О бесценностных отчетах, бесполезных уязвимостях и смысле ИБытия

В замечательном, на мой взгляд, фильме " О чем говорят мужчины " есть короткий ролик, который вы, наверное, хорошо знаете.




Главной ошибкой подавляющего большинства ИБ-шников является ... нет, не абсолютная уверенность в собственной значимости и важности дела, которое они пытаются делать . Это - лишь следствие того, что никто из них периодически не задает простой вопрос - "ЗАЧЕМ?". Отсюда - обида на непонимание со стороны бизнеса, перерастающие во взаимные оскорбления "терки" в соцсетях, раздрай и развод по принципу "ты мне больше не дружок..." со всеми вытекающими. И дело здесь совсем не в опыте и (или) возрасте, как у героя ролика. В чем именно - попробуем разобраться на паре примеров.

Всю свою сознательную жизнь, 24/7 каждый человек совершает сделки купли-продажи. Предметом таких сделок может быть кто и что угодно, равно как входить в состав их участников. Автор этого блога, обладая универсальной валютой - собственным временем, и множеством товара в виде предложений на что его потратить, изучил товар и нашел тот, что наиболее соответствует его ценностям применительно к рассматриваемой области деятельности: я давно не писАл, а читателей у блога много и все ждут чего-то интересного, да и мне нравится этим заниматься. И вот - я пишу этот пост, потому что за свое собственное время (деньги) купил сам у себя идею его написания (товар). При этом я, как покупатель, одновременно являюсь и продавцом, и я же, как продавец - покупателем. Это можно понять, представив ограниченный лимит времени в качестве товара, а множество идей в качестве купюр различной величины. Эдакое перманентное двустороннее раздвоение личности.

Сделка может состояться только тогда, когда стоимость товара, измеренная в системе ценностей покупателя, выше или равна стоимости этого товара, измеренного в системе ценностей продавца. В противном случае у покупателя возникает вопрос "ЗАЧЕМ?", и продавцу приходится проводить переговоры для того, чтобы внести коррективы (временные или постоянные) в систему ценностей покупателя, либо перестраивать предложение таким образом, чтобы оно соответствовало системе ценностей покупателя и, опять же - путем проведения переговоров, заставить его провести повторную оценку.

В ролике выше герой, пока был молодой, с легкостью покупал предложение друга за свое собственное время, потому что у него была определенная система ценностей и вопрос "ЗАЧЕМ?" даже не возникал - предложение полностью ей соответствовало. Позже, когда система ценностей героя изменилась и предложение "поехать в Отрадное" оценивалось в ней не столь высоко - возникал вопрос "ЗАЧЕМ?", но переговоров не было, система ценностей и предложение никем не корректировались и продажи не происходило.

Моя личная практика, опыт коллег и наблюдения за окружающим миром показывает, что в информационной безопасности все так же прозаично, как и в обычной жизни.

Посмотрел я отчет Евгения Царева и Компании под названием "Рынок информационной безопасности Российской Федерации", с бонусом в виде обзора рынка информационной безопасности Украины. Объемный документ, много картинок и графиков, даже фотки авторов есть. Сразу видно - люди старались, писали, на каждой странице чувствуется жесткая редактура автора идеи. Очевидно, Евгений, продав идею такого документа сначала самому себе, впоследствии смог продать идею коллективу авторов за бесплатный (!) труд высокооплачиваемых представителей рынка ИБ. Хороший маркетинг, правильное позиционирование.

Получили ли авторы работы то, что хотели - не знаю: очень надеюсь, что да. Но я, изрядно подустав от чтения этого труда на странице 16, начал сначала читать диагонально, а ближе к концу - и вовсе пролистывать страницы и смотреть только картинки. Какую ценность представляет эта информация для меня, провинциального представителя enterprise, чтобы тратить свое время на его скурпулезное изучение? Никакой. Для общего сведения - не более. Поэтому заявленной "попмы" я не прочувствовал, а реакция представителей "рынка ИБ", не участвовавших в подготовке документа, в соцсетях меня позабавила: оказывается, и для них этот отчет в силу различных причин особой ценности не представляет.

