Архив метки: смотреть глазами

Собирательный портрет или игра в угадайку

Следующим материалом должно было стать продолжение отчета о CISO Forum, но те воспоминания еще болезненны, и я не могу спокойно смотреть в глаза открывшемуся ужасу. Поэтому сегодня более спокойная тема – о людях.

geshtalt

Когда-то я работал в Утконосе, и моей задачей было ловить внутренних нарушителей. Т.к. я был молодым специалистом, то ловил я их в корпоративной сети и интернете. Если бы я справился, я бы подкачался и приобрел свирепый оскал, меня перевели бы на более ответственный фронт – склад.

Промеж слежения за сотрудниками, закрытием несанкционированных шар и т.п., я подсмотрел у старших товарищей такую штуку – ППН. Или, по-простому, психологический портрет нарушителя. Это небольшая памятка, описывающая типичного нарушителя: от внешнего вида, возраста, пола и одежды до поведения и особенностей биографии.

Цель ППН понятна – базовый фильтр при мониторинге. Конечно, это не универсальный фильтр, в нем можно сразу обнаружить кучу ошибок первого и второго рода. Но сама идея меня завлекла. Тогда я постеснялся спросить, как они его сделали. Поэтому стал изобретать велосипед.

Вообще собирательные профили делают все кому не лень. Продавцы жвачки и люксовых автомобилей, и даже продавцы средств защиты информации. Интересны не сами профили, а выводы на их основании, а также предпосылки к ним. Вот о такой профессиональной деформации я и хотел бы вам поведать.

Не секрет, что ибешники в первую очередь работают с людьми, и лишь в пятую с компьютерами и угрозами, с ними связанными. Наравне с дипломатическими навыками должны развиваться навыки эмпатии и оценки — как раз те самые фильтры и категории, которые и помогают дипломатии.

По сути – это навешивание ярлыков (только не так, как это делает какая-нибудь оторванная от реалий соционика). Скорее это ближе к гештальтам (как законченной форме, а не гештальтпсихология, которая тоже под знаком ереси ходит). Если вы читали шпионские романы или даже интересовались историей спецслужб, то замечали, что все агенты имели прозвища (для конспирации). А эти прозвища, в свою очередь, часто были «говорящими» (теми самыми клише или гештальтами), слепком с личности человека. Да что далеко ходить — посмотрите на прозвища своих друзей.

Много общаясь с людьми, у человека происходит изменение восприятия. Он начинает замечать вещи, укладывающие определенные гирьки на чашу весов под тем или иным ярлыком. Если вы следователь – это только плюс, если вы обычный человек  — то сомнения. Побочным эффектом этого является игра в угадайку, когда начинаешь оценивать рядом сидящих людей и предполагать, кем бы они могли быть. Еще лучше, если у вас есть партнер.

Например, вчера я гулял с ребенком, и второй раз в жизни увидел папу и мальчика лет 7-8, они на детской площадке гоняли мячик друг с другом. Я предположил, что это «воскресный папа», потому что:

  1. Я их вижу второй раз. Оба раза в воскресные вечера.
  2. Они играют вдвоем и ребенок рад, значит, либо папа много работает, либо видятся они только на выходных.
  3. Папа плохо знает район, т.к. для их целей больше подошла бы коробка в 30 метрах, где вообще никого никогда не бывает, чем пяточек 3 на 4 метра.
  4. Папа делает это не часто (см. пункт 2). Если бы он делал это часто, сын бы бегал с друзьями, а папа сидел на лавочке и уперся бы в телефон.
  5. Папа был одет довольно легко, как раз для вождения машины. Вряд ли бы он стал так одеваться, выходя в достаточно прохладную погоду, даже если бы куда-нибудь потом ехал. Проще было дома переодеться.
  6. Сын был одет для долгой прогулки, а не для пинания мячика. Если он любит футбол, то оделся бы более спортивно. И так далее.

Но каждому из этих пунктов можно было бы найти другое рациональное объяснение, доказывающее, что я ошибаюсь.

К чему это я? Что угадайка (считай навешивание ярлыков) может быть забавным способом времяпрепровождения, когда это касается посторонних людей, которых вы никогда больше не увидите. Но угадайка может быть фатальна, если с этим человеком вы будете вести совместные дела. Вам будет очень сложно выйти за рамки этого гештальта – пьяница, бабник, ленивый, вор и т.п. Вспомните жизнь ваших одноклассников, которых определили в группу ленивых или тупых. Уверен, что многие подсознательно корректировали свое поведение и отношение к ним.

В личных (рабочих, дружеских и т.п.) отношениях есть только один принцип – относись так, как относятся к тебе. Ярлыки и классификации тут не помогут.

Всего вам доброго.

«Ранние Пташки» — найти и обезвредить, или особенности стартапостроения в ИБ

Вторник выдался особенно жарким на всякие мероприятия. Еще месяц назад я зарегистрировался на презентацию нового вендора и буквально за пару дней до начала узнал о проведении мероприятия для стартапереров, где будет выступать Алексей Лукацкий. Как давний фанат Алексея я не мог этого пропустить. Я посетил оба мероприятия.

В 9 утра я был в районе метро Курская на «Early Birds: стартапы в сфере информационной безопасности», которое было организовано платформой для запуска стартапов tech и фондом ФРИИ. Все было в новом для меня формате завтрака – тортиком тебя угостят, а за кофе платишь сам. Чтобы не быть белой вороной, я расчехлил одну из своих «гениальных идей». А вдруг получится найти деньги?

startup

Страхи от Алексея Лукацкого

Но сначала о выступлениях. Их было два. Алексей рассказал о своей поездке на конференцию RSA. Про тренды было интересно послушать, но все это не про нас. Мы в лучшем случае доберемся до этого года через два-три, а к тому времени уже половина трендов сойдет на нет, и появится что-то новое. Пусть другие набивают шишки (ну и зарабатывают, конечно).

Единственный дискуссионный вопрос был в драйверах для старт-апов. Алексей выделил три: Страх, Compliance и Экономика. Видимо, не хватало пунктов для классических «трех пунктов и семи шагов», т.к. два последних входят в понятие Страх. Страх — вещь универсальная, напугай клиента и продай. Так продается все — от косметики и дорогих аксессуаров («без этого ты будешь страшным уебищем и жизнь твоя будет горька!») до компьютерных игрушек («ты одинок и ешь доширак? В нашей игре ты будешь богом с кучей друзей!»). Разумеется, безопасность эксплуатирует страх. А вот дифференцирование страхов и есть поле для старт-апов. Видимо, Алексей решил не раскрывать всю подноготную бесплатно.

Пикирующий бомбардировщик Максима Лагутина

Вторым выступал Максим Лагутин. Как выяснилось – это основатель успешного стартапа по персональным данным B 152 и сканированию сайтов SiteSecure. Правда SiteSecure сейчас не работает. Максим узнал о персональных данных три года назад, и с помощью самообразования и статей в интернете сделал комплект документов, который стал продавать за 49 000 рублей. Вообще идея, лежащая на поверхности. С 2009 года ко мне регулярно обращались с подобным предложением – сделать коробку за чутка денег. Как человек честный, я не мог умолчать о сложностях и затратах на такую коробку, после чего тема загибалась.

SiteSecure

Продавать документы за деньги – крайне бесперспективно. Через пару продаж их сольют в интернет. После того, как я сделал комплект для Минздрава, где я только не встречал свои документы. Да и в тех же платных комплектах (Максим тут далеко не первый). Кстати, наши мастодонты тоже пробовали продавать документы. Если не путаю, там участвовали и Алексей Лукацкий с Михаилом Емельянниковым. Но и у них не взлетело. Кстати, чутка погуглив, доки B 152 я нашел.

