Архив рубрики: Разное

Обучение обучение

Как-то прошло время, а произошло несколько изменений в области self-education.

CRISC (2018)

Certified in Risk and Information Systems Control (CRISC) — некоторые говорят что это топовая сертификация в по рискам ИТ\ИБ.
Возможно. Но с моей субъективной т.зр. — пиар этой сертификации и знаний за ней стоящих — несколько преувеличен. Тот же CISM был гораздо полезней, как по мне.
Касательно процесса сдачи — все примерно так же, как было и при сдаче CISM, т.е. очень сложно, местами заумно, с птичьим языком ISACA.
PS сдавал в 2018г в Вильнюсе.

Вот в этом здании сертифицирующий центр. Фейс довольный, п.ч. результат сообщили сразу же)
Красиво-бесполезная бумажка.

Data protection under GDPR — Data Privacy Professional (GDPR DPP) (2019)

Это 4х дневные курсы от Data Privacy Office (белорусская контора). Тренер — Сергей Воронкевич. Вот эти курсы — огонь! Хорошая структура, много практики, постоянные тесты. Как результат — понимание GDPR, достаточное для, скажем, практического начала)
К слову, это не просто курсы, но и своеобразная мини-сертификация. В процессе курса нужно было сдавать довольно сложные тесты, по результатам которых выдавался сертификат.
PS горжусь что в РБ работают такие специалисты как Воронкевич.

К сертификату дают еще полную расшифровку курса на несколько страниц. Решил не мучить)

CCNA Routing&Switching (2018-2019)

А это были довольно длительные потуги укрепиться в network mgmt.
Обучение в Сетевой академии Cisco, от IBA. Классические курсы, на 6 месяцев, начал в 2018г, закончил аж летом 2019 (был перерыв небольшой).
Хорошие авторские курсы от Евгения Третьяка. Практики много, иногда (вообще-то частно) слишком сложной. Что понравилось — да как бы все понравилось. Что не очень — Евгений часто выдавал практику слишком большими блоками — отучит целиком тему, а потом зарядит многоходовку-практику. На уроке вроде все понятно, а через пару дней не можешь вспомнить какая млин тут команда нужна..
Достаточно быстро я понял, всю практику конкретно для меня — бесполезно делать. Во-первых, я никогда не применю ее. Ну не буду я никогда пачками настраивать цисковские свитчи или OSPF крутить. Во-вторых, без повторения этой практики, все тут же забывается.
Поэтому сдавать сертификацию CCNA не стал, и во время учебы только в 1м модуле сдал все тесты, на остальных 3х модулях был по сути слушателем.
Тем не менее, курсом я доволен, и рад что получилось выделить эту фигову тучу времени (2 дня в неделю по 3 часа, на протяжении 6ти месяцев). Теперь у меня сложилась общая картинка, закрепились по кр. мере базовые вещи (типа настройки свитчей, аддресации, роутинг и т.п.), ну и при необходимости можно будет откопать нужную тему поглубже.

Маааленький отрывок практики с уроков CCNA. Надеюсь ничьи права не успел нарушить)

Что дальше

Если получится, обязательно постараюсь сходить на курс CCNA Security (в том же IBA). Не знаю, будет ли он еще читаться — в связи с изменениями в сертификациях Cisco.
Также, занимаюсь сейчас CompTIA Security+.
Еще есть одно тайное желание, реализовать кое-что по сетям. Но на то оно и тайное, расскажу когда-нибудь, если срастется)

Бизнес-завтрак: управление рисками

Вот и побывал я на так называемом бизнес-завтраке. Вообще-то — ничего сверх необычного, это что-то вроде мини-конференции) Компания UGIS организовала небольшое собрание специалистов (было человек 20-30 наверное), в кафе нетто. Тематика — управление рисками ИБ. 

Было 3 доклада (один из них мой), см. описание на Facebook UGIS. У меня — доклад про управление рисками в контексте ИСО 27001 и СТБ 34.101.41/61.  Вообще, СТБ 34.101 — оказался не так уж и востребован) Я думал что нацбанк все банки уже высадил на требования СТБ. Но судя по откликам представителей — все это «просто рекомендации».

Ну и ладно, обсудили классику (терминологию), о системном подходе к управлению рисками, о хорошем туле для управления рисками RiskMS, о способах внедрения самого процесса.

Выступлали также  — Варвара Петрова, менеджер по ИБ в Exadel (практика управления рисками), и коллеги из SBH (юридические основы по управлению рисками ИБ в РБ).

Мне понравился формат, свободная атмосфера обсуждения, возможность познакомиться с новыми людьми.