"ЗАЧЕМ?"

А кто ж его знает. Ну собрались, ну поработали каждый сам по своим причинам и направлениям. Ну и молодцы.

Еще больше удовольствия доставили мне, провинциальному представителю "реального" сектора экономики, баталии относительно того, что есть "реальная безопасность" среди - внимание! - ВЕНДОРОВ, ХАКЕРОВ и ИНТЕГРАТОРОВ. Площадкой для "демонстрации силы" были выбраны социальные сети и блоги, а главным публичным демо-стендом - сайт уральского форума "Информационная безопасность банков". Природа конфликта стара как мир, и суть его проста: на планете Земля в общем и на рынке ИБ в частности становится тесновато, талантливая молодежь с IDA наперевес напирает на повзрослевших и пересевших на "бумагу" и PowerPoint "авторитетов", каждая из сторон доказывает свое превосходство и ни одна из них не собирается уступать. Следы сражений есть и тут , и там и вот здесь еще - почитайте, кто не знает.

Чем грешат стороны - так это отсутствием конструктивного диалога на фоне различной оценки пропорций "бумаги" и "железа" в комплексном подходе к обеспечению безопасности. Молодые "технари", не понимающие, почему их бесценные сведения о наличии критичных, легко эксплуатируемых уязвимостей в информационных системах никому не нужны, твитят с напором "бирюлевской братвы", а "бумажные авторитеты", знающие и о комплексном подходе, и о процессе под названием "управление рисками", и о том, что одна СУИБ другой рознь, пытаются не впопад отвечать в том же духе или засыпать матюги бизнес-терминологией, и заведомо проигрывают "базар".

Безопасность - это товар.

Товар, который можно продавать, и который готовы покупать. Единственное и главное условие - этот товар должен быть высоко оценен в системе ценностей того покупателя, которому вы, как продавец, пытаетесь его "втюхать". Даже если продавец и покупатель это один и тот же человек - вы сами.

Что вы делаете - ищете уязвимости? Отлично, наверное - нужное занятие. ЗАЧЕМ? Доказать себе что я хакер, что я могу искать уязвимости, могу писать эксплойты и взламывать информационные системы. Прекрасно - ЗАЧЕМ? первый вариант - воровать деньги с кредитных карт населения, купить себе домик на Мальдивах или сесть в тюрьму. Второй вариант - я хочу работать исследователем в компании, разрабатывающей программные продукты для анализа защищенности, и получать большую зарплату. Прекрасно - риски оценены, продажа самому себе совершена - вперед и с песней, исполняй намеченное.

В "реальном" секторе экономики, при общении "с бизнесом", все по-другому.

- Здравствуйте, я специалист по поиску уязвимостей.
- Отлично, что вы можете предложить нашей компании?
- Я могу анализировать вашу информационную систему и выдавать отчет об уязвимостях с рекомендациями по их устранению.
- ЗАЧЕМ нам это надо?
- Ну как же - вокруг столько вредоносного кода, хакеров и прочих недоброжелателей.
- У нас IPS и антивирусы, а наша служба безопасности хорошо знакома с управлением К МВД и в бараний рог свернет любого кто залезет в нашу сеть. ЗАЧЕМ нам искать уязвимости?
- Ну а вдруг ваш сайт дефейснут - это нанесет непоправимый имиджевый ущерб!
- Какой-какой ущерб?
- Неизгладимый. Невосстановимый. Ээээ... Неоценимый!
- До свидания.

