В прошедшие выходные, на конференции РусКрипто выступал на тему «Архитектура информационной безопасности».
Примечательно, хотя и грустно, что идея «безопасность для бизнеса, а не безопасность для безопасности» для многих была в новинку ;-(
Во второй день я вел секцию «Как ИБ-компании обманывают своих клиентов». Доклады получились интересными. Начал рассказ Алексей «Arkanoid» Смирнов (независимый эксперт) с рассказом о том, как вендоры пытаются заработать на вымышленных и преувеличенных угрозах. Вторым выступал Михаил Хромов (Лукойл-Информ) с рассказом о том, как консультанты по безопасности ведут свой бизнес. Учитывая многолетний опыт Михаила в общении с российскими и западными консультантами, рассказ получился очень интересный и острый. Жаль, что на секции присутствовало очень мало интеграторов, которые активно рекламируют свои услуги по ИБ. Им было бы полезно узнать и учесть советы заказчика в своей работе. Завершал секцию я, продолжив рассказ Алексея о маркетинговых уловках, злом умысле и просто ошибках, которые допускают вендоры продавая свои продукты и услуги по информационной безопасности.
Да, Мишу я бы с удовольствием послушал, может даже добавил что-нибудь — свечку довелось подержать:)
Алексей, вы затрагиваете больные темы для наших вендоров. Обидятся они на вас! 🙂 отличные презентации!
Спасибо за презентации, особенно за вторую…
Первая интересная но для тех кто осознал что строить ИБ нужно…
Ситуация на мой взгляд такова, что при отсутствии понимания или достаточных знаний, опыта в стратегическом менеджменте руководство растущих компаний с трудом «на интуиции» продвигают стратегию и архитектуру своего основного привычного бизнеса. При этом не учитывают в стратегии вопросы не только ИБ но и другие, которые считаются второстепенными (а надо бы).
И даже при наличии неких общепризнанных методик построения архитектуры ИБ руководство не считает сколько нибуть важным участие ИБ (Ну антивирусы, фаерволлы и все — спасибо пиару это области «НЕ НУЖДАЮЩИЕСЯ в доказательстве» при выделении на них денег).
Это я все к тому, что у нас в стране необходимо сначала показать выгодность для бизнеса в целом применение грамотных ИБ. (о чем Алексей пытается толковать столько времени…)
Для Quiet Zone.
Все его киллерство свелось к нескольким стилизованным под афоризм формулировкам, остальное вода-водой.
Quiet Zone и Ригелю: Я Мишу тоже с удовольствием послушал. Даже несколько тем для мифов родилось (с соблюдением авторства идеи) 😉 Все в точку и интересные подмеченные факты. Я лет 6-7 назад писал уже критическую статьи про консалтинг у нас, но тогда смотрел на это со стороны сотрудника компании, выполняющей консалтинг. А тут интересно было послушать с точки зрения именно заказчика.
Александру Дорофееву: А говорят, там в ночь перед моим выступлением мне косточки основательно перемывали. Да и до этого я не раз слышал, что я рушу российский рынок ИБ 😉
swan’у: Ну растущим компаниям ИБ в виде архитектуры и стратегии не особо и нужна — там организация не готова еще к этому. Архитектура — это удел немногих ;-(
к сожалению…
Алексей, я вообще, поработав в консалтерами, пришел к несколько радикальному выводу, что консалтинг вообще не нужен. По крайней мере в том виде, в котором он существует сейчас. Я говорю даже не о качестве продукта, а о принципах взаимодействия клиента и консалтера. То, что предлагал (на моей памяти) консалтинг, совершенно невозможно использовать без основательной доработки напильником, а то и полной переработки. Причем от репутации и размеров консалтера почти не зависит — результат, как правило, один. Конечно, много от клиента зависит — кого-то и устроит… Но чем выше уровень зрелости, тем выше требования к качеству консалтинга, и мне кажется — при допущении, что зрелости организаций образуют непрерывный спектр — что где-то существует некая критическая точка, за которой следует полный отказ от консалтинга. Все это конечно субъективно, на базе собственного опыта:)
Ну почему к сожалению? Я вот не требую от сына (ему 5) знания этикета 😉 А вот будет постарше и от хороших манер ему не отвертеться 😉
> ИБ-консалтинг вообще не нужен
Нельзя судить ИБ-консалтинг по тому, что сегодня предлагается на российском рынке, т.к. это не ИБ-консалтинг, а ИБ-консалтинг для тех, кто может пятиалтынный результат за рубль покупать (а это именно обладатели третьего или даже четвертого уровня зрелости попускают — уже не низших, но и не высшего).
Так что даже если полезность ты оцениваешь не по себе, некорректная индукция уже все равно нарисовалась.
Кстати, это ведь та самая склонность консалтеров к копипейсту лучших образцов обеспечивает негодность их предложения для (массового) покупателя нижнего и среднего класса, но уж не пойду сейчас в ту степь.
> Нельзя судить ИБ-консалтинг по тому, что сегодня предлагается на российском рынке.
Здесь уместнее говорить о неполной, на не некорректной индукции: я ж сразу оговорился, что мнение базируется исключительно на собственном опыте и конечном числе наблюдений, и я не пытаюсь тиражировать его на мировой рынок консалтинга (тем более, что услуги одного западного консалтера из big4 были полезны более других). Покупка консалтинга в России — прежде всего великолепный финансовый инструмент для освоения бюджета (сидение для унитаза нельзя купить за миллион долларов, а уникальный продукт можно). Именно это, я думаю, и объясняет приверженность крупных компаний с высоким уровнем зрелости (как следствие высоким бюджетом на ИБ) компаний к покупке консалтинга. Конченый результат самого консалтинга не так важен, как факт его приобретения, поэтому заказчик отчасти и сам виноват, "расхолаживая" консалтеров таким подходом.
