Архив метки: ГК АйТи

Что в имени тебе моем?

Когда-то я был молодым. Хотя и сейчас не старый, но тогда был совсем молодым. В тот момент все мои мысли занимала карьера, а главным ее мерилом воспринималась занимая должность. Это сейчас понятно, что меряется все несколько иначе. Но тогда должность была на первом плане.

Рос я от специалиста до ведущего специалиста, и случилось мне возглавить отдел. У меня и подчиненные были – 4 студента. А т.к. компания была маленькая, вписали мне в трудовую аж целого Начальника кордебалета отдела. Для публики меня называли Руководителем направления аудита. Ох. Я, кстати, никогда не понимал всех этих Руководителей направлений. Это навигатор что ли заменяешь? Через 3000 км поверните направо? Маразматичней этого я видел лишь заместителей директора по развитию. Вот уж где мог скрываться кто угодно — от заместителя до подносчика кофе.

И, значит, пошел я после такого офигенного карьерного поворота устраиваться в компанию АйТи. А там все начальники заняты, есть ведущие специалисты. Но я ж, блин, целый руководитель. Не, мне нельзя так просто в специалисты. Это сейчас я дегустатор, а тогда было принципиально важно, чтобы в должности висело – руководитель. В итоге вписали меня как руководителя проектов. По сути, я этим самым и занимался, но потом должность сменили: Ведущий инженер поддержки продаж Отдела информационной безопасности Департамента инфраструктурных решений.

Это, кстати, две другие крайности. Первая: чем непонятней должность – тем больше вопросов. Я два раза попробовал объяснить, кто такой инженер поддержки продаж. После чего 5 лет писал везде руководитель проектов и не выебывался. РП все понятен. Как и инженер, аналитик, начальник. Поддержка продаж – нет.

Вторая крайность: чем длиннее и/или мудренее название – тем, по факту, меньше человек решает. Вы видели когда-нибудь младших партнеров, которые привозили заявки на конкурс? Я видел.

Поэтому я всегда с почтение отношусь к таким же «рыбакам». Ну, молодец же человек – старается. Вы думаете, это удел лишь таких нищих духом и меркантильных людей, как я? Нет, это всеобщая блажь.

Давайте рассмотрим примеры. Я взял двух самых активных личностей на нашей поибэ в данный момент. Конечно, меня, как всегда, можно обвинить в том, что я кого-то там опускаю и пиарюсь за чужой счет. Но смотрите сами, это открытая информация, предоставленная самими участниками. И, думаю, я не первый, кто задавался подобными вопросами.

Мерить будем корреляцию между участниками и мной, когда я мутил с должностями.

Алексей Лукацкий

Алексей ЛукацкийСам себя Алексей позиционирует как бизнес-консультант по безопасности. Если посмотреть на сайте Cisco, то встречается еще Business Development. В общем, все очень запутанно. Разберемся с бизнес-консультантом. Что это такое? Кого консультирует Алексей?

Более или менее устоявшееся определение гласит:

Бизнес-консультант – это специалист, оказывающий консультационные услуги другим фирмам, предприятиям, организациям по широкому кругу вопросов. Может действовать как индивидуально, так и в штате специальных (консалтинговых) фирм.

Т.е. консультант – это сотрудник внешней фирмы, которого приглашают решить конкретную проблему. Или же Алексей дает советы Cisco? Как строить информационную безопасность? Крайне сомневаюсь. Вся деятельность Алексея лежит в чем угодно – лоббирование нужных законов, пиар, представительские функции – но, крайне маловероятно, что она заключается в развитии ИБ в Cisco.

Мб Алексей консультирует сторонние организации? Не высказывает отсебятину в кулуарах, а по-взрослому – под договор и за деньги? Возможно. Огласке это не предают.

Business Development (ака развитие бизнеса) – примерно в ту же степь. Тут хотя бы с натяжкой можно сказать, что Алексей защищает интересы работодателя от совсем уж драконовских мер. Хотя развитие бизнеса – это скорее захват рынков, создание новых продуктов или продажи.

Можно предположить, что должность Алексей писал себе сам. Бизнес-консультант звучит гордо, я бы тоже себе на визитку поставил, если бы поумней был.

Корреляция – 100%.

Андрей Прозоров

Андрей ПрозоровНа сайте Solar Security Андрей представлен как Руководитель экспертного направления. Опять же, что такое руководитель направления? Я крайне несведущ в иерархии Солара, но даже мне понятно, что если есть Директор департамента JSOC и Руководитель направления JSOC, то один подчиненный другого. Крайне интересно узнать, зачем городить огород со всеми этими руководителями направлений? Но это дело десятое.

