27.3.08

Впечатления от Russian CSO Summit

25-го закончился двухдневный первый в России Russian CSO Summit. Что могу сказать про это мероприятие? Оно мне понравилось. За последние годы первая конференция, которая сделала акцент не на продуктах, не на рекламных докладах, а на общении руководителей службы ИБ. Не все, конечно, получилось, как хотелось, но в целом очень пристойно. Респект организаторам. А теперь по пунктам:

1. Как обычно зажег Михаил Емельянников, известный своим критическим взглядом на российское законодательство. В этот раз он рассказывал про тонкости выполнения законов "О персональных данных" и "О коммерческой тайне". Эмоциально, профессионально, по делу... Очень интересно было (хотя для частых слушателей или читателей М.Емельянникова нового было немного).

2. Второй запомнившийся доклад - выступление Касперского. Ну что сказать?.. Эмоционально и живенько, но... То же я слышал и пять лет назад (меняется только фактография) - криминал, мафия, кибер-Интерпол. Запугивать таким образом можно журналистов, но не специалистов, собравшихся на мероприятии. У меня даже сложилось впечатление, что он последнее время только для журналистов и выступает. Неприятный осадок остался после некоторых высказываний Евгения, которые несоответствовали действительности. В частности он заявил что лаборатория Wabi Sabi Labi, торговавшая уязвимостями, давно закрыта, а ее организаторы посажены в тюрьму. А это "не есть факт", как говорилось в "Короне российской империи". Что характерно, на следующий день с утра выступал Эдди Виллемс из Лаборатории Касперского (Бенелюкс). Так вот он рассказывал почти тоже самое, с меньшей эмоциональностью и чуть большей детализаций.

3. Интересной оказалась секция про повышение осведомленности. Юрий Лысенко (РосЕвроБанк) и Денис Андреевский (Вымпелком) поделились своим опытом организации данного процесса. Особенно порадовало выступление Вымпелкома - они продвиулись дальше многих в данной направлении.

4. Очень понравилось выступление Антона Чувакина. Он высказал ряд прогнозов и развенчал несколько мифов в области ИБ. Один из них касался управления рисками. По его словам, некоторые специалисты сейчас сходятся во мнении, что риски и ИБ - вещи несовместимые на сегодняшний день. Несмотря на крамольность этой мысли я с ним согласен - я об этом говорил и писал уже не раз. Если мы не можем посчитать вероятность наступления риска и стоимость ущерба (а так оно и есть), то как можно считать риски непонятно.

5. Так получилось, что после высказывания Антона о профанации риск-менеджмента проводилась секция про него ;-) И там как раз говорили про вычисление рисков. Первым выступал гендиректор Диалог-Науки Виктор Сердюк. А он видимо выступление Антона не слышал ;-) Выступая как по написанному, Виктор оставил двойственное впечатление. Из его выступления родилась бы отличная кандидатская. Но вот как он на практике это все применяет, непонятно... Например, он по традиции наших страховых компаний воспринимает информацию, как материальный (!) актив. Упомянув про то, что риски можно оценивать количественно и качественно, рассказ шел только про последний вариант. Одним из применений управления рисками он назвал обоснование инвестиций. На мой вопрос, как качественная оценка рисков позволяет обосновать финансовые (т.е. количественные) показатели, он так и не смог ответить, сославшись, что все его заказчики не требовали количественной оценки рисков.

6. Последняя интересная дискуссия (на последней секции "Как не быть директору по ИБ уволенным?" я не присутсвовал - улетел в командировку) касалась разработки эффективной стратегии ИБ-безопасности. Но эта тема почти не поднималась - все участники сосредоточились на вопросе "Как оценить эффективность ИБ?". Правда к единому и понятному мнению так и не пришли - каждый с пеной у рта доказывал свою позицию (даже до конфликта чуть дело не дошло). Хотя на мой взгляд тут все просто (относительно, конечно). Есть три уровня измерения эффективности ИБ. Первый - измерение результативности ИБ для самой ИБ. Например, число машин с установленным антивирусом. Второй - измерение оптимальности достижения результата. Например, сколько времени и денег ушло на установку антивирусов. Первые два уровня ориентированы на оценку службы ИБ самой собой. А вот третий уровень - оценка эффективности в бизнес-показателях, наиболее интересна. Тут тоже есть свои методы, но это уже отдельный разговор.

