Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: Пред. 1 2 3 4 5 След.
RSS
Почему в России нет настоящих CISO?
 
Цитата
Алексей Лукацкий пишет:
Не всегда  Я как-то второе вообще пропустил. Лженаука-с  А может было лень изучать риски и я сразу к бизнесу перешел. А может место работы повлияло - скачок-то был качественный... даже более чем.
Вот именно, кому как.  :D
У кого эволюция, у кого революция.  :D
 
Прочитал внимательно твою статью. Читается как тост. То есть заряд энергии в ней присутствует, но мысль сбивается. Мысль так причудливо бегает, что выявить основную не представляется возможным. Поэтому после завершения прочтения остается чувство ошарашенности.

Начнем декомпозицию.

Вопрос 1. Почему же люди не могут отстоять бюджет перед вышестоящим руководством?

Ответ прост. Потому что они разговаривают на разных языках (CISO/не CISO, CFO/не CFO). И дело здесь не в образовании, не в воспитании, а индивидуальном наборе хромосом человека.

Пример середины 90-х. Предельного технаря (низкоуровневый программист) жизнь забрасывает в большой банк на среднюю позицию. Через два месяц после такого заброса первый вопрос этого человека на те или иные предложения со стороны подрядчиков – А чем это поможет нашему банку в решении его задач?

Он ведь не лекции слушал. Его лицом по батарее возили.  Видать хорошо возили. И человек тоже попался грамотный. Если же человек, формально находящийся на позиции менеджера (не администратора) не может после 1 года работы в крупной конторе понять интересы этой организации и строить свою деятельность соразмерно с ними, то значит что кризис нехватки людей серьезно поразил все слои нашего общества.

Вопрос 2. Почему в России нет настоящих CISO?

a) [Ремарка 1] Понятие “настоящий CISO” для меня достаточно эфемерно, как и “настоящий безопасник”. Критериев нет, поэтому слово “настоящий” из этого сочетания надо убрать. Оно бесполезно в этом контексте.

b) [Ремарка 2] Теперь о самом термине CISO. Наугад – описание из Интернета. “Today the role of Chief Information Security Officer demands the skills of a senior business executive, technology professional, and effective manager. As a result, CISOs have broader areas of responsibilities and spheres of influence including IT risk management, security policy development, corporate governance, and regulatory compliance. Someone contemplating the role of CISO, should have several years of experience and solid understanding of business continuity planning, auditing, and risk management, as well as contract and vendor negotiation in the IT field. It is important that a CISO have strong working knowledge of industry and government regulations, laws, and the law enforcement community”. (http://www.chiefinformationsecurityofficer.com/career_path/index.html)

IMHO, в этой цитате и кроется ответ на вопрос почему их нет. Вот потому-то и нет, что для объединения senior business executive + technology professional + effective manager необходимо а) время и б) большое количество людей, которые бы хотя бы пошли по этому пути. Потому как рано или поздно у части из них не будет либо первого, либо второго или третьего в силу стечения жизненных обстоятельств или личных умственных возможностей. Глядишь – 10-30 человек дойдут до цели.

То есть в России вообще CISO очень мало и дело здесь именно в том, что для того, чтобы они появились прошло слишком мало времени. Пройдет еще немного времени и текущие руководители будут уволены за профессиональную непригодность, а их место займут другие, которые будут лучше адаптироваться к среде обитания. Понимаю, что хочется быстро, но, IMHO, так не бывает.

Хотя, есть риск, что и время не поможет. Человек, имеющий такую квалификацию, значительно больше денег сможет заработать в другой предметной области, например, внутреннем контроллинге. Либо в консалтинге.

Вопрос 3. Можно ли научить CISO?

IMHO, нет. Если в смысле “выдать диплом” – то нет вопросов. У нас ВУЗы выпускают много молодых людей со специализацией “программист”. Но, как говорится, на сарае может быть написано любое слово, а там лежат дрова.

Значительной составляющей знаний и умений CISO является менеджерские навыки, которые приобретаются только с опытом, лекционного материала здесь недостаточно.

Что касается рекомендации “быть ближе к бизнесу” – эта же рекомендация встречается и для начинающего финансового директора и директора по логистике и проч. Любой человек, как только у него написано в описании должности что он “officer”, просто обязан понимать бизнес, иначе он просто временный “chief”.