О! Михаил в своей презе «забыл» упомянуть про третью цель консалтинга — освоение бюджета 😉 Он упомянул только две — для стейкхолдеров и для реальной работы.
http://toxahost.ru/images/ark_obvious.jpg вот что тебе ещё надо было вставить в пост )))
Ну Алексей это себе вставит 😉
Для Алексея Лукацкого:
Все много проще (не зря же говорят «прежде полагай разум, потом ошибку и лишь в последнюю очередь умысел»): если мои работы с консалтерами исчисляются неколькими десятками, то работодателей практически не менял. По одному случаю о глобальном тренде судить — это любительство, я так не обучен.
Для Quiet Zone:
Этого консалтера из big4 в тот год еще трижды подряжали, это ты четвертый случай более-менее знаешь. Причем он уже видел, что слетает с хорошего проекта, несмотря на все трехсторонние меморандумы, поэтому реально выложился шанхайскими барсами вместо оплаченного тушкана — все равно уже не перевесило. Плюс я не знаю, видел ли ты отечественные работы именно по подобной задаче, а вообще из области ИБ.
Ригелю: А ты считаешь, что у других заказчиков все эти консалтеры будут вести себя ЛУЧШЕ, чем у вас? Почему-то мне кажется, что нет. Максимум, на что можно рассчитывать, что они наберутся опыта «на вас» и будут для других делать лучше 😉
ЗЫ. Но я с выводами и наблюдениями Михаила все равно согласен и транслирую их почти на весь рынок консалтинга 😉 Особенно учитывая, что мне довелось и самому работать в конторе, которая предлагает консалтинг и сама его заказывает для внутренних нужд 😉
http://old.e-xecutive.ru/friday/article_3763/
К пятому абзацу полное ощущение, что С.Н.Паркинсона читаешь. На фига подделка, если оригинал есть?
Если оценка рисков — миф, то мат. моделирование — профанация. А математика не нужна вообще =)
Ригелю: А не все читали оригинал 😉
Vair’у: А ты считаешь, что не профанация? Можешь привести реальные примеры количественной оценки рисков? Буду благодарен.
Я могу подкинуть Идею…
По моему все упирается в знание предметной области…вот предметная область знакомая с детства 😉
Вот ситуация для ПРИМЕРА…классическая…)))
Речка, на одном берегу капуста, коза и волк, по речке ходит паром.
Бизнес задача — перевезти на другой берег:
1 — всех — приз 100 баксов
2 — 10 баксов
3 — одного — минус 100
Риски — известны…
кто готов построить модель и посчитать КОЛЛИЧЕСТВЕЕНО риски ? и решение Бизнес задачи с учетом рисков…
Этот комментарий был удален автором.
Алексею Лукацкому: В самом выражении «реальная оценка рисков» скрыто внутреннее противоречие. Модели они не из области реального мира, а оценка рисков это именно выводы, построенные на модели, которая никогда полностью достоверно не будет описывать реальность. Сам по себе риск — это абстрактное (вспомогательное) понятие, придуманное для удобства принятия решений по управлению, риски вне реальности (также как векторы, функции и пр.)
Vair’у: Ну то есть количественная оценка из разряда мифов?..
Алексею: Если ты просто этим хочешь сказать, что тебе не известно методик оценки рисков, адекватно позволяющих принимать решения, и ты не веришь в их практическую ценность, то «ОК» — миф 🙂 (Но она вертится…)
Давай все-таки сузим твое замечание до моего «мифа» 😉 Если ты знаешь реальную методику количественной оценки рисков ИБ, то может поделишься?
Просто методику и я знаю 😉 И все знают. Риск — это, упрощенно, функция от вероятности угрозы и суммы ущерба. Модель есть. Методика, в общем тоже. Но как быть с реальными вычислениями?
Алексей.
Понятно что с реальными вычислениями можно играться точно так же как на открытом рынке. Другими словами можно но бестолку )))
Алексею: Не думаю, что среди открытых реальных методик количественной оценки рисков ИБ, известных мне, имеются неизвестные тебе =)
Может я не правильно интерпретировал тезис? «Оценка рисков — миф». Имеется ввиду особенность сферы ИБ такова, что оценка рисков для нее не инструмент?
Я свою позицию уже много раз озвучивал — количественно оценить риски в ИБ невозможно в абсолютном большинстве случаев ;-( Потому что ни у кого нет статистики и мало кто считает ущерб.
Cisco-то, известное дело, кристальной чистоты вендор.
Хм…
Примеры в студию ?!
Да, Алексей этой презентацией нормально друзей себе нажил…
Да уж, «друзей» появилось немало. Одни, даже не слушавшие этой презентации, письма подметные пишут (хотя сами столкнушись с такой же ситуацией раньше были абсолютно противоположного мнения). Другие, также не слушавшие, доносят тем, кто письма пишет. Третьи, уточняют, на какой машине я езжу и каким маршрутом… 90-е годы возвращаются…
Я охринел………круто +10
Действительно полезняк! А то сколько не лазишь по нету сплошное бла бла бла. Но не тут, и это радует!
Классно……….спасибо
Редко оставляю комментарии, но действительно интересный блог, удачи вам!