Пара фоток:

 

 

 

 

 

 

 

PS вот только завтрак оказался ланчем -к  бутикам и канапешкам нас допустили только после презентаций))

Подпольный интернет. Джейми Бартлетт

Название крутое, а под капотом — вода.

Млин, еще эта подпись на обложке — «шокирующие откровения»! Да уж, автор описал немного про любителей детской порнографии, немного про Брейвика, и это, вероятно, должно было шокировать читателей.

Попробуем дать структурированную оценку.

Автор попытался сделать обзор даркнета, выделив в нем логические структуры/сущности. И описал каждую из этих сущностей, дав свою субъективную оценку и тп. Получились рассказы про:

  • Троллей. Да да, про интернет троллей, кои вообще-то живут в обычном инете, а не в даркнете. Зачем-то рассказал историю их появления (начав аж с usenet), привел пару прикольных примеров троллинга, описал клинику всего этого.
    А вот что лично мне понравилось — закон Годвина: «Когда онлайновая дискуссия затягивается, вероятность сравнения кого-нибудь с нацистами или Гитлером достигает единицы».  Правда!
  • Каких-то там радикалов политиков. Муть.
  • Про шифропанков. Это уже интереснее. Есть весьма прикольные спецы, занимающихся предоставлением нормальных средств шифрования нам, обычным пользователям. Бесплатно. Это сегодня кажется — а что здесь такого. А ведь, оказывается, тот же PGP — не сразу стал общедоступным, была длительная война с правительством США, прежде чем его легализовали.
    А вот факт, больше всего понравившийся во всей книге: «Тим Мэй …вышел на пенсию в возрасте 34 лет и посвятил все свое время .. программирование, криптография, физика, математика и политика…». Вот это да. Тут за 40, и впахиваешь на 150%, в надежде хоть как-то обеспечить детей и свою пенсию, а оказывается можно и по-другому))
  • Детское порно. Тут, конечно, много описано/написано, но зачем — не знаю. Я бы на его месте не писал, по кр. мере так подробно.
  • Ну и еще темы про веб-моделек (опять порно), про любителей суицида и анорексии, про чуваков желающих жить вечно (они даже закупили сервис заморозки после смерти, всего 200k$ стоит). И опять про политику, про экстремизм, про…

А вообще-то, довольно много написал Джейми. То, что работа сделана большая — нужно признать.

В заключение, мега-вывод автора: «Даркнет — это не что иное, как отражение общества. Искаженное, раздутое, измененное под воздействием странных и противоестественных условий интернет-реальности, но все же наше отражение».

Ну а как иначе — все что мы видим нынче в социуме вокруг — это наше отражение, вот так вот кэп.

Читать или не читать — не знаю, без комментариев. Если нужно, могу книжку отдать просто так, контактируйте.

PS если хочется посмотреть на автора-гика — см. его ролик на TED — там он как раз описывает одну из историй из книжки.

Оценка:
Сложность чтения: очень легко
Полезность: низкая
Оценка: 6/10 — в основном художественный, практически бесполезный рассказ о даркнете. Ну хотя может кому и понравится.

IT Security Conference 2018

Вообще это финальный кадр конференции, буквально за 3 минуты до закрытия — поздравление организатора конференции, Анищенко Владимира (справа)

Побывал на очередной, уже 4й конференции IT Security Conference. На наших просторах выбора особого нет, поэтому данную конференцию можно считать чуть ли не единственной профильной по ИБ.  Поэтому считаю, что каждый ИБэшник должен таки сходить сюда, отдать дань уважения так сказать)

Сам смог поприсутствовать только половину первого дня и половину второго, и многое, к сожалению,  пропустил :-/ Поэтому мой отзыв весьма поверхностный, но тем не менее:

  • Очень много времени посвящено блокчейну. Вернее, ИБ в блокчейне. По немногим посещенным докладам и по круглому столу (см. картинку ниже) — я понял что мало кто понял что кто-то что-то понимает в блокчейне но не в ИБ. Ну вот примерно такие были обсуждения, как предложение это) Лично мне кажется, что на практике это мало кому нужно, а большинство просто пытается подстроиться под хайп.
  • Многовато вендорских докладов. Ну чесн слово, хотелось бы послушать обычных ребят со своими проблемами и решениями.
  • Тем не менее, у некоторых вендоров были прикольные доклады, с интересными цифрами, из которых можно делать выводы (не покупая при этом вендорских продуктов:)

Круглый (ну или прямой) стол по блокчейну

 

Что про себя — выступил с презентацией про то, что если уж вляпался в ИБ, так это надолго (на всю жизнь). И что с этим делать? Ответа прямого, как вы понимаете, нет)

Хотел поблагодарить организаторов — за отличное мероприятие!

