Бизнес безопасности или безопасность бизнеса? О том и о другом в одном непросветительском блоге от еще неиностранного агента... Имеющий мозг да применит его (6+)
Pages - Menu
Страницы
27.12.07
Первый в СНГ банк, получивший сертификат соответствия ISO 27001
Детали: http://www.aub.kg/ru/news/?news=1034
25.12.07
Первый в России CSO Summit
Организаторы национально известного Russian CIO Summit – маркетинговое агентство "Форт-Росс" - представляют Первый Съезд Директоров по Информационной Безопасности. CSO Summit – мероприятие, ориентированное на руководителей подразделений по информационной безопасности компаний крупного и среднего бизнеса. Мероприятие, которое призвано помочь разобраться в решениях, представленных на рынке и выбрать стратегию по формированию и поддержанию Информационной Безопасности в компании.
Ключевые тематики:
- Тенденции развития информационной безопасности в мире
- Лучшие примеры внедрения информационной безопасности в российских компаниях
- Мобильная безопасность – пути достижения и основные угрозы
- Международный опыт в решении вопроса безопасности
- Инновации в сфере информационной безопасности
Одна из особенностей мероприятия в том, что выступать на ней будут преимущественно руководители подразделений по ИБ. Т.е. рекламных докладов будет минимум, что не может не радовать.
Адрес сайта саммита: www.cso-summit.ru
23.12.07
Какого СМИ по ИБ нам не хватает?
Вот список тем, которые были бы мне интересны:
- разработка политик, стандартов, инструкций, процедур, планов по безопасности и их интеграция в планы BCP, DR и другие
- security compliance и его связь с различными высокоуровневыми требованиями (корпоративное поведение, внутренний контроль, ИТ и т.д.)
- security governance (именно governance, а не management)
- управление рисками
- архитектура информационной безопасности
- разработка целей ИБ, направлений и стратегии развития
- бюджетирование ИБ
- внутренний маркетинг ИБ
- измерение эффективности ИБ, метрики ИБ
Думаю, что такие темы были бы интересны не только мне, но и любому специалисту по безопасности, который "вырос" за пределы только технологического понимания тематики ИБ.
Новый журнал "Риск-менеджмент"
Сайт издания - www.riskm.ru
Безопасность в России и в мире: очередная разница
- нарушением конфиденциальности, есть у 53% компаний
- нарушением безопасности информации, есть у 42% компаний
- сбоем компьютерных сетей, есть у 35% компаний
- и т.д.
У западных предпринимателей эти показатели существенно выше.
Что заставляет компании создавать план восстановления работоспособности?
20.12.07
Безопасность с человеческим лицом
Даже первые отзывы уже пошли. Негативные ;-) Например, "То уродство, что Ваша компания продает за немалые деньги, для профи Ставит жирный крест, на Ваших разглагольствованиях о "конечном пользователе" и его удобствах" (пунктуация автора сохранена).
ЗЫ. Интересно, что меня многие по-прежнему олицетворяют с компанией, в которой я работаю. Но это не так. Я - это я. Неся благую весть про безопасность, я не всегда делаю это от имени своего работодателя. А значит и не надо все мои статьи считать рекламой b пропагандой Cisco ;-)
ЗЗЫ. Гендиректор на одном из предыдущих мест работ даже запретил мне публиковаться под своим именем. Он посчитал, что я известен более, чем сама компания. А поэтому все статьи всех сотрудников должны публиковаться под маркой "По материалам <имя работодателя>".
ЗЗЗЫ. Опубликовав статью "Западный или российский производитель ИБ: кого выбрать?" я по привычке подписал ее своей должностью. Через пару часов гендиректор одного из российских разработчиков написал к нам в компанию письмо. Мол, это что, официальная позиция Cisco?!
15.12.07
О понимании истинной роли безопасности в бизнесе
Но... вакуум в этой области как был, так и остается. Производители и разработчики просто не понимают эту тему ;-( Уж так случилось. Интеграторы занимаются интеграцией продуктов. Консультанты предлагают технический консалтинг по ИБ. Бизнес-консалтинг в области ИБ не предлагает практически никто. Справедливости ради надо заметить, что и в ИТ бизнес-консалтинг пока предлагают немногие.
Учебные центры не учат этой теме, ограничиваясь темой compliance и интеграцией ИБ и ИТ в рамках COBIT и других стандартов. Пресса тоже не готова воспринимать это направление - все статьи, что заказывают сегодня, мусолят одни и те же темы - антивирусы, МСЭ, IPS, управление, стандарты... Итак по кругу.
