14.8.18

Впечатления от проведенных киберучений

Не успел написать впечатления от "Кода ИБ. ПРОФИ" в Сочи - уехал в отпуск. Но сейчас надо исправляться, тем более что есть чем поделиться. Я уже писал о том, что в рамках сочинской конференции я буду читать мастер-класс по Threat Intelligence (материалы по не я выкладывать не буду - презентация и двухчасовое видео доступно только для участников "Кода ИБ. Профи" и купивших доступ к контенту) и проводить киберучения. Вот о последних мы и поговорим.


Когда я затевал эту идею, я хотел продолжить мастер-класс, который я читал на московском "Коде ИБ. Профи". Объединив теорию и практику, должна была получиться хорошая пара. Но уже приступив к разработке сценария я понял, что так не получится. Все-таки киберучения для руководства компании строятся немного на других принципах. Во-первых, они посвящены конкретной организации и ориентированы именно на ее болевые точки, проблемы и участников. В Сочи у нас были представители разных организаций и поэтому пришлось выдумать некую среднестатистическую компанию, на которой и отрабатывать игру. Это привело к некой искусственности и неполной примерке сценария на себя. Все-таки одно дело дмать о том, как поступить в той или иной смоделированной ситуации у себя на предприятии, и совсем другое - в несуществующей, хотя и вполне реалистичной организации.

Во-вторых, киберучения для топ-менеджмента из московского мастер-класса проводятся для руководства компании - финансового, генерального, коммерческого, ИТ- директоров и других высокопоставленных сотрудников. И проверяется их способность реагировать на те или иные смоделированные ситуации. А в Сочи у нас учения проводились для CISO и ведущих специалистов, имеющих иной опыт и знания. Поэтому сценарий пришлось немного модернизировать и делать его более приемлемым для безопасника, чем для топов (весь сценарий показать тоже не могу - он доступен только для участников "Кода ИБ. Профи").

В-третьих, времени было меньше, чем для обычных киберучений. По моему опыту они должны занимать часа 3-4, а тут у нас было всего 2 часа. И, наконец, не было соблюдено ключевое требования проведения успешных киберучений - не было проведено планирование и не были определены цели учений и текущие сложности, которые должны быть отработаны на играх. Но как бы-то ни было, киберучения прошли вполне успешно - участники по отзывам были довольны.


Но вот что мне хотелось бы отметить, так это неготовность участников к общению с бизнесом. Вообще эта тема (бизнес и ИБ) красной нитью проходит через все "Коды ИБ. Профи" и мы постоянно ее поднимаем в разных мастер-классах. Но несмотря на это стоит отметить, что пока она еще не вышла за рамки теоретических рассуждений и дискуссий; мало кто ее пытается применить на практике. Так получилось и на киберучениях. Последним кейсом, который рассматривался, стала ситуация, когда CISO приглашен на совещание руководства компании и ему надо за 5 минут доложить о том, что происходило в рамках предыдущих 8 кейсов, что это означает, какие уроки извлечены и что надо, чтобы ситуация не повторилась. И вот тут команды (а их было пять) на мой взгляд спасовали. Они стали отвечать так, как будто перед ними сидят их коллеги-безопасники - привычный сленг, привычные объяснения. Но для топов они не работают, так как никак не связаны с бизнесом.

С другой стороны в этом и заключается суть киберучений - понять слабые места текущей стратегии ИБ, выстроенных или отсутствующих процессов, своих навыков и знаний. И понять их до того, как они проявятся в реальной ситуации. Поэтому ключевым уроком киберучений должно было стать именно это понимание и как мне кажется оно у участников появилось.

В целом опыт оказался удачным и за два часа на многопоточной конференции можно устроить вполне пристойные киберучения, которые позволят участникам отвлечься от докладов и спонсорских выступлений и получить интерактив, которого часто не хватает на наших ИБ-тусовках.