешучиваются…

Куча иностранных спикеров. Мб это и поднимает статус конференции, но сколько можно лить из пустого в порожнее? Они же были в прошлом году.

В общем, кое-как досидел до обеда. Выстроилась очередь, все стали потихоньку кушать. Как всегда нашлись невоспитанные люди, которые решили организовать очередь с другого конца стола раздачи двигаясь на встречу основному потоку. Разумеется, возникла давка. Разумеется, некоторые простояли в очереди 2/3 обеда. А уж о мразях, которые лезли без очереди, и говорить не хочется. Они были, и мы все их ненавидели.

И, вот, я на секции, где должен был выступать Дмитрий. Оказалось, что Мананников лишь читает доклад. Ну, тут я наверно не так понял, оки. Разочарование наступило с первых минут. Рассказывать с пафосом о выписывании «идеальных» бизнес-процессов, а потом контролировать «отклонения» от них – это за гранью добра и зла. Во всяком случае, в 2017 году. Этакий пересказ вводных лекций по BPM (business process management, управление бизнес-процессами). И я понял, что это всего лишь пиар на новой теме. Ведь неважно на чем пиариться, главное делать это регулярно. До этого был аджайл, потом уеба. Где они сейчас? Забыли тему. А уж в нашей отрасли пиариться можно на чем угодно, берешь любую тему, добавляешь туда безопасность, профит.

А уж когда Дмитрий заговорил о безопасниках изменяющих бизнес-процессы, я встал и ушел. Безопасники изменяющие бизнес-процессы Мананникова, это где-то рядом с безопасниками предлагающими «byod, потому что электричество сэкономим» Лукацкого. Будем ждать, когда Дмитрий придумает, как прикрутить «безопасность» к адаптивным бизнес-процессам.

«Машинное обучение с 5% ошибок» Дмитрия, примерно туда же. Когда Дмитрий расскажет о внедренном им дереве решений (не говоря уже о нейронной сети) у себя в безопасности, тогда можно будет всерьез обсуждать эту цифру.

В общем, еще немного проведя времени, поехал пить пиво.

Наверно, это последнее мое посещение BIS Summit. Конференция из года в год повторяет себя. Пленарные части вводят в сон. Независимые спикеры и представители вендоров занимаются джинсой и пиаром. Единственным светлым пятном был Олег Бакшинский, который вместо урагана маркетинга от IBM наглядно рассказал об автоматизации и ее текущем уровне. Какие там 5%? До автоматизации добраться бы.

Тратить целый день, ради пары докладов – нерационально. Так что, до свидания BIS Summit.

 

Олег Седов

Как обычно бывает после конференций, все обсуждение переходит в комьюнити. Пишутся посты в блогах, в фебешечке даются отчеты, строчат комментарии – жизнь кипит. Кидают мне ссылку, где какое-то огромное обсуждение, как все круто прошло. Комментариев под 100. И, вдруг, все скатилось к обсуждению моей скромной персоны. Вылезает Олег Седов и кроет меня последними словами. Как я понимаю, Олег не принадлежит к тусовке гуру, так, около плавающий, но отчаянно туда хочет.

Олег Седов — это главный редактор BISA, которая и организует BIS Summit. Олег, самый высокооплачиваемый главный редактор в нашей отрасли, а может быть и во всем ИТ. Человек это влиятельный и серьезный.

Пересекались мы с ним по работе над Кибербаталиями. Год был очень сложный, из команды пиарщиков работодателя Олега только что ушла главная звезда, и упорно ходили слухи, что Олег может и уйти. Что бы ответить на вызовам времени, были придуманы Кибербаталии. Меня туда позвали по итогу работы над секцией StandUp for StartUp.

Суть мероприятия простая, участвуют два спикера, обсуждая злободневные темы, а зрители голосуют. Мне была поставлена Олегом задача – делать шоу. Под этим понималось оппонирование по банальным вопросам. Т.е. когда вопрос ставиться – надо ли чистить зубы, я должен был усираться, что это делать вредно и совсем не нужно.