Поэтому все и говорят - "бизнес и ИБ не понимают друг друга". Конечно, не понимают - да кто это такой вообще, этот "бизнес"? Акционеры? Им вообще есть дело только до стоимости акций и суммы дивидендов. Генеральный директор? В большинстве случаев он наемный с совершенно четко обозначенной позицией "порубать косты и в кусты". Но кто тогда - главбух? Может, главный айтишник? Этим вообще ИБ - одна помеха. Кому нужна безопасность? Возьмите - дорого отдам.

ИБ-шник, который сетует на то, что бизнес его не понимает - ходячий труп.
Динозавр ИБ, обреченный на вымирание. Спасти его от неизбежного приближения метеорита и ледникового периода может только осознание того факта, что он - ТОЖЕ ЧАСТЬ БИЗНЕСА. И его задача, как и задача любого не ИБ-подразделения, заключается в двух вещах: получить прибыль и предотвратить потери. Ну, или, по крайней мере способствовать этому.

Замечательный руководитель замечательной компании, пожимая руку одному знакомому безопаснику, сказал однажды - "а, вот это подразделение точно EBITDA не увеличивает". Ничуть не смутившись, безопасник улыбнулся и ответил: "зато мы надежно сохраняем то, что так старательно увеличиваете вы". Зато гендиректор постоянно хвалил главного ИТ-шника, которому удалось на 10% снизить время простоя техники для работников "добывающих" подразделений, вдвое снизить численность группы, занимающейся ручной установкой патчей, перебросить высвободившихся на другие проекты, благодаря чему вдвое ускорить процесс запуска так дорогого гендирскому сердцу сервиса электронного документооборота. Разве помнил он, что все это сделано благодаря системе управления уязвимостей? Нет конечно, да и не надо ему это. Зато это надо было главному ИТ-шнику - вон какие показатели. Ему безопасник и продал идею, которая нашла поддержку, была переоценена в системе бизнес-показателей и перепродана руководству.

Реальная безопасность - это товар, который у вас купили.

Не важно, что это за товар - бумага, железки, сертификат соответствия, акт проверки без замечаний, признанный авторитет, ощущение защищенности и даже "у меня круче чем у соседа". Не важно, кто покупатель. Важно, что ваша идея, экспертное мнение, предложение по снижению рисков, IPS, регламент конфиденциального делопроизводства - да что угодно - куплено, внедрено и работает. И за это вам заплатили - премией, отпуском, штатом, грамотой, приверженностью требованиям ИБ со стороны руководства, просто зарплатой.

Разные системы ценностей являются причиной того, что достижения одних кажутся другим полной ерундой. Взять хотя бы мое отношение к вышеупомянутому отчету и отношение к нему самого автора. Или отношение "технарей" к "бумаге". "Кто все эти люди и чем они занимаются?" - вопрошает автор вышеупомянутого поста на Хабре. Эти люди - продавцы безопасности, ставшей реальной в иных, уникальных системах оценки. Они продали свой товар за собственную зарплату, и нет никаких оснований критиковать это. Сделка состоялась, стороны довольны, все - молодцы. Можно только позавидовать.

Не видите смысла в своем существовании и не можете продать свой товар? Ничего удивительного - продавать нужно уметь. Не умеете - нужно учиться. "Зачем я делаю то, что я делаю? Зачем то, что я предлагаю, нужно тем, кому я это предлагаю? Зачем мне платят деньги и что от меня хотят получить взамен?" - эти вопросы нужно задавать себе каждый день и каждый раз пытаться на них ответить. Ответить в системе ценностей покупателя. Того, у кого есть деньги.

В конце концов, у вас всегда есть возможность выбора - продавать безопасность или что-то еще. Главное - определиться с ответом на вопрос:

"ЗАЧЕМ"?

P.S. Летом, в Казани , я расскажу о том, чему и как пришлось учиться мне. Зачем? Потому что доклады систематизируют знания и улучшают навыки публичных выступлений, которые так любят руководители. Потому что аудитории это может быть интересно. Потому что мне нравится делиться опытом. Очень надеюсь, что понравится и вам ;)