Архив рубрики: Без рубрики

Как бы Ultralearning

По поводу книги Суперобучение (Скотт Янг) — в целом неплохое мотивационное чтиво, но никак не методика по обучению. По крайней мере мне не понравилось загонять себя в описанные шаги.

Зато получилось понять что же может быть достойной практикой для моего кейса, даже набросать список реальных шагов.

Осталось только не увязнуть во всем этом)
П.ч. читать я книжку начал только лишь чтобы не заниматься реальным делом:-/

Покрасочней описал в блоге.

Оценка:
Сложность чтения: легко
Полезность: средняя
Оценка: 6/10 — больше как мотивационное чтиво, нежели методика

кибервойн@ — Шейн Харрис

Книга журналиста по тематике информационной безопасности — Шейна Харриса. Оригинальное название (как всегда, более точное) — «@War: The Rise of the Military-Internet Complex».

Книжка рваная, т.е. нецелостная, собственно таким и будет этот обзор. Ниже просто мысли по теме.

От простого человека (от нас т.е.) — практически ничего не зависит.

У государств — мощные инструменты, на самом низком уровне. Например — бэкдоры в телекоммуникационных компаниях и даже оборудовании мировых лидеров.

Допустим, что я могу заняться более профессионально техниками деанонимизации, и стану практически невидимым для большинства пользователей инета. Но только не для госслужб. Более того, вероятно, люди постоянно пользующиеся спец. техниками и инструментами (tor) — с большей вероятностью привлекут к себе внимание «следящих». Зачем это простой юзверь так изгаляется, ему явно есть что прятать??

Высказывание одного из высокопоставленных лиц США:
“Если Китай, Иран или другие враждебные страны когда-либо запустят масштабную атаку на американскую электростанцию или банк, военные предпримут ответные меры как в виртуальном, так и в реальном мире. На атаку, которая может привести к распространению паники, нарушению нормальной жизнедеятельности или человеческим жертвам, будет дан громкий силовой ответ”.

Что это означает?
Государства (даже не обязательно ваши) будут решать свои политические вопросы, а коснется это моей реальности. Да еще как коснется, возможно и насмерть:-/

Трубопроводы, энергосистемы, инфраструктура SCADA — читаешь, и думаешь — это же куча барахла, тебя не касающегося. Но ведь касается!

По поводу всемогущества спецслужб (того же АНБ) — в целом конечно же они не всемогущи. В книге даже упоминаются факты, когда оказалось, что коммерческие организации на каком-то этапе практически сравнялись в защитных возможностях с АНБ. Но, как говорится, было бы желание — и спецслужбы найдут способ вскрыть тебя, вопрос времени и ресурсов.

А ведь все большие организации (гугл, фейсбук и все все) — плотно сотрудничают с АНБ и другими американскими спецслужбами. Как-бы все было давно известно и так, однако в книге описаны практические моменты взаимодействия. А ведь казалось что все это поклеп на любимый гугл. Но нет, похоже на правду..

А Китай — озорник) настолько гадит пушистому США, что даже пожурить захотелось)

Недостатки:

  • рваная структура книги. Видно, что она скомпилирована из разных материалов (статей? автор — журналист), разбросана по времени. Читаешь — тут тебе 2007год, потом в 2013, потом обратно — путаница. Поэтому, кстати, и обзор этот рваный, как книжка(
  • попсовый стиль. Да, упоминаются «эксплойты нулевого дня», различные программы АНБ и др — но в целом все это — проза. Техническая сторона обойдена полностью.

Плюсы:

  • кто-то не поленился, не зас**сал, и написал хотя бы что-то. Пусть про США, не про нас (хотя Россию постоянно упоминают), но предположить что порядки такие же и у нас — вполне логично
  • а нет больше плюсов.

В конце автор морализирует — призывает к создавать «бдительное и информированное гражданское общество, которое сможет заставить огромную оборонную машину следовать мирным целям..», безопасность, свобода и тд.

Вывод — сам о себе не позаботишься…

Оценка:
Сложность чтения: очень легко
Полезность: средне-низкая
Оценка: 7/10 — хаотичная книга-рассказ как бы о кибер штучках.

CompTIA Network+

Начало

CompTIA Network+   — к этой сертификации я долго шел.

