Архив метки: пресейл

Поражения как импульс роста

Я очень люблю биографии, это, наверное, самый интересный жанр литературы. Конечно, если биография достойного человека. Если вы зайдете в книжный магазин, то найдете там биографии Наполеона, Гитлера, Стива Джобса или Билла Гейтса. Разумеется, это великие люди, каждый по-своему, кто-то с положительной стороны, кто-то с отрицательной, а кто-то в бизнесе. Читать их интересно. Но знаете, что их объединяет и чем они скучны? Это истории успеха. Это единицы из тысяч и миллионов, на их жизнь влияло слишком много факторов, которые мы не можем себе вообразить, например, удача.

Правильное выражение мыслей

Интересней читать другие истории, истории поражения. Их гораздо меньше, т.к. историю пишут победители. Да, зачастую некому рассказывать-то. Например, в бизнесе за каждой палаткой у метро лежит кладбище тех, кто делал и не смог. Так, кстати, везде. Можете сами в этом убедиться на следующей встрече вашего класса 20 лет спустя.

Поражения дают гораздо больше информации, импульса, чем успехи. Например, каждый знает, как организовать и выиграть конкурс. Многие знают, как залезть в чужой конкурс и выиграть. Но когда ты на вершине, реальность любит преподнести ржавую вилку в бок. Ты смотришь вокруг и понимаешь, каким ты был наивным. И о парочке таких историй в закупках я хочу вам рассказать.

Был это декабрь 2013 года. Я мониторил zakupki.gov.ru и нашел конкурс по аттестации. Не той кривой аттестации, что у парней из Тулы. А нормальной, информационной аттестации. Посмотрел конкурсную документацию, посчитал трудозатраты, командировочные и т.п. Заработать можно было. Радостно сказал: я нашОль!

Стали оформлять весь процесс для подачи, и выяснилась главная неприятность. Получить КД можно только лично в распечатанном виде, за 1000 км от меня… Туше!

Совсем недавно участвовал в конкурсе. Тематика была совсем не связанная с безопасностью — ИТ-мониторинг. Но мы могли его реализовать на имеющихся у Заказчика средствах плюс поставка. По требованиям мы с пяток на десяток проходили, а на части требований написали: «будет реализовано в ходе реализации проекта». Пришли на защиту конкурсной заявки и тут… Оказалось, что решение должно все выполнять из коробки и доработки не принимаются. И теперь система оценки заявки не предусматривает «выполняется частично», а только да/нет… Туше!

К чему это я? Иногда надо совершать ошибки, чтобы хорошо выучить урок. Главное — сильно от этого не страдать. :)

Как анализировать конкурсы на госзакупках, или почему не было вчера не было материала

Вы думаете, почему нет вторничного мега-материала? Приходиться работать :( У всех начало января — мертвый сезон, а мне накидали конкурсов. 4 штуки на неделю для участия, и еще 10 на анализ.

Надо сказать, что конкурсы я люблю. И вообще являюсь специалистом по анализу конкурсов – что по 94 (44) ФЗ, что по 223, а уж как люблю конкурсы в свободной форме… не передать. Это все равно, что даниссимо съесть.

zakipki_gov_ru

Обычно дело обстоит так: мне прилетает ссылка – Диман, глянь, что как. Я смотрю, и даю выводы – идем/не идем. Это моя самая любимая часть, жаль, что она длится минут 5-10, прямо как среднестатистический секс.

И вот, когда я собрался уже написать мега-текст, ко мне прилетает ссылка. Аттестация по ЗПД в «Городская клиническая больница имени Архиепископа Луки г.Тамбова».

О том, как выигрывать конкурсы, я расскажу в другой раз, а сегодня о том, как обнаруживать в конкурсах защиту.

Что такое найти защиту? Это посмотреть, был ли конкурс подготовлен самим заказчиком, или ему кто-то помогал. Понятно, что помогающий надеется выиграть конкурс. И в этом, кстати, нет ничего плохого. В следующий раз я вам расскажу увлекательную историю про битву в конкурсе с двумя маститыми интеграторами, где были интриги, расследования и победа. Там, кстати, наша цена была в 3 раза ниже, чем у остальных. Т.е. конкурс с защитой – это не всегда желание отхапать кучу денег, зачастую это желание, чтобы делал проверенный контрагент за вменяемые деньги.

