ITSM Belarus 2016 — ламповая конференция!)

Поучаствовал в ITSM Belarus 2016 — уже 4й по счету. Милая, небольшая, ламповая конференция:)

Команда организаторов ITSM Belarus 2016

Вообще, я был немного не в своей тарелке — ИБэшник посреди толпы ИТшников) Но обошлось, никто не обидил (а вероятней всего что я к сожалению обидел-)

ИБ обижает ИТ (или наоборот)

Слайд из моей презнтации — ИБ обижает ИТ (или наоборот)

Приятной неожиданностью был достаточно мощный состав докладчиков и участников. Особо хотел бы отметить специалистов Cleverics , приехало даже несколько человек. Местные топ-менеджеры уважаемых компаний.

Получилось классное мероприятие! Во-первых — таких событий (в области itsm) — совсем немного в Беларуси, а это уже 4-е.
Во-вторых, уровень самой конференции, докладчиков — весьма хорош. Субъективно конечно, но обычно после очередной конфы у меня %60 разочарования, а тут — всего 17.5%:)
Ну и в-третьих — конфа получилось достаточно разноплановой. Тут и реальные кейсы из жизни, и теоретические призывы жить правильно)

Из недостатков — что хотел бы посоветовать всем докладчикам и себе в первую очередь: анализировать, анализировать целевую аудиторию, и давать доклад в пользу аудитории, а не в пиар себе. Зачем человеку в зале нужно знать то, что я его заставляю со сцены узнать? С чего это я думаю, что эта супер-история из моей супер-жизни будет интересна всем этим людям?

Из докладчиков хотел выделить Романа Журавлева из клеверикса — глубокие знания, стуктурное изложение, философия и практика в одном флаконе, мощное окончание всей конференции.

Роман Журавлев из Cleverics

Роман Журавлев из Cleverics

Также Ивана Таборовца из епама — честный пример из практики. Нудный и не совсем понятный. Зато я точно понял, что уровень решаемых задач — совершенно заоблачный. И это круто, это наши ребята решают такое!

Про свой доклад — сделал не практичным (да что там за 20 мин можно напрактиковать), а философско-юмористичным:)

ИТ и ИБ на теле бизнеса — кликай чтобы открылась вся презентация

Также  пара картинок из презентации:

мега откровение)

Вместе, но не одинаковые

Вместе, но не одинаковые

PS мне повезло выиграть книжку по новому ит стандарту — IT4IT. Выглядит многообещающим начинанием.

IT4IT — новый стандарт

Опять книга о работе:) Покажи свою працу!

Работа должна быть показана!Покажи свою работу — новая книга Остина Клеона.

Про то, как творить и не зашиваться от всего мира. И в то же время — не быть гордым нарциссом.

Умение показать свою работу — залог нормальной, здоровой карьеры. Поэтому, считаю, это такой же навык, как скажем, умение писать письма, или вести переговоры.

Раз навык — значит можно (нужно) учиться.

См. детальное описание книги — в обзоре на моем «литературном блоге» Покажи свою работу. Остин Клеон.

PS подумал, что Остин имеет «творческую» специфику, и не все его советы подойдут офисным работникам. Но заряжает он классно:)

Статья в журнале !БДИ — СМИБ: «ЧЕЛОВЕЧЕСКОЕ ЛИЦО» ТЕХНИЧЕСКОЙ ЗАЩИТЫ

Картинка из журнала - Базовая схема СМИБЗапостил статью в журнале «!Безопасность деловой информации» — про человеческий и технический фактор при внедрении СМИБ. Полное название статьи: «СМИБ: «ЧЕЛОВЕЧЕСКОЕ ЛИЦО» ТЕХНИЧЕСКОЙ ЗАЩИТЫ«.

Интересен оказался процесс взаимодействия с авторами журнала. Во многом то, как я первоначально видел и писал — оказалось переделанным, отдизайненным и выглядящим уже не «как родное»:) Но более профессионально что-ли.

В общем, хороший опыт)

 

Управление фирмой, оказывающей профессиональные услуги. Дэвид Майстер

maisterЭто весьма специфическая книга по узкой теме — работа фирм, оказывающих консалтинг другим фирмам. Такие фирмы существуют, и это не только E&Y, McKinsey и т.п.

Думаю, любому, задумывающемуся о создании консалтинг фирмы, имеет смысл прочитать Майстера. Остальным можно ознакомиться с отдельными главами — чтобы понять, что такое качественный консалтинг, и посоветовать своим консалтерам)

Что под капотом:

  • Внутренняя организация консалтинговой фирмы, понятия партнера, менеджера и младшего сотрудника
  • Структура проектов — мозги (супер проекты), седина (требуется небольшое участие партнеров), процедуры (стандартные проекты, выполняются мл. сотрудниками по процедуре)
  • Работа с клиентом, с собственным персоналом, оценка и оплата работы партнеров, и многие многие нюансы работы

В целом, структура книги несколько рваная, вероятно п.ч. составлена из отдельных статей, написанных автором ранее. Но от этого мы ничего не теряем. Просто пользоваться можно как справочником — открываешь где нужно и вперед.