Вначале рефлексировал — а зачем мне знания по сетям. Но как ИБэшнику — понял, без такой базы будет тяжело. Потом выбирал между CCNA и CompTIA Net+. Склонился в конце концов к вендор-независимой CompTIA.

Тут небольшой рассказ, о том как готовился, какие материалы использовал и как сдавал экзамен. Вдруг окажется кому-нибудь полезным)

Пред-подготовка

Все должно начинаться с покупки самого экзамена. Почему вначале, а не перед самим экзаменом? А чтобы не филонить ввиду четких сроков (ваучер на экзамен валиден только в течение года).

Я рекомендую купить Deluxe пакет от CompTIA, который содержит:

  • собственно ваучер на экзамен CompTIA Network+ Exam Voucher
  • CertMaster — тренировочная программа, содержащая базу вопросов. Считаю оч. полезной штукой
  • и еще Exam Voucher Retake — это запасной билет, на случай если вдруг провалишься с первого раза. Забегая вперед скажу, мне это пригодилось(

380$  — нормальная цена, экономия почти 50% если бы покупал по отдельности.

Нужно было купить еще подготовительные материалы — см. дальше.

Подготовка

В качестве основной книжки я выбрал Mike Meyer’s CompTIA Network+ All-In-One Exam (отдал около 40$) В целом она оправдала себя. Помимо необходимой информации по самому экзамену, там куча просто полезных вещей, описывающих реальный мир. У Майка хорошее чувство юмора, нередко он издевался над требованиями экзамена, а в основном — пытался просто выстроить целостную картинку — как создать эффективную сеть с нуля, как ее защитить, эксплуатировать и тд.

Ну раз купил книжку Meyer, то логично купить и его видео-курсы — можно на скидке купить за 10$ на Udemy — CompTIA Network+ Cert.; N10-006. The Total Course. 150 уроков, где-то 15 часов чистого времени.

Остальные материалы получились бесплатными.

Как выстроил процесс обучения.

  1. Читаешь главу из книжки, пометки, разбор вопросов, все стандартно. Как уже отмечал, книжка весьма знатная)
  2. Просматриваешь соответствующую главу из онлайн-курса. Так как автор один — то и курс и книжка синхронизированы. Однако к концу обучения забил на эти уроки, п.ч. они хоть и были очень фановыми, простыми, но явно не покрывали вопросов из экзамена. Книжка — покрывала, а эти курсы — нет. Поэтому на 100 уроках (из 150) забил. Решил что досмотрю как-нибудь на досуге, в фоновом режиме.
  3. Отдельным стримом запустил изучение материала из инета. В частности:
    • Сети для самых маленьких — офигенная серия статей. К сожалению, бодро начал, но не смог закончить — уж очень много деталей, а в конце не хватало времени даже на книжку.
    • Попробовал еще Основы компьютерных сетей. Не понравилось, слишком по-студенчески что-ли.
  4. Также, поначалу начал смотреть видео-курс от Pr. Messer — бесплатный клевый видеокурс. Просмотрел с треть, а потом переключился на Meyer видео. О чем впоследствии пожалел. Видюхи от проф. Мессера — более практичны. Однозначно рекомендую.
  5. Есть еще отличная штука от Pr.Messer — Professor Messer’s CompTIA N10-006 Network+ Course Notes. Это пара десятков страниц концентрированного текста, графики, схем, таблиц и тд — я постоянно мусолил эту распечатку, гармоничная штука получилась у профессора. Она вроде платная, но я как-то в первый раз нашел ее в инете, а потом только узнал что она денег стоит.
  6. Почти последнее — это CertMaster — специальная прога от CompTIA — эмуляция экзаменационных вопросов. Вещь абсолютно необходимая. Она входит в тот пакет, который я купил изначально. Пытался щелкать вопросы паралелльно с чтением книги. Но потом показалось удобнее все же дожать полностью книжку, и только тогда переключиться на вопросы. В последние пару месяцев я прощелкал абсолютно все вопросы (там удобно еще тем — что дается объяснение, если неправильно отвечаешь).
  7. Ну и последнее, от известного Meyer имеются еще одни как-бы курсы на Udemy — CompTIA Network+ Cert. (N10-006): Practice Tests. Это не видео, а база вопросов. Вот эта штука оказалось полезнее (чем видео-курсы). Содержит 3 отдельных экзамена (набора вопросов). Их качество субъективно похуже чем в CertMaster, но зато они дешевые — за те же 10$ купил.

