🤝 На Территории безопасности в секции Алексея Лукацкого обсуждаем "вечный вопрос" - как оценить результативность ИБ и как нашему брату коммуницировать с лицами принимающими решения 🖋

Вариант 1.
Смотреть как это устроено у других (сюда же отнесем стандарты и бенчмарки), похожих на тебя, и выделять такой же бюджет, людей, средства защиты, и делать по аналогии❔

Вариант 2.
Использовать риск-ориентированный подход, рисовать карты рисков, создавать перечни недопустимых событий, мониторить индикаторы и математизироваьь принятие решений❔

Вариант 3.
Осваивать техники публичных выступлений и эффективно убеждать собственников и топ-руководство в своей полезности для получения карт-бланша❔

И как обычно опытные, сильные, крутые профессионалы с кучей хороших идей уходят в частности и полумеры.

В ответ на реплику Лукацкого про то, что по статистике CISO нужно 3 года для наведения порядка в своей организации, а в нашей реальности они меняют работу каждые 2 года, кто-то по-стахановски заявляет: значит надо ускориться и успевать все делать за 2 года! Вспоминаю историю про 9 женщин и перевыполнение плана рождения ребёнка в 9 раз.

🕵‍♂️ А моё имхо очень простое: из-за того, что безопасность встроена в какое-то дело, в какой-то бизнес, то к ней нужно относиться так же, как мы относимся к сквозным бизнес-процессам. Выстраивать ее от А до Я в привязке не к комплаенсу или инженерно-техническим представлениям о прекрасном, а в привязке к измеримому импакту на бизнес, как это делается в маркетинге с CJM (Customer Journey Map).

И помнить, что люди-процессы-технологии - это не красивые слова, а суровая реальность. И в этой реальности из-за того, что в формуле есть ЛЮДИ, определённая доля хаоса и неопределенности - неизбежны. И система, или процессы, чтобы они работали должны быть ВНЕДРЕНЫ, т.е. прежде всего приняты ответственными ЛЮДЬМИ. А это уже вопросы психологии, социологии и мотивации труда всего коллектива организации, равно далёкие как от технических штуковин, так и от решений принятых в высоких кабинетах топами и собственниками.

Ближе всех в отечественной практике подошли стандарты семейства 57580 от Центрального Банка, которые включают и акценты на человеческий фактор, и на внедрение, и поддержку, и баланс техники и организации. За сложностью формулировок 57580 скрывается здравая установка на синтез целей организации (бизнеса/дела), её безопасности (пресловутый КЦД) и удовлетворённости клиентов (через непрерывность и качество услуги). А это и есть признак результативности и полезности ИБ. ✅

Приходится ли вам доказывать свою полезность коллегам, топам и собственникам? Каким образом это делаете вы? 🎙

#Мудрота #Мероприятие #ТерриторияБезопасности2025 #PDCA #Процессы #Люди #Технологии #Риски

Не о PHD, а об уровне развития DevOps/DevSecOps в этой стране🕵‍♂️

Пока значительная часть ИБв и всех им сочувствующих находится на PHD, мы предлагаем вашему вниманию опрос: https://anketolog.ru/service/survey/fill/extraLink/98347249/Qq2EcVbF ‼️

🤝 Партнер кооператива РАД КОП — компания Экспресс 42 — проводит ежегодное исследование DevOps в России. Когда-то этот канал начинался как производная от DevSecOps и личной потребности автора разобраться в теме. Сегодня, когда мы называемся Security Wine и исследуем вопросы ИБ в широком смысле, мы сохраняем интерес к альма-матер.

На наш взгляд, состояние DevOps — хороший индикатор развития отрасли и её зрелости. Через эволюцию этих практик и инструментов можно смотреть на актуальные тренды в ИТ: от состояния внедрения ИИ до возникновения принципиально новых технологий и практик ИБ, влияющих на каждого из нас.

