На рынке ИБ есть отдельный жанр — «подрядчики до первого инцидента».
Вчерашние студенты.
Сайт на конструкторе.
Громкое название.
Прайс в два раза ниже рынка.
И бизнесу кажется, что он нашёл умных и экономных.
Проблема в том, что демпинг в ИБ почти никогда не связан с эффективностью.
Он связан только с отсутствием ответственности.
Пока всё спокойно — разницы действительно нет.
Отчёты похожи. Таблицы похожи. Слова правильные.
Настоящая разница появляется в день инцидента.
Потому что безопасность — это не момент продажи услуги.
Это момент, когда что-то пошло не так.
И внезапно выясняется:
— модель угроз скачана из интернета
— мониторинга нет
— внедрение было «для галочки»
— подрядчик уже не отвечает
Дешёвая ИБ работает ровно до первого настоящего события.
После этого рынок каждый раз заново вспоминает простую вещь:
в безопасности демпинг — это почти всегда кредит,
который берут у будущего инцидента.
Вчерашние студенты.
Сайт на конструкторе.
Громкое название.
Прайс в два раза ниже рынка.
И бизнесу кажется, что он нашёл умных и экономных.
Проблема в том, что демпинг в ИБ почти никогда не связан с эффективностью.
Он связан только с отсутствием ответственности.
Пока всё спокойно — разницы действительно нет.
Отчёты похожи. Таблицы похожи. Слова правильные.
Настоящая разница появляется в день инцидента.
Потому что безопасность — это не момент продажи услуги.
Это момент, когда что-то пошло не так.
И внезапно выясняется:
— модель угроз скачана из интернета
— мониторинга нет
— внедрение было «для галочки»
— подрядчик уже не отвечает
Дешёвая ИБ работает ровно до первого настоящего события.
После этого рынок каждый раз заново вспоминает простую вещь:
в безопасности демпинг — это почти всегда кредит,
который берут у будущего инцидента.
💯1
Почему руководство не чувствует риск атаки — и как это исправить
Проблема не в том, что менеджмент «не понимает ИБ».
Проблема в том, что ему показывают угрозы, а не последствия.
Фраза «возможна атака с компрометацией инфраструктуры» ничего не стоит.
Фраза «3 дня простоя = минус 18 млн выручки + штрафы + отток клиентов» — стоит. Пример Дубайского аэропорта в помощь. Там правда атака другого порядка была.
Пока риск не превращён в цифры, это не риск. Это мнение.
Рабочий способ донести последствия — моделирование.
Не пугалки.
Не слайды с хакерами.
А сценарий:
— что именно ломается
— сколько времени это чинится
— какие процессы останавливаются
— где теряется выручка
— какие обязательства нарушаются
— сколько стоит восстановление
И главное — диапазон.
Не «будет плохо», а:
в базовом сценарии — X,
в тяжёлом — Y,
в худшем — Z.
Когда у риска появляется финансовый коридор, разговор внезапно становится взрослым.
ИБ перестаёт быть статьёй затрат
и становится управлением вероятностью
И вот тогда уже обсуждают не «надо или не надо»,
а «какой уровень риска мы готовы принять».
Проблема не в том, что менеджмент «не понимает ИБ».
Проблема в том, что ему показывают угрозы, а не последствия.
Фраза «возможна атака с компрометацией инфраструктуры» ничего не стоит.
Фраза «3 дня простоя = минус 18 млн выручки + штрафы + отток клиентов» — стоит. Пример Дубайского аэропорта в помощь. Там правда атака другого порядка была.
Пока риск не превращён в цифры, это не риск. Это мнение.
Рабочий способ донести последствия — моделирование.
Не пугалки.
Не слайды с хакерами.
А сценарий:
— что именно ломается
— сколько времени это чинится
— какие процессы останавливаются
— где теряется выручка
— какие обязательства нарушаются
— сколько стоит восстановление
И главное — диапазон.
Не «будет плохо», а:
в базовом сценарии — X,
в тяжёлом — Y,
в худшем — Z.
Когда у риска появляется финансовый коридор, разговор внезапно становится взрослым.
ИБ перестаёт быть статьёй затрат
и становится управлением вероятностью
И вот тогда уже обсуждают не «надо или не надо»,
а «какой уровень риска мы готовы принять».
👍2
Почему после атаки часто выясняется, что безопасность была, а защиты — нет
Во многих компаниях безопасность выглядит одинаково:
Есть политики.
Есть регламенты.
Есть внедрённые решения.
На бумаге всё прилично.
Но почти никто не задаёт простой вопрос: а что именно должно остановить атаку?
Не какая система стоит.
А какой сценарий она должна сломать.