Вот так и учился. И в отпуск с собой таскал эту 700 страничную книгу, и на работу постоянно с пакетиком. Но как водится, по настоящему взялся за ум только за 2 месяца до срока. Отступать было некуда — у ваучера заканчивался срок:-/

 

Экзамен

В Минске имеется несколько центров, в которых можно сдавать Network+. Я сдавал в Softline.

Процедура обычная — приходишь минут за 15, тебя оформляют, щелкают фото (и потом ты с судорожной рожей оказываешься на финальном листке, что выдают после экзамена).

В комнатухе ничего кроме тебя, компа, и камеры нет. Телефон/часы и тд — сдаешь до входа в комнату. На столе лежит пластиковая картонка — на ней можно писать специальным маркером (что абсолютно необходимо — все расчеты, раскладки OSI, распиновки TIA 658, расчет масок подсетей и др — нужно же где-то все писать!)

Итак, в тесте около 90 вопросов, около 2х часов времени (чуть больше чем для англоязычных — п.ч. язык не родной:). Из них первые 3-4 — практическая симуляция. Не уверен, что могу по политикам CompTIA описывать их. Скажу лишь что нужно было разбить выданную сеть на подсетки и решить связанные с этим делом вопросы. Также проверили распиновку UTP, соединения между коммутаторами и др. Остальные вопросы — стандартные, «без картинок».

Достаточно много хитро-вывернутых вопросов. Тактика простая — упрощаешь и выбираешь максимально правдоподобный ответ)
Встречались вопросы, которые я вообще не видел во время обучения. Просто угадывал и шел дальше. В целом ощущение от вопросов сложилось гармоничное — видно что над ними трудилось немало людей.

Первый экзамен я не сдал — 700 из требуемых 720. Вообще диапазон баллов для этого экзамена — от 100 до 900.

Через неделю (постоянной учебы) пошел и в этот раз сдал:

а фотка то делалась перед экзаменом. сразу видно)

Следует отметить, что вопросы повторились где-то на 20-30%, в основном все новые были. А вот симуляции — абсолютно такие же.

Ну а чуть попозже — пришла нотификация и про сертификат:

красивая бумажка

 

Что дальше

Ну а теперь о печальном.

Что дала мне эта сертификация? Понимаю ли я теперь на практике все нюансы построения современных сетей?

Будем честными, скорее нет, чем да.
Я получил общие знания о сетях, узнал как работают основные протоколы, научился работать с масками, разбивать на под-сети и тд.

Так как админского бэкграунда у меня нет, то моей главной проблемой было (и остается) — невозможность толком все испробовать на практике. Я пытался найти себе некого ментора/учителя, с кем можно было бы пообсуждать практические вопросы. Но к сожалению, не получилось. То ли все админы — асоциальны по натуре, то я лицом не вышел. Ну а скорее всего — просто не сложилось.

Таким образом, в сухом остатке — всю теорию, базовое понимание — я втянул в себя. Но точек привязки к реальности — к сожалению не очень много.

Поэтому, в дальнейшем я записался уже на «живые» курсы по CCNA. Тут будет конечно Cisco фокус, но мне это и нужно — на текущей работе основной стэк как раз Cisco. На живых курсах будут живые люди, с которыми можно будет поднять то, о чем не пишут в книгах. Хороший тренер будет, судя по отзывам. Живая лаборатория с железом (!) Так что, несмотря на то, что CCNA считается чуть проще сертификацией, чем CompTIA Net+, лично я надеюсь приобрести, а не потерять.

Даст Бог, в течение года сделаю CCNA — уже с лучшим практическим пониманием.

Следующим шагом скорее всего будет либо CompTIA Security+, либо CCNA Security.

Удачи всем!

PS Еще на этот год планирую Certified in Risk and Information Systems Control (CRISC) от ISACA. Но это уже отдельная песня, отпишусь как сдам.

Опять книга о работе:) Покажи свою працу!

Работа должна быть показана!Покажи свою работу — новая книга Остина Клеона.