Но давайте теорию оставим на потом, сразу к практике. Почитайте документы по ссылке.

sokrovishha

.

.

.

Что нашли?

.

.

.

Сразу возникают сомнения уже в названии. Аттестация вещь такая, для нее нужны средства защиты и документы. Если все это есть, то аттестацию, скорее всего, уже кто-то сделал. Поэтому открытые конкурсы на «чистую» аттестацию – это переаттестация.

Есть такое у парней из Тамбова? Нетути.

8.1.7. Исполнитель должен обеспечить поставку, установку, настройку и ввод в эксплуатацию средств защиты информации, отвечающих требованиям, установленным в разделе 9 настоящего технического задания.

Ага, т.е. сразу в стоимость должны быть включены технические средства. Как вы понимаете, это увеличивает неопределенность, а, следовательно, косты вашего предложения. Смотрим, что за система – МИС. В границы работ попали лишь рабочие места, без серверных компонент. Уже легче, а то можно нарваться на черт знает что.

Сроки. Сроку всего 30 рабочих дней. И тут парни сработали чопорно. Окучить почти 500 рабочих мест за полтора месяца…? Кстати, так часто пишут, когда часть работ уже сделана, и за нее надо получить деньги. Как-нибудь расскажу про залеты с этой схемой.

Т.е. нам предлагают делать под ключ 16 компов в день… Ну, ладно. Чешем дальше.

Возвращаемся к требованиям к средствам защиты. Тут часто пишут номера випнетовских сетей, что сразу ставит крест на ваших чаяньях. Но тут такого нет, а есть спецификация:

 

 

Таблица №2

№ п/п

Наименование

Количество

1
Лицензия на право использования СЗИ от НСД SecretNet 7. Клиент (сетевой режим работы)

480

2
Лицензия на право использования СЗИ от НСД SecretNet 7. Сервер безопасности

1

3
Установочный комплект СЗИ от НСД

1

4
Программно-аппаратный комплекс, выполняющий функции средства обнаружения вторжений

4

5
Продление действующих неисключительных (пользовательских) лицензионных прав на антивирусное программное обеспечение Dr . Web Desktop Security Suite : Антивирус, Центр управления для рабочих станций сроком на 36 месяцев

480

6
Установочный комплект антивирусного программного обеспечения Dr . Web Desktop Security Suite

1

7
Передача неисключительных прав на использование средства анализа защищенности сети

1

8
Установочный комплект средства анализа защищенности сети

1

9
Продление неисключительных прав на использование Средств защиты информации Security Studio Endpoint Protection : Antivirus , Personal Firewall , HIPS . Subscription.

37

 

Тут все прекрасно. Если бы кто хотел помандиться по теме конкурса, то они бы в легкую это сделали. Сумма просто довольная маленькая. Было бы хотя бы миллионов 10, думаю, нашлось бы много охотников пописать в ФАС и прокуратуру. Но тема развала конкурсов – большая, чтобы о ней говорить в двух словах.

Если есть спецификация, значит кто-то уже защитил поставку у вендора. Следовательно, мы в лучшем случае получим скидку в 5% от прайс-листа.

Там еще можно много найти, но и этого хватает с головой.

Все необходимое узнали, считаем нашу себестоимость.

money

Я рекомендовал в этот конкурс не идти.

Вот так я потратил 10 минут, креативное настроение ушло, и я не написал вам вчера пост. Если интересна тема организации и выигрыша конкурсов по 94 и 223 ФЗ и всякие кул-стори, ставьте лайк и пишите в комментариях.

Всего вам доброго.

Про тренды в информационной безопасности: SOC, ЗПД и т.п.

Вернувшись с очередной конференции по новомодным трендам, задумался о вечном. Об истории. По сути, вся история защиты информации в России прошла перед моими глазами, и принимал я в ней деятельное участие. А т.к. я известный цифирькосчет и фрик, решил изучить тренды в информационной безопасности на опыте себя любимого.

