О! Наткнулся на видеозапись моего выступления с прошедшего в сентябре BIS Summit 2014, где я вещал про финансовое измерение ИБ.
Организаторам еще раз спасибо за отличное мероприятие и то, что дали возможность участникам (и тем, кто не смог) и по окончании знаменательного события вернуться к наиболее интересным докладам и запомнившимся выступлениям (они выложены на сайте конференции).
Организаторам еще раз спасибо за отличное мероприятие и то, что дали возможность участникам (и тем, кто не смог) и по окончании знаменательного события вернуться к наиболее интересным докладам и запомнившимся выступлениям (они выложены на сайте конференции).
Вообще говоря если руководство верит продажным балаболам типа Гартнера, которые буквально только года три назад наняли себе толковую команду настоящих аналитиков (а до того исключительно отрабатывали заказы "спонсоров") больше, чем собственному безопаснику, ловить уже нечего, кмк.
ОтветитьУдалитьЕсли собственный безопасник ни черты не смыслит в бизнесе, который его наняли защищать, то лучше верить Гартнеру
ОтветитьУдалитьК тому же ты путаешь Research Гартнера и их консалтинг. Это два РАЗНЫХ подразделения
ОтветитьУдалитьесли ничерта не смыслит, то нужно не самому за него принимать волюнтаристские решения в технической области, в которой не разбираешься, а нанимать нормального.
ОтветитьУдалитьА как нанять нормального? У тебя критерии нормальности есть?
ОтветитьУдалитьпослушать, что про него говорят коллеги, о чем он пишет в блогах, в каких проектах участвовал.
ОтветитьУдалитьCISO оценивать по тому, что он пишет в блогах? А если не пишет? А как бизнес оценит качество участия в проектах?
ОтветитьУдалитьпо тому, что он пишет, оценивается общая вменяемость. эффективность оценивается по отзывам тех, кто с ним работал.
ОтветитьУдалитьА кто с ним работал? Ты этих людей не знаешь. И не можешь оценивать адекватность их оценки.
ОтветитьУдалитьМы все не в вакууме живем. Всегда найдутся общие знакомые, знакомые знакомых и т.д.
ОтветитьУдалитьА вот социальная активность -- это важно. У человека должно быть какое-то видение актуальных задач, которое он обсуждает и транслирует -- поэтому или блог, или доклады на профильных конференциях (лично или его команды), или участие в технических комитетах и общественных организациях, вклад в проекты с открытым кодом, или, может, даже книгу написать -- но что-то должно быть. Если человек работает работу на работе и больше никак себя в коммьюнити не проявляет, скорее всего, это малополезный троечник, который спасует перед любой задачей, где понадобится принятие собственного решения.
Мы все не в вакууме живем. Всегда найдутся общие знакомые, знакомые знакомых и т.д.
ОтветитьУдалитьА вот социальная активность -- это важно. У человека должно быть какое-то видение актуальных задач, которое он обсуждает и транслирует -- поэтому или блог, или доклады на профильных конференциях (лично или его команды), или участие в технических комитетах и общественных организациях, вклад в проекты с открытым кодом, или, может, даже книгу написать -- но что-то должно быть. Если человек работает работу на работе и больше никак себя в коммьюнити не проявляет, скорее всего, это малополезный троечник, который спасует перед любой задачей, где понадобится принятие собственного решения.
Ааааа.... Ты гик и гиков оцениваешь как гиков :-) Мы говорим об оценке БИЗНЕСОМ, а он ни фига не понимает, где искать общих знакомых и у кого спрашивать. А уж про социальную ответственность бизнесу лучше не напоминать - он считает ведение блогов и сидение в соцсетях плохим тоном, мешающим работе.
ОтветитьУдалитьПро вклад в проекты с открытым кодом вообще помолчу. Кроме Яндекса, Киви и Параллелса это мало кому нужно.
А это фундаментально взаимосвязанные вещи. Если человеку его работа, в общем, неинтересна и занимается он ей только потому, что ну, платят и так сложилось, его эффективность будет принципиально ограничена сверху уровнем "троечника". Ему незачем становиться лучше, особенно в условиях дефицита кадров. Он лучше себе сертификатов наполучает.
