Презентации с RusCrypto

В прошедшие выходные, на конференции РусКрипто выступал на тему «Архитектура информационной безопасности».

Примечательно, хотя и грустно, что идея «безопасность для бизнеса, а не безопасность для безопасности» для многих была в новинку ;-(

Во второй день я вел секцию «Как ИБ-компании обманывают своих клиентов». Доклады получились интересными. Начал рассказ Алексей «Arkanoid» Смирнов (независимый эксперт) с рассказом о том, как вендоры пытаются заработать на вымышленных и преувеличенных угрозах. Вторым выступал Михаил Хромов (Лукойл-Информ) с рассказом о том, как консультанты по безопасности ведут свой бизнес. Учитывая многолетний опыт Михаила в общении с российскими и западными консультантами, рассказ получился очень интересный и острый. Жаль, что на секции присутствовало очень мало интеграторов, которые активно рекламируют свои услуги по ИБ. Им было бы полезно узнать и учесть советы заказчика в своей работе. Завершал секцию я, продолжив рассказ Алексея о маркетинговых уловках, злом умысле и просто ошибках, которые допускают вендоры продавая свои продукты и услуги по информационной безопасности.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. Quiet Zone

    Да, Мишу я бы с удовольствием послушал, может даже добавил что-нибудь — свечку довелось подержать:)

    Ответить
  2. Александр Дорофеев

    Алексей, вы затрагиваете больные темы для наших вендоров. Обидятся они на вас! 🙂 отличные презентации!

    Ответить
  3. Анонимный

    Спасибо за презентации, особенно за вторую…

    Первая интересная но для тех кто осознал что строить ИБ нужно…

    Ситуация на мой взгляд такова, что при отсутствии понимания или достаточных знаний, опыта в стратегическом менеджменте руководство растущих компаний с трудом «на интуиции» продвигают стратегию и архитектуру своего основного привычного бизнеса. При этом не учитывают в стратегии вопросы не только ИБ но и другие, которые считаются второстепенными (а надо бы).
    И даже при наличии неких общепризнанных методик построения архитектуры ИБ руководство не считает сколько нибуть важным участие ИБ (Ну антивирусы, фаерволлы и все — спасибо пиару это области «НЕ НУЖДАЮЩИЕСЯ в доказательстве» при выделении на них денег).

    Это я все к тому, что у нас в стране необходимо сначала показать выгодность для бизнеса в целом применение грамотных ИБ. (о чем Алексей пытается толковать столько времени…)

    Ответить
  4. Ригель

    Для Quiet Zone.

    Все его киллерство свелось к нескольким стилизованным под афоризм формулировкам, остальное вода-водой.

    Ответить
  5. Алексей Лукацкий

    Quiet Zone и Ригелю: Я Мишу тоже с удовольствием послушал. Даже несколько тем для мифов родилось (с соблюдением авторства идеи) 😉 Все в точку и интересные подмеченные факты. Я лет 6-7 назад писал уже критическую статьи про консалтинг у нас, но тогда смотрел на это со стороны сотрудника компании, выполняющей консалтинг. А тут интересно было послушать с точки зрения именно заказчика.

    Александру Дорофееву: А говорят, там в ночь перед моим выступлением мне косточки основательно перемывали. Да и до этого я не раз слышал, что я рушу российский рынок ИБ 😉

    swan’у: Ну растущим компаниям ИБ в виде архитектуры и стратегии не особо и нужна — там организация не готова еще к этому. Архитектура — это удел немногих ;-(

    Ответить
  6. Анонимный

    к сожалению…

    Ответить
  7. Quiet Zone

    Алексей, я вообще, поработав в консалтерами, пришел к несколько радикальному выводу, что консалтинг вообще не нужен. По крайней мере в том виде, в котором он существует сейчас. Я говорю даже не о качестве продукта, а о принципах взаимодействия клиента и консалтера. То, что предлагал (на моей памяти) консалтинг, совершенно невозможно использовать без основательной доработки напильником, а то и полной переработки. Причем от репутации и размеров консалтера почти не зависит — результат, как правило, один. Конечно, много от клиента зависит — кого-то и устроит… Но чем выше уровень зрелости, тем выше требования к качеству консалтинга, и мне кажется — при допущении, что зрелости организаций образуют непрерывный спектр — что где-то существует некая критическая точка, за которой следует полный отказ от консалтинга. Все это конечно субъективно, на базе собственного опыта:)