Сразу жбахну картинку.

Количество проектов за последние 6 лет

Количество проектов за последние 6 лет

Это разбивка моего опыта выполнения различных проектов по информационной безопасности. Вписал, что помнил. Совсем не стал вписывать, где были просто поставки (без работ). А также не упоминал темы, мало связанные с безопасностью.

До 2011 года я активно выполнял работы сам и чуть-чуть пресейлил. После активно пресейлил и гиповал и чуть-чуть делал сам. Т.к. изменился спектр обязанностей, получился большой разрыв в количестве. Продажи занимают больше времени, чем исполнение (сравнимо с методическими рекомендациями Департамента образования). А ведение проекта не заканчивается с написанием комплекта документов.

Предлагал я весь спектр интеграторских услуг, но в итоге получилось следующее:

Разбивка проектов по типам работы

Разбивка проектов по типам работы

Сейчас пишу и вспоминаю, что еще делал pen- test, внедрял DLP и еще всякое разное, но уж как получилось. Как видно, персональные данные как стали трендом в 2009 году, так и не отпускают пальму первенства.

Количество проектов по защите персональных данных

Количество проектов по защите персональных данных

А вот в процентах тренд виден более явно:

Количество проектов в процентах по защите персональных данных

Количество проектов в процентах по защите персональных данных

И последняя диаграмма: разбиение по отраслям:

Количество проектов по отраслям

Количество проектов по отраслям

Что в итоге?

1. Персональные данные все еще тренд. Спасибо 242-ФЗ.

2. SOCи набирают популярность (надо похвалиться – я приложил руку к одному из крупнейших SOCов в Восточной Европе). Но ввиду масштабности проектов это могут потянуть не все интеграторы.

3. Анализ рисков – тема, о которой все говорят, но мало кто хочет за нее платить. Во всяком случае в отрыве от других работ. А с другими работами — это, скорее всего, с персональными данными.

4. Количество проектов мало влияет на выполнение квоты (но об этом как-нибудь в другой раз). С 2011 по 2014 – личное выполнение плана.

5. В основном ЗПД заказывают или те, кого обязали (госы), или те, кто под прицелом (образование, медицина).

Я знаю, в среде многих известных блоггеров принято ругать защиту персональных данных. Но надо понимать, что это хлеб всего интеграторского бизнеса по информационной безопасности (да и у заказчиков). В 2008 году я ставил CheckPoint и XSpider и выступал с презентациями, как круто аттестоваться по ISO 27001.

Всего вам доброго.

Выбор вендора как первая любовь

Как выбрать вендора?Вдруг случилось, что вы работаете в интеграторе и занимаетесь пресейлом. Ну, мало ли, что в жизни бывает. По-простому, задача пресейла по информационной безопасности – понять, что необходимо заказчику, и дать решение.

Задачи могут быть самые разные, как и решения. Последние делятся на два больших класса – услуги (консалтинг) и «железо», куда входят программное обеспечение и программно-аппаратные комплексы различных вендоров. И если задача не решается консалтингом, надо подбирать какие-то решения от вендоров. О последних и поговорим.

Как выбирать вендора?

Как-то мы с Аркадием Прокудиным говорили о том, как вендоры обманывают (Аркадий, оказалось, свой сайт запилил – уважуха). Поэтому сегодня не об этом. Главная наша задача — выбрать, с какими вендорами работать, а с какими нет.

Вас найдут

Если вы начинающий пресейл, единственная информация, которая у вас будет – листовки и другая макулатура от вендоров. У меня как-то в плане прохождения испытательного срока в одном пункте так и было написано: «Изучение маркетинговых материалов».

Почитать, конечно, интересно. Но лучше пообщаться с вендором напрямую. Благо, вендоры очень отзывчивы и с завидной периодичностью будут к вам приезжать. На этих встречах вы познакомитесь с техническими специалистами и вашим партер-менеджером. Именно этому человеку вы будете задавать глупые вопросы по продуктам вендора, столбить сделки, выбивать скидки и многое еще что. Это крайне полезный человек, советую занести его номер в записную книжку.