Некоторые мысли из книги:

  • Прибыльность важнее для консалтинг фирмы, чем доходность (т.е. суть не в объемах продаж, высоких ставках и пр.) Нужно мотивировать партнеров тупо на прибыль, а не ставки, оплаченные часы и пр. Может и кэп, но вот немного выстраивают бизнес именно так.
  • Искусство выстраивания структуры работы партнера — делегировать что нужно делегировать, фокус на прибыльности, важность занятия маркетингом. Много нюансов — перечитывать как столкнешься.
  • Нужно обслуживать не только проблему клиента, но и самого клиента. Это млин важно, п.ч. мы проффи решаем проблемы, а клиент почему-то чувствует себя г*вном. Уделять своим клиентам внимание. Настроить обратную связь, по-настоящему узнавать о чем думают клиенты.
    Меня сильно трогает эта тема, п.ч. вижу в этом системную проблему всего постсовкого пространства:-/
  • Семинары — не более 25 чел, на кажд. 5 чел должен быть выделен партнер, заранее проработать каждого посетителя. Сказка, но почему бы не поставить ориентиром?
  • Одна из величайших ошибок — недостаточное инвестирование времени и внимания в существующих клиентов.
  • Каждый партнер должен иметь личный карьерный план. Вообще удивительно, как партнеры (по сути, совладельцы фирмы) могут уживаться вместе, при наличии своих собственных планов. Вероятно, нужен лидер, который сможет разруливать многочисленные проблемы (об этом тоже много пишет Майстер). Лидер, могущий создать атмосферу динамизма, поддержки амбиций.
  • Настоящий проффи — неврастеник, постоянно сомневающийся в своих способностях. Поэтому ведом достигаторством)
  • Руководитель фирмы, одиноко сидящий в своем кабинете — ничем не управляет) Речь о том, что нужно работать «на полях».
  • Лучший лидер — не лучший проффи. Но тот, кто способен всегда находить и созидать лучшее в людях.
  • Лучший лидер легко отдает честь победы другим. Думаю это транспонируется на любые области. Профессионализм всегда заметят, его особо не нужно защищать.
  • Стратегия фирмы — должна разрабатываться снизу вверх, вплоть до включения в личные планы партнеров. Единственно значимая часть в этих стратегиях — план конкретных мероприятий.
  • Делать быструю стратегию — не на 5 лет, а на 3 мес. И постоянный пересмотр. Об этом кстати хорошо писала Карен Фелан, «Простите, я разрушил вашу компанию».
  • Так за что же отвечает партнер? Все просто и логично:
    • перед клиентом — в рамках проекта
    • перед фирмой — прибыль
    • перед другими сотрудниками — обучение учеников
  • Соответственно, критерии успеха партнера: прибыльность, удовлетворенность клиента, развитие навыков (своих и учеников)
  • Компенсация работы партнера? Это жесть, все делают по разному. Но в идеале, должна строиться на оценке, а не на измерениях (т.е. не тупые метрики, а количественный и качественный анализ).
    Один топ-менеджер сказал — оценка работы партнеров в консалтинговых фирмах либо работает плохо, либо отсутвует.

Резюмируем.
Книга весьма достойная, маст рид для консалтеров. Несмотря на то, что описываемый автором опыт — это опыт США аж 90х лет, но для нас смотрится свежаком. Труднодостижимым.

PS В 2010 году Майстер вот что написал в своем блоге:

After nearly 30 years of advising and writing about professional services, I have decided to retire. I no longer plan to consult, speak or write.

от как нужно жить)

от как нужно жить)

Он пишет далее, что достиг многого, помог многим. Совсем как ап. Павел:)
«2Тим 4:7 Подвигом добрым я подвизался, течение совершил, веру сохранил».
А потом понял, как классно проводить время со своей женой, путешествовать, участвовать во всяких «кружках», и быть учеником а не учителем.
И с тех пор (уже более 6 лет) — ни строчки по профессии.

Очень интересный чел, и мне кажется — достоин подражания.

Оценка:
Сложность чтения: средняя (местами сложная)
Полезность: высокая
Оценка: 9/10 (не 10, п.ч. иногда «не про нас», и местами повторяется)

Тренинг: Решение проблем с помощью RCA. Методики и инструменты.

Недавно провел тренинг по Root Cause Analysis (RCA). Презентация: Решение проблем с помощью RCA. Методики и инструменты.