Надо сказать, что Олег человек очень своеобразный. Например, тема моей первой битвы была изменена за пару дней. Изначально она звучала «Появляются ли новые риски информационной безопасности?» (точное название не помню) и вдруг стала «Возможно ли доверить безопасность бизнеса роботам?»

Почему роботы? Зачем тут они? В итоге мы с коллегой оттарабанили все по рискам, не коснувшись роботов чуть менее чем никак. Олег вообще любит две темы – роботов и падение компетенций. И лепит их везде, где успеет.

Надо сказать, что формат был выбран крайне странно. В комьюнити, где ни у кого нет времени что-то слушать онлайн в течение пары часов, затевать словесные соревнования – контрпродуктивно. В итоге, прямо по ходу поменяли систему голосования, вместо голосования по раундам, сделали общее. В итоге все голосовали в первые 5 минут и уходили.

Со вторым боем вообще вышел анекдот. С легкой руки Олега форсился конфликт Solar vs Дудко. Понятно, что в такой ситуации у меня не было шансов. Начиная с темы. Была выбрана тема «Как выглядит будущее ИБ-вендоров?» с такими вопросами:

  • Все чаще ИБ-вендор реализует проекты самостоятельно. В чем плюсы и минусы смещения в сторону внедрения собственными силами?
  • В поведении ИБ-вендора все чаще прослеживается желание усидеть на нескольких стульях, увеличивая перечень предлагаемых им продуктов. В чем причины подобных решений? Какие плюсы и минусы от количества «стульев», на которых им хочется удержаться?
  • Каким образом расширение продуктовой линейки ИБ-вендора влияет на качество продуктов, сервисов и поддержки?
  • Каким образом объем рынка ИБ зависит от качества предлагаемых продуктов?
  • Как выглядит нефункциональная конкуренция между вендорами?

Если вы вендор, то для вас ответы на них будут однозначными. Мы с Эльманом сходились по 3 из 5 вопросов. Но шоу же не будет, если все будут друг с другом соглашаться. И мне была распределена задача — оппонента очевидным вещам. Потом, благодаря системе голосования я в первые три минуты получил минус 50 голосов, и стал делать шоу оставшимся 30 слушателям.

Уж не знаю, как там было дальше. Но на мероприятии Infowatch, выиграл их основной конкурент :). Маркетинговый прорыв, обернулся серьезным провалом. Ох, как там пригорало. Я получил приз зрительских симпатий.

 

Олег хочу тебе сказать следующее. Твои методы плохо пахнут, желание подняться на костях других – чаще всего оборачивается провалом. Все, что ты хотел мне сказать, у тебя была возможность сказать лично. Ты выбрал другой путь. Твои инициативы вторичны и не проработаны. Как пиар и маркетинговый инструмент, BISA пребывает в забвении. Туда, кроме тебя и пары блогеров, которые копипастят свои материалы до кучи, никого нет. Оставайся со своими грезами о роботах и компетенциях. Теперь у тебя есть все основания официально «дружить против». Пока.

 

Рагнарек

Дорогие друзья, как вы видите, у меня бомбило больше месяца. Я аж кушать не мог. Посмотрел я на BIS Summit вокруг, и так стало тоскливо. И пусть уважаемые люди на рынке не признают, что у нас человек человеку волк, но это так. Такой концентрации ненависти и зависти, как в этом году в Техзоне – я давно не видел.

Все это до крайности грустно и печально. Комьюнити наше загнило окончательно. Причина благая. Люди находят работу и забивают на всю эту мишуру в фейсбуке и срачи в комментариях. Уже несколько блогеров тихо и мирно ушли в тень. Теперь там тихий междусобойчик – кукушка хвалит петуха за то, что хвалит он кукушку. Участвовать в этом смысла не вижу, а поэтому закрываю тематику информационной безопасности.