Можно купить SIEM — и не увидеть атаку.
Можно поставить DLP — и спокойно слить базу через подрядчика.
Почему после атаки часто выясняется, что безопасность была, а защиты — нет?
На бумаге всё прилично.
Но почти никто не задаёт простой вопрос: а что именно должно остановить атаку?
Не какая система стоит. А какой сценарий она должна сломать.
Можно купить SIEM — и не увидеть атаку.
Можно поставить DLP — и спокойно слить базу через подрядчика.
Потому что покупают решения,
а не закрывают сценарии.
Безопасность начинается с вопроса: что именно должно не произойти?
И только потом выбирают инструменты.
Когда делают наоборот — получается знакомая конструкция:
решения есть,
а защиты нет.
Во многих компаниях безопасность выглядит одинаково:
Есть политики.
Есть регламенты.
Есть внедрённые решения.
На бумаге всё прилично.
Но почти никто не задаёт простой вопрос: а что именно должно остановить атаку?
Не какая система стоит.
А какой сценарий она должна сломать.
Можно купить SIEM — и не увидеть атаку.
Можно поставить DLP — и спокойно слить базу через подрядчика.
Почему после атаки часто выясняется, что безопасность была, а защиты — нет?
На бумаге всё прилично.
Но почти никто не задаёт простой вопрос: а что именно должно остановить атаку?
Не какая система стоит. А какой сценарий она должна сломать.
Можно купить SIEM — и не увидеть атаку.
Можно поставить DLP — и спокойно слить базу через подрядчика.
Потому что покупают решения,
а не закрывают сценарии.
Безопасность начинается с вопроса: что именно должно не произойти?
И только потом выбирают инструменты.
Когда делают наоборот — получается знакомая конструкция:
решения есть,
а защиты нет.
Приходит клиент N с запросом на пентест - называет количество айпишников ну и прочие вещи, что есть в опроснике для формирования кп. Вот наше кп на пару миллионов выходит, так как работы там действительно много. Отправляю. Говорит дорого, типа есть предложения за 300!! Ну вот и как с таким бороться? Когда есть студенты, которые никакой ответственности за результат не несут, ты со своими гарантиями и опытом просто не получаешь доступ к проекту. Ну вопрос то какой - вот есть такой тип клиентов и что с ними делать? Пытаться переубедить или забить и пусть идут делают что хотят?
Я почти 2 месяца общаюсь с компанией на тему покупки продукта за такие деньги, что даже озвучивать смешно. 2 месяца тестов, ВКСы и тд ну и вроде всё ок, будут брать. И тут начался цирк - отправьте копии лицензий ФСБ и ФСТЭК, потом отправьте ТЗ на продукт, отправьте приглашения в Эдо, теперь переделайте договор на другой юр лицо блять и в итоге это все длится уже третью неделю. В это время с двух ног влетает ипэшник, говорит давай мне такое. Я ему говорю, брат не надо тебе, иди посмотри бесплатные решения на рынке. Ушел. Ну объективно - наш продукт для него это уже следущий шаг должен быть. Вернулся через неделю, говорит все равно надо. Ну ок. Счёт выставил, на следующий день оплатил и никакой ебли мозгов. Сумма почти такая же, как и у первой компании, которая пока так и не оплатила. Вот и думайте.
В каком-то б2б тг канале прочитал тейк, что если компания не говорит своё название - лид гавно. И поймал себя на мысли, что вот в ибэшке я с таким очень часто сталкиваюсь, хотя раньше таких случаев почти не встречал.
💯1
Работал как-то ропом в небольшой компании, пришел туда, когда уже команда была сформирована на половину от плановой нормы. Продавали продукт. И там впервые я услышал от менеджеров следующую отмазку, почему нельзя продать наш продукт. Клиенты - фанаты конкурентов. Типа прям фанаты до мозга костей и похуй на цену и на то что продукт хуже, всё дело было в дизайне. Якобы настолько он им нравился, что любые аргументы крылись дизайном конкурирующего решения. Верим?
😁1💩1🗿1
Провел большую работу с клиентом, было несколько ВКС, несколько созвонов, подготовлен триал продукта, составлено коммерческое. По цене мы точно выигрываем конкурентов, по продукту тоже никаких нареканий критичных не было. Ну в общем заебись все идет. Договариваемся с клиентом на финальный созвон по принятию решения...иии....он оказывается воздуханом занятым человеком. Не берет трубки и не дает вообще никакой ответной реакции на звонки и письма. И тут речь не об одном дне, а о нескольких неделях, так что отпуск, болезнь и тд отпадают. Как поступаете в таких ситуациях?