Тема RCA или по-русски, анализ корневой причины – достаточно широкое понятие.

Если обобщенно, то RCA — это подход к решению проблемы через выявление ее причин. Причем, требуется выявить основную причину — из-за которой все и началось.

rca1

Применение RCA

Как запустить RCA?

По большому счету, не существует четкого порядка. В процесс RCA пихают все что кажется приемлемым для решения конкретного класса проблем.

Для правильного RCA необходимо уметь задавать правильные вопросы и правильно обрабатывать исходную информацию. 

Хочется добавить — еще нужно правильно жить)

Дадим наиболее подходящий (субъективно, с моей точки зрения) набор шагов по осуществлению RCA:

  • Выявить и определить проблему.
  • Собрать информацию о проблеме.
  • Выявить связи между всеми возможными причинами проблемы (например, рекурсивно задавая вопрос «почему»)
  • Выяснить, какие причины следует убрать, чтобы устранить проблему
  • Определить решения, наиболее эффективные для устранения проблемы. Решения должны поддаваться вашему контролю.
  • Реализовать решения
  • Наблюдать следствия решений и повторить RCA при необходимости

Для того, чтобы продвигаться по этим шагам, используют различные хитрые инструменты. См. описание некоторых из них в презентации. Вот еще больше по ссылке. Что мне кажется наиболее релевантным/применимым для «простых людей», т.е. нас:

  • Начать стоит, думаю, с метода 5W2H — чтобы собрать больше информации по ситуации
  • Далее, несомненно — метод 5Why — для простого, буквально 10-ти минутного анализа проблемы
  • Запускаем серьезную артилерию — Диаграмма рыбья кость. Возможно покажется сложным, но ты только попробуй — очень качественно сортирует проблемы и вправляет мозг
  • Также, метод блок-схем. Это очень банально — описать ситуацию/процесс блок-схемой, но мало кто делает. Зря.

Остальные методы не упоминаю, их дофига, и смысл их использовать, если не осилил даже перечисленные)

В заключение, должен упомянуть, RCA — это лишь один из элементов системного мышления, которое в свою очередь — один из способов познания мира, который в свою очередь ведет к вопросу о смысле жизниСистемное мышление

Т.е. коснувшись RCA, можно докопаться и до смысла собственного бытия) В презентации даны обзоры некоторых концепций системного мышления, и даны ссылки на книги.

Презентация: Решение проблем с помощью RCA. Методики и инструменты.

 

В деле реализации себя — о пользе лени

o-polze-i-vrede-leni

Алгоритм нифиганеделания

Сколько не загружай себя, главное все же не это.

Более важно — принимать верные решения, достигать новых вершин, реализовывать свой потенциал.

И оказывается, имеется особое состояние мозга — так называемое сеть состояния покоя, в котором случаются озарения, сдвиг парадигмы и глобальные изменения наших жизней.

Звучит заумно — сеть состояния покоя, но по факту означает нифиганеделание.

Итак, рекомендуется к прочтению, см. детальный обзор — О пользе лени. Эндрю Смарт.

Также, по теме еще можно почитать:

BIS Summit Minsk 2016

Небольшой отчет по посещению ИБ конференции – BIS Summit Minsk http://bis-expert.ru/bis-summit-minsk

2016-05-31 14.23.05

Команда ИБ Exadel и я (справа) — на BIS Summit

Организация – отлично, просто супер.

Доклады – в целом ок, с небольшим перекосом в продукты InfoWatch. Впрочем было достаточно ненавязчиво. Конференция была бесплатной, и понятно кто платил за банкет, поэтому организаторам — респект за сбалансированный подход.

Хотел бы отметить доклады:

  • Александр Сушко, начальник управления по расследованию преступлений против информационной безопасности и интеллектуальной собственности главного следственного управления Следственного комитета Республики Беларусь — Расследование киберпреступлений в условиях виртуальной реальности.
    Классное выступление, интересное, четкое, с реальными примерами. Не ожидал со стороны госорганов (простите) такого уровня.
Александр Сушко презентует свой доклад

Александр Сушко презентует свой доклад

  • Николай Дмитриев, руководитель отдела внедрения компании InfoWatch, Россия. Доклад «Подводные камни при внедрении ИБ-решений«.
    Живой докладчик, много энергетики, позитива. Хорошие примеры, из жизни так сказать:)

Сам выступал с докладом ISO 27001: внедрение технических защитных мер. Про технарей и про технические контролы, за которые эти самые технари отвечают в рамках общего проекта по внедрению СМИБ. Тема получилось развесистой. Постарался запаковать материал в выделенные 20 минут:)

В РБ совсем мало ИБ событий, поэтому еще раз выражу благодарность организаторам —  http://bis-expert.ru/

Компания Exadel — сертифицирована по стандарту ИСО 27001!