Уже пять лет я занимаюсь исследованиями в области измерения риска и угроз. Информационной безопасностью не занимаюсь 2 года. Так что о ней писать? Буду писать про насущное и об окружающем. Разумеется доведу до конца цикл про пресейл и «почему в ИБ полная ж…», но на этом все.

В общем, думаю никто не расстроиться, а в определенной группе так вообще праздник будет. :)

Пока-пока.

Кибербитва — полуфинал

Продолжаю поход к бесплатной столовой на BISA Summit в этом году. Первый раз выиграл на тоненького. Всегда тяжело быть первым.

980_320

Сейчас будет все по другому. И тема горячая (кого же можно назвать ИБ вендором, и как они вообще живут), и соперники опытные. С легкой руки организаторов все свелось к противостоянию:  Солар или Дмитрий Дудко?! :)

Конечно, немного лестно. Можно привести много аллегорий подобного противостояния: одиночка против безликой страшной силы, или Леонид против персов. Но надеюсь у нас будет все менее фатально.

Биться будем в следующих раундах:

  • Все чаще ИБ-вендор реализует проекты самостоятельно. В чем плюсы и минусы смещения в сторону внедрения собственными силами?
  • В поведении ИБ-вендора все чаще прослеживается желание усидеть на нескольких стульях, увеличивая перечень предлагаемых им продуктов. В чем причины подобных решений? Какие плюсы и минусы от количества «стульев», на которых им хочется удержаться?
  • Каким образом расширение продуктовой линейки ИБ-вендора влияет на качество продуктов, сервисов и поддержки?
  • Каким образом объем рынка ИБ зависит от качества предлагаемых продуктов?
  • Как выглядит нефункциональная конкуренция между вендорами?

Регистрация на мероприятие

Приходите поддержать нас, завтра в 11-00.

Темы битвы: цена ИБ

Плавно добираюсь до экватора, после угроз и компетенций, мы скакнули к деньгам.

Как выглядит миф о затратах на безопасность? ИБ это дорого или доступно?

Сейчас ИБ – это недорого и недоступно. За 10 лет в безопасности, работая и в заказчиках, и в интеграторах, и в вендорах, мне довелось увидеть всякое. Я работал в заказчиках, в которых из всей безопасности был антивирус, межсетевой экран, снифер и, ближе к концу, сканер уязвимостей. И нормально, я делал honey-pot, реинженерил SAP и занимался другими интересными вещами, вроде соблюдения порядка на корпоративах.

security_comp

Чуть позже был у меня проект, в одном крупном ведомстве. Я проводил аудит рисков, с целью определения необходимости наличия DLP решения. Там было все плохо, и одной из угроз было – копирование информации на флешку. Любой безопасник вам скажет, что это страшная угроза. Так сказал и я.

В мерах противодействия я написал:

  1. Рекомендуется отключить USB
  2. Установить DLP

Старшие товарищи посоветовали мне убрать первый пункт. Потому что в ведомстве бы так и поступили. Им было проще и понятнее отрезать провода на всех компах, чем возиться со всей этой безопасностью.

Лишь с помощью нечеловеческой воли и маркетинговых страхов, про злых хакеров, все сложилось удачно.

Когда я был студентом, я считал байкой историю о самом безопасном компьютере, который выключенный зарыт на три метра. Но если действовать в парадигме «все увеличивающихся угроз», именно к этому мы и загоним бюджетодержателей.

Кстати, у нас есть цела отрасль, работающая именно с «закопанными» компьютерами – работа с грифованной информацией. Там в порядке вещей, прийти с утра, достать жесткий диск из сейфа сейчас, и выходя на перекур, сдавать его обратно в сейф под роспись. Всех средств защиты – защита от НСД.

Все космические бюджеты (хотя какие они космические? посмотрите на ИТ), происходят от попыток скрестить ужа с ежом. Мы объявляем достойную защиты информацию, и гоняем ее в сетях общего пользования и ЛВС для офис-менеджеров. Конечно, в этом случае нам потребуется защититься от всего на свете (см. вопрос 1), спеки растут, денег не дают.