Все игроки рынка жалуются, что заказчик не готов тратить много денег на безопасность. При этом они сами не в состоянии предложить потребителю решение его проблем. Недавно я прочитал статью, написанную сотрудником одной именитой компании, который озаглавил ее примерно так "Мы сами знаем, что нужно клиенту"... Такое "знание" обычно завершается на поставке большой партии железа и софта и подведение под имеющийся бюджет некоего обоснования ;-(
Я прекрасно понимаю, что это нормальный эволюционный процесс, но хотелось бы уж поскорее придти к правильному пониманию роли ИБ в бизнесе. Надеюсь, что грядущий 2008-ой год поспособствует этому ;-)
Новый ресурс по ИБ. Нужен ли?
И действительно. Ресурсов казалось бы много, в т.ч. и по системам управления ИБ, стандартам ISO 2700x, но действительно полезного Интернет-инструмента в Рунете так и нет. На Западе есть sans.org, securityfocus.com, csoonline.com. А потребность в таком сайте велика. Даже не в одном. Нужен ресурс для CISO, нужен для ведущих специалистов (не администраторов).
Я знаю о трех попытках создания таких ресурсов. Ни одна пока не увенчалась успехом. В одном случае идея заглохла еще на стадии обсуждения. Во втором - сайт ограничился форумом и рекламой курсов и семинаров по ИБ. Только третья попытка пока не стала достоянием гласности, но работы по ней ведутся. Посмотрим, что получится. Но есть подозрение, что и она не сможет удовлетворить все потребности. А жаль ;-(
12.12.07
Новые поглощения на рынке ИБ
Второе поглощение более интересно - компания IBM купила компанию Arsenal Digital Solution, которая работала в сегменте защиты, резервирования и восстановления данных на ПК и серверах (http://www-03.ibm.com/press/us/en/pressrelease/22778.wss). В ноябре IBM уже заявляла, что в 2008 году она потратит 1,5 миллиарда (!) на безопасность и вот первое подтверждение ее слов. Однако не все аналитики позитивно смотрят на вступление IBM на рынок безопасности. Например, эксперты Gartner считают, что умелая работа в сегменте ИТ-инфраструктуры еще не означает, что IBM примут с распростертыми объятиями на рынке ИБ (http://www.networkworld.com/news/2007/120607-ibm-network-security.html). Но и сбрасывать со счетов "голубого гиганта" не стоит. Достаточно вспомнить экспансию Microsoft на этот рынок. Аггресивная маркетинговая политика и наличие больших финансовых возможностей может существенно изменить ситуацию на рынке безопасности и подвинуть других игроков.
10.12.07
Бизнес без опасности
- Как связать безопасность с бизнес-стратегией предприятия? Как оценить безопасность в понятных бизнесу метриках?
- Архитектура ИБ и ее место в архитектуре предприятия и ИТ-архитектуре
- Обеспечение информационной безопасности в контексте стандартов ITIL и CoBIT
- Как решения Cisco по информационной безопасности реализуют требования стандартов PCI DSS и ISO 17799.
Все презентации выложены по адресу: http://www.cisco-events.ru/SecurityDay30Nov2007/download.html
ЗЫ. Первая презентация является сильно укороченной версией "тайландского" курса.
Как организовать выездное мероприятие по безопасности?
Как человеку, часто участвующему во всяких выездных мероприятиях, у меня сложилось несколько наблюдений, которые могут быть полезны тем, кто только планирует вывозить специалистов по безопасности заграницу или хочет улучшить уже существующую практику.
Итак, 3 составляющих хорошей поездки:
- Деловая программа
- Культурная программа
- Организация.
Разумеется, все эти ингредиенты должны начинаться с прилагательного "хорошая". Если мы хотим организовать отличную поездку, о которой потом будут слагать легенды, то вместо "хороший" используем "отличный" ;-) И конечно же нельзя забывать о том, что все эти составляющие должны быть подобраны в идеальной пропорции. Перекос в одну их сторон скажется на всем мероприятии.
Например, отличная деловая программа при полном отсутствии организации приведет к тому, что многие попросту пропустят интересные доклады. А отсутствие и культурной программы при этом заставит людей искать интересные туры самостоятельно. И опять в ущерб деловой программе. Другой пример. Организация на высоте, но деловая программа ограничивается голой рекламой каких-то продуктов. Результат тоже будет негативным. Люди скажут спасибо за то, что их вывезли, но эффекта с точки зрения поставленных целей не будет. А конце концов ваша задача сделать так, что поездка запомнилась на долго и участники вспоминали ее, хотели ее повторить и рекомендовали вас своим друзьям и коллегам. Если же поездка вызывает негативные или абсолютно нейтральные ассоциации, то это скажется и на отношении к самим организаторам, которое улучшить будет непросто (а ресурсов это потребует гораздо больше, чем вы сэкономили).