На мой взгляд, любой общий рецепт “как быть ближе к бизнесу практически” будет выглядеть крайне банально на фоне конкретных бизнес-ситуаций конкретных людей. И кстати, твои рекомендации, приведенные в конце статьи, это только подтверждают. Рекомендации универсальны. И в силу этого мало полезны.

Может быть именно поэтому на курсы по расследованию инцидентов и техническим вопросам ОБИ было больше людей? :-)

Ну и напоследок про обучение CISO из того же источника.
Beyond career experience what formal and technical education is necessary to be a successful CISO? Although few universities offer undergraduate and graduate degree programs in information security, there is no single academic degree program that prepares someone to become a CISO.
Как будто бы в России живет, а ? :-)
 
>>> Все зависит от места работы  

Разве это не ужасно, если все зависит не от вас, а от места работы
:о)

>>> В ряде компаний это все равно миллионы

Вы не можете не согласится с тем что этот ряд очень короток...

Добиться личного успеха можно влюбой отрасли. Я же говорю про то, что темпы развития у отрасли ИБ не слишком высоки, что не может не отразиться на конечном результате.

Личный опыт безусловно хороший аргумент, но Вы, Алексей, в данном случае скорее исключение. Одно из немногих :о)
 
>>> Все зависит от места работы  

Разве это не ужасно, если все зависит не от вас, а от места работы
:о)

>>> В ряде компаний это все равно миллионы

Вы не можете не согласится с тем что этот ряд очень короток...

Добиться личного успеха можно влюбой отрасли. Я же говорю про то, что темпы развития у отрасли ИБ не слишком высоки, что не может не отразиться на конечном результате.

Личный опыт безусловно хороший аргумент, но Вы, Алексей, в данном случае скорее исключение. Одно из немногих :о)
 
"В отличие от множества технических курсов по межсетевым экранам, безопасности беспроводных сетей, расследованию инцидентов, мой курс большого ажиотажа не вызвал, что лишний раз демонстрирует уровень зрелости многих российских CISO."

понравилось - "если меня никто не понимает и не приходит на курсы - значит просто не доросли" сам знаю нескольких CISSP+CISA - очень грамотные люди работающие в интеграторах (направление секурити) сильная техническая база + неслабый менеджмент.
имхо. курсы - не самый лучший способ получить знания (это я как бывший инструктор говорю =)) все надо получать с опытом, а потом уже под это дело сертоифицироваться.

для себя я пока отвожу роль скромного технаря =))
 
Цитата
ilya пишет:
курсы - не самый лучший способ получить знания (это я как бывший инструктор говорю =)) все надо получать с опытом, а потом уже под это дело сертоифицироваться

С опытом получается опыт, а на курсах даются первичные знания, которые потом углубляются с опытом. Курсы - это трамплин. А вот что касается "сертифицироваться", то зачем? Тем более, что бизнес-ориентированной безопасности нигде не учат. И уж сертификатов по этой теме нигде на дадут.


Цитата
ilya пишет:
понравилось - "если меня никто не понимает и не приходит на курсы - значит просто не доросли"

Не совсем. Я еще допускаю, что отсутствие рекламы данных курсов сыграло свою роль ;-)
Luka
 
Алексей, а вы не доспукаете мысли, что у нас просто бизнес не дорос?

На ваш предыдущем памфлете по поводу ВУЗов поступил прекрасный комментарий, который мне хотелось бы процитировать:

Цитата


Поскольку сам работаю в ВУЗе, выпускающем в том числе специалистов по защите информации, позволю себе несколько комментариев. Во-первых, отмечу хороший язык статьи и четкое обозначение проблем. Это несомненно. Но как профессиональный преподаватель вижу ряд проколов в предъявляемых претензиях.

Несомненно, специалистов-преподавателей, которые нужны бизнесу,- мало или их нет. Причин много. Но бизнес не готов в настоящее время оплачивать обучение тому, что нужно бизнесу. Я как-то не слышал, чтобы у нас, в Ростове, преподавателю официально заплатили за разработанный в течение нескольких лет курс представители бизнеса. То есть иметь специалистов - хотите, а платить - это государство, образование же у нас - бесплатное. Это все берется из совковых времен, когда образование считалось бесплатным.