CompTIA Network+

Начало

CompTIA Network+   — к этой сертификации я долго шел.

Вначале рефлексировал — а зачем мне знания по сетям. Но как ИБэшнику — понял, без такой базы будет тяжело. Потом выбирал между CCNA и CompTIA Net+. Склонился в конце концов к вендор-независимой CompTIA.

Тут небольшой рассказ, о том как готовился, какие материалы использовал и как сдавал экзамен. Вдруг окажется кому-нибудь полезным)

Пред-подготовка

Все должно начинаться с покупки самого экзамена. Почему вначале, а не перед самим экзаменом? А чтобы не филонить ввиду четких сроков (ваучер на экзамен валиден только в течение года).

Я рекомендую купить Deluxe пакет от CompTIA, который содержит:

  • собственно ваучер на экзамен CompTIA Network+ Exam Voucher
  • CertMaster — тренировочная программа, содержащая базу вопросов. Считаю оч. полезной штукой
  • и еще Exam Voucher Retake — это запасной билет, на случай если вдруг провалишься с первого раза. Забегая вперед скажу, мне это пригодилось(

380$  — нормальная цена, экономия почти 50% если бы покупал по отдельности.

Нужно было купить еще подготовительные материалы — см. дальше.

Подготовка

В качестве основной книжки я выбрал Mike Meyer’s CompTIA Network+ All-In-One Exam (отдал около 40$) В целом она оправдала себя. Помимо необходимой информации по самому экзамену, там куча просто полезных вещей, описывающих реальный мир. У Майка хорошее чувство юмора, нередко он издевался над требованиями экзамена, а в основном — пытался просто выстроить целостную картинку — как создать эффективную сеть с нуля, как ее защитить, эксплуатировать и тд.

Ну раз купил книжку Meyer, то логично купить и его видео-курсы — можно на скидке купить за 10$ на Udemy — CompTIA Network+ Cert.; N10-006. The Total Course. 150 уроков, где-то 15 часов чистого времени.

Остальные материалы получились бесплатными.

Как выстроил процесс обучения.

  1. Читаешь главу из книжки, пометки, разбор вопросов, все стандартно. Как уже отмечал, книжка весьма знатная)
  2. Просматриваешь соответствующую главу из онлайн-курса. Так как автор один — то и курс и книжка синхронизированы. Однако к концу обучения забил на эти уроки, п.ч. они хоть и были очень фановыми, простыми, но явно не покрывали вопросов из экзамена. Книжка — покрывала, а эти курсы — нет. Поэтому на 100 уроках (из 150) забил. Решил что досмотрю как-нибудь на досуге, в фоновом режиме.
  3. Отдельным стримом запустил изучение материала из инета. В частности:
    • Сети для самых маленьких — офигенная серия статей. К сожалению, бодро начал, но не смог закончить — уж очень много деталей, а в конце не хватало времени даже на книжку.
    • Попробовал еще Основы компьютерных сетей. Не понравилось, слишком по-студенчески что-ли.
  4. Также, поначалу начал смотреть видео-курс от Pr. Messer — бесплатный клевый видеокурс. Просмотрел с треть, а потом переключился на Meyer видео. О чем впоследствии пожалел. Видюхи от проф. Мессера — более практичны. Однозначно рекомендую.
  5. Есть еще отличная штука от Pr.Messer — Professor Messer’s CompTIA N10-006 Network+ Course Notes. Это пара десятков страниц концентрированного текста, графики, схем, таблиц и тд — я постоянно мусолил эту распечатку, гармоничная штука получилась у профессора. Она вроде платная, но я как-то в первый раз нашел ее в инете, а потом только узнал что она денег стоит.
  6. Почти последнее — это CertMaster — специальная прога от CompTIA — эмуляция экзаменационных вопросов. Вещь абсолютно необходимая. Она входит в тот пакет, который я купил изначально. Пытался щелкать вопросы паралелльно с чтением книги. Но потом показалось удобнее все же дожать полностью книжку, и только тогда переключиться на вопросы. В последние пару месяцев я прощелкал абсолютно все вопросы (там удобно еще тем — что дается объяснение, если неправильно отвечаешь).
  7. Ну и последнее, от известного Meyer имеются еще одни как-бы курсы на Udemy — CompTIA Network+ Cert. (N10-006): Practice Tests. Это не видео, а база вопросов. Вот эта штука оказалось полезнее (чем видео-курсы). Содержит 3 отдельных экзамена (набора вопросов). Их качество субъективно похуже чем в CertMaster, но зато они дешевые — за те же 10$ купил.

