Дело не в экономии. Более того, мы убеждены: сотрудник должен получать высокую зарплату. Но если человека суть работы интересует меньше денег, то ему не к нам.
Во всех вакансиях мы указываем зарплату ниже рынка и рассматриваем в первую очередь тех кандидатов, которые готовы начинать с небольшого заработка.
Я очень надеюсь, что просто неудачно сформулирована мысль, но выглядит отвратительно. «Получать ты будешь меньше, но рассматривай это как признание твоего профессионализма!»
Человек чем-то занимается профессионально, для него то, что он делает это основной источник заработка. У него дома жена, дети и вечно голодная собака. Попробуйте им объяснить, что «деньги небольшие, но посмотри какой сервак я сконфигурировал»
С точки зрения сотрудника, а не владельца, я бы хотел, чтобы знания и опыт оценивались адекватно. Даже если я из региона, если моя квалификация выше средней по рынку — получать я бы тоже хотел выше среднего. Интересные проекты — скорее способ удержания, чем поощрения.
Купил Xiaomi Redmi Note 2. Поддержу отписавшегося ниже — глючила прошивка, ругалась на китайском, периодически отваливалось то одно, то другое (однажды отвалились СМС, не мог получать коды подтверждения). Но не спорю — возможно, это просто руки кривые (мои или локализаторов с СНГ) и надо было прошиваться на что-то другое. В результате ушел на Цианоген.
Через 6 месяцев стала барахлить кнопка питания — стерлась изнутри, починил изолентой. Через 7 — разъем наушников перестал принимать наушники дороже 300 р. Через 8 и 9 — отвалились серебристые буквы от логотипа, сначала I, потом M. Через 10 — замылилась/затерлась камера. Ну и наконец через 11 месяцев просто внезапно сам по себе треснул экран — как обычно положил в карман, пошел не прогулку, ни обо что не бился, не терся, а вернулся — трещина. Расстроеный лег спать — утром еще одна… Мистика.
Я сужу с позиции пользователя. Я очень допускаю, что мог быть не акуратен в какие-то моменты. Но почему-то с Sony Xperia в таком же режиме эксплуатации ничего такого не случилось. Очень надеюсь, что это был единственный негативный опыт, но вот как-то доверия к марке пока восстановить не смог.
Антивирусы вполне себе полезны против ненаправленных атак. Просто не нужно рассматривать их (равно как и любое решение по безопасности) как панацею. Нужны и антивирусы, и вайт/блеклисты, и любое другое решение, которое за бешенные деньги закупили используется в компании.
Одна из проблем больших компаний заключается в том, что с увеличением числа пользователей увеличивается и риск, что кто-то из них где-то все-таки накосячит. И вот от таких случайных косяков вполне себе помогут и антивирусы, и (sic!) DLP…
Хотя доклад из серии «Антивирусы-таки имеют свое применение» вряд ли вызовет интерес на конференциях.
Не нужно никакого доступа к оружию и прочих голивудских сценариев. Дайте человеку возможность делегировать свои функции машине и дело сделано. Сначала рутинные операции, потом все более и более творческие. Со временем, когда Сверхразум (в терминах перевода) сможет решать задачи изобретения чего-либо во много раз быстрее и эффективнее человека, не просто не останется никого, кто сможет разобраться в предоставленном им решении, — не будет никого, кому это нужно/выгодно.
Как сначала физические возможности человека ослабели перейдя от грубой мышечной силы к использованию разнообразных механизмов и автоматизации (зачем бежать в соседний город 42 км 3 часа, когда на машине можно добраться за 20 минут?), так и мыслительные со временем станут ненужны/неэффективны.
Однажды, лет через 500 (если доживем), решив отключить эту надоедливую чудо-машину, человечество рискует столкнуться с морем жидкой сверхразумной наноерунды и будет тщетно по рисункам из далекого 2040 года искать где там заветная кнопка отключения…
Ваше негодование странно. Ну не нравится вам мероприятие или конкретный специалист (можно в кавычках), ну что вы нервы тратите? Ходите на BlacHat, занимайтесь правильными по вашему мнению вещами!
В конце концов, есть традиционная медицина, есть народные экстрасенсы-целители. К первым я хожу, над вторыми посмеиваюсь. Кто-то наоборот.
Алексей Волков в своем блоге приводил пример приказ, из коего следовало, что оценка эффективности обеспечивалась порядком приема объекта в эксплуатацию (приказы, кажется, испытания). Проверку прошел.
Еще вариант, документ от интегратора, типа «Акт оценки эффективности мер защиты». Лично я считаю, что модель угроз и собственно проект как раз-таки и обеспечивают «эффективность мер защиты», поскольку делаются не в вакууме, а применительно к системе. В любом случае, аттестация — зло.
«Банк, вашей защиты оказалось недостаточно, вы потеряли Х денег»
vs.
