Вариант 1.
Смотреть как это устроено у других (сюда же отнесем стандарты и бенчмарки), похожих на тебя, и выделять такой же бюджет, людей, средства защиты, и делать по аналогии
Вариант 2.
Использовать риск-ориентированный подход, рисовать карты рисков, создавать перечни недопустимых событий, мониторить индикаторы и математизироваьь принятие решений
Вариант 3.
Осваивать техники публичных выступлений и эффективно убеждать собственников и топ-руководство в своей полезности для получения карт-бланша
И как обычно опытные, сильные, крутые профессионалы с кучей хороших идей уходят в частности и полумеры.
В ответ на реплику Лукацкого про то, что по статистике CISO нужно 3 года для наведения порядка в своей организации, а в нашей реальности они меняют работу каждые 2 года, кто-то по-стахановски заявляет: значит надо ускориться и успевать все делать за 2 года! Вспоминаю историю про 9 женщин и перевыполнение плана рождения ребёнка в 9 раз.
И помнить, что люди-процессы-технологии - это не красивые слова, а суровая реальность. И в этой реальности из-за того, что в формуле есть ЛЮДИ, определённая доля хаоса и неопределенности - неизбежны. И система, или процессы, чтобы они работали должны быть ВНЕДРЕНЫ, т.е. прежде всего приняты ответственными ЛЮДЬМИ. А это уже вопросы психологии, социологии и мотивации труда всего коллектива организации, равно далёкие как от технических штуковин, так и от решений принятых в высоких кабинетах топами и собственниками.
Ближе всех в отечественной практике подошли стандарты семейства 57580 от Центрального Банка, которые включают и акценты на человеческий фактор, и на внедрение, и поддержку, и баланс техники и организации. За сложностью формулировок 57580 скрывается здравая установка на синтез целей организации (бизнеса/дела), её безопасности (пресловутый КЦД) и удовлетворённости клиентов (через непрерывность и качество услуги). А это и есть признак результативности и полезности ИБ.
Приходится ли вам доказывать свою полезность коллегам, топам и собственникам? Каким образом это делаете вы?
#Мудрота #Мероприятие #ТерриторияБезопасности2025 #PDCA #Процессы #Люди #Технологии #Риски
Please open Telegram to view this post
VIEW IN TELEGRAM
YouTube
Ситуационные модели управления ИБ | Рустам Гусейнов
4 апреля в Москве прошла конференция "Финтех-2024. Направления развития", которая была организована Kommersant events. В рамках мероприятия с докладом выступил председатель кооператива RAD COP Рустам Гусейнов. В своём выступлении он рассказал об инновационном…
👍13❤4👏2😁1
Не о PHD, а об уровне развития DevOps/DevSecOps в этой стране🕵♂️
Пока значительная часть ИБв и всех им сочувствующих находится на PHD, мы предлагаем вашему вниманию опрос: https://anketolog.ru/service/survey/fill/extraLink/98347249/Qq2EcVbF‼️
🤝 Партнер кооператива РАД КОП — компания Экспресс 42 — проводит ежегодное исследование DevOps в России. Когда-то этот канал начинался как производная от DevSecOps и личной потребности автора разобраться в теме. Сегодня, когда мы называемся Security Wine и исследуем вопросы ИБ в широком смысле, мы сохраняем интерес к альма-матер.
На наш взгляд, состояние DevOps — хороший индикатор развития отрасли и её зрелости. Через эволюцию этих практик и инструментов можно смотреть на актуальные тренды в ИТ: от состояния внедрения ИИ до возникновения принципиально новых технологий и практик ИБ, влияющих на каждого из нас.
🤝 В прилагаемом опросе примут участие более 4000 представителей индустрии. Результаты опроса будут опубликованы в открытом доступе и помогут нам всем лучше понять Точку А: где мы находимся сейчас как отрасль, кто какие технологии использует, кто куда смотрит и т.д. и т.п. Это позволит каждому выработать свою личную или командную Точку Б: куда нам и нашим командам стоит смотреть и идти, чтобы соответствовать «духу времени» (или не соответствовать — возможно кто-то из нас занял отличную эволюционную нишу, которой «на их век хватит»! ❤️ ).
⏳ Опрос займет около 20 минут. Еще раз дублируем ссылку для прохождения: https://anketolog.ru/service/survey/fill/extraLink/98347249/Qq2EcVbF .
P.S. Среди участников опроса состоится розыгрыш мерча и билетов на Highload++ и DevOpsConf.
P.P.S. Если есть мысли или комментарии к опросу — делитесь мудротой в комментариях, этот канал — место для дискуссий💻
Пока значительная часть ИБв и всех им сочувствующих находится на PHD, мы предлагаем вашему вниманию опрос: https://anketolog.ru/service/survey/fill/extraLink/98347249/Qq2EcVbF
На наш взгляд, состояние DevOps — хороший индикатор развития отрасли и её зрелости. Через эволюцию этих практик и инструментов можно смотреть на актуальные тренды в ИТ: от состояния внедрения ИИ до возникновения принципиально новых технологий и практик ИБ, влияющих на каждого из нас.