Про то, как творить и не зашиваться от всего мира. И в то же время — не быть гордым нарциссом.

Умение показать свою работу — залог нормальной, здоровой карьеры. Поэтому, считаю, это такой же навык, как скажем, умение писать письма, или вести переговоры.

Раз навык — значит можно (нужно) учиться.

См. детальное описание книги — в обзоре на моем «литературном блоге» Покажи свою работу. Остин Клеон.

PS подумал, что Остин имеет «творческую» специфику, и не все его советы подойдут офисным работникам. Но заряжает он классно:)

Компания Exadel — сертифицирована по стандарту ИСО 27001!

Друзья, делюсь успехом — сертификация ИСО 27001 в компании Exadel свершилась!

Об этом официально сообщили в блоге компании, см. ISO Certifies Exadel for Information Security.  Значит и я могу уже говорить:)

В этот проект я вложил больше года профессиональной жизни, применил все что знал, научил команду всему что знал, ну и сам также научился многому.

На мой субъективный взгляд, проект удался!

Мы разработали и внедрили классическую методику управления рисками, качественно прошлись по им всем, разработали фигову тучу защитных мер.

Риски были действительно обработаны, и на это ушло часов 200 от ключевых людей компании — замы директора, руководители отделов, проектов. По результатам анализа рисков были приняты взвешенные решения — что внедрять, до какой степени, чтобы не мешало бизнесу и нужный уровень защиты обеспечивался.

2015-11-25 14.07.45

ИБ — тема веселая)

2015-11-25 14.08.13

2016-03-28 09.14.34

..но серьезная

Создали классную программу для управления рисками — см . скрин ниже. Прога может делать с рисками все — от активов до SoA, контролов и разнообразных отчетов.rts

Занимались кучей разных под-проектов.

Часть отчета по пентесту сети

Часть отчета по пентесту сети

Играем в шпионов - что там видно через окно?

Играем в шпионов — что там видно через окно?

Тренируемся перед процедурой уничтожения HDD

Тренируемся перед процедурой уничтожения HDD

Веник уничтожен. И не говорите что это нетехнологический способ. Знаю) Просто будем считать это начальным этапом)

Веник уничтожен.
И не говорите что это нетехнологический способ. Знаю) Просто будем считать это начальным этапом)

Провели множество тренингов, как целевых, так и на всю компанию.

DSC_8219

Тренинг в помщении инкубатора ПВТ, отличное место

DSC02250

Мне (нам) сильно повезло — в проекте было заинтересованно руководство, от вице-президентов компании, до линейных менеджеров. Причем, люди были заинтересованы в результате, в эффективных процессах. Поэтому все получилсь хорошо.

Сейчас в Exadel создана отличная ИБ команда, ребята прогрессивные и мотивированные.

Команда ИБ Exadel (ну кроме меня, того что в пиджачке:)

Команда ИБ Exadel (я слева, в пиджачке:)

После сертификации может сложиться впечатление, что все, проект закрыт, людей можно распускать:) Но по факту, только сейчас и начинается реальная работа. Обработка рисков в динамике, работа с инцидентами, анализ метрик (их еще нужно выбрать, чтобы живыми были), обучение персонала. Я набросал как-то список.

СМИБ развивается и пытается  помогать бизнесу. Сейчас это главный приоритет.

 

Тренинг «ИСО 27001 и СМИБ . Теория и практика»

Ну что же, 3-х дневный тренинг по ИСО 27001 и внедрению СМИБ — проведен!

Вложил в тренинг все что знал, постарался сделать максимально практичным.

На первый тренинг собралась достаточно разношерстная публика: ИТ компания и госконторы. Был определенный «челендж» в разъяснении теории для разнородных организаций.

Для интересующихся, см. обзорную презентацию по тренингу — Обзорная презентация по тренингу СМИБ и ИСО 27001.Training cover

Training program

 

Из субъективных ощущений — подготавливать курсы на несколько дней — неимоверно тяжело! Спал я мало в ту неделю:)

Зато, вроде бы понравилось людям. По крайней мере, оценки в опросной анкете выставили высокие:)

Для заинтересованных в будущих тренингах — записывайтесь у softline (следующая сессия планируется 8-10 июня). Либо контактируйте со мной — возможно организовать тренинг на базе организации, с учетом вашей специфики. 