Насчет места проведения. Не стоит такие мероприятия проводить на пляжах. Тем самым вы выбиваете почву у себя из под ног. Многие участники будут проводить время на пляже, а не в конференц-зале. Или самостоятельно ездить по экскурсиям, если вы не предоставили им такой возможности. Кстати, если вы отдаете культурную программу (совместное распитие водки в баре отеля я за культурную программу не считаю) на откуп самим участникам, то будьте готовы к тому, что вас они не запомнят, т.к. у них будет отсутствовать ассоциативная связь между именем вашей компании и хорошим отдыхом. Вы для них станете обычным туроператором. Хотя нет. Обычный туроператор для них будет даже больше знаком, т.к. именно он позаботится об отдыхе ваших людей.
Не советую проводить мероприятия в заезженных местах типа Турции и Египта. Они уже порядком всем надоели и заманить туда кого-нибудь будет сложно. Даже потрясающая культурная и деловая программа не изменит сложившегося у многих мнения об этих местах массового отдыха соотечественников.
Но самое главное, в любой такой поездке - это цель. Отсутствие цели или неправильное целеполагание сводит на нет все усилия. Допустим, мы хотим просто повысить лояльность клиентов и для этого вывозим их за пределы нашей необъятной Родины. Цель ли это? Повышение лояльности? Безусловно. Формирование вокруг организаторов сообщества профессионалов тоже цель. Последующий рост продаж тоже цель. Все, что мы делаем в рамках конференции должно следовать этой цели. Анархии и хаоса быть не должно.
Организация таких поездок - это то, что необходимо отдавать на аутсорсинг. Даже если у вас в отделе маркетинга есть молодая девочка, на которую взваливается весь груз по ведению вашего мероприятия, то все равно помните, что специализированное агентство сделает все гораздо лучше и профессиональнее. Экономить тут не следует. К сожалению мне не раз приходилось видеть, когда попытка "снизить косты" (reduce costs) и сделать все своими силами оборачивалась нулевым эффектом. Почему? Потому что, сотрудник, взваливший на плечи груз организации выездного мероприятия, тоже человек. Он хочет гулять со всеми, спать со всеми, ездить на экскурсии со всеми и пить тоже со всеми. А он вынужден следить за нетрезвыми участниками группы, вовремя их будить, разбираться с отсутствием проектора в конференц-зале, позаботиться о том, чтобы у каждого была и программа мероприятия, и карта того места, куда все приехали, и взять на себя общение с шеф-поваром ресторана, и даже распечатать бейджик с названием и адресом отеля (на всякий случай ;-). Специализированное агентство сделает это гораздо лучше, сделав вашу поездку многократно приятнее.
Но специализированное, не значит туристическое. Организация пляжных туров и деловых поездок - это небо и земля. В конце концов вы вывозите не непознавших мир жителей глубинки, которые до сих пор максимум где отдыхали, это в Сочи или в Крыму. Вы вывозите людей, облеченных влиянием в своей компании, не раз бывавших за границей и живших в пятизвездочных отелях. Они ценят комфорт во всех проявлениях. Пример из жизни. Вот ездил я с таким вот туроператором заграницу. Поселил он нас в прибрежном отеле 3*, который ориентирован на то, что люди все время проводят не в номере, а на пляже. Так вот в номере была всего одна электрическая розетка и та, в ванне (видимо для бритвы). Ни Wi-Fi, ни ADSL/Ethernet в отеле не было в принципе. Зато телефонная розетка, через которую я подключался к Интернет по модему (такой архаикой я давно не пользовался), была только в комнате. Вот так и бегал из ванны в комнату и обратно. В ванне заряжал лэптоп, а в комнате работал по модему. Классические туроператоры рассчитаны на ПОТОК. Более того. Они справедливо полагают, что большинство людей в одно и тоже место ездят отдыхать не так часто. Поэтому вы можете высказывать свои претензии, но проверить их выполнение сможете врядли. А значит можно не напрягаться ;-( Из тех агентств, которые мне понравились, могу назвать только одно - ATH (http://www.ath.ru/).
А теперь несколько примеров того, как надо и не надо проводить мероприятия для специалистов по информационной безопасности.
Место: Сан-Сити, ЮАР. Однодневая деловая программа включает рассказы о тенденциях в мире ИБ, подходах в борьбе с ключевыми угрозами, рекламное выступление спонсора (но включающее не только описание продуктов, но и некоторую аналитику) и выступление заказчика. Потом круглый стол для обмена мнениями. Идеальное сочетание, позволяющее послушать, позадавать вопросы и поговорить.