Но надо признать, что Максим молодец – у него более 200 пройденных проверок по персональным данным. Правда не понятно, кто ж у них занимается персональными данными? На сайте всего две персоны:

Олег Михальский

Основатель, постоянный консультант, специалист по маркетингу и продвижению решений (выделение автора) в области информационной безопасности

Активно помогает проекту «Б-152» расти, развиваться и налаживать партнёрские связи. Имеет опыт работы на рынке информационной безопасности более 15 лет. В разное время занимал руководящие должности в следующих компаниях: «Лаборатория Касперского», «InfoWatch», «Acronis». Помимо солидного опыта, отличное образование, полученное в ИКСИ АФСБ, ВАВТ, ВЗФЭИ и АНХ ( это четыре вышки или одна? Пожалели места для полных названий).

Интересно, Acronis позволяет своим менеджерам иметь бизнес на стороне? Я так понимаю, большинство клиентов Олег нашел на основной работе.

Максим Лагутин

Руководитель проекта, специалист по информационной безопасности

Возглавляет команду «Б-152», занимается стратегическим планированием, развитием сервиса и работой с партнёрами.
Имеет профильное образование и опыт работы в сфере информационной безопасности более 3-х лет (где, если не секрет?). На данный момент обучается в RMA по программе MBA «Менеджмент в сфере интернет-технологий» (а почему не риски или что-то профильное?).

 

Т.е. один крупный руководитель и еще один стратегический управленец. Как-то сильно попахивает на бессовестный пиар без реальных дел. Анализ клиентов, правда, ничего не дал. В бизнесах с такой маленькой клиентской ценой надо иметь огромный охват. Если ребята помогли пройти 200 проверок, то клиентов у них должно быть как минимум 20 000 (в среднем под проверку попадает 1% и менее операторов).

Слоган: Данные организации уже решили вопрос соответствия ФЗ-152 «О персональных данных». Они уже не беспокоятся о возможных штрафах по данному закону.

Люди разбирающиеся заметят, что в услугах, оказываемых Олегом и Максимом, не хватает еще очень много, чтобы «не беспокоиться о возможных штрафах по данному закону». Тут одним шаблонным комплектом ОРД не отделаешься. Кстати, думаю, регуляторы взяли B 152 на заметку.

Желаю парням удачи.

8 поленьев.

Про старт-апы

Ни к кому из инвесторов я не пошел. Во-первых, они были все заняты. Во-вторых, инвесторы хотят много (в смысле доли), а предлагают исчезающе мало (хотя бы в смысле денег). У нас инвесторы не готовы вкладываться в доли менее 50%, соответственно несут им проекты, которые зарабатывают миллионы вместо миллиардов.

Вообще, я с подозрением отношусь к старт-апам. В чем суть старт-апера? Создать шумиху, сделать красивый сайт и продаться инвестору. Для старт-апа, в отличие от бизнеса (даже начинающего), не важна прибыль. Тут любые твои просчеты могут быть поданы в выгодном свете в совокупности с просьбой дополнительных инвестиций. Вы сами можете это увидеть на примере многих известных компаний в нашей области.

startup-fail

Для того чтобы открыть бизнес, необходим канал продаж и/или заказчик. Как видим, тут особо нет места инвестору (тем более за 50% долю). Поэтому такой большой процент сбитых летчиков, т.к. в первую очередь важны продажи. Помнится, как-то Андрей Янкин прислал информацию о компании его друзей для рассмотрения их в качестве привлечения на субподряд. У парней на 5 человек было 8 CCIE. Матерь божья, эти пять парней были умнее многих крупных интеграторов. Но они искали субподрядных работ… потому что для бизнеса мало технической квалификации, надо еще уметь продать эту квалификацию. Возняк так бы и остался рядовым инженером, не познакомься он с Джобсом.

Поэтому с опаской отношусь к старт-аперам, тем более тем, кто является «заслуженным старт-апером». По-моему, тут уже выступает на первое место тусовость, желание быть модным, а не дело. Два часа пролетели незаметно, и я поехал к Михаилу Романову.

Поесть у Михаила Романова

Я думаю, многие знают Михаила. Это личность значительного масштаба, отбрасывающая заметную тень на наш рынок. Я познакомился с Михаилом, когда он толкал в гору сертификации StoneSoft. После всем известных событий Михаил пропал на пару лет. Оказалось, что он не сидел, сложа руки, а пилил новый продукт SafeInspect в лоне новой компании «Новые технологии безопасности».

Название, на мой взгляд, немного претенциозное. Но какой разительный контраст в подходах в сравнении с B 152! Главное — продукт, а мишура потом. Сайт еще несколько недель назад выдавал ошибки, и был полупустой (кстати, плюс в карму за использование Drupal). Минимальная функциональность со средоточием на главном. Уважение.

Пересказывать презентации и демонстрации смысла мало. Конечно, подготовиться можно было бы получше. Ну не надо вызывать к микрофону технических специалистов. Их задача — отвечать на специализированные вопросы, а не читать презентацию полчаса. Это совершенно другой навык, не требующий глубокой компетенции.

Ну, и как любой бомжующий блогер, я не мог обойти вниманием стол. Вообще, думаю, что если б не конференции, то писаки вроде меня умерли бы с голоду. Устроители конференций, не забывайте про пишущую братию вообще, и про меня любимого в частности! Приглашайте почаще. :)

Поесть было богато, Михаил к этому очень трепетно относится. Так что всем рекомендую становиться его партнерами, голодными не останетесь.

А у меня за этим все. Всего самого доброго.

3 полена.

 

P. S. Что-то понравилось мне чужие сайты читать, заделаю рубрику а-ля Бизнес-Линч. Буду читать сайты по ИБ. Кто предложит нормальное название?

 

О безопасности мужчин в преддверии 8 марта

Эх, свобода. Оказывается, когда тебе не надо каждый день ходить на работу, образуется такое неимоверное количество дел, что задаешься вопросом – где ж они раньше-то были? И не успело пройти 23 февраля, как уже маячит на носу 8 марта. По сему этот пост только для мужчин.

man_save

Многие воспринимают безопасность довольно прямолинейно – безопасная еда, безопасные игрушки, безопасные машины, еда без ГМО и т.п. Т.е. это барьеры, ограждения, срезание острых углов, бррр. Например, опасно есть в фастфуде, но иногда ведь хочется съесть какую-нибудь гадость, правда?

Лично я рассматриваю безопасность как понимание риска (опасности) тех или иных действий. Это отнюдь не значит, что надо действовать все время безопасно, иначе жизнь ваша будет похожа на фруктовый кефир. Просто надо разумно подходить к риску. Информация, ее обработка и применение, наконец, вольются во все области жизни. Думаю, скоро специалисты по безопасности станут также править миром, как юристы. Я верю в это.

Текст только для мужчин (18+)

И, так как, скоро будет 8 марта, я хотел бы поделиться информацией для нас, мужиков. Разумеется, она непосредственно связана с женщинами. О, эти коварные создания. Но нет, разговор, не о них. И не об отношениях. Хотя есть обоснованное мнение, что все действия самцов (мужчин) подчинены завоеванию самок (женщин). Например, этим можно объяснить чуть ли не все войны на земле.

Все в банальной разнице между мужчинами и женщинами. Мы проявляем естественную склонность к экстенсивной системе воспроизведения. Дело в том, что мы можем производить практически любое количество спермы, а ее отложение нам ничего не стоит. Только лишь, чтобы ее выплеснуть. :)

И потому, наиболее осмысленна стратегия воспроизводства для нас — это оплодотворение любой доступной самки… и особенные старания, чтобы оплодотворить наиболее здоровых, у которых больше всего шансов, чтобы их потомство дожило до зрелого возраста. Эволюция, и ни каких сантиментов. Наиболее разумно, в плане воспроизведения, самец поступает тогда, когда путешествует и копулирует в наиболее широком масштабе. «Мужчина – ходок», знакомо?

