Russian CSO Summit II - день второй

И вот закончился второй и последний день Russian CSO Summit II, который мне понравился даже больше чем первый. В чем ключевое достоинство мероприятия, - в его ориентированности на потребителя. Доклады делаются в массе своей заказчиками, что позволяет услышать о реальном положении дел без рекламы и маркетинга. День начался с рассказа Сергея Сажина (Вымпелком) о том, как у них на практике построен процесс Compliance Management. Учитывая масштаб компании "Вымпелком" и тема, и способ ее решения, были очень интересны. СофтИнформ запомнился громогласным голосом (даже у меня такого нет - для тех, кто меня слышал ;-) Но на конкретные вопросы, связанные с законностью применения разработанных ими DLP-решений, докладчик ответить не смог. Ну и по ряду замечаний, высказанных им в ходе дальнейших выступлений, я понял, что их основная аудитория - службы безопасности (не информационной), которым все эти юридические заморочки "до лампочки". Удивило меня то, что представить СофтИнформа похоже впервые услышал (на практике он, как утверждает, вообще такого не видел), что служба ИБ может и не подчиняться СБ, а входить в состав ИТ или даже быть с ними на одном уровне. Он чуть ли не с пеной у рта доказывал, что это глупость несусветная. Очень понравилось выступление Алексея Щербакова, ИТ-директора "ВостСибСтрой". Он прямо и без прекрас рассказал, как сам строил службу ИБ у себя в девелоперской компании, с какими проблемами столкнулся и как решал их. Самокритично и по делу. Уважаю таких людей ;-) Наверное он был один из немногих, кто готов был прямо говорить о своих неудачах. Представитель Qualys просто порадовал своим выступлением. И по делу и с элементами юмора. А уж то, что нероссиянин очень неплохо говорил по русски, уже отлично. У иностранцев, "отвечающих" за Россию, это не часто встретишь. Кен Яворски, рассказывал про аутсорсинг. Интересно, но... очень уж в его обоих докладах сквозило превосходство ;-( Такое впечатление, что он, пуп Земли и приехал учить "русских медведей", которые отстали в развитии технологии ИБ лет на 5-7 ;-( Ну а завершал конференцию круглый стол, который вел я ;-) Посвящен был аутсорсингу. Точки зрения были высказаны разные, преимущественно, пессимистичные. И Владимир Наймарк из PwC, и Евгений Климов из "МеталлоИнвест", и Людмила Павленко из "МетИнвест" (Украина), и ваш покорный слуга, все высказывались либо жестко "нет" против аутсорсинга, либо приводили много моментов, мешающих активному продвижению аутсорсинга ИБ в России. Дмитрий Устюжанин (Вымпелком) приводил примеры применения аутсорсинга ИБ в России (в т.ч. и в своей компании), но это были точечные сценарии и их было все-таки немного. Александр Антоненков (КАМАЗ) высказал нестандартную идею - сначала получать услуги ИБ, а потом, если они были успешны и принесли пользу бизнесу, платить за них аутсорсеру. Особенно важно это в условиях кризиса, когда предприятия реального сектора экономики не имеют средств (именно сейчас) на оплату таких услуг, но в них нуждаются и готовы платить после выхода из кризиса. Неожиданная позиция... И вначале я думал, что никто из аутсорсеров по такой схеме у нас не работает. Ан нет. Есть такие. Александр назвал Элвис+, как пример такой компании. Делать такие шаги в наше непростое время... вызывает уважение. В целом же все сошлись на том, что аутсорсинг ИБ сегодня - это вопрос доверия и партнерства. Без доверия нет ничего. И хотя Russian CSO Summit II собрал меньше людей, чем проходивший в тот же день IDC IT Security Roadshow, на нем была более камерная и душевная обстановка, более живое общение, больше вопросов... Второй раз участвую в данном мероприятии и мне во второй раз оно нравится, чего не всегда скажешь о других крупных мероприятиях по ИБ в России. ЗЫ. Александр Антоненков (КАМАЗ) приглашал всех на сайт КАМАЗа по ИБ - http://itsec.kamaz.ru/