Четыре главные вещи

Немного поднабравшись опыта, вы будете знать всех основных вендоров. С этого момента технические нюансы средств защиты информации конкретного вендора вас будут мало интересовать. Вы будете задавать вендору четыре вопроса:

  1. Кто ваши конкуренты?
  2. В чем принципиальное отличие от них?
  3. Сколько маржи?
  4. Как защищается сделка?

Первые два вопроса чисто технические. Главное — уяснить суть, все равно знать всего нельзя.

Вторые два прямо вам интересны. А можно ли на этом выполнить квоту? Тут целый зоопарк. Есть вендоры с огромным прайсом и маленькой скидкой (большие западные компании и специализированные отечественные). Есть с большой скидкой, но малым прайсом (квоту не сделаешь). Мои самые любимые – с адекватным прайсом и существенной скидкой.

Помню, как-то пришел к нам вендор А10 (я про него и не слышал). Они сразу сказали: мы такие же, как F5, только в 4 раза быстрее и в два раза дешевле. Вот это правильный разговор, сразу интересно послушать.

Последний вопрос самый главный. Насколько вендор защищает вашу поставку, если Заказчик выбрал именно это решение. Есть две основные защиты: вам дают плюс в скидку или не поставляют никому другому. Промежуточный вариант — вам дают вашу полную партнерскую скидку, а остальным минус 5% от прайс-листа

Первым балуются западные вендоры. Например, Check Point с радостью закрепит за вами сделку и даст дополнительные 10% скидки, но если у вас бронза или серебро, вас любой голдовый партнер вынесет с вашей защитой. Печалька. Но, видимо, у них и выбора нет.

Второе распространено у наших и у не сильно крупных западных вендоров. Тут все просто — поставить в этого заказчика эту спецификацию сможете только вы.

Моногамность

Как выбрать вендора?С кем и как взаимодействовать, выбираете вы. Мне близка позиция моновендорности, когда на каждую задачу у вас один вендор, максимум два. В этом случае вы знаете все плюсы и минусы решения, и плотно взаимодействуете с вендором. Вам дадут большие скидки и прочие плюшки.

А вот Аркадий был в плане вендоров полигамен. Он любил всех, и все любили его. Но проектов всегда меньше, чем вендоров, и потом мы засыпались в подтверждении всех статусов, что у нас были.

Ищите своих вендоров.
Всего вам доброго.

Пролез: Как обманывают вендоры. Опыт глазами интегратора.

Пролез: Открытая безопасностьНедавно мы обсудили тему «Как обманывают вендоры. Опыт глазами интегратора». Опытные технологические продавцы помогли мне раскрыть следующие ситуации:

Продажа функций, реально не существующих в продукте.

Откаты — как они могут помочь вендору

Как создается статистика

Как делаются конкурентные сравнения

Предоставление отчетов стат. агентств по нужным годам и группам

Рассказы о несуществующих внедрениях

Помощь вендора

Искусственное старение продукта

Продажа продукта под видом ПО, но на самом деле — это подписка на услуги со 100% стоимости продления.

Старикам здесь не место, или средства защиты информации, на которых не заработаешь

Как-то неожиданно все друзья и коллеги узнали об этом блоге, и настала популярность :) Самый популярный вопрос – зачем? Ответ: конечно, дикий и бешеный самопиар, чем я хуже.:) И, к тому же, я – графоман.

Но перейдем от личной популярности к популярности в информационной безопасности. А именно о средствах информационной безопасности, вышедших «в тираж». Что это?

Устаревшие средства защиты

С точки зрения интегратора (продаж) – это средства защиты, на которых уже нельзя заработать. Рынок этого насыщен и/или это уже у всех есть. Этим нельзя удивить, на этом не сделать квоту, это вышло в тираж.

С точки зрения заказчика – это уже ставшее чем-то обыденным, чем-то являющимся само собой разумеющимся. Тем, о чем знает даже собственник бизнеса, который может говорить лишь о яхтах и сигарах.