Стратегия самки совершенно обратная. Вместо миллионов сперматозоидов, она располагает всего лишь одной яйцеклеткой в месяц (помните – про чайник и чашки?), и каждый ребенок требует вложения колоссальных усилий. Поэтому женщинам нужна стабильность. У них должна быть уверенность, что им хватит пропитания. В течение длительных периодов женщины практически беззащитны, не могут разыскивать и собирать пищу. Женщины не путешествуют, они не совершали кругосветных путешествий и не волоклись в Антарктику пугать пингвинов. Скорее они поселяются и остаются на месте. Если такое невозможно, то самой разумной стратегией будет половая связь с самым сильным и здоровым из доступных самцов. Это вам скажет любой зоолог.

Но гораздо лучше для женщины найти сильного и здорового самца, который останется с ней и будет заботиться о ней вместо того, чтобы шататься по миру и копулировать сколько есть желания. В связи с этим на нас, мужиков, давит с двух сторон. С одной стороны: следует распространять свою сперму, даже насилием, если это необходимо. С другой же стороны: сделаться привлекательным для самок в качестве стабильного кормителя путем подавления стремления к путешествиям и тенденции пользоваться собственной силой. Точно так же и с женщинами. С одной стороны, они должны получить семя самого сильного, самого здорового самца, чтобы их дети унаследовали самые лучшие гены; результатом становится, что для них привлекательны грубые, агрессивные мужчины. А с другой стороны, они нуждаются в опеке спокойных, стабильных мужчин, чтобы дети их имели гарантию защиты и пропитания, чтобы наибольшее их число достигло зрелости.

Если достаточно абстрагироваться, всю нашу историю можно интерпретировать как слепое стремление за генетическим предназначением, которое тянет людей в две стороны. Все наши великие цивилизации, это всего лишь общественные машины, создающие идеальную среду для самок. Там женщина может рассчитывать на стабильность. Юридические и моральные кодексы исключают насилие, гарантируют права собственности, заставляют выполнять договоренности. Все вместе это реализует принципиальную стратегию самок: укротить самца. Но это развитые общества.

Но были и есть варварские племена, живущие без цивилизационного влияния, в основном реализующие стратегию самца: распространять семя. В рамках племени наиболее сильные, доминирующие мужчины берут наилучших самок — либо, благодаря формальной полигамии, либо же путем случайных копуляций, которые другие мужчины не могут предотвратить. Но эти, имеющие более низкий статус, не бунтуют, поскольку вожди водят их на войну, и если в ней побеждают, то могут грабить и насиловать, сколько им влезет. Половая привлекательность завоевывается ими во время войны, когда они доказывают собственную мужественность, убивая всех соперников и копулируя с овдовевшими самками. Жестокое средневековье, но и в то же самое время — осмысленная реализация генетической стратегии.

Вот, такие дела. И одна из главнейших вещей в жизни мужчины – это его мужское здоровье. Для тех, кто уже устал от метафор за этот длинный текст – что бы член стоял. Не хочется говорить, всякие банальности про использование презервативов, ношение теплых труселей и подштанников в минус 30 и т.п.

Надеюсь, половая слабость никого из вас не коснется до самой пенсии. Но если все-таки так случилось, то материал ниже, даст вам пищу для размышлений. Разумеется, если у вас рези при мочеиспускании, ЗППП или еще какая хворь, вам не статьи в интернете надо читать, а идти к врачу. Но, если со здоровьем все в порядке, но часто бывают промашки или не получается – рекомендуют пить таблетки.

Разумеется, не надо пить всякое рекламируемо дерьмо, вроде «Вука-Вука», «Аликапс», «4левел» и прочую муть. Все это в лучше случае БАДы с набором витаминов, маточного молочка и 16 тибетских трав собранных девственницами в кровавую луну.

Сиалис, отзывыЕсть всего три действенных таблетки, инфа 100%. Вы спросите, откуда я это знаю? Что-то сам пробовал во времена пылкой юности, по кул-стори об этом можно написать роман о контрабанде, обман вооруженных патрулей и продажных женщинах в Латинской Америке, в общем, скукота. Что-то рассказал дедушка андролог. :)

  1. Левитра, отзывыСиалор. Мягкое, почти, незаметное действие. Отлично подходит для состояния
    «хочется, но устал». Эффект будет через 20-30 минут. Бывают побочные эффекты.
  2. Левитра. Нормальная рабочая таблетка. И ни каких побочных эффектов. ;) Эффект через 10-15 минут.
  3. Виагра. Самая убойная вещь. Не пробовал, но говорят, если она не помогла, физиологически — вы импотент.

Виагра, отзывыВсе это крайне не дешевые средства. Одна таблетка до 1000 рублей, две за 1500. Столько же стоит 30 таблеток всякого дерьмеца, вроде «Вука Вука».

Есть и бюджетные варианты – дженерики. Дженерик — препарат копия оригинального, с теми же свойствами. В среднем 1 таблетка, в 10 раз дешевле оригинала.

Понятно, что лучше таблетки не использовать. Любовь – лучшая таблетка для потенции. Но если это особый случай, то, иногда, можно.

И напоследок, боже вас упаси, пить это вместе с алкоголем. Может, как и вообще не встать, так и обратный эффект – будете пыхтеть 2 часа без удовлетворения.

Удачного вам 8 марта, берегите себя.

Всего вам доброго.

Как, читая, нивелировать угрозу хакеров

Когда работаешь в крупной компании и в такой насыщенной новостями области, как информационная безопасность, на тебя валится огромный вал документов. С одной стороны, целый ворох внутренних приказов и положений, которые ты должен учитывать в своей работе. С другой — шквал аналитики, отчетов, статей, изменений, проектов изменений, законов и еще всякого.

read_forever

На мою беду у меня есть пунктик: читать все, что мне приходит. Вот вышел новый приказ, и какой-то сумрачный гений, писавший штатное расписание, решил, что я должен быть в рассылке о новом приказе по учету складских остатков. Благо, я смог договориться с той бандой, что степень «глубины» чтения я могу выбирать сам. Многое можно достаточно бегло посмотреть, даже просто по заголовкам. Конечно, если заголовки говорящие (кстати, именно поэтому я не пишу говорящие заголовки, чтобы вы, мои любимые читатели, читали все целиком :)).

И, наконец, я добрался до всяких итоговых отчетов аналитиков за прошлый год. Например, отчет группы IB. В целом унылое занудство, рост числа угроз, хакерские группы растут, бюджеты на иб падают и т.п. Но во всем отчете есть одна (ну, я думаю их все же там больше) дельная для меня мысль. Хакеров интересует прибыль: чем быстрее полученная информация или взломанная система приводит к деньгам, тем лучше.

Фактически из этого следует, что «обычную конфиденциальную» инфу вообще не надо защищать от хакеров. Пока они ее получат, пока найдут покупателя… проще взломать еще пару миллионов смартофонов и повытаскивать деньги со счетов владельцев.

Т.е. если вы не работаете с деньгами клиентов — вы не в топе целей хакеров.

Следующая в списке – информация о самих клиентах. Например, вендоры DLP любят приводить пример со страховыми компаниями, когда уходящий продавец уносил с собой своих клиентов и пытался забрать клиентов компании. Ну, а дальше обычная конфиденциалка и ноу-хау.

И знаете, что самое страшное? Это очень похоже на правду. Такой подход исключает или существенно снижает риск хакерских атак на вас. Конечно, если вас целенаправленно не закажут.

