О! Наткнулся на видеозапись моего выступления с прошедшего в сентябре BIS Summit 2014, где я вещал про финансовое измерение ИБ.
Организаторам еще раз спасибо за отличное мероприятие и то, что дали возможность участникам (и тем, кто не смог) и по окончании знаменательного события вернуться к наиболее интересным докладам и запомнившимся выступлениям (они выложены на сайте конференции).
Вообще говоря если руководство верит продажным балаболам типа Гартнера, которые буквально только года три назад наняли себе толковую команду настоящих аналитиков (а до того исключительно отрабатывали заказы "спонсоров") больше, чем собственному безопаснику, ловить уже нечего, кмк.
Если собственный безопасник ни черты не смыслит в бизнесе, который его наняли защищать, то лучше верить Гартнеру
К тому же ты путаешь Research Гартнера и их консалтинг. Это два РАЗНЫХ подразделения
если ничерта не смыслит, то нужно не самому за него принимать волюнтаристские решения в технической области, в которой не разбираешься, а нанимать нормального.
А как нанять нормального? У тебя критерии нормальности есть?
послушать, что про него говорят коллеги, о чем он пишет в блогах, в каких проектах участвовал.
CISO оценивать по тому, что он пишет в блогах? А если не пишет? А как бизнес оценит качество участия в проектах?
по тому, что он пишет, оценивается общая вменяемость. эффективность оценивается по отзывам тех, кто с ним работал.
А кто с ним работал? Ты этих людей не знаешь. И не можешь оценивать адекватность их оценки.
Мы все не в вакууме живем. Всегда найдутся общие знакомые, знакомые знакомых и т.д.
А вот социальная активность — это важно. У человека должно быть какое-то видение актуальных задач, которое он обсуждает и транслирует — поэтому или блог, или доклады на профильных конференциях (лично или его команды), или участие в технических комитетах и общественных организациях, вклад в проекты с открытым кодом, или, может, даже книгу написать — но что-то должно быть. Если человек работает работу на работе и больше никак себя в коммьюнити не проявляет, скорее всего, это малополезный троечник, который спасует перед любой задачей, где понадобится принятие собственного решения.
Мы все не в вакууме живем. Всегда найдутся общие знакомые, знакомые знакомых и т.д.
А вот социальная активность — это важно. У человека должно быть какое-то видение актуальных задач, которое он обсуждает и транслирует — поэтому или блог, или доклады на профильных конференциях (лично или его команды), или участие в технических комитетах и общественных организациях, вклад в проекты с открытым кодом, или, может, даже книгу написать — но что-то должно быть. Если человек работает работу на работе и больше никак себя в коммьюнити не проявляет, скорее всего, это малополезный троечник, который спасует перед любой задачей, где понадобится принятие собственного решения.
Ааааа…. Ты гик и гиков оцениваешь как гиков 🙂 Мы говорим об оценке БИЗНЕСОМ, а он ни фига не понимает, где искать общих знакомых и у кого спрашивать. А уж про социальную ответственность бизнесу лучше не напоминать — он считает ведение блогов и сидение в соцсетях плохим тоном, мешающим работе.
Про вклад в проекты с открытым кодом вообще помолчу. Кроме Яндекса, Киви и Параллелса это мало кому нужно.
А это фундаментально взаимосвязанные вещи. Если человеку его работа, в общем, неинтересна и занимается он ей только потому, что ну, платят и так сложилось, его эффективность будет принципиально ограничена сверху уровнем "троечника". Ему незачем становиться лучше, особенно в условиях дефицита кадров. Он лучше себе сертификатов наполучает.
Да что далеко ходить, полон линкедин этих мудозвонов, excusez mon français
Ты опять все путаешь 🙂 Я тебя спросил — КАК бизнесу оценить адекватность безопасника? Ты все приводишь неформализуемые и не бизнес критерии. По ним ты бы принимал человека, но не более. Бизнес такими критериями не воспользуется — он не в теме
Послушать, что про него говорят люди, которые с ним уже работали? Специфика все-таки есть в том, что вся важная конкретика и конкретные показатели — под сугубым NDA, а снаружи только PR. Ну так этот PR должен быть. Это условие необходимое, но недостаточное. Если про человека никто-никто не знает,скорее всего он никто и есть. Может, конечно, быть, что он гениальный аутист, который все спланировал в своем убежище и передал через секретаря, но на практике вероятность этого стремится к нулю, да и создать такому человеку условия для работы не любая компания сможет.
Ну не может бизнес, мало понимающий в ИБ, опираться на досужие разговоры тех, кого он также не понимает. Нужны более формальные критерии.
А нет их. Это же не академическая среда, где критерии простые — и основаны все на той же публичности: публикации, индекс цитирования. И не продажи, которые меряются в ощутимых долларах. И не заготовка угля, которую можно измерить в тоннах. Придется верить на слово.
Ты явно в своем мире вертишься 🙂 Бизнес не будет оценивать БЕЗОПАСНИКА по индексу цитируемости
И я про это. А объективных критериев-то нет. И в ближайшие годы не будет. Есть субъективные. "Говорит правильные вещи", "приятель мой Вася с ним работал и доволен". У бизнеса и для своих-то, бизнесовых менеджеров с критериями хреновато. Даже еще более хреновато, потому что кроме личных рекомендаций нет вообще ничего, а KPI в основном фикция для вешанья лапши на уши акционерам. И откровенный бездарь и вредитель отлично может абьюзать сложившуюся систему, гадя на каждом новом месте и увольняясь с бонусом.
Так что перед тем, как требовать что-то от безопасников, научились бы сначала своих коллег-менеджеров оценивать.
И в итоге мы пришли к тому, с чего начинали. Критериев выбора нормального нет и бизнесу может как повезти, так и нет с наймом безопасника
Прямых нет. Но ты-то говоришь, что перечисленные мной косвенные критерии бизнесу неважны. А они очень даже важны, потому что лучше у него и нету ничего, скорее всего. Кроме личных рекомендаций. И если человека уже наняли, выбора доверять ему или нет не существует: или доверяй, или увольняй. А "не увольняй, но решения принимай за него сам в меру своего дилетантского разумения" это волюнтаризм и пиздец, такой опции быть не может.
Критерии важны. Но не бизнесу. Бизнес по этим критериям не сможет нанять безопасника
А придется. Потому что лучших критериев у него все равно нет. Альтернатива — волюнтаризм.
Критериев нет. Поэтому ситуация ровно такая, какая есть
"Ровно такая, какая есть" == "Люди нанимают людей, в компетентности котрых не уверены, и в итоге принимают за них сами важные решения, будучи ЗАВЕДОМО некомпетентны в этих вопросах"?
Этому нет и не может быть оправдания.
Вот, например, нужен тебе цискарь на управление железками. Как ты его компетентность проверишь, если сам с циской не работал никогда?
Спрошу у людей, которые с ним уже работали, могут ли они его рекомендовать. Накрайняк возьму на испытательный срок и выгоню, если не сдюжит. Но уж точно не полезу выбирать железо вместо него, начитавшись глянцевых проспектов.
Но судя по тому, что я слышу, нетехнический менеджмент принимает решение о внедрении каких-либо решений сплошь и рядом. По-моему, они идиоты, которые публично расписываются в собственной некомпетентности.