В целом мероприятие получилось. Я давно не видел, чтобы на мероприятии было столько руководителей служб информационной безопасности. Да еще чтобы они выходили на трибуну и делились свои опытом. В кулуарах прозвучало интересное высказывание на тему выступающих: "Чем больше человек выступает и делает реплики с места, тем больше вероятность, что он ищет работу". К отдельным выступающим это было как никогда к месту. Хотя многие докладчики действительно "болели" за дело и делились своим опытом с коллегами. Так что первый блин оказался не комом.

12 коммент.:

arkanoid комментирует...

Я доволен свой работой и пока другую не ищу. То есть меня можно купить, конечно, но это дорого обойдется ;-)

Анонимный комментирует...

Ну вот, на самом понимаешь интересном он улетел в командировку )))
шансы почитать про бизнес-эффективность всей этой ИБ есть?

openID не пашет. потому полуанонимно )))

Ильмар

Анонимный комментирует...

Присоединяюсь к мнению Алексея, конференция удалась :) Касперскому я правда поставил 10 баллов :) но только за харизму, ибо все это где то уже было, зачем выступал Эдди Вильямс чесно говоря не понял :-?
а по поводу повышения осведомленности..обязательно побалуюсь с заставками, хорошее было выступление :)

Snip_

Алексей Лукацкий комментирует...

arkanoid: Я не про тебя. Кстати, ты слишком многого ждал от саммита. Он же на CSO рассчитан. А твои вопросы блоге явно на глубого технаря ориентированы ;-)

Ильмару: Есть. Я сейчас цикл статей ваяю на эту тему.

arkanoid комментирует...

Отнюдь. Меня удивило обилие "ликбеза" как раз не технического, а управленческого, в области тех вещей которые у любого CSO должны от зубов отскакивать. И уж за важность понимания бизнес-специфики тоже агитировать незачем, не админы же собрались..

Анонимный комментирует...

> качественная оценка рисков позволяет обосновать финансовые (т.е. количественные) показатели

Похоже этот докладчик слышал звон ... В отношении бюджетов: качественная оценка позволяет распределить ограниченный бюджет по составляющим информационной среды (по автоматизированным системам, например).

Анонимный комментирует...

Совершенно непонятно, как с помощью того, как долго админы ставили на парк машин антивирус относится к самооценке службы ИБ, вот хоть убейте. Я не вижу никакой связи. И даже в том, на скольких машинах он стоит.
Это скорее колличественные показатели работы программно-технических мер ИБ, но никак не деятельности службы как бизнес-единицы.
Сначала заинтриговали, надеялся прочитать Ваш взгляд на этот вопрос, и вот так разочаровался... Надеюсь, прочитаю об этом в будущем.
И про анализ рисков - тоже очень животрепещущая тема, как же их считать, по-моему, оба подхода имеют места быть, как количественный, так и качественный, в разном месте, в разное время, и для разных целей.

Алексей Лукацкий комментирует...

михаилу: Читайте внимательней ;-) Я написал про три уровня зрелости измерения эфеективности. Первый - просто достижение некоего результата, который к бизнесу никак не привязан. Смешно, но именно так многие и измеряют свою эффективность. Второй - оценка оптимальности достижения результата. Т.е. чтобы цель не любыми средствами. Но опять же это говорит о самооценке, не выходящей на уровень бизнеса. Ну и, наконец, третий уровень. Привязка к бизнес-показателям. Наиболее интересный тип оценки эффективности, который требует определенной зрелости у CISO и у самого бизнеса. Если подкованный CISO придет к своему начальству и начнет ему вещать про NPV, IRR, PbP, а тот ни в зуб ногой, то толку тоже не будет и все скатится опять до первых двух уровней.

Алексей Лукацкий комментирует...

arkanoid'у: Ты многого хочешь от только начинающего формироваться сословия CISO

Anton Chuvakin комментирует...

Спасибо за добрые слова; особенно за согласие с крамольной мыслью о "риски и ИБ - вещи несовместимые на сегодняшний день"...

Анонимный комментирует...

Кстати сегодня слушал Курбатова на IDCшной сходке. Он там вещал про то, кто такой C*SO. Так там речь в основном про риски и шла.

Алексей Лукацкий комментирует...

Ну для внутренней работы риски никуда не делись - на них и так многое строится. Ты же на качественном уровне и так определяешь, что опасно, а чем можно пренебречь. Это все правильно и нужно.

Я против того, чтобы эту концепцию использовать в количественном измерении и на основе неких расчетов обосновывать какие-то инвестиции и вообще какие-либо действия.