Всего вам доброго.

У Камина: 38 попугаев

Решил заделать новую рубрику. Ну, как новую? Рассмотрение чужих статей – формат старый как мир. Новое разве что для нашего безопасного комьюнити. В данной рубрике я буду читать для вас разные статьи, разумеется, с моими непревзойденными комментариями :). Статьи, попадающие сюда, я предварительно не читаю, так что мы с вами в равных условиях. Мы первопроходцы в поиске нового и интересного.

fireplace_main

И начнем мы со статьи «38 попугаев, или не все метрики одинаково полезны» Андрея Захарова, опубликованной на сайте Jet Info. Это корпоративный портал компании Инфорсистемы Джет. Выбрал я именно ее, так как тема измерений мне близка до глубины души. Начнем.

Оригинальный текст взят as is. Все права на оригинальный текст принадлежат их правообладателям.

 

38 попугаев, или не все метрики одинаково полезны

Сразу вопрос к названию: в оригинале было 38 попугаев и одно попугайское крылышко. Точность – добродетель любых измерений.

38_0

Проблема измерения эффективности мер обеспечения ИБ уже давно стала притчей во языцех. За последние годы на эту тему были опубликованы многочисленные статьи, представлены разнообразные доклады на отраслевых конференциях, организован и проведен не один круглый стол.

Да ладно. Можно списочек? И даже если так – вы решили добавить еще одну статью в эту «огромную кучу»?

Но если посмотреть на ситуацию в целом, можно обнаружить, что, несмотря на кажущуюся популярность и востребованность этой темы, в действительности изменилось немногое.

Изменилось по сравнению с чем?

По нашим наблюдениям, доля компаний, использующих комплексные метрики для оценки состояния информационной безопасности, за последнее время возросла лишь незначительно. И тому есть объяснение.

Вы в окно посмотрели? Или исследование проводили?

Что такое метрики и для чего вообще они нужны? Метрики – это функции, которые используются для измерения чего-либо, например, какого-либо процесса. Можно провести простую аналогию с транспортным средством. Для того чтобы определить, как быстро движется автомобиль, используется метрика «спидометр», какое расстояние было пройдено – «одометр». Обычно формула расчета метрики составляется из тех характеристик процесса, которые представляют наибольший интерес.

Специально в словарь заглянул. Самое ближайшее к данному определение:

   математический термин, обозначающий правило определения того или иного расстояния между любыми двумя точками (элементами) данного множества А.

Т.е. проблема в самом начале – в терминах. Метрика не функция, а «числовой показатель», который рассчитывается. А, вот, расчет может проводиться разными способами, в том числе и функцией. Зачем огород городить, вводя новые термины? Чем старые не угодили?

Для начала отметим, что практикуемые в компании методы управления ИБ значительно зависят от сложившегося в ней корпоративного управления.

Точно так. А почему множественное число? Автор у статьи один – Андрей Захаров. Или это коллективное мнение компании Джет? А вот от чего действительно зависит измерение ИБ – так это от уровня корпоративной зрелости.

Если принятие руководством управленческих решений основывается на качественном внутреннем анализе, то и спрос на Business Intelligence (BI) будет высок.

Оу-оу-оу. Мы вроде про безопасность тут, с чего BI ? Продукт плейсмент услуг компании Джет? :)

И наоборот, если для оценки ситуации используется ограниченное число высокоуровневых бизнес-показателей, спрос на анализ внутренних процессов будет ограничен. Каждый вариант напрямую влияет на цели и задачи программы измерения состояния ИБ.

Что вы говорите. Надеюсь, дальше этот тезис будет раскрыт.

Главные вопросы, на которые компании необходимо ответить, чтобы эффективно оценивать свою ИБ, для кого создаются метрики и какую информацию они должны нести.

Очень странный тезис. Ок, поиграем в вашу игру. Например, метрики создаются для распильщиков, какую информацию они должны содержать?

Что по этому поводу советуют эксперты?

По какому поводу? Вопрос-то не поставлен. Во всем тексте сверху нет ни одного знака вопроса.

Для ответа на этот вопрос обратимся к отраслевым стандартам. Пионер стандартизации в области информационной безопасности NIST выделяет 4 типа метрик: достижения целей, реализации (выполнения) процесса, результативности (эффективности) выполнения процесса и влияния на бизнес.

Рис. 1. Уровни зрелости метрик ИБ (по материалам NIST)

Рис. 1. Уровни зрелости метрик ИБ (по материалам NIST)

Руководящий документ NIST SP 800-55 Rev.1 был разработан почти 10 лет назад и до сих пор не потерял своей актуальности.

Пропущу шутку, почему статья не вышла 9-10 лет назад.

В нем хорошо отражена идея индикаторов: результативности (KPI), достижения цели (KGI) и риска (KRI).

Да, норм критерии. Немного избыточно, но ок.

Казалось бы, задача понятна, подходы хорошо известны,

А конкретней? Тут весь рынок ждет применения этих «известных подходов». Голословное утверждение.

однако практика показывает, что попытки самостоятельного внедрения системы метрик зачастую заканчиваются неудачей.

Ага, надо звать компанию Джет.

Это происходит потому, что с самого начала не было соблюдено несколько важных условий. Дело в том, что каждый тип метрик предназначен для определенного уровня зрелости (развития) оцениваемых процессов.

А почему об этом написано здесь, а не во введении, где вы говорили о «сложившемся типе корпоративного управления»? Но, правильно ли я понял, что Андрей утверждает, будто метрики «результативности (KPI), достижения цели (KGI) и риска (KRI)» применяются не на всех уровнях зрелости?

Поэтому совершенно бессмысленно конструировать, например, метрики эффективности, если оцениваемые процессы едва удалось документировать.

Да вы что? Метрика эффективности уборки корпоративного туалета измеряема, но вряд ли документирована (во всяком случае на уровне процедур).

Крупный российский оператор связи разработал и внедрил систему метрик информационной безопасности в поддержку недавно утвержденной стратегии в сфере обеспечения ИБ. Разработанные метрики охватывали не только уже существующие процессы обеспечения ИБ, но и те, которые еще предстояло внедрить.

Как это, интересно, у них получилось?

Для удобства подготовки отчетности для руководства, курирующего блок информационной безопасности, расчет метрик был автоматизирован.

Вот это поворот, сразу виден накал автоматизации. Опять продукт плейсмент? И какое это имеет отношение к теме статьи?

Почти сразу же возникла проблема, связанная с некорректностью расчета метрик, поскольку они описывали состояние пока еще не реализованных процессов обеспечения ИБ. Так как руководство интересовали обобщенные показатели состояния ИБ, общая картина получилась «смазанной» в худшую сторону, несмотря на то, что текущее состояние ИБ было достаточно высоким.

Не понятно, как вообще такое допустили? Если уровень ИБ высокий, значит там сидят не идиоты. Значит допустили идиоты, которые эту методику внедряли, а потом сразу автоматизировали, не проведя опытной эксплуатации.

И никакого вывода из примера. Печаль.

Начать с самого простого

Метрики достижения цели позволяют ответить на вопрос о том, были ли решены поставленные ИБ-задачи. Общие цели в области ИБ определены практически в каждой компании.

Не плохо бы пару примеров. Или Андрей считает, что за 10 лет с момента выхода этого NIST все с ним ознакомились?

Частные политики и процедуры конкретизируют и детализируют их в разрезе отдельных процессов. Планы мероприятий, в свою очередь, определяют конкретные задачи, подлежащие выполнению.

Метрики достижения цели используются в первую очередь для оценки наличия результатов, поэтому полезны для оперативного управления.