    Ответить
  8. Алексей Лукацкий

    Ну почему к сожалению? Я вот не требую от сына (ему 5) знания этикета 😉 А вот будет постарше и от хороших манер ему не отвертеться 😉

    Ответить
  9. Ригель

    > ИБ-консалтинг вообще не нужен

    Нельзя судить ИБ-консалтинг по тому, что сегодня предлагается на российском рынке, т.к. это не ИБ-консалтинг, а ИБ-консалтинг для тех, кто может пятиалтынный результат за рубль покупать (а это именно обладатели третьего или даже четвертого уровня зрелости попускают — уже не низших, но и не высшего).
    Так что даже если полезность ты оцениваешь не по себе, некорректная индукция уже все равно нарисовалась.

    Кстати, это ведь та самая склонность консалтеров к копипейсту лучших образцов обеспечивает негодность их предложения для (массового) покупателя нижнего и среднего класса, но уж не пойду сейчас в ту степь.

    Ответить
  10. Quiet Zone

    > Нельзя судить ИБ-консалтинг по тому, что сегодня предлагается на российском рынке.

    Здесь уместнее говорить о неполной, на не некорректной индукции: я ж сразу оговорился, что мнение базируется исключительно на собственном опыте и конечном числе наблюдений, и я не пытаюсь тиражировать его на мировой рынок консалтинга (тем более, что услуги одного западного консалтера из big4 были полезны более других). Покупка консалтинга в России — прежде всего великолепный финансовый инструмент для освоения бюджета (сидение для унитаза нельзя купить за миллион долларов, а уникальный продукт можно). Именно это, я думаю, и объясняет приверженность крупных компаний с высоким уровнем зрелости (как следствие высоким бюджетом на ИБ) компаний к покупке консалтинга. Конченый результат самого консалтинга не так важен, как факт его приобретения, поэтому заказчик отчасти и сам виноват, "расхолаживая" консалтеров таким подходом.

    Ответить
  11. Алексей Лукацкий

    О! Михаил в своей презе «забыл» упомянуть про третью цель консалтинга — освоение бюджета 😉 Он упомянул только две — для стейкхолдеров и для реальной работы.

    Ответить
  12. Анонимный

    http://toxahost.ru/images/ark_obvious.jpg вот что тебе ещё надо было вставить в пост )))

    Ответить
  13. Алексей Лукацкий

    Ну Алексей это себе вставит 😉

    Ответить
  14. Ригель

    Для Алексея Лукацкого:

    Все много проще (не зря же говорят «прежде полагай разум, потом ошибку и лишь в последнюю очередь умысел»): если мои работы с консалтерами исчисляются неколькими десятками, то работодателей практически не менял. По одному случаю о глобальном тренде судить — это любительство, я так не обучен.

    Для Quiet Zone:

    Этого консалтера из big4 в тот год еще трижды подряжали, это ты четвертый случай более-менее знаешь. Причем он уже видел, что слетает с хорошего проекта, несмотря на все трехсторонние меморандумы, поэтому реально выложился шанхайскими барсами вместо оплаченного тушкана — все равно уже не перевесило. Плюс я не знаю, видел ли ты отечественные работы именно по подобной задаче, а вообще из области ИБ.

    Ответить
  15. Алексей Лукацкий

    Ригелю: А ты считаешь, что у других заказчиков все эти консалтеры будут вести себя ЛУЧШЕ, чем у вас? Почему-то мне кажется, что нет. Максимум, на что можно рассчитывать, что они наберутся опыта «на вас» и будут для других делать лучше 😉

    ЗЫ. Но я с выводами и наблюдениями Михаила все равно согласен и транслирую их почти на весь рынок консалтинга 😉 Особенно учитывая, что мне довелось и самому работать в конторе, которая предлагает консалтинг и сама его заказывает для внутренних нужд 😉

    Ответить
  16. Sergey Gordeychik

    http://old.e-xecutive.ru/friday/article_3763/

    Ответить
  17. Ригель

    К пятому абзацу полное ощущение, что С.Н.Паркинсона читаешь. На фига подделка, если оригинал есть?

