И вот закончился второй и последний день Russian CSO Summit II, который мне понравился даже больше чем первый. В чем ключевое достоинство мероприятия, - в его ориентированности на потребителя. Доклады делаются в массе своей заказчиками, что позволяет услышать о реальном положении дел без рекламы и маркетинга. День начался с рассказа Сергея Сажина (Вымпелком) о том, как у них на практике построен процесс Compliance Management. Учитывая масштаб компании "Вымпелком" и тема, и способ ее решения, были очень интересны.
СофтИнформ запомнился громогласным голосом (даже у меня такого нет - для тех, кто меня слышал ;-) Но на конкретные вопросы, связанные с законностью применения разработанных ими DLP-решений, докладчик ответить не смог. Ну и по ряду замечаний, высказанных им в ходе дальнейших выступлений, я понял, что их основная аудитория - службы безопасности (не информационной), которым все эти юридические заморочки "до лампочки". Удивило меня то, что представить СофтИнформа похоже впервые услышал (на практике он, как утверждает, вообще такого не видел), что служба ИБ может и не подчиняться СБ, а входить в состав ИТ или даже быть с ними на одном уровне. Он чуть ли не с пеной у рта доказывал, что это глупость несусветная.
Очень понравилось выступление Алексея Щербакова, ИТ-директора "ВостСибСтрой". Он прямо и без прекрас рассказал, как сам строил службу ИБ у себя в девелоперской компании, с какими проблемами столкнулся и как решал их. Самокритично и по делу. Уважаю таких людей ;-) Наверное он был один из немногих, кто готов был прямо говорить о своих неудачах.
Представитель Qualys просто порадовал своим выступлением. И по делу и с элементами юмора. А уж то, что нероссиянин очень неплохо говорил по русски, уже отлично. У иностранцев, "отвечающих" за Россию, это не часто встретишь.
Кен Яворски, рассказывал про аутсорсинг. Интересно, но... очень уж в его обоих докладах сквозило превосходство ;-( Такое впечатление, что он, пуп Земли и приехал учить "русских медведей", которые отстали в развитии технологии ИБ лет на 5-7 ;-(
Ну а завершал конференцию круглый стол, который вел я ;-) Посвящен был аутсорсингу. Точки зрения были высказаны разные, преимущественно, пессимистичные. И Владимир Наймарк из PwC, и Евгений Климов из "МеталлоИнвест", и Людмила Павленко из "МетИнвест" (Украина), и ваш покорный слуга, все высказывались либо жестко "нет" против аутсорсинга, либо приводили много моментов, мешающих активному продвижению аутсорсинга ИБ в России. Дмитрий Устюжанин (Вымпелком) приводил примеры применения аутсорсинга ИБ в России (в т.ч. и в своей компании), но это были точечные сценарии и их было все-таки немного. Александр Антоненков (КАМАЗ) высказал нестандартную идею - сначала получать услуги ИБ, а потом, если они были успешны и принесли пользу бизнесу, платить за них аутсорсеру. Особенно важно это в условиях кризиса, когда предприятия реального сектора экономики не имеют средств (именно сейчас) на оплату таких услуг, но в них нуждаются и готовы платить после выхода из кризиса. Неожиданная позиция... И вначале я думал, что никто из аутсорсеров по такой схеме у нас не работает. Ан нет. Есть такие. Александр назвал Элвис+, как пример такой компании. Делать такие шаги в наше непростое время... вызывает уважение. В целом же все сошлись на том, что аутсорсинг ИБ сегодня - это вопрос доверия и партнерства. Без доверия нет ничего.
И хотя Russian CSO Summit II собрал меньше людей, чем проходивший в тот же день IDC IT Security Roadshow, на нем была более камерная и душевная обстановка, более живое общение, больше вопросов... Второй раз участвую в данном мероприятии и мне во второй раз оно нравится, чего не всегда скажешь о других крупных мероприятиях по ИБ в России.
ЗЫ. Александр Антоненков (КАМАЗ) приглашал всех на сайт КАМАЗа по ИБ - http://itsec.kamaz.ru/
1. цитата "что служба ИБ может и не подчиняться СБ, а входить в состав ИТ или даже быть с ними на одном уровне. Он чуть ли не с пеной у рта доказывал, что это глупость несусветная."
ОтветитьУдалитьвот как раз к вопросу связи бизнеса и ИБ...
2. по поводу аутсорсинга при нашем уровне открытости компаний при котором даже руководство некоторых с трудом понимает стратегию собственных подчиненных направлений... действительно вызывает пессимистические настроения...
3. цитата "Александр Антоненков (КАМАЗ) высказал нестандартную идею - сначала получать услуги ИБ, а потом, если они были успешны и принесли пользу бизнесу, платить за них аутсорсеру."
Замечательная идея, я бы даже сказал ЗРЕЛАЯ. Такой подход позволяет наладить хорошие отношения между Заказчиком и Исполнителем. и Все бы ничего, но держаться такие отношения, как писал Алексей могут только на доверии, как наверное все хорошее в этом мире ... Потому как такие отношения носят большую коррупционную составляющую. При этом расширяется количество потенциальных заинтересованных инсайдеров и др. проблемы.
В любом виде отношений есть свои плюсы и минусы...
Вообще приятно смотреть на поставщиков любых услуг когда речь идет о гарантиях и об оплате по результатам... ))) Ну например как оплатить отпуск туристической фирме по результатам поездки )))
Спасибо, Алексей!
ОтветитьУдалитьС большим интересом ознакомился с отчётом по CSO Summit II. Вообще, в последнее время стал ощущать, что "подсел" на рассылки с Вашими статьями (заметками, комментариями) по теме ИБ. Есть, безусловно, спорные моменты в некоторых прозвучавших предложениях по организации работы и взаимодействия служб ИБ и других представительств бизнеса. Аутсорсинг, например, очень неоднозначно воспринимается. Тут важно правильно оценить соотношение риска от потери (и пр.) инф. активов с ценой за их защищённость. И определиться, за что с большей охотой готов платить :))
А в целом радует, что ИБ в России всё больше приобретает цивилизованный вид.
Хотелось бы, чтобы не только вид принимался, но и реально становилось лучше ;-)
ОтветитьУдалитьа реально произошло вот что - http://itsec.kamaz.ru/node/89
ОтветитьУдалитьА где текст письма?
ОтветитьУдалитьАлексей, для регистрации на сайте требуется совсем немного - указать адрес электронной почты и пароль для входа. Я сделаю вам доступ к письму.
ОтветитьУдалитьДействительно если это открытое письмо оно должно быть открыто. Поэтому я внес изменения в настройку доступа. Теперь читать могут все.
ОтветитьУдалитьКруто
ОтветитьУдалитьСайт прикрыли, перехожу на http://anik1966.livejournal.com/
ОтветитьУдалитьДа уж. Не любят у нас правду ;-(
ОтветитьУдалить