*подавился чаем* В абзаце выше говорилось про решаемые ИБ-задачи, все это глобальные стратегические вещи. При чем тут оперативное управление? Или компания Джет считает, что метрика достижения цели – кинуть бумагу в шредер?

Важно отметить, что этот тип метрик ничего не говорит о том, достигается ли желаемый результат на регулярной основе. Для этих целей используется метрика реализации процесса.

Следующий шаг

Метрики реализации являются следующей ступенькой системы измерения и служат для определения того, в какой мере внедрен конкретный процесс.

Т.е., по мнению автора, процесс «может быть чуть-чуть внедрен»? Процесс либо есть (как-то работает), либо нет (не работает). Возможно редкое состояние, когда мы строим новый процесс. Но это крайне незначительный промежуток времени (дни-недели), чтобы по нему считать метрики.

Они используются в том случае, когда деятельность уже формализована в виде процесса, но он еще не внедрен полностью. К примеру, управление уязвимостями требует наличия процесса их выявления.

Да, но не обязательно. Можно покупать фиды у Касперского.

В том случае, если он выполняется только для 70 систем из 100, можно говорить о 70% его реализации.

А можно сказать, что процесс не достигает цели комплексного управления уязвимостями. Ведь из этих 30 систем все 30 могут быть бизнес-важными.

Этот тип метрики является относительным

Относительным между чем и чем?

и требует наличия установленных пороговых значений,

Как могут быть пороговые значения, если выше говорилось о 100% внедрения процесса? Получается, надо строить еще целый процесс по установке пороговых значений.

с которыми будет сравниваться измеренный результат. Определение пороговых значений отдельная задача, порой еще более сложная, чем основная, поскольку 100%-ный результат любой ценой далеко не всегда является целесообразным. Отметим, что метрики реализации предназначены в основном для руководства ИБ-подразделения, поскольку позволяют отслеживать прогресс внедрения процессов обеспечения ИБ.

Вообще метрики — для руководства.

Входим во вкус

Метрики результативности выполнения процесса, стоящие еще на одну ступеньку выше в иерархии метрик, сфокусированы на конкретных показателях деятельности и отвечают на вопрос, насколько результативно работает тот или иной процесс или защитная мера, будучи внедренными.

Т.е. к чуть-чуть беременным процессам у нас добавились конкретные показатели этой беременности. Я всю жизнь думал, что мы идем от частного к общему. Кстати, ISO тоже так построено.

К примеру, одна из целей процесса повышения осведомленности пользователей в области ИБ состоит в минимизации числа инцидентов, связанных с использованием методов социальной инженерии.

Это правда. Но в начале их надо научить не втыкать гребанные флешки, принесенные из дома. И всякую фигню не устанавливать.

Если в результате обучения пользователей в 8 случаях из 10 они не поддаются на провокационные письма и звонки злоумышленников, можно сказать, что показатель результативности процесса (для этой цели) составляет 80%.

Вообще, при таком выстроенным процессе должно быть 11 из 10. К тому же, надо еще строить процесс оценки, что же в эти 20% инцидентов может попасть. А вдруг там андеррайтер в банке.

Данный тип метрик также является относительным и требует определения пороговых значений, с которыми будет сравниваться результат.

Для того чтобы учесть фактор стоимости ресурсов, которые затрачиваются для достижения желаемого результата, используются метрики эффективности.

Наконец, добрались. Странно, что метрики эффективности не были перечислены в общем пуле выше. Хотя интереснее учитывать не стоимость ресурсов, а критичность активов, не накрытых процессами с 70% реализацией.

Зачастую они являются производными от метрик результативности.

Производными – это значит вытекают из показателей результативности? Т.е. если нам надо измерить общую площадь дома, мы на него смотрим, говорим – 1000 кв. м. А потом идем внутрь с рулеткой и мерим?

Метрики эффективности могут высчитываться по формуле результативность/стоимость,

А могут и не высчитываться. Хорошо бы еще примеров. Интересен также физический смысл данной формулы – мы % делим на деньги. Фактически мы получаем аналог скорости: сколько денег нужно, чтобы увеличить результативность на 1%. И что от чего теперь производное?

где в качестве стоимости могут выступать любые используемые ресурсы: деньги, персонал, время, или их комбинация. Если потребителями метрик результативности являются руководители подразделения ИБ, то метрики эффективности могут быть интересны руководству компании, курирующему ИБ-направление.

Постичь дзен

Наконец, последний тип метрик – метрики влияния на бизнес.

Андрей, мне очень интересно, где можно почитать про последние два вида метрик. Как я понимаю, нижестоящие метрики на бизнес не влияют. А если бы влияли, то не надо было бы вводить новые показатели – они просто бы пересчитывались через нормирующий коэффициент.

Он является самым сложным с точки зрения наполнения. Эти метрики отвечают на вопрос, в какой степени результаты конкретных мер обеспечения ИБ влияют на показатели бизнес-деятельности.

Бизнес, в конечном счете, всегда интересуют доходы, соотнесенные с рисками, поэтому первое, что приходит в голову в качестве критерия измерения, это риск-ориентированные метрики, поскольку это общая цель для всех процессов обеспечения ИБ.

Бизнес как раз не интересуют доходы, «связанные с рисками». Его просто доходы интересуют. И, понятно, чем выше риск – тем больше потенциальный доход, любой тренер на Форексе вам скажет. Что такое «риск-ориентированные метрики»?

Отношение показателя результативности (эффективности)

Андрей, так в прошлой части вы сказали, что результативность и эффективность не одно и то же. Как вы собираетесь «скорость» опять делить на деньги?

конкретной меры ИБ к величине ожидаемых потерь (ALE) по защищаемому активу или процессу неплохая бизнес-метрика,

Исходя из вашего рассуждения, у вас принципиальная разница между активом и процессом. Тут не может быть или.

отражающая меру адекватности защитной меры существующему риску. Однако зачастую возникает проблема, связанная с недостаточно развитым процессом анализа рисков в компании. Поэтому этот подход не универсален.

Завидую вашей невозмутимости. А вообще, риски — это зачастую единственное, до чего могут безопасники дотянуться. Риски не требуют капитальных затрат в со an и железо.

Другой путь выбрать несколько бизнес-целей, очевидным образом зависящих от успехов (или неудач) в области ИБ, и создать метрики на их основе.

Если в компании есть ИТ и от нее как-то зависит бизнес, то все бизнес цели зависят в конечном итоге от ИБ.

В результате масштабного исследования, проведенного Ponemon Institute в 2013 году, выяснилось, что более половины организаций вообще не применяют бизнес-ориентированных метрик ИБ, поскольку не в состоянии оценить фактическое влияние ИБ на бизнес.

Так стандарту 10 лет, и тема уже изжеванная ;)

Рис. 2. Основные причины отсутствия бизнес-ориентированных метрик ИБ в западных компаниях (по данным Ponemon Institute)

Рис. 2. Основные причины отсутствия бизнес-ориентированных метрик ИБ в западных компаниях (по данным Ponemon Institute)

Кстати, а почему слайд на английском? Дедлайн перед сдачей материала? Ну, и текст можно было бы сделать покрупнее.

Для решения этой сложной задачи можно воспользоваться концепцией системы сбалансированных показателей (Balanced Scorecards, BSC). На рис. 3 приведен пример бизнес-ориентированных метрик ИБ, вписанных в систему ценностных перспектив BSC.

Рис. 3. Пример бизнес-ориентированных метрик ИБ

Рис. 3. Пример бизнес-ориентированных метрик ИБ

Для статьи норм так критерии. Правда, резанула глаз фраза «доля проектов и процессов с участием ИБ».

Разминка для ума

Рассмотрим использование системы метрик измерения эффективности ИБ на простом примере. Предположим, мы задались целью приобрести автомобиль.