    Ответить
  18. Vair

    Если оценка рисков — миф, то мат. моделирование — профанация. А математика не нужна вообще =)

    Ответить
  19. Алексей Лукацкий

    Ригелю: А не все читали оригинал 😉

    Vair’у: А ты считаешь, что не профанация? Можешь привести реальные примеры количественной оценки рисков? Буду благодарен.

    Ответить
  20. Анонимный

    Я могу подкинуть Идею…

    По моему все упирается в знание предметной области…вот предметная область знакомая с детства 😉

    Вот ситуация для ПРИМЕРА…классическая…)))

    Речка, на одном берегу капуста, коза и волк, по речке ходит паром.

    Бизнес задача — перевезти на другой берег:
    1 — всех — приз 100 баксов
    2 — 10 баксов
    3 — одного — минус 100

    Риски — известны…
    кто готов построить модель и посчитать КОЛЛИЧЕСТВЕЕНО риски ? и решение Бизнес задачи с учетом рисков…

    Ответить
  21. Анонимный

    Этот комментарий был удален автором.

    Ответить
  22. Vair

    Алексею Лукацкому: В самом выражении «реальная оценка рисков» скрыто внутреннее противоречие. Модели они не из области реального мира, а оценка рисков это именно выводы, построенные на модели, которая никогда полностью достоверно не будет описывать реальность. Сам по себе риск — это абстрактное (вспомогательное) понятие, придуманное для удобства принятия решений по управлению, риски вне реальности (также как векторы, функции и пр.)

    Ответить
  23. Алексей Лукацкий

    Vair’у: Ну то есть количественная оценка из разряда мифов?..

    Ответить
  24. Vair

    Алексею: Если ты просто этим хочешь сказать, что тебе не известно методик оценки рисков, адекватно позволяющих принимать решения, и ты не веришь в их практическую ценность, то «ОК» — миф 🙂 (Но она вертится…)

    Ответить
  25. Алексей Лукацкий

    Давай все-таки сузим твое замечание до моего «мифа» 😉 Если ты знаешь реальную методику количественной оценки рисков ИБ, то может поделишься?

    Просто методику и я знаю 😉 И все знают. Риск — это, упрощенно, функция от вероятности угрозы и суммы ущерба. Модель есть. Методика, в общем тоже. Но как быть с реальными вычислениями?

    Ответить
  26. Анонимный

    Алексей.
    Понятно что с реальными вычислениями можно играться точно так же как на открытом рынке. Другими словами можно но бестолку )))

    Ответить
  27. Vair

    Алексею: Не думаю, что среди открытых реальных методик количественной оценки рисков ИБ, известных мне, имеются неизвестные тебе =)
    Может я не правильно интерпретировал тезис? «Оценка рисков — миф». Имеется ввиду особенность сферы ИБ такова, что оценка рисков для нее не инструмент?

    Ответить
  28. Алексей Лукацкий

    Я свою позицию уже много раз озвучивал — количественно оценить риски в ИБ невозможно в абсолютном большинстве случаев ;-( Потому что ни у кого нет статистики и мало кто считает ущерб.

    Ответить
  29. Анонимный

    Cisco-то, известное дело, кристальной чистоты вендор.

    Ответить
  30. Анонимный

    Хм…
    Примеры в студию ?!

    Ответить
  31. Анонимный

    Да, Алексей этой презентацией нормально друзей себе нажил…

    Ответить
  32. Алексей Лукацкий

    Да уж, «друзей» появилось немало. Одни, даже не слушавшие этой презентации, письма подметные пишут (хотя сами столкнушись с такой же ситуацией раньше были абсолютно противоположного мнения). Другие, также не слушавшие, доносят тем, кто письма пишет. Третьи, уточняют, на какой машине я езжу и каким маршрутом… 90-е годы возвращаются…

    Ответить
  33. Анонимный

    Я охринел………круто +10

    Ответить
  34. Анонимный

    Действительно полезняк! А то сколько не лазишь по нету сплошное бла бла бла. Но не тут, и это радует!

    Ответить
  35. Анонимный

    Классно……….спасибо

    Ответить
  36. Анонимный

    Редко оставляю комментарии, но действительно интересный блог, удачи вам!

    Ответить