В 2014 году, в одном ретейле случился инцидент. В открытый доступ были выложены данные о планируемой акции скидок. Это, вот, серьезный инцидент. Можно сразу идти выбивать много денег. Проблема ровно одна – ретйел (продуктовый) между собой не конкурирует в отпускных ценах. Это легко проверить и без инсайда, сравните цены в 2-3 магазинах крупных сетей вашего района. Где-то будет пониже на что-то, и там же будет повыше на что-то другое. Люди ходят в свой магазин вне зависимости от того есть там акции или нет. Кстати, особенно часто ходят в дорогие магазины, особенно люди с небольшими доходами.

И малая доступность ИБ, связана все с теми же страхами. Если руководство запугано, оно пытается найти деньги и высококлассных специалистов. Как только заканчиваются деньги, сразу прекращается ИБ. Я не открою большой тайны, что никому не выгодны дешевые средства защиты. Вендорам и интеграторам, т.к. маржи мало. Безопасникам, т.к. надо обосновывать свою полезность. Руководителям, т.к. «дешевое не может быть качественным». А на дорогое денег нет.

Так и живем.

Темы битвы: безопасники глупеют?

Второй вопрос, который хотел поднять Олег Седов – про компетенции. По мне, так вопрос немного выбивается из темы битвы, про это можно говорить долго и упорно. Но пусть будет.

fool

2.      Что сдерживает рост компетенций в ИБ?

(У нас с Олегом Губкой были разные точки зрения – он считает, что компетенции снижаются, потому что технологий много новых, угрозы растут и по классике. Но так получилось, что я говорил первым.)

Тут все просто. Рост компетенций ничего не сдерживает. И тем более снижение компетенций — не связано с усложнением угроз. Просто наша профессия «вышла в тираж».

Прошло уже 15 лет, с момента начала подготовки первых специалистов поИБэ в наших ВУЗах. Я знаю, я там был. 15 лет большой срок, за это время обкатались методики, выстроилась нормативка. И, видимо, кто-то распространяет идею, что в безопасности можно много заработать. Последний CISO-саммит – это подтвердил.

grafic

На картинке представлена разбивка зарплат. Мб кому-то 50 т.р. покажется немного, но это в среднем по стране. Моя теща, работая на двух ставках в провинциальном ВУЗе, получает 10 т.р., безопасник в том же городе получает 22.

К нам вливается все больше людей, которые не относят себя к безопасникам. Они идут сюда за деньгами, а если кризис какой, то свободно уходят. Понятно, что это сильно разбавляет компетенцию. Еще 5 лет назад, строка в резюме «умею в ЗПД» — была конкурентным преимуществом. Сейчас минимально необходимое требование. И как вышла в тираж ЗПД, так специальность в целом отправилась за ней.

Уже в 2010 году, я видел безопасников, единственной функцией, которых было выпускать ЭЦП. Данный человек прилично получал, и считал, что с безопасностью у них все хорошо, ведь они используют сертифицированную крипто-библиотеку, какие тут другие угрозы?

Только не надо думать, что это плохо. Лично я вижу в этом огромную возможность для рывка вперед. Но это мы уже совсем в сторону уйдем.

А, пока имеет, что есть. Компетенции снижаются. Скоро будет, как в анекдоте: преподавать поставил всем пятерки автоматом. И на вопрос – почему? Ответил – чем меньше вы знаете, тем ценнее я, как специалист.

Всего вам доброго.

Темы битвы: почему не растут угрозы?

Эх, давно не писал. Сильно скучал я по этому делу. Как вы знаете, меня рекрутировали за корзину печенья и банку варенья участвовать в Кибербитве. Неожиданно, я даже победил. Говорят, все любят андердогов и сравнивали меня с Исландией :)

before

Пара слов о мероприятии, в целом довольно интересно, но были свои минусы:

  1. Крайне мало времени на вопрос. Что является следствием большого количества вопросов, достаточно 3-4.
  2. Олег, не стоит менять тему за день до битвы. Уж не знаю, откуда там взялись роботы.
  3. Общее голосование, вместо раундового.
  4. крайне неудобно смотреть, нет чатика, не работает капча (!!) в форме вопросов.