— Имя, сестра, имя!

Возглавляют список антивирусы. Вот уж точно о них слышали все. Если его у вас нет, вы, скорее всего, сидите на линуксе. Интегратору здесь практически не заработать, особенно с нуля. Да, если у вас в пуле есть заказчик с 10 000+ станциями, вы получите 1 млн. маржи.

Касперский, ESET, Symantec и остальные — извините.

Следующие в списке – межсетевые экраны и VPN. Тут все разнообразней, ведь даже на Cisco можно включить ACL и получить простенький фаервол. Если в штате есть безопасник, то можно увидеть фаервол сертифицированный и с гостовым VPN. Но если его нет, любой айтишник ограждает свою вотчину извне. Заработать еще можно: при поставке сертифицированных решений (желательно с гостом), а также при расширении филиальных структур и постройке чего-нибудь нового. Один минус: фаервол — это надолго, на второй год, в лучшем случае, техподдержку продашь.

Тройку замыкают системы анализа защищенности. Этих уже поменьше, но если есть безопасник – значит в 90% случаев есть XSpider. Что может быть более любо, чем посканить и принести красивый отчет? Сейчас все больше разрастается Qualys. Ну, и старший брат паука – MaxPatrol. Интеграторы чаще всего закладывают сканеры для выполнения требований по защите персональных данных. Если деньги есть – MaxPatrol, если нет – Xspider.

Это были старички. Есть и потенциальный новичок – DLP. Если раньше можно было продать 1000 лицензий за 20 млн., теперь уже нет такой роскоши. Все, кому нужно было купить — купили. Подтянулись новые игроки, сбросили с себя пыль старички – и пошла заруба, кто меньше даст цену. Еще пара лет, и будет как с антивирусами.

И, чтобы уж было ровно пять, внесем в список IPS/IDS. Скажу честно, продавал я их только для персданных. Решение это не самостоятельное, и всегда берется в нагрузку к фаерволу. Купили Cisco или Check Point, и IPS там же купите. Со смертью StoneSoft и разнообразие ушло – либо безумно дорого, либо snort под разными соусами.

Не обижайте стариков. Всего вам доброго.

Профессиональный рост специалистов по информационной безопасности

Помниться любил я сцепиться в словесной дуэли с Андреем Янкиным (человеком высокопрофессиональным в нашем деле, если Анрюха чего-то не знает, значит этого и нет) на тему профессионального роста безопасника.

Женская дружба, мужская дружба

Андрей к тому времени возглавлял группу исполнения в Компании АйТи, а я – руководил проектами по информационной безопасности. Если по-простому, я выявлял потребности, продавал и рулил процессом исполнения (продавайка (с) Янкин), а Андрюха – рулил инженерами и аналитиками, а так же разруливал совсем уж сложные рабочие проблемы (исполняйка).

Суть наших дуэлей крутилась вокруг вектора движения. Откуда и куда он идет – от исполняйки к продавайке, или наоборот? Андрей считал, что от продавайки к исполняйке.

Рассмотрим мой тезис на примере.

Пример

В бытность, когда персональные данные еще только становились драйвером рынка, и на дворе был приказ трех, я был аналитиком и работал по специальности «защита персональных данных». Вначале просто делал, потом уже руководил группой аналитиков. И был 2010 год, и за этот год я сделал просто ТЬМУ!!!!!11111 проектов по персональным данным (когда-нибудь, исключительно для жесткого пиара, я сделаю табличку по всем своим проектам). Эти проекты лезли из всех щелей, и, как любого профессионала от этой темы, меня стало немного подташнивать (что наблюдается в среде аналитиков любого интегратора)

Уже к концу 2010 года, я стал больше заниматься пресейлом, и уже с 2011 года окончательно занялся этим пагубным делом. Я все еще был играющим тренером, но занимался этим все меньше и меньше. Сделав все в ЗПД, я уже мог рассказать об этом заказчикам и проконтролировать исполнителей.