P.S. Среди участников опроса состоится розыгрыш мерча и билетов на Highload++ и DevOpsConf.
P.P.S. Если есть мысли или комментарии к опросу — делитесь мудротой в комментариях, этот канал — место для дискуссий
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4❤1
Кадры решают все 🤝
Находясь на одной ESG конференции (так называется популярная в мире и России повестка: экология-общество-руководство, призванная воплотить тренды чистоты и человеколюбия на Земле) и слушая про пресловутый "дефицит кадров" вспоминаю наш путь мытарств и ошибок.🪨
‼️ С кадрами, как и с devsecops, отлично работает парадигма shift left. Чем раньше мы выявляем подходящего или неподходящего человека, тем лучше и дешевле нам даются последующие коммуникация, интеграция, адаптация и сотрудничество. А в самоуправляемой организации, где рядовые сотрудники включены даже в контур стратегирования и как в "красных отрядах" 1917 могут буквально выбирать своих руководителей - адекватность подбора людей "на входе" становится ещё более критичной.
⚙️ Поэкспериментировав с разными подходами: от "как здорово, что все мы здесь сегодня собрались" до "берем крутых профессионалов с репутацией" и пообжигавшись на всех возможных практиках, мы выработали следующую схему подбора:
А. Подбор в кооп всегда конкурсный (исключения возможны, но в суперредких случаях, когда человек либо приводит гарантированную клиентскую базу, либо передает внутрь какую-то супер технологию и практику, либо имеет длительный анамнез работы с кооперативом как фрилансер и проявился в разных ситуациях с лучшей стороны❤️ );
Б. Подбор построен на онлайн-игре в Zoom, где соискатели решают максимально релевантный их роли кейс в составе команд из 2-3 человек (дополнительно проверяется кооперативность игроков). В одной команде - другие конкурсанты, соревнующиеся за роль (например, пентестеры пытаются взломать тестовый сайт; менеджеры проектов решают задачу реорганизации сквозного бизнес-процесса; аналитики вычитывают документы⏳ );
В. Оценки лучших и наиболее адекватных для конкретной роли людей ставятся не только кооператорами, но и самими участниками игры, с использованием релевантных для роли аргументов и обоснований (мы спрашиваем участников: кого на ваш взгляд надо взять на роль и почему, т.е. люди не отчуждаются от процесса и не превращаются в "коней, которым смотрят зубы"❔ ).
🖋 Под капотом подхода лежит синтез трех инструментов: фреймворка вертикального развития У. Торберта, теории мотивации В. Герчикова и интерпретации процессного бизнеса в изложении М. Рыбакова. И пока полет, идущий по нарастающей с марта 2025 года, показывает отличные результаты (полностью мы поймем как это работает года через три!). Люди, отобранные по конкурсу априори гораздо более открыты к сотрудничеству, лучше переносят стресс характерный для консалтинговых компаний, а главное четко понимают "во что они вписались" и какой конкурс был на их место.
Сами соискатели, прошедшие игру, отзываются о ней позитивно, и что наиболее интересно: в 60% случаях советуют взять другого человека. А иногда просят создать общий чат с другими игроками - так им нравится формат обмена опытом и синхронизации.🌄
А как вы относитесь к "групповушке" в хорошем смысле этого слова? Был ли у вас подобный опыт? На какие роли? В каких организациях? М.б. были кейсы неудач? Давайте обменяемся мудротой🤝
P.S. Во вложении - пример второго этапа подбора. Психометрическое тестирование ПИФ Экопси. Результаты которого, вместе с рекомендациями по персональному развитию, выдаются всем участникам, которым мы готовы сделать оффер (это позволяет нам причесать субъективный взгляд "приемной комиссии" об некий "объективный" внешний измеритель).
#Люди #HR #КадрыРешаютВсе
Находясь на одной ESG конференции (так называется популярная в мире и России повестка: экология-общество-руководство, призванная воплотить тренды чистоты и человеколюбия на Земле) и слушая про пресловутый "дефицит кадров" вспоминаю наш путь мытарств и ошибок.