«Банк, вы не выполняете требований регулятора, вы закрываетесь и Y денег штрафа»
Дети, давайте поможем банку принять правильное решение :)
090h, с вами не спорят, что плохо быть уязвимым. Вам говорят, что быть уязвимым может быть НЕ ТАК ПЛОХО, как не пройти аудит. Из-за специфики отрасли.
Блин :) Я написал «пентестер», но заменил его на веб-разработчика единственно с целью подчеркнуть, что нужен пентестер специализирующийся именно в этой области. А не скрипт-кидди, прошедший 5-дневные курсы.
Если человек, ломающий сайт, не знает, как его надо «починить» — это как-то странно…
Я имел в виду лицензию организации на ведение той или иной деятельности. Просто то, что с позиции пентестера может представляться днищемдырой, с точки бизнеса может быть приемлемым риском. Иначе говоря, «да, проблема есть, но мы считаем, что пока пусть будет».
В такой формулировке — нет. У каждого их мероприятий есть своя цель. Еще раз: у вас может быть идеально защищенный сайт, но проверку вы не пройдете и лишитесь лицензии.
Я оказываюсь ближе как раз к менеджерам, поэтому смеха ситуация не вызывает. Ситуация вообще не удивляет. В свое время хотели у себя провести пентест — не согласовали. Слишком много предрассудков в головах, принимающих решения. Аудит он понятнее (им хотя бы стол накрыть можно). Логика на уровне «А ну как они что найдут, а меня потом накажут?»
Мне не нравится, когда две принципиально разные роли начинают оценивать с точки зрения возможности выполнения какой-то одной конкретной задачи.
Чтобы смотреть на микробов я возьму микроскоп, для звезд мне нужен телескоп. Чтобы защитить информацию на сайте я обращусь к веб-разработчику, для защиты информации в масштабах компании мне нужен CISO.
Вы занимаетесь исследованиями. Вы хорошо знаете свою область. Вам внезапно предлагают работу CISO…
Вы начинаете разбираться и осознаете, что есть такое понятие как риски. И потери от проверки ПДн в следующем квартале будет гораздо больше, чем потенциальный ущерб от XSS на корпоративном сайте-визитке. Что у вас есть коммерческие секреты, которые никто не защищает. Что у вас у пользователей права администратора и в вашей сети с компьютерными вирусами борются исключительно другие вирусы. Что начальник соседнего отдела пишет на вас доносы («мешают работать») и открыто саботирует все ваши попытки разграничить права пользователей… Что есть еще сотня срочных вопросов, из них десяток ОЧЕНЬ срочных. А спрашивают все с вас.
Больше у вас нет времени заниматься своими исследованиями. Вы смотрите как другие справляются со всем этим комом задач. Учитесь менеджменту, а не программированию. Читаете стандарты и методики вместо новой фантастики. Предновогодняя пора для вас время составления отчетов и битвы за бюджет. Плюс аналитика от вендеров и исследователей. Плюс планы развития, плюс переоценка рисков…
Что мешает вам этим заняться и грести свои миллионы?
П.С. Я знаю пару ребят, которые будучи программистами-исследователями уехали в хорошие места за хорошие зарплаты. Они не жалуются на плохих CISO.
Если вас так беспокоят деньги, может стоило пойти в нефтяники? Я часто слышу, что область ИБ считается хорошо оплачиваемой. Но я не знаю никого, кто бы в нее пошел из-за денег.
Два тонких момента:
1. ФСТЭК по обновленному ФЗ не проверяет коммерческие организации. По интернетам ходит информация, что на эту освободившуюся роль зарится Роскомнадзор, для чего они даже в свое время начали аттестовывать экспертов. На практике пока не сталкивался.
2. Политика в отношении обработки ПДн должна быть доступна субъектам (или даже размещена на сайте). если ее включать в состав какого-то преимущественно «внутреннего» документа (положения, инструкции), придется смотреть, не содержит ли он какой-то критичной с точки зрения безопасности информации. Мы как правило делаем отдельную небольшую политику для размещения на сайте оператора, и уже более подробный внутренний документ с описанием требований к защите.
Я очень надеюсь, что просто неудачно сформулирована мысль, но выглядит отвратительно. «Получать ты будешь меньше, но рассматривай это как признание твоего профессионализма!»
Человек чем-то занимается профессионально, для него то, что он делает это основной источник заработка. У него дома жена, дети и вечно голодная собака. Попробуйте им объяснить, что «деньги небольшие, но посмотри какой сервак я сконфигурировал»
С точки зрения сотрудника, а не владельца, я бы хотел, чтобы знания и опыт оценивались адекватно. Даже если я из региона, если моя квалификация выше средней по рынку — получать я бы тоже хотел выше среднего. Интересные проекты — скорее способ удержания, чем поощрения.
Через 6 месяцев стала барахлить кнопка питания — стерлась изнутри, починил изолентой. Через 7 — разъем наушников перестал принимать наушники дороже 300 р. Через 8 и 9 — отвалились серебристые буквы от логотипа, сначала I, потом M. Через 10 — замылилась/затерлась камера. Ну и наконец через 11 месяцев просто внезапно сам по себе треснул экран — как обычно положил в карман, пошел не прогулку, ни обо что не бился, не терся, а вернулся — трещина. Расстроеный лег спать — утром еще одна… Мистика.