Т.к. времени было не много, а позиция моя по многим вопросам была крайне неортодоксальной, я решил полнее раскрыть тему. И сегодня про угрозы.

Кстати, кто пропустил — полная версия:

Тема 1. Какой будет динамика роста внутренних угроз в ближайшее время?

Динамика будет нулевая. За всю новейшую историю информационной безопасности, мы создали огромный и страшный маркетинговый пузырь угроз. Чем было страшнее, тем проще нам было выбивать бюджеты (внутренние и внешние), и вообще обосновывать свою нужность (хотя с этим у нас до сих пор серьезные проблемы). Но уже пару лет это не работает.

По сути, роста внутренних угроз не происходит. Если взять классическую формулу риска, то в ней вообще нет угроз (и тем более уязвимостей), которыми мы так привыкли пугать директоров в СМИ и на конференциях. Классическая формула из ISO:

Величина риска = вероятность события * размер ущерба

где

Вероятность события = вероятность угрозы * величина уязвимости

сделав подстановку, получаем

Величина риска = вероятность угрозы *величина уязвимости* размер ущерба

Классическая схема рисков ИБ

Классическая схема рисков ИБ

Как видим угрозы и уязвимости это переменные второго порядка. Это такие переменные, которые могут быть неважны, если известна величина первого порядка. Например, вероятность попасть в авиакатастрофу составляет 0.00001% (вероятность события). И уже не важно, вследствие каких угроз или уязвимостей это произошло – теракты, ошибки и т.п. Все отрасли работают с вероятностью события, мы же зарываемся все глубже и глубже. Например, страховщики уже давно все посчитали и создали даже свой раздел математики (актуарная математика).

При том, что под «вероятностью угрозы» здесь понимается likelihood (а не классическое probability), что тоже переводиться как вероятность, но характеризуется частотой реализации угрозы за определенный период времени. Крайне не надежная величина.

Величина уязвимости – вероятность того, что угроза будет реализована с помощью данной конкретной уязвимости. Т.е. вполне может быть, что супер-пупер критичная уязвимость может никогда не реализовать.

Неутешительный краткий вывод можно сделать следующий. Мы сами сильно преувеличиваем значение уязвимостей (как причину реализации конкретных угроз). На этом преувеличении мы пытаемся породить множество страхов в своих умах, и умах бюджетопридержащих. И, это подвело нас к пропасти, к которой мы делаем гигантские шаги вперед.

 

Говоря, нас – я говорю о группе под самоназванием «поИБэ». Это вендоры, интеграторы, заказчики, множество специалистов разных направлений. К коей я тоже себя отношу. Осознать, и открыто выразить свою принадлежность к некоей группе, неизбежно отрекаясь при этом от принадлежности ко многим другим группам, — не шутка. Мы (современные люди) принимаем такие решения ежеминутно.

Например, можно заметить, что в основе этих решений часто лежат не логические умозаключения, а эмоции. «Мы животные» звучит обидно. Многие готовы долго и яростно доказывать, что это не так, что люди не животные. «Мы обезьяны» — совсем уж вызывающее заявление, от которого попахивает нигилизмом и общественным вызовом. При этом фразы «мы млекопитающие», «мы позвоночные», «мы многоклеточные» воспринимаются спокойно.

Между тем с биологической точки зрения все эти утверждения одинаково верны. Вот несколько разных «мы», узаконенных современной биологической наукой. Мы многоклеточные. Мы эукариоты. Мы жгутиковые. Мы животные. Мы вторичноротые. Мы хордовые. Мы позвоночные. Мы челюстноротые. Мы четвероногие. Мы амниоты. Мы синапсиды. Мы млекопитающие. Мы плацентарные. Мы приматы. Мы обезьяны (или, что то же самое, антропоиды). Мы узконосые обезьяны. Мы человекообразные обезьяны, или гоминоиды (по-английски apes). Мы большие человекообразные обезьяны (great apes). Мы большие африканские человекообразные обезьяны (african great apes). Наконец, мы люди.