Департамента экспертного направления нет, следовательно, здесь Андрей самый главный. Но что такое экспертное направление? Или это по принципу: эксперт – человек не из нашего города? Зная опыт и заслуги Андрея, можно предположить, что он возглавляет экспертное направление по продвижению продукции Солар.

Насколько нам доносит компания Солар, подчиненных у Андрея нет. Следовательно, крайне вероятно, что это просто красивое название при переходе из Infowatch. И денег немного плюс должность, я также делал.

Совпадение – 100%.

Как видно, умные люди, думают одинаково.

Всего вам доброго.

Ответы на вопросы: работа, тренды ИБ, блог, Лукацкий

Наконец я добрался до вопросов. Если честно, думал, будет гораздо хуже. В топе вопросов – работа и Лукацкий :) Поехали потихоньку.

Блогер Сергей:

В 2007 году ты писал для домохозяек? В ИБ столько не бывает …

Резонный вопрос. Разумеется, я писал несколько для других аудиторий, они были более многочисленными и разнообразными. В 2007 писал в основном для националистов, коммунистов, сатанистов и прочей маргинальной публики. Также у меня было несколько блогов и пара сайтов, так что спрашивали всякое.

А.:

Почему ты все время засираешь Solar Security? Потому что они конкуренты Security Vision?

Хз, почему сложилось такое мнение, что я кого-то засираю? Тот же Солар – отличные ребята, да, не без косяков, но у кого их нет? Я рассматриваю это как бесплатную помощь. Если косяк имеет место быть — парни поправят. А если это пустая болтовня — отточат скилл отмазок.

Вот, из последнего. Андрей Прозоров заявил, что JSOC скоро будет в «магическом квадрате» Гартнера. Как вы понимаете, любой бы спросил – а зачем он там, если там уже есть HP ArcSight? Я просто был первым. Андрей ушел от ответа под предлогом, что я должен разбираться в их продуктах (это вендор говорит, ага), которые суть все равно работают на ArcSight. Глядишь, кому-то дали задание, что отвечать в таких случаях.

Роман:

Почему ушел из АйТи и чем сейчас занимаешься?

Ушел из АйТи, т.к. кадровая политика компании навязывала мне не совместимые с моими моральные нормы. Продавай говно, обманывай, будь верен компании, когда она тебя кидает и т.п. Плюс к этому, сам интегратор уже многие годы катится по наклонной, в чем явно прослеживается просчет акционеров.

Про занятия – см.выше.

Александр:

Привет. Очень нравится твой блог. Всегда читаю, но выбор тем печалит. Очень мало про информационную безопасность. Как ты выбираешь темы?

Уже скоро год, как этот блог не про информационную безопасность. Сама по себе информационная безопасность тема довольно узкая, а внутреннее разделение на «бумажную» и «настоящую» еще больше зауживает выбор. Здесь просто нет тем для периодического бумагомарания. Да и отклик аудитории небольшой, посмотрите на Лукацкого.

Темы выбираю строго по-научному. Что вижу, о том пишу.

Аноним:

Чем обусловлен конфликт с Алексеем Лукацким? Чуть ли не в каждом посте ты пытаешься его поддеть.

У меня никакого конфликта с Алексеем нет. Алексей ввиду каких-то внешних причин был в измененном состоянии сознания и увидел в констатации факта  личный наезд. Уж что это было – личная дружба с объектом факта, проблемы на работе или дома, мне не ведомо.

Если бы я хотел поддеть Алексея, я бы разбирал каждый его пост, указывая на все фактические ошибки и несуразицы, макал носом в непоследовательность мнений, сделал сайт анти-Лукацкий и спамил бы его комментариями.

Я же всего лишь, с уважением к сделанному, использую Алексея как иллюстрацию в тех или иных случаях. Что поделать — у нас нет более известной личности в поибэ. Алексей сам выбрал этот путь, так что немного сравнений и пиара с моей стороны ему не повредят.

Борис:

Что плохого в безопасниках, «воспитанных на блоге Лукацкого»?

Если кратко – все. Я сам когда-то его читал, т.к. это был самый оперативный источник по изменениям нормативки. В этом нет ничего плохого. Плохо, когда люди выпячивают, что они читают Лукацкого. Говорят, что чему-то там научились. В блогах нельзя ничему научиться, включая этот. Можно только принять информацию и пропустить через себя, найдя или нет в ней пользу.