Ну, не совсем корректно. Сразу смешались цели и процесс. Автомобиль рано или поздно будет куплен, а ИБ никогда не заканчивается.

Попробуем сконструировать набор метрик, который поможет нам измерить успех этого мероприятия на всех его этапах.

Прежде чем стать обладателем автомобиля, нам необходимо выбрать желаемую комплектацию, сравнить цены в автосалонах, решить вопрос с финансированием покупки и, собственно, совершить приобретение. Метрика достижения цели будет определяться степенью выполнения всех перечисленных задач в процентном отношении. Дополнительно можно учесть вес/важность каждой задачи.

Обычный метод выбора по весовым коэффициентам, довольно сложно применимый к процессам. Проходят в институте.

Метрик реализации может быть несколько – по одной на задачу (иногда больше). К примеру, если мы решим задействовать средства на покупку из нескольких источников, можно использовать метрику, которая будет характеризовать объем уже собранных средств в сравнении с целевой суммой. Аналогично можно оценить число автосалонов, которые мы посетили, в сравнении с планируемым.

Предположим, мы успешно справились со всеми задачами, но пока этим занимались, самые интересные комплектации во всех автосалонах раскупили, и нам пришлось купить автомобиль с более скромными характеристиками. Метрика результативности нашей покупки характеризует то, в какой степени наш автомобиль соответствует тому, что мы хотели получить, чего мы ожидали. Можно привести множество метрик результативности: оценку разгонной динамики в сравнении с эталоном (например, заявленным изготовителем), шумоизоляцию, экономичность и т.д.

Метрика эффективности покупки в данной ситуации будет определять, насколько привлекательную цену мы заплатили за эту комплектацию, не переплатили ли или не слишком ли залезли в долги.

Наконец, эквивалентом бизнес-метрик будут являться метрики влияния совершенной покупки на нашу жизнь. Насколько продуктивнее мы стали использовать свое время, передвигаясь на автомобиле? Как изменились наши расходы в связи с приобретением? Какие новые возможности у нас появились благодаря наличию автомобиля? Список можно продолжать.

В качестве заключения

Отметим, что ключ к получению действительно эффективных метрик их регулярное тестирование как на этапе конструирования, так и при последующем использовании.

Посыл странный, надо не метрики эффективные делать, а – процессы. Ведь метрики нужны лишь для того, чтобы процессы стали лучше.

Данные, на основании которых должна рассчитываться метрика, могут попросту отсутствовать, быть некорректными или неактуальными. В этой ситуации метрика будет приносить больше вреда, чем пользы. Необходимо всегда отталкиваться от имеющегося фактологического материала, учитывать цели и задачи создаваемых метрик, и по возможности автоматизировать весь процесс.

 

 

Фух, вот и конец. Надеюсь, вам было интересно. Спасибо Андрею Зотову за интересный материал.

Я ставлю 4 полена из 5.

Увидимся, и всего вам доброго.

О планах и как к ним относиться

Хотел бы вам рассказать о моем коллеге по работе – Федоре Горловском. Хотя мы с Федей братья в нелегком деле пресейла и борьбы за квоту, мы ярые антагонисты на идеологическом поле. Главное наше расхождение – планы vs цели. Суть противостояния сводиться к следующему: Федор считает, что путь к личному счастью (или хотя мы к материальному), лежит через планирование. И шаг за шагом, этап за этапом – вы обретаете счастье. Я, разумеется, ему оппонирую всеми фибрами своего естества. Рассмотрим противоборствующие стороны.

versus

Федор – человек-планировщик. Федя любит учет и порядок. Деловой стиль в одежде и общении. У него есть план(ы) на ближайшие 50 лет, которые он корректирует в зависимости от обстановки. Федя ведет домашнюю бухгалтерию. В свободное время Федя инвестирует в российские и западные компании. Карьерно и финансово успешен.

Ну, себя, распиздяя описывать не буду, вы и так все обо мне знаете. Главное другое, в итоговом плане – мы с Федей одинаковые (плюс-минус). Но идем к этому разными путями. Для меня любое планирование бесперспективно. Не в смысле, что я вообще планов не строю. Просто долгосрочное планирование, при недостатке информации, все равно, что гадать на кофейной гуще. Я заменяю их целями. Человек-цель.

Возьмем какую-нибудь цель, для простоты повествования. Например, купить машину. Человек-планировщик, сразу намечается все шаги и подэтапы, определяется с маркой, характеристиками машины, понимает, где он достанет деньги, когда он сдаст на права и т.п.

Человек-цель, просто ставит цель купить машину. Не сказать, что у меня нет совсем понимания, как этого достичь. Основные шаги все те же самые (найти деньги, выбрать машину), но они не конкретны. Я готов переставить шаги, или отложить цель в зависимости от обстоятельств. Например, свою первую машину я купил совершенно случайно за 1000 долларов и был счастлив с ней 5 лет. А вторую был готов поменять еще 5 лет назад, но забил – мне и так круто.

Как мне видится, главное различие в работе с информаций. Планировщик сидит внутри своих планов и возможных вариантов развития, которые он проработал. Чем лучше планировщик, тем к большему количеству неожиданностей он готов, ну как Госдеп США, у которых есть планы на все случаи жизни. Именно эти люди основные потребители бесчисленной «аналитики» обо всем на свете. Аналитика на основании аналитики.

Но это не исключает, что произойдет что-то (черный лебедь, например), к чему мы не готовы, что похерит к ебеням весь труд по планированию. Это меня просто убивает. Жизнь, она не бесконечная. Понятно, что чем детальнее проработка планов, тем больше похерит. Не верите? Посмотрите в первую версию любого календарного плана по внедрению чего бы то ни было, и сравните с фактическими итогами. Сюрприз.

Основное следствие из этого, не стоит слишком серьезно воспринимать и строить планы исходя из чужих планов. Воздушные замки на основании других воздушных замков. Не слишком ли зыбко?

— Хорошо, — скажите вы, — Дима, кул стори. Но к чем это?

Я это к тому, что в блогосфере просто полыхает от планов регуляторов на этот год. Люди, ау. Работать можно лишь с тем, что по факту есть. Как и делать далеко идущие выводы. Помню, как в 2012 все обсуждали бесконечные проекты документов ФСТЭК (в итоге вышли через 2 года) и ФСБ (большинство так и остались проектами). Какие тогда споры велись, сколько бугурта было у экспертов. Сейчас все поуспокоились.

То, что будут новые документы – хорошо. А бугуртить по их поводу – плохо, выйдут – посмотрим.

Всего вам доброго.

 

P.S. Ставьте лайки, если хотите большей «грязных подробностей» нашего с Федей противостояния.

Что читать безопасникам?

Если вы, когда-нибудь ходили на собеседования, в чем я лично не сомневаюсь. Вы ходили. Так, вот, если вы ходили на собеседования, то уже знаете примерно, как это происходит. Если вы делали это сравнительно недавно, хотя бы раз за последние пять лет, вы должны были сталкиваться с хитрыми вопросами HR. Ох уж эти эскулапы HR, их задача влезть в ваше естество, понять кто вы, не врете ли вы, насколько вы мотивированы и многое-многое другое.

Но есть один вопрос, который теперь ставит меня в тупик… Где-то ближе к концу собеседования, вас спросят или будет отдельный пункт в анкете: — Какие последние три-пять-десять книг вы прочитали?

main_book

Вроде, логика понятна, если укажешь кучу книг по теме вакансии или смежных, то ты молодец – стремишься развиваться. А если ты укажешь кучу фантастики или книг по хобби? Это значит, что ты развиваться не стремишься? А если, я читаю по книге в неделю, и последняя книга по специальности была четвертой-шестой-одиннадцатой?

