Pages - Menu

Страницы

26.11.14

Видео моего выступления на BIS Summit 2014

О! Наткнулся на видеозапись моего выступления с прошедшего в сентябре BIS Summit 2014, где я вещал про финансовое измерение ИБ.



Организаторам еще раз спасибо за отличное мероприятие и то, что дали возможность участникам (и тем, кто не смог) и по окончании знаменательного события вернуться к наиболее интересным докладам и запомнившимся выступлениям (они выложены на сайте конференции).

28 комментариев:

  1. Вообще говоря если руководство верит продажным балаболам типа Гартнера, которые буквально только года три назад наняли себе толковую команду настоящих аналитиков (а до того исключительно отрабатывали заказы "спонсоров") больше, чем собственному безопаснику, ловить уже нечего, кмк.

    ОтветитьУдалить
  2. Если собственный безопасник ни черты не смыслит в бизнесе, который его наняли защищать, то лучше верить Гартнеру

    ОтветитьУдалить
  3. К тому же ты путаешь Research Гартнера и их консалтинг. Это два РАЗНЫХ подразделения

    ОтветитьУдалить
  4. если ничерта не смыслит, то нужно не самому за него принимать волюнтаристские решения в технической области, в которой не разбираешься, а нанимать нормального.

    ОтветитьУдалить
  5. А как нанять нормального? У тебя критерии нормальности есть?

    ОтветитьУдалить
  6. послушать, что про него говорят коллеги, о чем он пишет в блогах, в каких проектах участвовал.

    ОтветитьУдалить
  7. CISO оценивать по тому, что он пишет в блогах? А если не пишет? А как бизнес оценит качество участия в проектах?

    ОтветитьУдалить
  8. по тому, что он пишет, оценивается общая вменяемость. эффективность оценивается по отзывам тех, кто с ним работал.

    ОтветитьУдалить
  9. А кто с ним работал? Ты этих людей не знаешь. И не можешь оценивать адекватность их оценки.

    ОтветитьУдалить
  10. Мы все не в вакууме живем. Всегда найдутся общие знакомые, знакомые знакомых и т.д.

    А вот социальная активность -- это важно. У человека должно быть какое-то видение актуальных задач, которое он обсуждает и транслирует -- поэтому или блог, или доклады на профильных конференциях (лично или его команды), или участие в технических комитетах и общественных организациях, вклад в проекты с открытым кодом, или, может, даже книгу написать -- но что-то должно быть. Если человек работает работу на работе и больше никак себя в коммьюнити не проявляет, скорее всего, это малополезный троечник, который спасует перед любой задачей, где понадобится принятие собственного решения.

    ОтветитьУдалить
  11. Мы все не в вакууме живем. Всегда найдутся общие знакомые, знакомые знакомых и т.д.

    А вот социальная активность -- это важно. У человека должно быть какое-то видение актуальных задач, которое он обсуждает и транслирует -- поэтому или блог, или доклады на профильных конференциях (лично или его команды), или участие в технических комитетах и общественных организациях, вклад в проекты с открытым кодом, или, может, даже книгу написать -- но что-то должно быть. Если человек работает работу на работе и больше никак себя в коммьюнити не проявляет, скорее всего, это малополезный троечник, который спасует перед любой задачей, где понадобится принятие собственного решения.

    ОтветитьУдалить
  12. Ааааа.... Ты гик и гиков оцениваешь как гиков :-) Мы говорим об оценке БИЗНЕСОМ, а он ни фига не понимает, где искать общих знакомых и у кого спрашивать. А уж про социальную ответственность бизнесу лучше не напоминать - он считает ведение блогов и сидение в соцсетях плохим тоном, мешающим работе.

    Про вклад в проекты с открытым кодом вообще помолчу. Кроме Яндекса, Киви и Параллелса это мало кому нужно.

    ОтветитьУдалить
  13. А это фундаментально взаимосвязанные вещи. Если человеку его работа, в общем, неинтересна и занимается он ей только потому, что ну, платят и так сложилось, его эффективность будет принципиально ограничена сверху уровнем "троечника". Ему незачем становиться лучше, особенно в условиях дефицита кадров. Он лучше себе сертификатов наполучает.