🤝 В прилагаемом опросе примут участие более 4000 представителей индустрии. Результаты опроса будут опубликованы в открытом доступе и помогут нам всем лучше понять Точку А: где мы находимся сейчас как отрасль, кто какие технологии использует, кто куда смотрит и т.д. и т.п. Это позволит каждому выработать свою личную или командную Точку Б: куда нам и нашим командам стоит смотреть и идти, чтобы соответствовать «духу времени» (или не соответствовать — возможно кто-то из нас занял отличную эволюционную нишу, которой «на их век хватит»! ❤️).

⏳ Опрос займет около 20 минут. Еще раз дублируем ссылку для прохождения: https://anketolog.ru/service/survey/fill/extraLink/98347249/Qq2EcVbF .

P.S. Среди участников опроса состоится розыгрыш мерча и билетов на Highload++ и DevOpsConf.

P.P.S. Если есть мысли или комментарии к опросу — делитесь мудротой в комментариях, этот канал — место для дискуссий 💻

Кадры решают все 🤝

Находясь на одной ESG конференции (так называется популярная в мире и России повестка: экология-общество-руководство, призванная воплотить тренды чистоты и человеколюбия на Земле) и слушая про пресловутый "дефицит кадров" вспоминаю наш путь мытарств и ошибок. 🪨

‼️ С кадрами, как и с devsecops, отлично работает парадигма shift left. Чем раньше мы выявляем подходящего или неподходящего человека, тем лучше и дешевле нам даются последующие коммуникация, интеграция, адаптация и сотрудничество. А в самоуправляемой организации, где рядовые сотрудники включены даже в контур стратегирования и как в "красных отрядах" 1917 могут буквально выбирать своих руководителей - адекватность подбора людей "на входе" становится ещё более критичной.

⚙️ Поэкспериментировав с разными подходами: от "как здорово, что все мы здесь сегодня собрались" до "берем крутых профессионалов с репутацией" и пообжигавшись на всех возможных практиках, мы выработали следующую схему подбора:

А. Подбор в кооп всегда конкурсный (исключения возможны, но в суперредких случаях, когда человек либо приводит гарантированную клиентскую базу, либо передает внутрь какую-то супер технологию и практику, либо имеет длительный анамнез работы с кооперативом как фрилансер и проявился в разных ситуациях с лучшей стороны ❤️);

Б. Подбор построен на онлайн-игре в Zoom, где соискатели решают максимально релевантный их роли кейс в составе команд из 2-3 человек (дополнительно проверяется кооперативность игроков). В одной команде - другие конкурсанты, соревнующиеся за роль (например, пентестеры пытаются взломать тестовый сайт; менеджеры проектов решают задачу реорганизации сквозного бизнес-процесса; аналитики вычитывают документы ⏳);

В. Оценки лучших и наиболее адекватных для конкретной роли людей ставятся не только кооператорами, но и самими участниками игры, с использованием релевантных для роли аргументов и обоснований (мы спрашиваем участников: кого на ваш взгляд надо взять на роль и почему, т.е. люди не отчуждаются от процесса и не превращаются в "коней, которым смотрят зубы"❔).

🖋Под капотом подхода лежит синтез трех инструментов: фреймворка вертикального развития У. Торберта, теории мотивации В. Герчикова и интерпретации процессного бизнеса в изложении М. Рыбакова. И пока полет, идущий по нарастающей с марта 2025 года, показывает отличные результаты (полностью мы поймем как это работает года через три!). Люди, отобранные по конкурсу априори гораздо более открыты к сотрудничеству, лучше переносят стресс характерный для консалтинговых компаний, а главное четко понимают "во что они вписались" и какой конкурс был на их место.

Сами соискатели, прошедшие игру, отзываются о ней позитивно, и что наиболее интересно: в 60% случаях советуют взять другого человека. А иногда просят создать общий чат с другими игроками - так им нравится формат обмена опытом и синхронизации. 🌄

А как вы относитесь к "групповушке" в хорошем смысле этого слова? Был ли у вас подобный опыт? На какие роли? В каких организациях? М.б. были кейсы неудач? Давайте обменяемся мудротой 🤝

P.S. Во вложении - пример второго этапа подбора. Психометрическое тестирование ПИФ Экопси. Результаты которого, вместе с рекомендациями по персональному развитию, выдаются всем участникам, которым мы готовы сделать оффер (это позволяет нам причесать субъективный взгляд "приемной комиссии" об некий "объективный" внешний измеритель).