Т.е. можно условно выделить три стадии взросления:

  • Инженер – умеют что-то делать руками, не умею писать документы и общаться с заказчиком.
  • Аналитик – умею делать руками и писать документы, не хочу (не умею, не нравиться) общаться с заказчиком.
  • Пресейл/аккаунт – умею делать руками, писать документы, хочу (умею, нравиться) общаться с заказчиком.

Блоггер – вырастает где-то между этими стадиями :)

Таким образом естественный процесс развития профессионала: инженер – аналитик – продажи. Разумеется, есть люди, у которых душа не лежит к аналитике или продажам, как у уважаемого Михаила Кадера, который инженер от бога.

Согласны, со мной?

«Топим лед» по Прозорову

Что-то не оставляет меня тема блоггерства. Пошел почитать, что пишут. Заглянул к Прозорову, последняя запись о фразах, которые «топят лед» в общение с безопасниками. Посмотрим предметней:

— Сколько человек в подразделении ИБ, кому подчиняется?

"Ломая лед" по Андрею Прозорову
С места в карьер. Вы бы еще про бюджеты спросили.

— Имеется ли перечень критичных ИС и в каком виде?

И сразу вопрос про КИС (или по старому КСИИ). Учитывая, что в 99% заказчиков КИС нет, вопрос в пустоту.

— Сколько документов регламентируют ИБ, где хранятся актуальные версии, как часто пересматриваются?

Второй вопрос начинающийся со «сколько». Тут явно не хватает еще «сколько у вас денег в этом году». Что интересно, не задается более актуальный вопрос – что это за документы. А уж место хранение актуальных документов… оно нам зачем?

— Используются ли мобильные устройства для работы, как они защищаются?

Solar продает MDM решения? Или ведет разработку VPN клиента с ГОСТОм? Мы явно чего-то не знаем.

— Каким образом регламентируется и контролируется использование съемных носителей?

Этот вопрос из арсенала продавцов DLP. Что-то я не слышал, что бы у Solar был такой функционал, или это бытность памяти по Infowatch?

— Что с правами администратора для рядовых пользователей?

Как-то хаотично скачем. Нумерации в списке нет, но думаются они стоят по уменьшению приоритета. Вопросы съемных носителей и админских прав, это, конечно, проблема, но не самая первая.

— Каким образом пересматриваются и изменяются права доступа пользователей к ИС?

Вопрос для продажи IDM от Solar =)

— Есть ли SIEM, кто настраивает правила корреляции?

Кто настраивает правила… кто настраивает… Если SIEM есть, то специалисты заказчика. Если нет, то никто. Продаем сервис от Solar.

— Кто проводит сканирование уязвимостей, как часто, каким средством?

Странно, как-то сформулирвоан вопрос. Почему нет вопроса – провдиться ли вообще сканирвоание?

— Где и как фиксируются инциденты ИБ?

Слово «фиксируются» имеет значение: заносить в журнал факт. Про выявление инцидентво ни слова. Solar inView только фиксирует инциденты? =)

— Насколько выполняете требования Приказа 21?

Надо понимать, другие требования 152-ФЗ выполнять не надо ;) Или они не выполняются продуктами Solar?

— Какие грифы конфиденциальности проставляются на документах?

«Какие грифы» — а их несколько? Знаю три грифа по гостайне, по конфиденциальности в лучшем случае ставиться один – конфиденциально. Или речь идет о форме, крючк там, или плюсик ставиться? Очень информативный вопрос.

— Проводились ли проверки регуляторами и каковы их итоги?

99% заказчиков не сталкивалось с проверками по безопасности.

— Каким образом проводится обучение и повышение осведомлённости пользователей?

Норм вопрос, но задача не в первой сотне.

— Какие крупные инциденты ИБ происходили за последние пару лет?

Андрей, а вы NDA подписали, что бы вам такое рассказывали?

— Начали ли что-то делать по теме импортозамещения?

Андрей, продаете ArcSight под маркой Solar? ;)

— Что запланировано по ИБ на этот и следующий год?

Уже не плохо.

 

Как видно, нет ряда ключевых вопросов. Один из них – а какие насущные проблемы есть сейчас?

Всего вам доброго.