Если посмотреть с другой стороны, то состоявшийся профессионал все основное по теме уже прочитал. Может быть еще в институте. Сейчас он читает новости и статьи, которые на книгу не тянут. В этом случае, перечень каких-то базовых книг, может быть признаком несостоятельности кандидата. Что это он в 25 лет основы читает?

Отдельный вопрос – как проверить, что именно эти книги прочитаны? Устраивать опрос? Но HR находиться вне понятийного поля вакансии, если только не берет другого HR. Это задача начальника. В общем, вопросы, вопросы, вопросы. Вопросы ради вопросов.

Но давайте посмотрим на себя. Какие книги вы читаете по специальности? Я не беру книги а-ля 7 улучшенное и дополненное издание «Риск-ориентированный подход в безопасности». Вы это в институте проходили, а это так – обновить. И я сомневаюсь, что вы читаете «Особенности администрирования Windows Server 2012 в условиях геополитических угроз». Если вы выполняете инженерные функции, то без этого никуда – ПО имеет свойство обновляться.

Выходит, что мы шлифуем наш базис все теми же статьями, новостями, да постами в блогах сомнительных личностей, вроде меня. А знаете, что самое ужасное? Что бы быть востребованным безопасником, надо читать совершенно другие книги. Все эти риски, угрозы, системы, средства защиты, РД регуляторов – интуитивно понятны и просты. Данные знания не продвигают вас к успеху. Количество прочтенных ISO и NIST не приблизят вас к цели. Все это проходиться в студенческом возрасте.

Теперь вы обладаете знанием, куда ходить не надо. Поздравляю! И всего доброго.

КЦД – святая троица безопасности? Или MaxPatol апостол всея безопасности

Так получилось, что целые выходные лежал мой сервер с сайтами. Ждали, когда техподдержка выйдет на работу в понедельник. Сидел я и думал об информации. Я ведь безопасностью информации занимаюсь етить растудыть, так что к ентой самой информации имею самое прямое отношение. Во всяком случае, это нам, безопасникам, так кажется (а мы не крестимся).

Holy_Spirit_IB

И, вот, сижу я и думаю – «Риски доступности информации, реализовались, что привело к ущербу…» Так, стоп. Что там говорит теория про информацию? У информации есть три свойства – конфиденциальность, целостность, доступность. Есть еще куча, мне, например, очень уж нравиться неотказуемость. Святую троицу я изучал по буржуинскому ISO, а там еще куча свойств. Хотя некоторые утверждают, что любое свойство можно выразить через КЦД – нашего отца, сына и святого духа. Но об этом как-нибудь в следующий раз.

Сижу значит, и думаю, а как там с доступностью? Наверняка тоже по трынде пошла. Базы покорежились, восстанавливать надо. Зато с конфиденциальностью полный порядок, никто мою информацию не узнает, т.к. доступа к ней нет. Зато узнают, что она недоступна. Но это другое.

Помните, когда-то был «приказ трех» по персональным данным? Алексей Лукацкий тогда на каждом углу говорил, что у нас нет типовых систем, а есть только специальные, т.к. надо обеспечивать еще доступность и/или целостность окромя конфиденциальности. Тогда все было красиво, действительно целостность и доступность важны.

А на практике? А на практике выходит, что безопасник может воздействовать только 1 одно свойство, максимум на 1¼. Например, мы ни как не можем воздействовать на доступность. Во всяком случае, на доступность информации в информационных системах. Т.к. это чисто айтишная тема, если системы не работают – никакой безопасности не надо. Что мой случай наглядно и показал. Нет системы – нет проблемы. Можно сказать даже больше – безопасники вредят доступности. Все эти наши железки, ставящиеся в разрыв, или хитрый софт обогащающий пакеты идентификаторами и метками. Все это для ИТ службы черный ящик и дополнительная точка отказа. В одном крупном банке воткнули железку по обогащению трафика, так она на 2 часа всю сеть и положила. В общем, с доступностью мы не помогаем, и даже вредим.

Целостность. Тут уже выправляем положение. Тут мы можем обеспечить неизменность документа. Круто. Возьмем, засунем все в криптоконтейнер, или цифровой подписью подпишем, и контрольную сумму сосчитаем. Как уже понятно, при крахе документа мы ничего сделать таким способом не можем. А если злой админ сотрет секретный ключ, то и вообще все документы похерятся. Таких случае уже больше десятка. Ну, не обладают безопасниками средствами восстановления информации. Вот, если вытащить чего удаленное – это да. А если база данных полетела, и потерялась часть полей – это нет.

Конфиденциальность. Это, вот, наше все. Любимый отец всея безопасников, скрыть, спрятать, никому не показывать. Понятно, что лучшую конфиденциальность можно обеспечить в отрезанной от внешнего мира, а лучше в неработающей системе.

И обрел я просветление. Все средства безопасности направлены лишь на одно, на сохранение конфиденциальности, путем низложения остальных двух свойств. «Ну как продукты Positive Technology, которые написаны, словно вся ЛВС предназначена только для них» (с) CISO банков топ-5. И в этом суть, зарытое в землю, не может быть взломано.

Всего вам доброго.

СМИ по информационной безопасности, или «глубина 12000 м, спуск нормальный»

Вот и закончились праздники, все неспешно вышли на работу. Хотя какая сейчас работа? Некоторые еще в отпусках, остальные плавно входят в новый год. И только я вынужден херачить заявки на конкурсы :) Но я о другом. Аккурат 31 декабря посмотрел я в нашу песочницу (которая информационная безопасность) и понял, что все грустно.

kladbishche_11

Вообще, печаль моя велика. Но особое место в ней занимают СМИ по информационной безопасности, или говоря обще – наше инфополе. Что это такое? Это некий набор тем (мемов, паттернов, называйте, как хотите), которые позволяют отличить одну группу профессионалов от другой. Если вы попадете на медицинскую выставку (даже если она будет по ИТ или ИБ), вы заметите это. Специфические темы, проблемы, термины. И так у всех: у бухгалтеров, строителей, даже у ичаров. А у безопасников нет. Конечно, это уже более глобальная проблема для отдельного разбирательства, но посмотрите на частности. Нам банально нечего почитать, все темы заезжены, жизнь теплится лишь в социальных сетях вокруг небольшой стайки. Не согласны? Смотрите, что получается.

Телевидение и видео-блоги

Этого у нас нет. Были отдельные попытки «показать про безопасность», но все они упирались в одно – деньги. Делать это на энтузиазме некому – студенты не тянут по уровню, а старикам не хватает времени.

Подкасты

Тут признаки жизни все же есть. Например, вот список от Андрея Прозорова по Подкастам.

  1. Securit13 Podcast (жив)
  2. Диалоги #поИБэ (1 год был в коме, обновился вчера на «модную тему» SOC – как будто других тем нету)
  3. Открытая безопасность (умер. Аркадий!!)
  4. Радио-Т (про ИТ)
  5. Noise Security Bit (скорее умер – 5 выпусков за прошлый год, причем 4 из них с января по апрель).
  6. Kaspersky Lab (про вирусы и не обновляется)
  7. 100% Virus Free Podcast (умер).

Итого 1 из 7. Есть еще «Квант Безопасности», где Евгений Бабицкий и Никита Ремезов пытаются обсуждать новости в два голоса. Но я про подкаст узнал случайно, потому что Никита упомянул меня в фейсбуке, а потом Евгений ринулся защищать PCI DSS. 24 выпуска за полгода – отличный результат. Но подкастер – это не спринтер, а марафонец.

Можно сказать, что и тут по нулям. Все обсуждают новости и всякие избитые темы, подхватывая что-нибудь модное, чтобы «быть в тренде».