#Люди #HR #КадрыРешаютВсе

Искусство ради искусства, или чем полезна безопасность? 🪨

🖋 О проблеме результативной ИБ и ценности ИБ для организаций, сегодня в России не говорит только ленивый. Отрасль становится более зрелой. Вендоры, интеграторы и консультанты стараются развивать рынок на фоне общеэкономического кризиса и создавать спрос, несмотря на высокую ставку и другие проблемы. Профессиональное сообщество окончательно сформировалось и превращается в "гильдию безопасников" с собственной спецификой и культурными практиками. Но говорить и знать, и активно делать и применять - разные вещи. Таким образом, фактическая результативность ИБ, способы диалога с руководством или собственниками организаций, взаимодействия с ИТ и бизнесом, подходы к приоритезации задач - продолжают оставаться камнем преткновения для многих.

⚪ Эта ситуация может быть неочевидна узкотехническим специалистам, с установкой "мы просто делаем свою работу за зарплату". Но как только человек из оппортунистической позиции "без ТЗ - результат ХЗ" начинает эволюционировать в зрелую позицию "мы делаем общее дело, и мне бы не хотелось потратить 80 тысяч часов своей жизни впустую", то начинается магия. Человек начинает задумываться над тем, а чем он "зарабатывает себе на жизнь". То есть уже недостаточно "получать зарплату", важно создать ценность для организации, её клиентов и общества, и таким образом "заслужить долю" от её благосостояния. Разница здесь примерно такая же, как между пассивным удовольствием от потребления "алкоголя и веществ" и радостью от активного решения "сложной творческой задачи" или "спортивной тренировки". Субъективно и то и другое - радость, но объективно качество опыта и его последствия для самого человека и окружающих его лиц кардинально отличаются.

‼️ К чему это длинное вступление о "половцах и печенегах"? К тому, что вопросы ценности ИБ, ценности нашего вклада в те организации, где мы работаем - рано или поздно встают перед каждым развивающимся в профессии безопасником. Не важно - проработка ли это синдрома самозванца с психологом, или прохождение аттестации для получения грейда на повышение, или размышления над тем, как доказать коллегам из ИТ и бизнеса, что надо внести корректировки в работу, или обоснование внедрения (или не внедрения) нового средства защиты... В конечном итоге вопросы нашего субъективного счастья, и нашего объективного положения внутри организаций оказываются завязаны на ценностях, а те в свою очередь примыкают к понятию "риска". Понимание этого, умение рассказать об ИБ не в отрыве от реальности, а в привязке к целям всей организации и её сквозным бизнес-процессам - базовый hard skill любого безопасника. Ключ к результативной и эффективной ИБ.

📄 Поэтому я очень рад поделиться с вами полезным материалом от Миши Толчельникова, который был подготовлен им в рамках нашего проекта отраслевых клубов в Кибердоме. Как говорится - это точно не повредит, а скорее всего даже сильно усилит любого ИБ специалиста, который в силу неизбежного ограничения времени и сил упустил тематику рисков и ценности из фокуса своего внимания. 🤝

А как вы отвечаете на вопрос о собственной ценности для своей компании и общества, ребята? 🕵‍♂️

*Презентация выложена в комментариях

#Риски #Фундамент #Ценность #Философия

‼️ Официальное объявление ниже, в приложении. Если кратко - приходите, потусим и позагружаемся мудротой на профильной конференции по ИБ от АБИСС. Наш кооператив растет и слава богу "шапочку единственного фронтмена" можно снимать - у нас пока не "Ласковый май" с пятью составами музыкантов, но уже уверенная "рок-н-ролл банда". Конкретном мы будем говорить про трансформацию ИБ в нечто явно ценное для организаций + про безопасную разработку и её последние тренды.

P.S. Участие для заказчиков и клиентов - бесплатное, насколько я понимаю с обедом и фуршетом по принципу "все включено" 🕵‍♂️