Мне кажется, что фразы о том, что это поднимет рейтинг ВУЗа и т.д. - малореальны. Необходимо отправить ряд (молодых) преподавателей на обучение, необходимо заплатить им за разработанные курсы. По хорошему это происходит в ситуации, когда образование в основном платное как на Западе. Когда же оно в основном бесплатное, как у нас, то требовать бизнесу чего-то от нашей Высшей школы, не предлагая ничего взамен - ну, как-то странно это слышать.

Второе, что не понравилось в статье - это требование того, что что выпускник должен знать кучу специфической информации непосредственно после выхода из университета. Вплоть до умения общаться с заказчиком. Но это, по моему мнению, - иллюзии. Выпускника, даже самого хорошего, надо доучивать.

Третье, что не понравилось - это ориентация на конкретную ситуацию в промышленности - не надо знать множество алгоритмов, достаточно знать один используемый у нас и то в принципе. Но надо знать кучу дополнительных вешей, которые используются сейчас в бизнесе. Этот подход годится для техникумов, (или колледжей, как их сейчас называют) - учить ровно тому, что используется, проходить практику на предприятии, на котором дальше будем работать и т.д . При этом общий уровень культуры, ума и образования, который дает хороший ВУЗ, как-то отходит на второй план. Это плохо.

Дальше. Много претензий предъявляется стандартам. Это - вопрос к министерству. У нас принято достаточно жестко следовать стандарту. Если бизнес хочет хорошую специальность, пусть продавит ее в министерстве, заплатит взятку в конце концов. Если бизнесу это действительно нужно. А до той поры министерство будет разрабатывать те странноватые программы, которые мы имеем сейчас, силами тех работников министерства, которые в силу определенных причин не попали в бизнес, да и в ВУЗ их никто не взял. Так что же Вы хотите от таких программ?

Пройдусь по пунктам предложений в конце

>омоложение преподавательского состава

Кто пойдет работать на 2000 ассистентом если он не маньяк и действительно что-то из себя представляет? Хорошо, даже на 5000 ? Так как омолаживать преподавательский состав?

>улучшение условий труда преподавателей

Это в смысле зарплата или что? Если он не умел разрабатывать новые курсы, то его хоть в золотую комнату посади.

>использование в лабораториях и на стендах современного оборудования и программного обеспечения

Если бизнес будет отдавать его в ВУЗы бесплатно. А так - на какие шиши???

>привлечение ведущих и практикующих специалистов отрасли к процессу преподавания

Это пожалуйста. У нас опыт - печальный. Во-первых, большинство этих специалистов не могут построить нормальный курс. Во-вторых, многие просто не захотят это делать за гроши. Так что, схема, на мой взгляд, нерабочая.

>изменение программы обучения в сторону бизнес-направленности

Если бизнес готов платить ВУЗУ деньги за это. И еще придется контролировать, как эти деньги расходуются. При правильном контроле можно даже обеспечить, чтобы деньги расходовались хотя б наполовину правильно.

>увеличить число практических занятий

Если бизнес готов принимать у себя на предприятии студентов на практике (желательно, вместе с преподавателями)

>увязать программу обучения с ведущими системами сертификации специалистов по ИБ (например, со статусом CISSP, CISA и т.д.).

Организовать обучение молодых преподавателей, которые могут обучаться. Заплатить им за обучение деньги.

Как говорил Жванецкий, если вам важен конечный результат.

А иначе все не сдвинется с мертвой точки.

PS. Жаль, что упорядочение списка сообщений - по возрастанию. Значит, это сообщение вряд ли прочитают многие...
 
я вот поражаюсь..
наговорили почти 6 листов, а так никто и не ответил на самый главный вопрос:
"Почему же в России всё таки нет настоящих кондомчиков SICO?!"

Быдло с городских окраин(в моем лице) требует ответа.
 