Друзья, делюсь успехом — сертификация ИСО 27001 в компании Exadel свершилась!

Об этом официально сообщили в блоге компании, см. ISO Certifies Exadel for Information Security.  Значит и я могу уже говорить:)

В этот проект я вложил больше года профессиональной жизни, применил все что знал, научил команду всему что знал, ну и сам также научился многому.

На мой субъективный взгляд, проект удался!

Мы разработали и внедрили классическую методику управления рисками, качественно прошлись по им всем, разработали фигову тучу защитных мер.

Риски были действительно обработаны, и на это ушло часов 200 от ключевых людей компании — замы директора, руководители отделов, проектов. По результатам анализа рисков были приняты взвешенные решения — что внедрять, до какой степени, чтобы не мешало бизнесу и нужный уровень защиты обеспечивался.
2015-11-25 14.07.45

ИБ — тема веселая)

2015-11-25 14.08.13

2016-03-28 09.14.34

..но серьезная

Создали классную программу для управления рисками — см . скрин ниже. Прога может делать с рисками все — от активов до SoA, контролов и разнообразных отчетов.rts

Занимались кучей разных под-проектов.

Часть отчета по пентесту сети

Часть отчета по пентесту сети

Играем в шпионов - что там видно через окно?

Играем в шпионов — что там видно через окно?

Тренируемся перед процедурой уничтожения HDD

Тренируемся перед процедурой уничтожения HDD

Веник уничтожен. И не говорите что это нетехнологический способ. Знаю) Просто будем считать это начальным этапом)

Веник уничтожен.
И не говорите что это нетехнологический способ. Знаю) Просто будем считать это начальным этапом)

Провели множество тренингов, как целевых, так и на всю компанию.

DSC_8219

Тренинг в помщении инкубатора ПВТ, отличное место

DSC02250

Мне (нам) сильно повезло — в проекте было заинтересованно руководство, от вице-президентов компании, до линейных менеджеров. Причем, люди были заинтересованы в результате, в эффективных процессах. Поэтому все получилсь хорошо.

Сейчас в Exadel создана отличная ИБ команда, ребята прогрессивные и мотивированные.
Команда ИБ Exadel (ну кроме меня, того что в пиджачке:)

Команда ИБ Exadel (я слева, в пиджачке:)

После сертификации может сложиться впечатление, что все, проект закрыт, людей можно распускать:) Но по факту, только сейчас и начинается реальная работа. Обработка рисков в динамике, работа с инцидентами, анализ метрик (их еще нужно выбрать, чтобы живыми были), обучение персонала. Я набросал как-то список.

СМИБ развивается и пытается  помогать бизнесу. Сейчас это главный приоритет.

 

Тренинг «ИСО 27001 и СМИБ . Теория и практика»

Ну что же, 3-х дневный тренинг по ИСО 27001 и внедрению СМИБ — проведен!

Вложил в тренинг все что знал, постарался сделать максимально практичным.

На первый тренинг собралась достаточно разношерстная публика: ИТ компания и госконторы. Был определенный «челендж» в разъяснении теории для разнородных организаций.

Для интересующихся, см. обзорную презентацию по тренингу — Обзорная презентация по тренингу СМИБ и ИСО 27001.Training cover

Training program

 

Из субъективных ощущений — подготавливать курсы на несколько дней — неимоверно тяжело! Спал я мало в ту неделю:)

Зато, вроде бы понравилось людям. По крайней мере, оценки в опросной анкете выставили высокие:)

Для заинтересованных в будущих тренингах — записывайтесь у softline (следующая сессия планируется 8-10 июня). Либо контактируйте со мной — возможно организовать тренинг на базе организации, с учетом вашей специфики. 

Конференция IT Security Conference 2016

IT Security Conference 2016  — одна из немногоих ИБ конференций в РБ.

Рассказал там немного (что можно было вместить в 40 минут) про ИСО 27001. Как внедрять, пара хинтов, в целом ничего особенного.
Правда интересно получается, бывает что на всякие банальности тратится куча времени. В этот раз я убил неимоверно много времени на как раз вот простые вещи.

Ссылка на презентацию: ИСО 27001 на практике или будни внедренца СУИБ.2016-04-03_01-17-07

Picture1Я поприсутствовал только на небольшой части докладов, во второй день, после обеда.

То что увидел/услышал — произвело тягостное впечатление. Говорящие головы среди отечественных спецов (в основном госорганы), печально-откровенная реклама — ничего блин не изменилось со времен прошлогодней конференции. Ну а редкая аудитория реагирует соответствующе:)2016-03-30 16.01.29_it conf20162