ОтветитьУдалитьДа что далеко ходить, полон линкедин этих мудозвонов, excusez mon français
ОтветитьУдалитьТы опять все путаешь :-) Я тебя спросил - КАК бизнесу оценить адекватность безопасника? Ты все приводишь неформализуемые и не бизнес критерии. По ним ты бы принимал человека, но не более. Бизнес такими критериями не воспользуется - он не в теме
ОтветитьУдалитьПослушать, что про него говорят люди, которые с ним уже работали? Специфика все-таки есть в том, что вся важная конкретика и конкретные показатели -- под сугубым NDA, а снаружи только PR. Ну так этот PR должен быть. Это условие необходимое, но недостаточное. Если про человека никто-никто не знает,скорее всего он никто и есть. Может, конечно, быть, что он гениальный аутист, который все спланировал в своем убежище и передал через секретаря, но на практике вероятность этого стремится к нулю, да и создать такому человеку условия для работы не любая компания сможет.
ОтветитьУдалитьНу не может бизнес, мало понимающий в ИБ, опираться на досужие разговоры тех, кого он также не понимает. Нужны более формальные критерии.
ОтветитьУдалитьА нет их. Это же не академическая среда, где критерии простые -- и основаны все на той же публичности: публикации, индекс цитирования. И не продажи, которые меряются в ощутимых долларах. И не заготовка угля, которую можно измерить в тоннах. Придется верить на слово.
ОтветитьУдалитьТы явно в своем мире вертишься :-) Бизнес не будет оценивать БЕЗОПАСНИКА по индексу цитируемости
ОтветитьУдалитьИ я про это. А объективных критериев-то нет. И в ближайшие годы не будет. Есть субъективные. "Говорит правильные вещи", "приятель мой Вася с ним работал и доволен". У бизнеса и для своих-то, бизнесовых менеджеров с критериями хреновато. Даже еще более хреновато, потому что кроме личных рекомендаций нет вообще ничего, а KPI в основном фикция для вешанья лапши на уши акционерам. И откровенный бездарь и вредитель отлично может абьюзать сложившуюся систему, гадя на каждом новом месте и увольняясь с бонусом.
ОтветитьУдалитьТак что перед тем, как требовать что-то от безопасников, научились бы сначала своих коллег-менеджеров оценивать.
И в итоге мы пришли к тому, с чего начинали. Критериев выбора нормального нет и бизнесу может как повезти, так и нет с наймом безопасника
ОтветитьУдалитьПрямых нет. Но ты-то говоришь, что перечисленные мной косвенные критерии бизнесу неважны. А они очень даже важны, потому что лучше у него и нету ничего, скорее всего. Кроме личных рекомендаций. И если человека уже наняли, выбора доверять ему или нет не существует: или доверяй, или увольняй. А "не увольняй, но решения принимай за него сам в меру своего дилетантского разумения" это волюнтаризм и пиздец, такой опции быть не может.
ОтветитьУдалитьКритерии важны. Но не бизнесу. Бизнес по этим критериям не сможет нанять безопасника
ОтветитьУдалитьА придется. Потому что лучших критериев у него все равно нет. Альтернатива -- волюнтаризм.
ОтветитьУдалитьКритериев нет. Поэтому ситуация ровно такая, какая есть
ОтветитьУдалить"Ровно такая, какая есть" == "Люди нанимают людей, в компетентности котрых не уверены, и в итоге принимают за них сами важные решения, будучи ЗАВЕДОМО некомпетентны в этих вопросах"?
ОтветитьУдалитьЭтому нет и не может быть оправдания.
Вот, например, нужен тебе цискарь на управление железками. Как ты его компетентность проверишь, если сам с циской не работал никогда?
ОтветитьУдалитьСпрошу у людей, которые с ним уже работали, могут ли они его рекомендовать. Накрайняк возьму на испытательный срок и выгоню, если не сдюжит. Но уж точно не полезу выбирать железо вместо него, начитавшись глянцевых проспектов.
ОтветитьУдалитьНо судя по тому, что я слышу, нетехнический менеджмент принимает решение о внедрении каких-либо решений сплошь и рядом. По-моему, они идиоты, которые публично расписываются в собственной некомпетентности.