Вот так и учился. И в отпуск с собой таскал эту 700 страничную книгу, и на работу постоянно с пакетиком. Но как водится, по настоящему взялся за ум только за 2 месяца до срока. Отступать было некуда — у ваучера заканчивался срок:-/

 

Экзамен

В Минске имеется несколько центров, в которых можно сдавать Network+. Я сдавал в Softline.

Процедура обычная — приходишь минут за 15, тебя оформляют, щелкают фото (и потом ты с судорожной рожей оказываешься на финальном листке, что выдают после экзамена).

В комнатухе ничего кроме тебя, компа, и камеры нет. Телефон/часы и тд — сдаешь до входа в комнату. На столе лежит пластиковая картонка — на ней можно писать специальным маркером (что абсолютно необходимо — все расчеты, раскладки OSI, распиновки TIA 658, расчет масок подсетей и др — нужно же где-то все писать!)

Итак, в тесте около 90 вопросов, около 2х часов времени (чуть больше чем для англоязычных — п.ч. язык не родной:). Из них первые 3-4 — практическая симуляция. Не уверен, что могу по политикам CompTIA описывать их. Скажу лишь что нужно было разбить выданную сеть на подсетки и решить связанные с этим делом вопросы. Также проверили распиновку UTP, соединения между коммутаторами и др. Остальные вопросы — стандартные, «без картинок».

Достаточно много хитро-вывернутых вопросов. Тактика простая — упрощаешь и выбираешь максимально правдоподобный ответ)
Встречались вопросы, которые я вообще не видел во время обучения. Просто угадывал и шел дальше. В целом ощущение от вопросов сложилось гармоничное — видно что над ними трудилось немало людей.

Первый экзамен я не сдал — 700 из требуемых 720. Вообще диапазон баллов для этого экзамена — от 100 до 900.

Через неделю (постоянной учебы) пошел и в этот раз сдал:

а фотка то делалась перед экзаменом. сразу видно)

Следует отметить, что вопросы повторились где-то на 20-30%, в основном все новые были. А вот симуляции — абсолютно такие же.

Ну а чуть попозже — пришла нотификация и про сертификат:

красивая бумажка

 

Что дальше

Ну а теперь о печальном.

Что дала мне эта сертификация? Понимаю ли я теперь на практике все нюансы построения современных сетей?

Будем честными, скорее нет, чем да.
Я получил общие знания о сетях, узнал как работают основные протоколы, научился работать с масками, разбивать на под-сети и тд.

Так как админского бэкграунда у меня нет, то моей главной проблемой было (и остается) — невозможность толком все испробовать на практике. Я пытался найти себе некого ментора/учителя, с кем можно было бы пообсуждать практические вопросы. Но к сожалению, не получилось. То ли все админы — асоциальны по натуре, то я лицом не вышел. Ну а скорее всего — просто не сложилось.

Таким образом, в сухом остатке — всю теорию, базовое понимание — я втянул в себя. Но точек привязки к реальности — к сожалению не очень много.

Поэтому, в дальнейшем я записался уже на «живые» курсы по CCNA. Тут будет конечно Cisco фокус, но мне это и нужно — на текущей работе основной стэк как раз Cisco. На живых курсах будут живые люди, с которыми можно будет поднять то, о чем не пишут в книгах. Хороший тренер будет, судя по отзывам. Живая лаборатория с железом (!) Так что, несмотря на то, что CCNA считается чуть проще сертификацией, чем CompTIA Net+, лично я надеюсь приобрести, а не потерять.

Даст Бог, в течение года сделаю CCNA — уже с лучшим практическим пониманием.

Следующим шагом скорее всего будет либо CompTIA Security+, либо CCNA Security.

Удачи всем!

PS Еще на этот год планирую Certified in Risk and Information Systems Control (CRISC) от ISACA. Но это уже отдельная песня, отпишусь как сдам.

IT Security Conference 2017: это уже что-то)

Эх, как же мало ИБ мероприятий у нас в деревне-))

Но вот случился и на нашей улице праздник — Третья международная конференция IT Security Conference 2017!

Субъективно, уровень повышается, из года в год. Пусть медленно, но прогресс есть — как по объему, так и по качеству.

Большая часть докладов предназначалась для госов. Что, впрочем, было оправдано, п.ч. посетители конференции и были собственно из госов. Из ИТ компаний я повстречал (увидел) только несколько человек. Вероятно поэтому, моя презентация ощущалась немного не в тему — она предназначалась для небольших организаций:

Но я смог выкрутиться, заявив сразу собравшимся, что у них скорее всего не реализованы даже эти простейшие меры, рекомендуемые для вот таких обычных контор:

Пример простой конторы, которой, как ни странно, тоже не хватает обычной ИБ

 

Американское решение для малого бизнеса

А наше решение все же проще и понятней..