🤔1
Дополняю предыдущий пост - один человек не отвечает - надо найти другого в этой компании. Сетка и тенчат вообще работают? У меня есть и то и другое, сетка просто мертвая. В тенчате добавляются массовые подписки. Ну и на обеих площадках сплошное нейрохрючево в качестве контента. Объясните как пользоваться, потому что кому бы ни писал - ответа ноль, зачем тогда вообще эти площадки? Или я чего-то не понимаю?
При устройстве на работу часто наниматель спрашивает про наработанные контакты, куда ты сразу сможешь заходить с новым продуктм/услугой. В некоторых отраслях это вообще единственный вариант получить нормальную должность. А вот с точки зрения этики - база все таки чья? Может ли ее брать с собой при уходе менеджер? Не боится ли компания брать к себе на работу человека с базой, зная, что с их базой будет тоже самое при его уходе?
Кому принадлежит клиентская база контактов?
Anonymous Poll
21%
Менеджеру по продажам
79%
Компании, в которой он работал
Насколько важны старания менеджера?
Просто компания не "старается" тебе выплатить зарплату, она выплачивает.
Так нужно ли поощрять менеджера за старания без результата?
Это я к тому, что в большинстве мест, в которых я работал, kpi были заточены под старания менеджера - сделай количество звонков, отправленных кп, встреч и тд. Я даже слышал такое безумие, что за заполненную срм деньги дают ахахх Там где я работал не давали
Ну вот короче менеджеры занимаются стараниями на работе, а не делают результат.
Я не говорю, если что, что не надо эти показатели отслеживать - но платить, мне кажется, нужно только за результат.
Просто компания не "старается" тебе выплатить зарплату, она выплачивает.
Так нужно ли поощрять менеджера за старания без результата?
Это я к тому, что в большинстве мест, в которых я работал, kpi были заточены под старания менеджера - сделай количество звонков, отправленных кп, встреч и тд. Я даже слышал такое безумие, что за заполненную срм деньги дают ахахх Там где я работал не давали
Ну вот короче менеджеры занимаются стараниями на работе, а не делают результат.
Я не говорю, если что, что не надо эти показатели отслеживать - но платить, мне кажется, нужно только за результат.
Руководству плевать как ты делаешь результат, но не плевать, если ты его не делаешь.
Если менеджер по продажам выкладывается по полной, но нет результата - что делать? Видел разные истории в такой ситуации - некоторые откровенно фродили с цифрами. Делали звонки на общие номера телефонов и сидели слушали там робота, которые давал инструкцию какую кнопку жать, чтобы попасть в нужный отдел. Отправляли левые кпшки, когда их даже не просили, чтобы получить выполнение kpi. У некоторых реально не получалось продавать по стечению обстоятельств. В таких ситуациях кто виноват и что делать?
P.s Кстати, по моей практике, поощряли всяких активных умников, которые наёбывали компанию, исключительно молодые ропы. Молодые с точки зрения роли, вчерашние менеджеры. Типа в срм звонков много - молодец, звонков мало - как исправлять ситуацию планируешь, чего тебе не хватает?)
P.s.2 Ребята с бестолковой, нооо очень большой продуктивность, ещё и чаще всего долго в компании задерживаются, особенно, если компания достаточно большая, чтобы потеряться. Но не слишком большая, там хорошо цифры считают и быстро выпиздят за такие приколы)
Если менеджер по продажам выкладывается по полной, но нет результата - что делать? Видел разные истории в такой ситуации - некоторые откровенно фродили с цифрами. Делали звонки на общие номера телефонов и сидели слушали там робота, которые давал инструкцию какую кнопку жать, чтобы попасть в нужный отдел. Отправляли левые кпшки, когда их даже не просили, чтобы получить выполнение kpi. У некоторых реально не получалось продавать по стечению обстоятельств. В таких ситуациях кто виноват и что делать?
P.s Кстати, по моей практике, поощряли всяких активных умников, которые наёбывали компанию, исключительно молодые ропы. Молодые с точки зрения роли, вчерашние менеджеры. Типа в срм звонков много - молодец, звонков мало - как исправлять ситуацию планируешь, чего тебе не хватает?)
P.s.2 Ребята с бестолковой, нооо очень большой продуктивность, ещё и чаще всего долго в компании задерживаются, особенно, если компания достаточно большая, чтобы потеряться. Но не слишком большая, там хорошо цифры считают и быстро выпиздят за такие приколы)
👍1
А есть наоборот чуваки, которые косят под бездельников, но у них всегда есть продажи и выполнение плана. Это гении таймменеджмента - им времени хватает и с коллегами попиздеть и сделки закрывать.
💯2