Журналы

Журналов по информационной безопасности всегда было достаточно, штук 5 точно. Я и сам больше года печатался в «Information Security/Информационная безопасность». Есть и электронные журналы, и по подписке (например, «Проблемы информационной безопасности. Компьютерные системы»). Но у них всех две проблемы:

  1. «Кошмар Алексея Лукацкого». Это журналы, размещающие статьи в рекламных целях. Кто-то больше, кто-то меньше. У кого-то это завуалировано, а кто-то лупит в каждой фразе название своей компании или продукта. Как жбахнул кризис, так доля коммерческих материалов резко выросла.
  2. «Академичность». Пишутся как диссертации в миниатюре. С тоже структурой, тем же языком. На тысячи и тысячи знаков…

И знаете что? У нас нет ИБ-журналистики. У нас не задают острых вопросов, у нас на круглых столах все друг другу улыбаются, подтрунивая друг над другом в кулуарах. Все эти статьи пресны, как манка без сгущенки.

T_intro1

Блоги

Блоги вообще странно относить к СМИ. Блог — это личная площадка, где автор куражится в меру сил и способностей. Но именно блоги (твитеры, фейсбуки и т.п.), двигают все инфополе «по ИБ». У нас это удел каких-то одиночек, которые создают инфоповоды. Посмотрите на блог Алексей Лукацкого: даже такому титану шибко не о чем писать, если новостей нет. Отсюда значительное количество постов «по мотивам вчерашних твитов».

И комьюнити, которое хотя бы комментарии пишет, довольно небольшое. У Алексея на 20 последних постов в среднем 3,5 комментария. Это у топ1 блогера. Я думаю, есть большой пласт безопасников, которым некогда читать все подряд, чтобы найти интересное. А когда они попадают на конференцию, их ждет куча рекламы

Так и живем. Всего вам доброго.

 

Тайм-менеджмент, как секта

Давно обещал Андрею Прозорову рассказать, почему тайм-менеджмент – это вредная фикция, и даже лже-наука. Начнем чутка из далека. Последние две недели все стали активно писать о том, как развиваться безопаснику. Например, типичная статья: Александр Бондаренко пишет о том, как повышать компетенции.

Если почитать внимательней, то там приводится копипаста с исследованием Deloitte о компетенциях безопасника, а потом идут мысли Александра, как этого достичь. Список там просто божественный, никак у меня подсмотрели. :) Главная проблема всех этих списков, всех этих 5 шагов к успеху, 7 ступеней к счастью и т.п., в том, что они совершенно оторваны от жизни. Например, в статье выше навязываются четкие 4 роли, причем переход от Защитника к Советнику — это качественный переход в карьерном плане, а в статье говорится лишь о развитии навыков. Советник в западной культуре — это человек, получающий деньги за консультации по фиксированному прайсу (самый яркий пример у нас – нотариусы). Такого в безопасности нет. В наших реалиях роль Советника – это роль директора департамента или его зама. Там много спорного (например, ROI :)), сегодня не об этом.

Тайм-менеджмент - секта. Глеб АрхангельскийСегодня о тайм-менеджменте. Я честно изучал тайм-менеджмент и купил книжку Глеба Архангельского «Тайм-драйв» (еще в 2010 году). И это не работает.

Во-первых, о названии. Менеджмент все у нас переводят как управление. Верно. Только менеджмент – это управление людьми. Если быть точным, то тайм-менеджмент переводится как «управление людьми времени» (сюда же риск-менеджмент, комплайнс менеджмент и т.п.). Ни про каких людей в книге нет. Наоборот, это книга управляет вами.

Во-вторых, структура книги, сама форма подачи слизана с тренингов личностного роста и методик а-ля «Простой способ быть счастливым». Если вам 25 лет, и вы до сих пор не умеете организовать свою жизнь, книги вам не помогут. Там есть всего один способ, или смерть как профессионала. Что уж говорить про 30, 35 и далее лет.

Цитата:

  • Используйте «якоря» для настройки на различные задачи и отдых.
  • Применяйте «метод швейцарского сыра» при раскачке.
  • Ежедневно съедайте минимум одну «лягушку».

Срань господня, это что такое? А я вам отвечу: в этих трех предложениях сразу пять фишек, использующиеся лже-науками, бизнес-тренерами и тоталитарными сектами:

  1. Птичий язык. Больше обычных слов в специфическом понимании данного учения. После якоря я съел лягушку после швейцарского сыра. Посмотрите на НЛП, или соционику, или на гороскопы. Сходства очевидны.
  2. Как можно больше слов на птичьем языке. Чтобы у неофита создалось впечатление, что это круто и ему надо больше узнать. А точнее вбухать больше денег в книжки, семинары и встречи. По тайм-менеджменту проводят семинары! Куча потраченного времени, за которое можно было съесть кучу лягушек. И это по нескольку раз в неделю.
  3. Непроверяемость результатов. Я знаю 3 адептов тайм-менеджмента, они часто опаздывают и срывают дед-лайны. Вы никогда не узнаете, насколько «успешнее вы стали», потому что тайм-менеджмент это процесс, а важны лишь результаты (кстати, именно поэтому теория решения изобретательских задач (ТРИЗ) — чушь собачья).
  4. Гарантируемое счастье. Об этом прямо в книге и написано, начиная с 8 страницы. И эта книга — «программа-минимум» (с). А дальше как у сайентологов: пройди 12 ступеней, вложив миллионы долларов.
  5. Сакральность знания. «Мало кто знал о том, что еще в 1926 году существовала лига «Время», распространяющая передовые технологии управления временем: мало кто был знаком с богатой историей отечественного тайм-менеджмента». (с) Ну, тут все понятно, гороскопы уже 2000 лет делают – они как-то понадежней. Интересно, в 1926 году это тоже называли тайм-менеджментом?

В-третьих, это просто не работает. Чтобы следовать всем этим методам, надо потратить кучу времени на их воплощение. Я, например, выполняю обязанности пресейла, гипа и аккаунта. Я как-то пробовал посчитать, сколько звонков и писем я отправляю/получаю в день, забил на третий день – за три дня получилось 37,2 письма и 22,7 звонка. Если я каждый раз после звонка буду вносить коррективы по методу «неделя-месяц» — у меня рука устанет писать и зачеркивать.

time_mng2

Окей, мб это я плохой и не быстрый. Но это не работает даже в выборе приоритетов для задач. В книге есть слезный пример, как надо учить детей тайм-менеджменту. Например, определить отстающие предметы и заниматься по ним. Чушь собачья.

На второй вышке в курсе организационного поведения нам рассказали замечательную историю.

Жил был д.т.н. и был он несчастлив. Он долго маялся, а потом в 40 лет решил сменить вид деятельности. И стал дальнобойщиком. Оказалось, что ему нравилось ехать по дороге, а не бумажки перекладывать.

Тайм-менеджмент же нас подталкивает закрывать слабые стороны, а не развивать сильные. Вот Аркадий Прокудин периодически что-нибудь забывал, но это не помешало ему достичь успеха.

В сектах это распространенный примем – навязывание ложных целей, борьба с внутренним я в угоду гуру.

Например, я отвожу на написание поста в блог 1 час. Поэтому тут полно опечаток и ошибок. Но я знаю, что если тратить больше времени – результата будет всего на 10% лучше. Преодоление этого разрыва возможно лишь за деньги. В противоположность Андрей Прозоров или Алексей Лукацкий этим зарабатывают себе на жизнь.

Как итог. Тайм-менеджмент — сомнительная вещь, калечащая вашу жизнь, т.к. противоестественна для нашего мозга. Есть более простые техники, которые сделают вашу жизнь проще. Интересно? Напишите в комментариях, и это будет в одном из следующих постов.

Всего вам доброго.