О сахарных экспертах

2906955-R3L8T8D-600-dCP7T2HS5CkПод сахарным экспертом я понимаю спеца, который хочет быть правильным.

Пытается говорить правильно, выстраивать политику партии. правильную теорию путает с реальнстью.

и живой человек за этим мрет, затухает.

блевотина.

Дело жизни, работа жизни — обзор книги Дело вашей жизни. Пол Хокен.

delo2Хорошее мотивационное чтиво для тех, кто хочет стать предпринимателем. Т.е. хочет уйти из спокойной жизни офисного наймита, и познать живые и резкие риски потери денег, здоровья, получит адреналиновый фан и реализоваться в ускоренных темпах.

Шутки шутками, но каждый наемный работник задумывается о своем деле, разве не так?

Книга довольно хорошая, рекомендую.

Детальный обзор — см  по ссылке Дело вашей жизни. Пол Хокен.

delo3

Подождите, сейчас разрушу вашу компанию, никуда не уходите

prostiteКнига Карен Фелан, «Простите, я разрушил вашу компанию». Кто такая Карен? Консультант, основатель консалтинговой фирмы Operating Principals.

Основная идея книги в том, чтобы не пользоваться бездумно услугами внешних консультантов. Ибо они, по мнению Карен, запросто могут терминировать вашу драгоценную компанию. Ну естественно, это не односторонняя, радикальная позиция. Автор приводит ряд областей (реинжиниринг, стратегическое планирование, внедрение системы показателей и т.п.), в которых консалтеры, особенно из крупных консалтерских фирм, применяют стандартные подходы, в конце концов отправляющие фирму под откос.
Например, она упоминает Enron, в которой по совету McKinsey ввели дифференциацию сотрудников на классы А, В и С. Считается, что внедрение этой «звездной системы» косвенно привело компанию к краху.

Итак, книжка неоднозначная, но в целом правильная и полезная. Must read.
Некоторые мысли из книги.

1. Планирование стратегии? Только в пределах разумного.

Вспомни черного лебедя Талеба. Но есть хорошие примеры — Улисс Грант, Дуайт Эйзентхауэр — «при подготовке к сражению…планы бесполезны, а вот планирование — обязательно». Таким образом, разработка стратегии и планов компании — должно стать постоянным динамическим процессом изучения текущей реальности, и корректировки. Планирование — обязательно, п.ч. без этого не узнаешь деталей, которые понадобятся для следующего шага после начала сражения.

2. Показатели — это средства, а не цели. 

kpi

Я знал это, чувствовал, но не знал как выразить:)  Моя процессная душа всегда была за метрики, но подвох чувствовался всегда!
Цели есть у всех. Наиболее продвинутые пытаются создать систему метрик, описывающих критерии достижения этой цели. Например — хочу похудеть. Тут же метрика всплывает — 12 кг за 3 мес. Что тут плохого? А то, что цель на самом деле — похудеть, не ухудшив здоровья. Чувствуете разницу? Чтобы правильно описать настоящую цель, придется выпиливать огромную систему показателей. И на кого тогда мы похожи? На водил, упертых в свои приборные панели. Но чтобы не разбиться, нужно на дорогу смотреть, и лишь иногда на панель.

Про дорогу и панель — может немного утрированно, но жизнь показывает, что компании, кровью строящие свой бизнес на метриках — плохо заканчивают.
Так что же, метрики — ужас и западня? Они могут быть западней. Но выход — не привязывать ЗП сотрудников к метрикам. Метрики нужны, но лишь для анализа ситуации, как доп. информация.

А если не послушаетесь, то получите:
Букет ненужных последствий, полученных из-за желания следовать KPI (дать водилам автобусов метрику по прибытию на остановки вовремя, и они забудут про сервис и уважение, будут тупо ездить по времени).
Мошенничество и приписывание. И ничего ты не сделаешь с этим, п.ч. у сотрудника 8 часовой рабочий день, чтобы придумать как лучше перестать быть винтиком в твоей тупой машине, и получать максимальный профит в дырявой системе метрик. Никакая система метрик не победит сотрудников, если ты ставишь ее на первое место, а не твоих же сотрудников.
Конфликты там, где они не должны быть. П.ч. метрики одного отдела будут конфликтовать с метриками другого отдела. Например, продажники — дерутся за объем продаж. И им не нужно качество твоей работы по большому счету.