Следовательно, безопасники-лукоблогеры сами расписываются в собственной неспособности думать. Они прочитали что-то где-то, и, как стадо хомячков, пошли разносить чуму по Европе. Потом глядь  тебе выдают заученную фразу (например (устал про ЗПД говорить), в Cisco нет закладок). Спрашиваешь – почему? Потому. И тишина.

Лукоблогеры убивают интеллект в нашей профессии, поэтому я против них.

Santor:

Почему ты со всеми конфликтуешь?  Это такой способ пиара?

Разумеется, конфликт — один из основных источников пиара, лидирующий с круговым гандикапом. Этого не отнять.

И нет. Я ни с кем не конфликтую. Да, там кто-то думает, что у него конфликт со мной. Но это их путь, не мой. Наверно, у них и особое сборище есть – «дружащих против». Они могут собираться каждую неделю, в темном подвале, и с пристрастием рассматривать мои посты и комментарии, демонически хохоча. Они пересылают друг другу в чатах ссылки на обновления и т.д. и т.п.

Конфликты слишком затратны по времени и энергии. Конфликт должен приносить пользу, хотя бы деньги.

Вот Олеся Шелестова периодически накидывает на позитив. Тут все ясно – они прямые конкуренты, плюс что-то личное.

А мне с кем конфликтовать в поибэ? Из-за чего? Все это пустое. То, что многим кажется конфликтом, на самом деле лишь удобный способ проиллюстрировать  тот или иной вопрос.

Аноним:

Так ты в Positive Technologies или нет?

Нет.

SvX:

Как думаешь, на теме персональных данных еще долго можно будет зарабатывать? И какое сейчас самое перспективное направление в ИБ?

Зарабатывать в ЗПД можно будет долго, но с каждым годом все меньше и меньше. В итоге, будет как с PCI DSS – все упадут с 400 000$ до 500 т.р.

Проще сказать, какое направление не перспективное. Ввиду последних новостей – сейчас просто вал SIEM, SOC, WAF. Понятно, что там уже ловить нечего. В итоге можно продавать, чего хочешь, если сможешь напугать или показать эффективность. Думаю, за ним перспектива.

Новые способы заработка для информационных безопасников

Это первый пост в 2017 году, и я несказанно рад, что столько подписчиков поддержали мою ежегодную традицию. Я получил  определенное количество вопросов и один интересный запрос на версус. Но об этом завтра. А сегодня о другом. Троих читателей интересовало, что же я делал весь прошлый год. Об этом и расскажу.

Если вы вдруг следите за моей карьерой (а если нет, то узнаете сейчас), что 29 февраля 2016 года я уволился из компании АйТи по причинам несовместимости по этическим вопросам между мной и акционерами компании и бедственном положении оного интегратора. Т.к. с бонусами меня прокинули через мужской половой орган, передо мной в полный рост встал вопрос о заработке хлеба насущного.

Как может заработать информационный безопасник, да еще и занимавшийся пресейлом?

Загнать все, что можно было, с последнего места работы? Так все уже украдено до нас, да и не надо это никому.

Можно устроиться на другую работу. Но, оказалось, это не вариант, никому не сдались блогеры, не берут даже за еду.

Можно давать мега-консультации за деньги, но топ нашего комплайнс-сообщества доказал несостоятельность этой идее. И даже у Максима не получилось.

Можно было бы продавать мега аналитику. Но кто б ее еще взял, да и место было уже занято. Да и не мое это, высасывать из пальца очередной мега-отчет на никому не нужную тему, вроде «особенности использования проприетарных антивирусов на рынке ДБО в первом полугодии 2016 года». Бррр.

Куда не кинь, всюду клин… В результате долгих и тщетных поисков я нашел решение. И даже в области безопасности.

Дегустатор дошираков

Многие улыбаются, когда я говорю о своем занятии. Но на самом деле безопасность питания — одна из основ человеческой жизни. Вот если ваш сертифицированный специалист траванется и будет обниматься с белым другом, а в это время вас начнут ломать – кто отразит нападение? Да вас за таблеточку активируемого угля продадут.

Как я к этому пришел? Очень просто — любая продукция в нашей стране должна быть сертифицирована. Можно и не сертифицировать, но это уже области, граничащие с контрафактом, поэтому об этом не будем.

