26.9.16

ИБ-игрища в стиле Agile

Agile... как много в этом слове... непонятного. И мало кто может четко сформулировать, что же это такое. Видимо это судьба любой новомодной темы или термина, которые сначала все используют в хвост и в гриву, даже не всегда понимая ее сути. Потом наступает прозрение и термин находит наконец-то свое место в череде других таких же. Еще год назад так было с SOC (кстати, скоро будет очередной SOC Forum), так произошло и с Agile.

У меня до сих пор висит черновик заметки про Agile в ИБ, но я все не доведу ее до ума. Поэтому и на последней конференции BIS Summit 2016, посвященной теме Agile, я старался дистанцироваться от ответов на эту тему. Фиг его знает, ляпнешь что-то, а оно совсем не так. Или, наоборот, так, а ты и не знал. Но есть тема, с которой я "играюсь" уже достаточно давно - геймификация в ИБ. Поэтому по просьбе организаторов BIS Summit я решил объединить эти два направления и родилась "бизнес-ИБ-игра для взрослых в стиле Agile". За основу я взял уже описанный мной инструмент "что если" (what if), применяемый для моделирования различных ситуаций и возможность подготовить сценарий их разруливания. Полтора года назад я уже проводил такое мероприятие в Питере в рамках очного семинара RISC.

В этот раз я немного поменял правила игры. Увеличилось число команд, сократилось число участников, изменилось время на подготовку ответа (1 минута), появилась возможность работать в команде. Все, как в Agile :-) Вопросы тоже поменял, частично оставив и несколько прежних, непотерявших актуальности. Ну а поскольку я завершал деловую часть BIS Summit, то разбавил вопросы и парочкой достаточно смешных и забавных. В итоге получилась вот такая презентация:



Было весело. Но это местами и подпортило первоначальный план. Мне хотелось, чтобы участники команд, посовещавшись, делились собственным опытом, который могли бы перенимать коллеги из других команд и сидящие в зале слушатели. Но не получилось. Agile сыграл злую шутку (да и я не предусмотрел это) - команды старались ответить первыми и поэтому у них почти не было времени на обсуждение и подготовку взвешенного ответа. Было смешно, но без обучающего эффекта. Хотя в конце последнего дня рабочей недели может серьезность и не пошла бы... Но как и положено в Agile, уроки извлечены и на следующей итерации я постараюсь такой ошибки не допускать.

Что же касается самого BIS Summit, то мероприятие традиционно мне понравилось. Достойная организация, достойный контент, множество знакомых и друзей, с которым не виделся очень давно. Особо впечатлила выставка преимущественно российских компаний по ИБ, которая насчитывала 35 (!) стендов. Это было реально круто! Особенно на фоне окончившейся днем ранее InfoSecurity Russia, которой в пору превращаться в "ИнфоБезопасность Россия" (иностранцев там осталось мало, что закономерно). Лично для меня так и осталось загадкой, что делало большинство компаний на InfoSecurity Russia. Ничего из того, что помогло бы провести 3 дня с пользой для бизнеса, на стендах многих игроков не было :-(

PS. Склоняюсь к мысли, что организовывать мероприятия по ИБ могут только те, кто в этой самой ИБ хоть что-то понимает. Или надо создавать программный комитет, который состоит из тех, кто понимает.