    ОтветитьУдалить
  14. Да что далеко ходить, полон линкедин этих мудозвонов, excusez mon français

    ОтветитьУдалить
  15. Ты опять все путаешь :-) Я тебя спросил - КАК бизнесу оценить адекватность безопасника? Ты все приводишь неформализуемые и не бизнес критерии. По ним ты бы принимал человека, но не более. Бизнес такими критериями не воспользуется - он не в теме

    ОтветитьУдалить
  16. Послушать, что про него говорят люди, которые с ним уже работали? Специфика все-таки есть в том, что вся важная конкретика и конкретные показатели -- под сугубым NDA, а снаружи только PR. Ну так этот PR должен быть. Это условие необходимое, но недостаточное. Если про человека никто-никто не знает,скорее всего он никто и есть. Может, конечно, быть, что он гениальный аутист, который все спланировал в своем убежище и передал через секретаря, но на практике вероятность этого стремится к нулю, да и создать такому человеку условия для работы не любая компания сможет.

    ОтветитьУдалить
  17. Ну не может бизнес, мало понимающий в ИБ, опираться на досужие разговоры тех, кого он также не понимает. Нужны более формальные критерии.

    ОтветитьУдалить
  18. А нет их. Это же не академическая среда, где критерии простые -- и основаны все на той же публичности: публикации, индекс цитирования. И не продажи, которые меряются в ощутимых долларах. И не заготовка угля, которую можно измерить в тоннах. Придется верить на слово.

    ОтветитьУдалить
  19. Ты явно в своем мире вертишься :-) Бизнес не будет оценивать БЕЗОПАСНИКА по индексу цитируемости

    ОтветитьУдалить
  20. И я про это. А объективных критериев-то нет. И в ближайшие годы не будет. Есть субъективные. "Говорит правильные вещи", "приятель мой Вася с ним работал и доволен". У бизнеса и для своих-то, бизнесовых менеджеров с критериями хреновато. Даже еще более хреновато, потому что кроме личных рекомендаций нет вообще ничего, а KPI в основном фикция для вешанья лапши на уши акционерам. И откровенный бездарь и вредитель отлично может абьюзать сложившуюся систему, гадя на каждом новом месте и увольняясь с бонусом.

    Так что перед тем, как требовать что-то от безопасников, научились бы сначала своих коллег-менеджеров оценивать.

    ОтветитьУдалить
  21. И в итоге мы пришли к тому, с чего начинали. Критериев выбора нормального нет и бизнесу может как повезти, так и нет с наймом безопасника

    ОтветитьУдалить
  22. Прямых нет. Но ты-то говоришь, что перечисленные мной косвенные критерии бизнесу неважны. А они очень даже важны, потому что лучше у него и нету ничего, скорее всего. Кроме личных рекомендаций. И если человека уже наняли, выбора доверять ему или нет не существует: или доверяй, или увольняй. А "не увольняй, но решения принимай за него сам в меру своего дилетантского разумения" это волюнтаризм и пиздец, такой опции быть не может.

    ОтветитьУдалить
  23. Критерии важны. Но не бизнесу. Бизнес по этим критериям не сможет нанять безопасника

    ОтветитьУдалить
  24. А придется. Потому что лучших критериев у него все равно нет. Альтернатива -- волюнтаризм.

    ОтветитьУдалить
  25. Критериев нет. Поэтому ситуация ровно такая, какая есть

    ОтветитьУдалить
  26. "Ровно такая, какая есть" == "Люди нанимают людей, в компетентности котрых не уверены, и в итоге принимают за них сами важные решения, будучи ЗАВЕДОМО некомпетентны в этих вопросах"?

    Этому нет и не может быть оправдания.

    ОтветитьУдалить
  27. Вот, например, нужен тебе цискарь на управление железками. Как ты его компетентность проверишь, если сам с циской не работал никогда?

    ОтветитьУдалить
  28. Спрошу у людей, которые с ним уже работали, могут ли они его рекомендовать. Накрайняк возьму на испытательный срок и выгоню, если не сдюжит. Но уж точно не полезу выбирать железо вместо него, начитавшись глянцевых проспектов.

    Но судя по тому, что я слышу, нетехнический менеджмент принимает решение о внедрении каких-либо решений сплошь и рядом. По-моему, они идиоты, которые публично расписываются в собственной некомпетентности.

    ОтветитьУдалить

Примечание. Отправлять комментарии могут только участники этого блога.