В области сертификации пищевых продуктов, лекарств и потребительских товаров есть свои сертифицированные лаборатории. Все, как в нашей поибэ. Правда, их поменьше, и конкуренция пожиже. Например, у меня есть подруга, их лаборатория занимается только мороженным. Баскин Робинс их обеспечивает работой уже пару десятков лет.

Экспертиза есть лабораторная и потребительская. Понятно, что я со своим рабочим рылом в лабораторную не тянул никак. А вот в потребительскую – самое оно. Один из краеугольных камней потребительской сертификации – дегустация. Об этом практически невозможно найти информацию в открытых источниках, но у нас дегустируются вообще все продукты питания.

Понятно, что на вершине этой цепочки – дегустаторы вин. Они же самые дорогие, мажорные и раскрученные. Поинтересуетесь (если найдете, конечно) экзаменационными вопросами на дегустатора. Да и навыки нужны соответствующие, плюс вкусовые рецепторы и обоняние.

Но это совсем космос для простых смертных. Надо было выбрать что-то попроще. Изучив ГОСТ 31749-2012, мой выбор пал на лапшу быстрого приготовления (или сублимированную). Довольно востребованный продукт, где с помощью демпинга можно не умереть с голоду.

Лапша сублимированная (недоваренная)

Изучив матчасть и организовав свою потребительскую лабораторию (ИП, конечно, без этого никуда), начался процесс активного пиара. Все по заветам ИБ-стартапов, но в реальном секторе экономики. Два месяца рекламы и активных продаж — и вот, у меня потребительская лаборатория топ-20 в Москве с упором в макаронные изделия. А там и госаккредитация подоспела. Дальше уже дело техники.

Собственно дегустация

Сама по себе работа довольно скучная. Основных марок доширака у нас 7, в регионах больше, но там свои игроки. У каждого 3-5 вкусов, итого, все разнообразие ограничивается 35 позициями. Сертификацию обычно проводят для каждой партии по позициям (например, фуры или контейнера). А т.к. дошиков в фуру влезает дофига, вы не будете сильно напрягаться. Но доход стабильный.

Рабочее место

Привозят тебе образцы, и ты должен их проверить. Кстати, образцы можно натурально съесть, так что голодать не будете в любом случае. :) Часто производители просят еще провести и дополнительный выходной контроль партии, по рынку это стоит 100 т.р., я делаю за 5.

И вот перед тобой заветные пачечки. Тут главное не бросаться сразу открывать и пробовать. Надо провести кучу предварительных тестов, ну, словно самооценку по СТО БР заполняешь. Галочки, галочки, тут упаковка, комплектность, срок годности и т.п.

Дальше уже начинаешь пробовать. Тут главное все правильно заварить. Кстати, пиздеж, что дошики завариваются за 2-5 минут. Чтобы лапша напиталась водой/влагой, контейнер или тарелку надо закрыть, чтобы она немного потомилась в кипятке. Если у вас в бульоне плавают жидкие макаронины, вы едите гнусный полуфабрикат. Готовая лапша должна занимать весь доступный объем (например, весь контейнер Биг Ланча), это именно лапша, а не макаронной суп.

С опытом вы уже не будете съедать все позиции. У меня, например, есть стойкое отвращение к некоторым вкусам. Поэтому их я не глотаю, а выплевываю – это допускается процедурой.

Работа в комфортных условиях

В сущности, в лапше ничего вредного нет. И можно ее вполне использовать в качестве гарнира, когда готовить лень. Правда, если есть каждый день – можно потолстеть. 99,99% сублимированной лапши – яичная. Самый калорийные вид.

Все марки примерно на одном уровне. Отличаются всякими фишками. Например, дают вилки (которые ломаются в 4 случаях из 5). Лично мне нравится Биг Ланч.

Вот так я провел прошлый год.

Ну, и на этом, пожалуй, все.

«Быть PS». Про бонусы

Заканчивается декабрь, а, следовательно, и 4 квартал входит в заключительную стадию. А что происходит после закрытия календарного года? Правильно, нам должны бонусы. О них и поговорим.

bonus

Все ниже сказанное является оценочным суждением и личным мнением автора о событиях, которым он был свидетелем, и не преследуют цель опорочить чью-либо деловую репутацию.

Бонус – вещь опасная. В первую очередь с психологической точки зрения. Он воспринимается как уже свое, родное, пусть еще и не полученное. Если у вас никогда не было бонуса, то вы можете испытать это чувство путем простого эксперимента. Допустим, вам должны заплатить 10 тысяч, но дают 100 тысяч с наказом через два месяца 90 тысяч отдать. В итоге у вас остаются ваши 10 тысяч, но этот спектр эмоций через два месяца очень похож на все, что связано с бонусом и его (не)достижением.