3. Управление человеческими ресурсами

biomassa

Понятие-то какое — человеческие ресурсы, биомасса ить. Лучше бы писали — работа с людьми, человечней все-таки.
Понятие эффективности людей, завсегда приятно измерить. Таким образом, получаем тему, связанную с предыдущим топиком — с метриками.
Не нужно замерять эффективность сотрудников (процесс аттестации). По определению, процесс аттестации не может быть справедливым, а значит, он опустошает, дает ложную оценку, заставляет делать не то что нужно на самом деле, тратит энергию в ж-пу.
Если кто-то хочет построить действительно справедливую оценку эффективности сотрудников, поразмыслите над этим:

  • любой из нас считает себя «выше среднего». Ну и как ты будешь обрабатывать эту ситуацию? Низкопроизводительный сотрудник обидится. И кстати, обидится и высокопроизводительный, когда ты поставишь ему 4.3 вместо 5 из 5.
  • эффективность — субъективное понятие. Никакой SMART не поможет, см тему метрик
  • формулирование целей вначале года\квартала — лишает гибкости в середине периода. Значит тут нужны подпорки в виде change mgmt process.
  • цели будут неравнозначными в разных отделах, да и в пределах одного раздела — тоже!
  • огромный объем работы нужно сделать сотрудникам, чтобы пройти все шаги системы аттестации. Помню возглас из зала, где объявляли про введение этой системы — а работать нам когда?!
  • фаворитизм, эффект ореола (когда прошлые успехи\неуспехи влияют на оценку сейчас), дискриминация по возрасту\внешнему виду бла бла..те еще темы

Возможные выходы:
— ЗП выше среднего по рынку, простейшая привязка ЗП к прибылям (это все есть у Пинка)
— взаимодействие и обратная связь менеджера и сотрудника. А не тратить время на заполнение бланков и отчетов.
— позволять сотруднику выбирать себе цели, в рамках возможного

Лирическое отступление о славянском факторе. Некоторые прожженные российские менеджеры скажут, что эти подходы не сработают для славянского менталитета, с его совком и халявой в крови. Действительно, у нас долгая и не очень веселая история. Однако, какого хр.на нам нужно ориентироваться на прошлое, а не брать передовой опыт и учитывая прошлое, адаптировать, находить новые, свои подходы?
Знаю, что в великой ит компании из трех букв, где я работал, меня пошлют на те же 3 буквы. Но даже там, я уверен, можно выстроить прогрессивную, человеко-ориентированную среду. Ну разве что придется уволить 60% менежмента, и потратить лет 20.

4. Остальное

Как стать хорошим менеджером? Да просто, быть нормальным, адекватным человеком:) Интерес к окружающим, общение, гибкость. Поддерживать хорошие отношения, это ведь не бином Ньютона (вообще то сомневаюсь, бином попроще иногда). Хорошую ссылку дала на Кислород гугла.

Модели менеджмента не имеют реальной ценности, а беседы с сотрудниками — имеют. Единственный способ чему то научиться — работать с людьми, а не читать про это.

Принцип Питера — в иерархической структуре, работники поднимаются до уровня своей некомпетентности. И это не лучший вариант для нас, не так ли? Но как я понял, мир еще не придумал, как эффективно справляться с этим эффектом.

Худшее, что может сделать клиент — нанять кого-то (меня), кто будет думать вместо него. Это намек всем нам, консультантам — делаем так, чтобы клиент сам начал думать, а не оставляем его с отчетом и планом действий:-)

И прежде, чем дать совет клиенту, подумай о последствиях:)

Итак, книга к обязательному прочтению и применению, для каждого консалтера и просто манагера.

Оценка:
Сложность чтения: легко
Полезность: высокая
Оценка: 9/10 (не 10, п.ч. в конце книги совсем уж очевидности описаны)

Семинар Increasing Business Effectiveness of IT Companies through Risk Management and Certification Standard

Посетил семинар “Повышение эффективности ИТ компаний с помощью риск менеджмента и сертификации”, 10&11 июля, организатор — Европейский Банк Реконструкции и Развития.

Ниже — краткая сводка.
Читать далее