26.11.2014

Видео моего выступления на BIS Summit 2014

О! Наткнулся на видеозапись моего выступления с прошедшего в сентябре BIS Summit 2014, где я вещал про финансовое измерение ИБ.



Организаторам еще раз спасибо за отличное мероприятие и то, что дали возможность участникам (и тем, кто не смог) и по окончании знаменательного события вернуться к наиболее интересным докладам и запомнившимся выступлениям (они выложены на сайте конференции).

28 коммент.:

arkanoid комментирует...

Вообще говоря если руководство верит продажным балаболам типа Гартнера, которые буквально только года три назад наняли себе толковую команду настоящих аналитиков (а до того исключительно отрабатывали заказы "спонсоров") больше, чем собственному безопаснику, ловить уже нечего, кмк.

Алексей Лукацкий комментирует...

Если собственный безопасник ни черты не смыслит в бизнесе, который его наняли защищать, то лучше верить Гартнеру

Алексей Лукацкий комментирует...

К тому же ты путаешь Research Гартнера и их консалтинг. Это два РАЗНЫХ подразделения

arkanoid комментирует...

если ничерта не смыслит, то нужно не самому за него принимать волюнтаристские решения в технической области, в которой не разбираешься, а нанимать нормального.

Алексей Лукацкий комментирует...

А как нанять нормального? У тебя критерии нормальности есть?

arkanoid комментирует...

послушать, что про него говорят коллеги, о чем он пишет в блогах, в каких проектах участвовал.

Алексей Лукацкий комментирует...

CISO оценивать по тому, что он пишет в блогах? А если не пишет? А как бизнес оценит качество участия в проектах?

arkanoid комментирует...

по тому, что он пишет, оценивается общая вменяемость. эффективность оценивается по отзывам тех, кто с ним работал.

Алексей Лукацкий комментирует...

А кто с ним работал? Ты этих людей не знаешь. И не можешь оценивать адекватность их оценки.

arkanoid комментирует...

Мы все не в вакууме живем. Всегда найдутся общие знакомые, знакомые знакомых и т.д.

А вот социальная активность -- это важно. У человека должно быть какое-то видение актуальных задач, которое он обсуждает и транслирует -- поэтому или блог, или доклады на профильных конференциях (лично или его команды), или участие в технических комитетах и общественных организациях, вклад в проекты с открытым кодом, или, может, даже книгу написать -- но что-то должно быть. Если человек работает работу на работе и больше никак себя в коммьюнити не проявляет, скорее всего, это малополезный троечник, который спасует перед любой задачей, где понадобится принятие собственного решения.

arkanoid комментирует...

Мы все не в вакууме живем. Всегда найдутся общие знакомые, знакомые знакомых и т.д.

А вот социальная активность -- это важно. У человека должно быть какое-то видение актуальных задач, которое он обсуждает и транслирует -- поэтому или блог, или доклады на профильных конференциях (лично или его команды), или участие в технических комитетах и общественных организациях, вклад в проекты с открытым кодом, или, может, даже книгу написать -- но что-то должно быть. Если человек работает работу на работе и больше никак себя в коммьюнити не проявляет, скорее всего, это малополезный троечник, который спасует перед любой задачей, где понадобится принятие собственного решения.

Алексей Лукацкий комментирует...

Ааааа.... Ты гик и гиков оцениваешь как гиков :-) Мы говорим об оценке БИЗНЕСОМ, а он ни фига не понимает, где искать общих знакомых и у кого спрашивать. А уж про социальную ответственность бизнесу лучше не напоминать - он считает ведение блогов и сидение в соцсетях плохим тоном, мешающим работе.

Про вклад в проекты с открытым кодом вообще помолчу. Кроме Яндекса, Киви и Параллелса это мало кому нужно.

arkanoid комментирует...

А это фундаментально взаимосвязанные вещи. Если человеку его работа, в общем, неинтересна и занимается он ей только потому, что ну, платят и так сложилось, его эффективность будет принципиально ограничена сверху уровнем "троечника". Ему незачем становиться лучше, особенно в условиях дефицита кадров. Он лучше себе сертификатов наполучает.

arkanoid комментирует...