Цитата
Гость пишет:
Алексей, а вы не доспукаете мысли, что у нас просто бизнес не дорос?
Я его уже спрашивал - он не допускает.
Вот радио есть, а счастья нет. (с) Ильф
 
книги аффтора гавно, одна филофия и "вода". верните деньги :]
 
Цитата
Гость пишет:
На ваш предыдущем памфлете по поводу ВУЗов поступил прекрасный комментарий, который мне хотелось бы процитировать

 Спасибо. Я примерно так и представлял реакцию на статью. Виноваты все и никто не виноват.
Luka
 
Цитата
Ригель пишет:
Я его уже спрашивал - он не допускает

Я не был так категоричен ;-)  Коль скоро у нас есть модель зрелости, то вполне разумно предположить, что разные "бизнесы" находятся на разных уровнях. Где-то он дорос, где-то нет. Ну так надо его учить ;-) Постепенно, но учить.
Luka
 
Цитата
~S/E/r/G~ пишет:
книги аффтора гавно, одна филофия

Судя по словарному запасу, у меня возникло подозрение, что вам там не все слова оказались знакомы. Поэтому такая и реакция. Увы. Учебник русского языка к книге я приложить забыл. В следующий раз учту.
Luka
 
Соглашусь с автором по поводу обучения, оно мягко говоря никакое. Занимаюсь вопросами ИБ на практике более 10 лет и за это время мало, что изменилось. Из каждых ста работающих в этой области специалистов, требуемому уровню соответствует не более 2 - 3 человек - это РЕАЛЬНОСТЬ! Всегда есть только что-то одно: или хороший админ или узкий специалист, почти никогда нет понимания всех происходящих процессов в корпоративной сети или АС, и тем более нет необходимого подхода к обслуживающему ее персоналу. По поводу бюджета, наоборот - не соглашусь. Отдел ИБ может и не быть нахлебником, а к примеру реально останавливать или предотвращать инциденты с упущенной выгодой (или, к примеру - прямые убытки компании) на вполне приличные суммы. Тогда, не надо стоять за бюджетом с протянутой рукой и объяснять финансовому директору  необходимость существования отдела ИБ. Это не теория - это моя практика. Кому интересно, могу поделиться. С автором, надеюсь когда-нибудь встретимся, обсудим этот материал.
 
Цитата
Алексей Лукацкий пишет:
Ну так надо его учить Шутливо Постепенно, но учить.

Все меняется но драгдиллера в одночасье не сменишь...

Алексей, вы случайно название своей должно не интерпритируете как "менеджер по развитию всего российского бизнеса, а то эти русские медведи не знают ничего"?
у вас большой опыт работы в качестве главы отделения ИБ, простите? или чтобы поучать - уметь не обязательно?
 
Цитата
Гость пишет:
у вас большой опыт работы в качестве главы отделения ИБ, простите?

А тренер олимпийского чемпиона далеко не всегда является сам олимпийским чемпионом. А преподаватель бизнес-школы не всегда руководит бизнесом.
 
Цитата
Гость пишет:
А преподаватель бизнес-школы не всегда руководит бизнесом.

И преподавателю в ВУЗе по одному из направлений ИБ совсем не обязательно заниматься информационной безопасностью. Что мы сейчас и наблюдаем :-)
 
Цитата
Гость пишет:
И преподавателю в ВУЗе по одному из направлений ИБ совсем не обязательно заниматься информационной безопасностью. Что мы сейчас и наблюдаем

Заниматься как раз необязательно. А вот знать, что происходит в жизни и в отрасли надо обязательно. Разумеется, речь идет о постоянном, а не о приглашенном преподе.
 
Автор решил просто бабла срубить нахаляву. Нашел малораспространенную тему, прочитал книжек, и вот он - специалист-консультант. А потом возмущается, как это никому не нужно!? Да не нужно, потому что есть уже такие курсы. Риторики, называются.
 
"Когда я иду на рыбалку, то беру с собой в качестве наживки червей. Хотя сам предпочитаю клубнику со сливками."(с)Карнеги по-моему...

Так вот, вся статья о том, что надо разговаривать с бизнес-менеджерами на их языке. Поэтому безопасник должен мутировать от технаря до управленца. И тогда будет щасте и безопасность. :)

А почему таких мало - так бизнес еще только развивается. Культура соответствующая...

Все будет. Со временем.

Всем удачи. Автору - респект.
Страницы: Пред. 1 2 3 4 5 След.
Читают тему (гостей: 1)