А. Подбор в кооп всегда конкурсный (исключения возможны, но в суперредких случаях, когда человек либо приводит гарантированную клиентскую базу, либо передает внутрь какую-то супер технологию и практику, либо имеет длительный анамнез работы с кооперативом как фрилансер и проявился в разных ситуациях с лучшей стороны
Б. Подбор построен на онлайн-игре в Zoom, где соискатели решают максимально релевантный их роли кейс в составе команд из 2-3 человек (дополнительно проверяется кооперативность игроков). В одной команде - другие конкурсанты, соревнующиеся за роль (например, пентестеры пытаются взломать тестовый сайт; менеджеры проектов решают задачу реорганизации сквозного бизнес-процесса; аналитики вычитывают документы
В. Оценки лучших и наиболее адекватных для конкретной роли людей ставятся не только кооператорами, но и самими участниками игры, с использованием релевантных для роли аргументов и обоснований (мы спрашиваем участников: кого на ваш взгляд надо взять на роль и почему, т.е. люди не отчуждаются от процесса и не превращаются в "коней, которым смотрят зубы"
Сами соискатели, прошедшие игру, отзываются о ней позитивно, и что наиболее интересно: в 60% случаях советуют взять другого человека. А иногда просят создать общий чат с другими игроками - так им нравится формат обмена опытом и синхронизации.
А как вы относитесь к "групповушке" в хорошем смысле этого слова? Был ли у вас подобный опыт? На какие роли? В каких организациях? М.б. были кейсы неудач? Давайте обменяемся мудротой
P.S. Во вложении - пример второго этапа подбора. Психометрическое тестирование ПИФ Экопси. Результаты которого, вместе с рекомендациями по персональному развитию, выдаются всем участникам, которым мы готовы сделать оффер (это позволяет нам причесать субъективный взгляд "приемной комиссии" об некий "объективный" внешний измеритель).
#Люди #HR #КадрыРешаютВсе
Please open Telegram to view this post
VIEW IN TELEGRAM
🥴16❤7👍5👏1
Заметил недавно, сколько важных знакомств и инсайтов случается не за столом переговоров, а где-то на краю города или на маршруте по горам
У меня с такими «нестандартными» встречами связаны одни из самых полезных обсуждений — когда все уже не по ролям, а на равных, с интересом и без напряжения. Именно поэтому мне откликается формат Код ИБ ПРОФИ в Сочи: когда в одном событии совмещаются деловые мастер-классы и синяя дымка от костра в конце насыщенного дня💻
11–14 сентября, Роза Хутор — встречаемся на Код ИБ ПРОФИ: 2 дня учений в штабе и на киберполигоне, мастер-классов от признанных экспертов отрасли:
А потом — джип-туры по каньонам, сплавы и те самые неформальные разговоры, которые, бывает, ценнее любого круглого стола🤝
Мне подобные выезды всегда давали не только новые знания, но и поддержку комьюнити, свежие взгляды на рутину, да и просто пару новых надёжных телефонов в списке контактов.
Для подписчиков «RAD COP» действует скидка 5% — промокод RADCOP на странице регистрации.
Подробнее о программе и регистрации — здесь.
Если будете — дайте знать, очень хочу пообщаться лично и вместе пройти парочку новых троп🤝 🎙
Реклама. ООО ЭКСПО-ЛИНК. ИНН 6670051499. erid 2W5zFHeRyh2
У меня с такими «нестандартными» встречами связаны одни из самых полезных обсуждений — когда все уже не по ролям, а на равных, с интересом и без напряжения. Именно поэтому мне откликается формат Код ИБ ПРОФИ в Сочи: когда в одном событии совмещаются деловые мастер-классы и синяя дымка от костра в конце насыщенного дня
11–14 сентября, Роза Хутор — встречаемся на Код ИБ ПРОФИ: 2 дня учений в штабе и на киберполигоне, мастер-классов от признанных экспертов отрасли:
• Андрей Масалович, президент Консорциума, Инфорус
• Георгий Руденко, директор по ИБ, Райффайзенбанк
• Всеслав Соленик, директор по ИБ, СберТех
• Сергей Петренко, директор по ИБ, Цифровой оператор Сириус
• Лев Палей, основатель #ПоИБэшечки и директор по ИБ, Вебмониторэкс
• Антон Кокин, директор по инфраструктуре и ИБ, Трубная металлургическая компания
• Артем Куличкин, и. о. директора по информационной безопасности дочерних компаний страховой группы, СОГАЗ
• Артем Избаенков, член правления, АРСИБ
• Сергей Рысин, генеральный директор, АСИЕ-Групп
А потом — джип-туры по каньонам, сплавы и те самые неформальные разговоры, которые, бывает, ценнее любого круглого стола
Мне подобные выезды всегда давали не только новые знания, но и поддержку комьюнити, свежие взгляды на рутину, да и просто пару новых надёжных телефонов в списке контактов.
Для подписчиков «RAD COP» действует скидка 5% — промокод RADCOP на странице регистрации.
Подробнее о программе и регистрации — здесь.
Если будете — дайте знать, очень хочу пообщаться лично и вместе пройти парочку новых троп
Реклама. ООО ЭКСПО-ЛИНК. ИНН 6670051499. erid 2W5zFHeRyh2
Please open Telegram to view this post
VIEW IN TELEGRAM
💩9👍2