Надо понимать, что бонус никогда не является средством основного мотивирования. Инженерам платят бонусы, чтобы они банально не разбежались, для сейлов бонус так мал и труднодостижим по сравнению с другими способами заработка, что и шибко не нужен. Для пресейлов – это морковка для Буриданова осла.

Также надо понимать, что с бонусом вас всегда обманут. Некоторые компании до сих пор должны мне бонусы миллиона на 2. Основные способы тут следующие:

  • Невнятность формулы определения.
  • Труднодостижимые показатели.
  • Банальное кидалово.

Невнятные формулы

Тут все просто. Выбирается многокомпонентная формула, и ты целый год крутишься как уж на сковородке. Например, когда я работал в компании «АйТи», мой бонус включал: выполнение квоты, оценку руководителя, оценку коллег и еще что-то.

При этом от выполнения плана бонус зависел лишь на 30%.

По факту, можно было получить 70% премии, не выполнив план. Разумеется, могли и ничего не заплатить, т.к. план-то не выполнен. Как раз перед моим приходом формулу изменили: заменили индивидуальный план на план отдела. Что повлекло за собой как плюсы, так и минусы. Например, можно было ничего не получить, внеся наибольший вклад в квоту (у меня так было пару лет подряд).

Если у вас есть выбор, берите наиболее простые формулы. Например, процент от сделки. В Leta IT инженерам платили 1-2%, начальники получали до 5% от сделки. Все просто и понятно. Правда, это все равно не делало бонус основным способом заработка у них. :)

Труднодостижимые показатели

Это вообще классический прием. Особенно распространен в западных вендорах. Вам дается большой фикс, всякие льготы и план, который вы не выполните никогда. А еще над вами будет специальный начальник, который будет смотреть, чтобы вы этот план не выполнили, т.к. если вы его выполните на 100%, то получите офигенный бонус, а начальник пойдет на биржу труда. Поэтому ваше выполнение будет в районе 30-50%, вы будете что-то там получать, и будете бегать, как белка в колесе с наказом «ВЫПОЛНИ ПЛАН, НАКОНЕЦ!».

Крайне некомфортное положение. Поэтому в западных вендорах встречается все плохое, что может быть в продажах и пресейле – люди бегут за планом.

Банальное кидалово

Если вы все выполнили и кристально четко рассчитали, то вам могут банально не заплатить. Это всегда исходит от владельца компании или очень близко к нему. Например, в АйТи владелец собрал всех и простил всем свои долги. Так и сказал: «Вы плохо работали, поэтому ничего не получите». Разумеется, в этом лично он виноват не был, а также в том, что вогнал компании в многомиллиардные убытки. Виноваты были ресурсные подразделения.

Понятно, что он (владелец), всего лишь извлекал 500% прибыль с нашей работы. Да, он брал на себя все связанные с ведением бизнеса риски, за что и получал подобные прибыли в случае успеха. Наемный же сотрудник таких прибылей не получает. Он работает за то, о чем было оговорено, и должен получать это в любом случае, если не нарушал договоренностей. У нас же все наоборот: успех – он единолично владельца, а провал – сотрудников, их не жалко, новых наберем.

Кстати, следствие из этого, что власть начальника простирается до момента, пока он вовремя платит.

Или рядом с нами был другой интегратор. Они к концу 2014 года план выполнили. Но оказалось, что план у них был в долларах (вот это поворот), а доллар упал. А следовательно, все их выполнение в рублях на самом деле не выполнение. Следовательно, никакого плана. Красиво, а?

Или в Информзащите два или три генеральных директора назад владелец установил такую формулу и план, что выполнить было сложно. Но нашелся герой, который выполнил. При расчете там должен был быть шестизначный бонус. Владелец посмотрел и решил: сам формулу дал – сам и заберу. Не помню, заплатили хоть что-нибудь или нет.

И такое встречается повсеместно. Не говоря уже о том, что бонус этот вам не выплатят сразу по завершении финансового года. Вы будете его еще ждать от 6 до 12 месяцев, работая уж на следующий бонус. И так год за годом.

Кстати, поинтересуйтесь на собеседовании – когда платят бонусы по итогам года? Какова текущая задержка бонусов по компании? И все в таком духе. :)

И еще раз: не рассчитывайте на бонус как средство заработка.

Всего вам доброго.

Читать другие главы