Культурная программа включает поездку всей группы на крокодилью ферму, сафари, африканскую деревню, а также на мыс Доброй Надежды около Кейптауна. Интересно и незаезженно. Никто не отказался, никто не потерялся. А в результате большая сплоченность группы и возможность обсудить многие вопросы между собой, поделиться опытом и т.д. Организаторы всегда с вами. Вечера тоже вместе. Они знают вас, вы лучше познаете их. Из box mover'ов они превращаются в trusted advisor'ов.
Организация со стороны ATH тоже на высоте. Координаты для экстренной связи, описание места для мероприятия в раздатке (с указанием всех близлежащих достопримечательностей), консультации по возможным дополнительным экскурсиям, помощь в их заказе, рассказ о скользких моментах, опасностях и т.д. К слову сказать, менеджер ATH всегда с вами - днем и ночью. Он выделен для сопровождения именно вашей группы. Никаких "я буду отвечать на все вопросы в холле отеля каждый день с 17.00 до 18.30". Интернет в отеле представлен Wi-Fi'ем в каждом номере.
Общая оценка: 5+
Место: Канарские острова. Деловая программа рассчитана на 3 дня и включает много очень интересной и полезной информации, как с точки зрения продуктов, так и с точки зрения тенденций, аналитики и т.д. Идеального сочетания не получается, т.к. программа избыточна на мой взгляд. Слишком много информации - голова пухнет.
Культурная программа хоть и предусмотрена, но она не отличается оригинальностью - поездка в парк кактусов и обзорная экскурсия по острову. Учитывая отсутствия какой-либо истории и архитектуры на Канарах, культурная программа подкачала и ее отсутствие многие компенсировали в баре. К слову сказать, до пляжа идти было минут 15-20, что немного подпортило впечатление. Опять же если человек выбирается на пляж, то его уже не стоит ожидать на семинаре, т.к. это вам не 2 минуты добежать от моря до номера. Тут надо потратить полчаса, на что многие неготовы.
Организация своими силами, что с одной стороны и неплохо (знание отрасли, знание аудитории и т.д.), а с другой - незнание многих специфических особенностей этого места приводило к достаточно комичным, а иногда и просто стремным ситуациям. Интернет в отеле ограничивается 3-мя компьютерами в "бизнес-центре" (при полном отсутствии русской раскладки и клавиатуры). Свой компьютер подключить нельзя. Горничные по английски не понимают и приходится общаться только через reception! Для крупного заграничного отеля просто нонсенс.
Общая оценка: 4
Место: Турция. 3-хдневная деловая программа разбита на 2 параллельных потока и включает как продуктовые доклады, так и различную аналитику. Из неудачных моментов - параллелизм, который заставляет вас делать выбор между двумя интересными докладами, выступление иностранных спикеров (найти хорошего переводчика "в теме" и в Москве проблема, а уж заграницей и подавно). Из положительного - круглые столы (но было их многовато и на каждый выделялось не больше 40-60 минут, что недостаточно для эффективного обмена мнениями).
Культурная программа отсутствует как класс - каждый ищет приключения на свой вкус. Кто-то поехал на массаж, кто-то в общественные турецкие бани, но большинство склонялось по пляжу или сидело в баре.
Организация на троечку. Попытка сэкономить и провести все своими силами привела к тому, что отель не был заранее проверен. И хотя он был заявлен как 5* (All Inclusive), он не дотягивал и 4-х. Прокуренные номера, наличие в номерах неэлектронных сейфов, ключи для которых надо получать и сдавать (!) на reception и т.д. Интернет в отеле ограничивается 2-мя компьютерами в "бизнес-центре". Свой компьютер подключить нельзя.
Общая оценка: 3
Вот примерно такие впечатления/рекомендации получились. Не могу сказать, что я написал все, что хотел. Просто нахожусь под "ярким" впечатлением нескольких поездок, произошедших за последний месяц.
ЗЫ. В киевском Radisson SAS, откуда я вернулся на днях, учитывая канун новогодних праздников, каждый день на входе раздавали мандарины и миндаль, поили глинтвейном, а 6-го числа (день св.Николая) на ручку двери повесили рождественский носок с подарками ;-) Моя лояльность к этому отелю возросла многократно.
Чем протирают очки в Cisco?
О безопасности бизнеса среди тайских красот - 2
С другой стороны, мне удалось "добить" вторую версию этого курса ;-) Теперь готовлю третью версию - многое еще что можно сказать по теме связи безопасности и бизнеса.
ЗЫ. Самому мне тоже удалось выкроить последний день на экскурсии - фото тут - http://imgsrc.ru/akul/a183883.html
ЗЗЫ. Оказалось, что в отеле, где мы жили в Паттайе, не было Интернета ;-( Пришлось звонить на модемный пул в Чонбури (соседний с Паттаей город), а затем подключаться к VPN-шлюзу в Бангалоре. И все это на 28К. Давно с такими скоростями не работал ;-) Но ничего, все прошло "на ура".