Да что далеко ходить, полон линкедин этих мудозвонов, excusez mon français

Алексей Лукацкий комментирует...

Ты опять все путаешь :-) Я тебя спросил - КАК бизнесу оценить адекватность безопасника? Ты все приводишь неформализуемые и не бизнес критерии. По ним ты бы принимал человека, но не более. Бизнес такими критериями не воспользуется - он не в теме

arkanoid комментирует...

Послушать, что про него говорят люди, которые с ним уже работали? Специфика все-таки есть в том, что вся важная конкретика и конкретные показатели -- под сугубым NDA, а снаружи только PR. Ну так этот PR должен быть. Это условие необходимое, но недостаточное. Если про человека никто-никто не знает,скорее всего он никто и есть. Может, конечно, быть, что он гениальный аутист, который все спланировал в своем убежище и передал через секретаря, но на практике вероятность этого стремится к нулю, да и создать такому человеку условия для работы не любая компания сможет.

Алексей Лукацкий комментирует...

Ну не может бизнес, мало понимающий в ИБ, опираться на досужие разговоры тех, кого он также не понимает. Нужны более формальные критерии.

arkanoid комментирует...

А нет их. Это же не академическая среда, где критерии простые -- и основаны все на той же публичности: публикации, индекс цитирования. И не продажи, которые меряются в ощутимых долларах. И не заготовка угля, которую можно измерить в тоннах. Придется верить на слово.

Алексей Лукацкий комментирует...

Ты явно в своем мире вертишься :-) Бизнес не будет оценивать БЕЗОПАСНИКА по индексу цитируемости

arkanoid комментирует...

И я про это. А объективных критериев-то нет. И в ближайшие годы не будет. Есть субъективные. "Говорит правильные вещи", "приятель мой Вася с ним работал и доволен". У бизнеса и для своих-то, бизнесовых менеджеров с критериями хреновато. Даже еще более хреновато, потому что кроме личных рекомендаций нет вообще ничего, а KPI в основном фикция для вешанья лапши на уши акционерам. И откровенный бездарь и вредитель отлично может абьюзать сложившуюся систему, гадя на каждом новом месте и увольняясь с бонусом.

Так что перед тем, как требовать что-то от безопасников, научились бы сначала своих коллег-менеджеров оценивать.

Алексей Лукацкий комментирует...

И в итоге мы пришли к тому, с чего начинали. Критериев выбора нормального нет и бизнесу может как повезти, так и нет с наймом безопасника

arkanoid комментирует...

Прямых нет. Но ты-то говоришь, что перечисленные мной косвенные критерии бизнесу неважны. А они очень даже важны, потому что лучше у него и нету ничего, скорее всего. Кроме личных рекомендаций. И если человека уже наняли, выбора доверять ему или нет не существует: или доверяй, или увольняй. А "не увольняй, но решения принимай за него сам в меру своего дилетантского разумения" это волюнтаризм и пиздец, такой опции быть не может.

Алексей Лукацкий комментирует...

Критерии важны. Но не бизнесу. Бизнес по этим критериям не сможет нанять безопасника

arkanoid комментирует...

А придется. Потому что лучших критериев у него все равно нет. Альтернатива -- волюнтаризм.

Алексей Лукацкий комментирует...

Критериев нет. Поэтому ситуация ровно такая, какая есть

arkanoid комментирует...

"Ровно такая, какая есть" == "Люди нанимают людей, в компетентности котрых не уверены, и в итоге принимают за них сами важные решения, будучи ЗАВЕДОМО некомпетентны в этих вопросах"?

Этому нет и не может быть оправдания.

Алексей Лукацкий комментирует...

Вот, например, нужен тебе цискарь на управление железками. Как ты его компетентность проверишь, если сам с циской не работал никогда?

arkanoid комментирует...

Спрошу у людей, которые с ним уже работали, могут ли они его рекомендовать. Накрайняк возьму на испытательный срок и выгоню, если не сдюжит. Но уж точно не полезу выбирать железо вместо него, начитавшись глянцевых проспектов.

Но судя по тому, что я слышу, нетехнический менеджмент принимает решение о внедрении каких-либо решений сплошь и рядом. По-моему, они идиоты, которые публично расписываются в собственной некомпетентности.