В наследство от наших предков и родичей, нам досталось три основные доминанты поведения (мотивов) (в порядке убывания):

  • еда
  • размножение
  • доминантность

(кстати, если вы адепт Пирамиды Маслоу – вам надо пересмотреть свои взгляды).

И именно это мы упустили, когда кинулись надувать наш пузырь страха. А теперь не понимаем, почему нас задвигают подальше. Посмотрим, как в связи с этим меняется наша картина ИБ рисков, на реальные риски.

Классическая схема риска

Классическая схема риска

Упс. Оказалось, что субъект, воздействуя через свои доминанты на объект (защищаемую информацию, активы, любую ценность), уже имеет полное множество (или пространство) причин. Которое может реализовать огромным числом способов. И наши уязвимости поИБэ, всего лишь капля в море (переменная второго порядка). У нас ведь как? Придумают новую технологию, и давай в ней уязвимости новые перечислять. По сути этот взбалтывание крайне незначительных (бесконечномалых) факторов в глобальной сфере рисков (помните про авиакатастрофы?).

Через данные доминанты можно выразить любое поведение человека от альтруизма до похуизма. И это мы еще не затронули наш великий разум (большие лобные доли), который еще меньше оставляет места для наших угроз.

Например, на данной битве было два мотивированных человека: Олег с точки зрения доминирования, и Дима с мотивом еды (победителя покормят на BISA Summit). Понятно, что при прочих равных Олег не будет тыкать Диме ручкой в глаз. В то время, как Диме отступать некуда.

Например, в нашей отрасли сейчас кризис. Увольнения, задержки зарплаты и т.п. Из наших вендоров и интеграторов уже вынесли все более-менее ценное. От клиентов, до листов рассылки для спама. Голодный человек обойдет наши CPB и глазом не моргнет. Тогда зачем мы?

В поИБэ мы ставим способ реализации во главу угла. Все наши ЧМУ пестрят действиями (например, Кража носителей информации или Установка ПО не связанного с исполнением служебных обязанностей), а субъектам уделяем 3 абзаца в модели нарушителей. Мы ставим DLP и не знаем, что ответить на вопрос заказчика – а от фотографирования экрана защищает?

Не даром, ни одно внедрение СЗИ не может обойтись без оргмер. Зачем ломать сложный пароль, если можно подсмотреть?

Вывод напрашивается неутешительный. В маркетинговой погоне за страхом (не только со стороны вендоров, но и внутри заказчиков), мы так давили на эти страхи, что нас раскусили и больше не бояться (читай, дают все меньше денег). Т.к. не удается доказать бизнесу значимость этих бесконечномалых величин. Надо отпрыгивать от пропасти.

 

P.S. Уже стал известен мой оппонент по полуфиналу Эльман Бейбутов из Solar. Мой прогноз: мне надерут задницу. Ведь в Solar работает больше 100 человек. Но я буду биться.

Хотите это видеть? Поставьте напоминалку.

Эксперты на примере Алексея Волкова (альфа-версия Камина)

Эксперт на примере Алексея Волкова

Думал, завязал с блогосферой, но нет. Такая судьба безопасника – тебе валятся рассылки. Вендоры приходят к тебе и подписывают тебя на рассылки, интеграторы приходят – подписывают, приходишь на конференцию — подписывают, читаешь журналы – совсем подписывают. При чем, этот поток бесконечный. 99% — удаляется по названию темы письма.

На этой неделе прилетело аж два письма от BISА. Первое называется «Откровения про ИБ стартапы», второе – «Право на ошибку – одна из основ рыночной экономики». Оба названия прекрасны, пишут их правильные люди, что бы они привлекали внимание.