Я сужу с позиции пользователя. Я очень допускаю, что мог быть не акуратен в какие-то моменты. Но почему-то с Sony Xperia в таком же режиме эксплуатации ничего такого не случилось. Очень надеюсь, что это был единственный негативный опыт, но вот как-то доверия к марке пока восстановить не смог.
за бешенные деньги закупилииспользуется в компании.Одна из проблем больших компаний заключается в том, что с увеличением числа пользователей увеличивается и риск, что кто-то из них где-то все-таки накосячит. И вот от таких случайных косяков вполне себе помогут и антивирусы, и (sic!) DLP…
Хотя доклад из серии «Антивирусы-таки имеют свое применение» вряд ли вызовет интерес на конференциях.
Как сначала физические возможности человека ослабели перейдя от грубой мышечной силы к использованию разнообразных механизмов и автоматизации (зачем бежать в соседний город 42 км 3 часа, когда на машине можно добраться за 20 минут?), так и мыслительные со временем станут ненужны/неэффективны.
Однажды, лет через 500 (если доживем), решив отключить эту надоедливую чудо-машину, человечество рискует столкнуться с морем жидкой сверхразумной наноерунды и будет тщетно по рисункам из далекого 2040 года искать где там заветная кнопка отключения…
В конце концов, есть традиционная медицина, есть народные экстрасенсы-целители. К первым я хожу, над вторыми посмеиваюсь. Кто-то наоборот.
Алексей Волков в своем блоге приводил пример приказ, из коего следовало, что оценка эффективности обеспечивалась порядком приема объекта в эксплуатацию (приказы, кажется, испытания). Проверку прошел.
Еще вариант, документ от интегратора, типа «Акт оценки эффективности мер защиты». Лично я считаю, что модель угроз и собственно проект как раз-таки и обеспечивают «эффективность мер защиты», поскольку делаются не в вакууме, а применительно к системе. В любом случае, аттестация — зло.
vs.
«Банк, вы не выполняете требований регулятора, вы закрываетесь и Y денег штрафа»
Дети, давайте поможем банку принять правильное решение :)
090h, с вами не спорят, что плохо быть уязвимым. Вам говорят, что быть уязвимым может быть НЕ ТАК ПЛОХО, как не пройти аудит. Из-за специфики отрасли.
Если человек, ломающий сайт, не знает, как его надо «починить» — это как-то странно…
днищемдырой, с точки бизнеса может быть приемлемым риском. Иначе говоря, «да, проблема есть, но мы считаем, что пока пусть будет».Тоже предлагаю прекратить флейм :)
Чтобы смотреть на микробов я возьму микроскоп, для звезд мне нужен телескоп. Чтобы защитить информацию на сайте я обращусь к веб-разработчику, для защиты информации в масштабах компании мне нужен CISO.
Вы начинаете разбираться и осознаете, что есть такое понятие как риски. И потери от проверки ПДн в следующем квартале будет гораздо больше, чем потенциальный ущерб от XSS на корпоративном сайте-визитке. Что у вас есть коммерческие секреты, которые никто не защищает. Что у вас у пользователей права администратора и в вашей сети с компьютерными вирусами борются исключительно другие вирусы. Что начальник соседнего отдела пишет на вас доносы («мешают работать») и открыто саботирует все ваши попытки разграничить права пользователей… Что есть еще сотня срочных вопросов, из них десяток ОЧЕНЬ срочных. А спрашивают все с вас.
Больше у вас нет времени заниматься своими исследованиями. Вы смотрите как другие справляются со всем этим комом задач. Учитесь менеджменту, а не программированию. Читаете стандарты и методики вместо новой фантастики. Предновогодняя пора для вас время составления отчетов и битвы за бюджет. Плюс аналитика от вендеров и исследователей. Плюс планы развития, плюс переоценка рисков…
Что мешает вам этим заняться и грести свои миллионы?
П.С. Я знаю пару ребят, которые будучи программистами-исследователями уехали в хорошие места за хорошие зарплаты. Они не жалуются на плохих CISO.
1. ФСТЭК по обновленному ФЗ не проверяет коммерческие организации. По интернетам ходит информация, что на эту освободившуюся роль зарится Роскомнадзор, для чего они даже в свое время начали аттестовывать экспертов. На практике пока не сталкивался.
2. Политика в отношении обработки ПДн должна быть доступна субъектам (или даже размещена на сайте). если ее включать в состав какого-то преимущественно «внутреннего» документа (положения, инструкции), придется смотреть, не содержит ли он какой-то критичной с точки зрения безопасности информации. Мы как правило делаем отдельную небольшую политику для размещения на сайте оператора, и уже более подробный внутренний документ с описанием требований к защите.