Читаю первое письмо:

!БДИ: ИТ-директора или СIО, входящие в советы директоров и влияющие на бизнес, имеют компетенции, опыт, связи, репутацию, команды – все то, что необходимо для организации стартапов. Однако они не создают стартапы – я, пожалуй, не знаю не одного яркого примера. Почему?

Вот, уж странный вопрос от журналиста. Ренату Батырову можно было бы ответить на уровне детского сада – «потому», и успокоиться. Но давайте разберемся. Во-1, а зачем это им? Нормальный CIO зарабатывает нормально, зачем ему своей стартап?

Во-2, во вторых, не обязательно иметь стартап (как что-то новое и инновационное), достаточно иметь побочное юрлицо. У нас что-то коло 80 миллионов юридических лиц, при 146 миллионах населения, или 1,5 человека на юрилицо. Сколько среди них CIO? =)

В-3, многим техническим специалистам, надоедает работать «на дядю» и они идут организовывать свой бизнес. И проваливаются, почему? Вроде компетенция и опыт есть, а не пошло (знавал я одну молодую компанию, где на 5 человек было 10 сертификатов С CIE). Потому что в новом бизнесе, и стартапе особенно – в первую очередь надо уметь продать себя, а уже потом сделать. А надо ли это успешному топ-менеджеру?

Ренат, ответил более мягко.

Но похвально желание журналиста, найти какую-то новую фишку. Но не получилось, не понимание сути — рушит весь материал.

«Инновации требуют экспериментов, поэтому инновационная среда должна быть терпима к ошибкам. В армии порой награждают именно за ошибки. Если боец, например, наступил на мину и потерял ногу, то его отправляют домой с медалью. Разве его учили наступать на мины? Даже в армии понимают, что без ошибок и потерь не бывает побед. Так же невозможно создать компанию, в которой все сюрпризы будут приятными.»

Олег Седов

Каким образом это соотноситься с тем, что «Право на ошибку – одна из основ рыночной экономики», тайна великая есть. Рыночная экономика не дает права на ошибку, если ты ошибаешься – ты разоряешься и идешь работать «на дядю». В экономике есть огромное кладбище, где на 1 ларек у метро, приходиться десятки таких же разорившихся бизнесменов. Что уж говорить про крупный бизнес.

Про посыл «в армии награждаю за ошибки», это финиш. Олег, я все понимаю. Но если бойцу оторвало ногу, ему не обязательно дадут медаль. А, вот, что точно сделают, так внесут новый раздел в Устав (который, как известно, написан кровью) или инструкцию по безопасности. А у вас получается, что награждают за глупость.

Есть такое «правило Марса»: эксперт – это человек не из нашего города. Один из выводов из этого правила, что следует смотреть на то, кто говорит. Например, условного бухгалтера можно послушать по теме организации финансовых потоков (хотя лучше слушать финансового директора), но не стоит совсем уж слушать по теме войны в Сирии. Т.к. экспертиза может быть показана: текущей деятельностью плюс свершения. Классическая картина – все разбираются в футболе и геополитике, а «сортиры не чищены» (с) Преображенский

 

В прошлый раз, я рассказывал, как Алексей Лукацкий говорил про Евгения Царева. Алексей говорил, что не надо слушать человека, ничего не сделавшего самостоятельно в области, в которой называет себя экспертом. Но есть и куча обратных примеров. Есть, например, Алексей Волков.

Алексей — практик информационной безопасности. Он начальник отдела эксплуатации средств защиты и удостоверяющего центра. Значит, он компетентен в этих вопросах, хоть не много. И я скорее послушаю Алексея и его претензии к какому-нибудь условному фаерволу, чем рассуждения маркетологов или купленных экспертов. Аналогично, про организацию ЭЦП.

Поэтому всегда надо смотреть, кто говорит. Правило срабатывает в 99 случаях из 100.

Всего вам доброго.