Некоторые заметки.

Все больше гос.чиновников рассказывают интересные вещи. Тут хотелось бы выделить Александра Сушко, со сложным профилем — начальник управления по расследованию преступлений против информационной безопасности и интеллектуальной собственности главного следственного управления Следственного комитета Беларуси. Для упрощения предлагаю называть Александра просто — «полковник юстиции»  — достойно и загадочно). Его выступление запомнилось еще с прошлого года BIS Summit Minsk 2016. В этом году было достойное продолжение — с реальными примерами (ну а кому, как не этим ребятам знать про реальность).

Александр показывает спасенные его отделом компании (шутка)

Интересно, что Александр в конце сделал вывод про основу основ —  «доверие между гражданами , бизнесом и правоохранительными органами». К сожалению, доверие (уже) нарушено многократно и многообразно его коллегами из других подразделений. Ну и как тут быть на белом коне, когда кругом бедлам?

Александр пытается наладить доверие в сессии вопросов-ответов.

 

Мне очень понравился доклад Гиоева Артура, технического директора HPE Software CIS. Потому что там все было очень родное — про проблемы в ИТ:

Артур объясняет основы правильной (безопасной) разработки ПО

А вот еще зарисовки с конференции.

Госы предлагают купить услуги ддос, получается недорого  (специально для госов нотифицирую — это шутка)

Один из докладчиков читал такой секретный доклад, что за доклад так толком и не повернулся лицом к аудитории..

Непонятно, что делает мини-серверная в главном зале, возле чая/кофе:)

С организационной точки зрения — все на достаточно классном уровне — спасибо организаторам!

А в конце было награждение отличившихся.

Владимир Анищенко предупреждает о грядущем награждении)

И что весьма прикольно, меня тоже наградили — выдали диплом)

Для меня это было очень необычно и неожиданно (ну и приятно конечно же). Нематериальная мотивация в действии))

Теперь я храню свой диплом на самом видном месте, в тени цветов

 

 

 

ITSM Belarus 2016 — ламповая конференция!)

Поучаствовал в ITSM Belarus 2016 — уже 4й по счету. Милая, небольшая, ламповая конференция:)

Команда организаторов ITSM Belarus 2016

Вообще, я был немного не в своей тарелке — ИБэшник посреди толпы ИТшников) Но обошлось, никто не обидил (а вероятней всего что я к сожалению обидел-)

ИБ обижает ИТ (или наоборот)

Слайд из моей презнтации — ИБ обижает ИТ (или наоборот)

Приятной неожиданностью был достаточно мощный состав докладчиков и участников. Особо хотел бы отметить специалистов Cleverics , приехало даже несколько человек. Местные топ-менеджеры уважаемых компаний.

Получилось классное мероприятие! Во-первых — таких событий (в области itsm) — совсем немного в Беларуси, а это уже 4-е.
Во-вторых, уровень самой конференции, докладчиков — весьма хорош. Субъективно конечно, но обычно после очередной конфы у меня %60 разочарования, а тут — всего 17.5%:)
Ну и в-третьих — конфа получилось достаточно разноплановой. Тут и реальные кейсы из жизни, и теоретические призывы жить правильно)

Из недостатков — что хотел бы посоветовать всем докладчикам и себе в первую очередь: анализировать, анализировать целевую аудиторию, и давать доклад в пользу аудитории, а не в пиар себе. Зачем человеку в зале нужно знать то, что я его заставляю со сцены узнать? С чего это я думаю, что эта супер-история из моей супер-жизни будет интересна всем этим людям?

Из докладчиков хотел выделить Романа Журавлева из клеверикса — глубокие знания, стуктурное изложение, философия и практика в одном флаконе, мощное окончание всей конференции.

Роман Журавлев из Cleverics

Роман Журавлев из Cleverics

Также Ивана Таборовца из епама — честный пример из практики. Нудный и не совсем понятный. Зато я точно понял, что уровень решаемых задач — совершенно заоблачный. И это круто, это наши ребята решают такое!

Про свой доклад — сделал не практичным (да что там за 20 мин можно напрактиковать), а философско-юмористичным:)

ИТ и ИБ на теле бизнеса — кликай чтобы открылась вся презентация

Также  пара картинок из презентации:

мега откровение)

Вместе, но не одинаковые

Вместе, но не одинаковые

PS мне повезло выиграть книжку по новому ит стандарту — IT4IT. Выглядит многообещающим начинанием.

IT4IT — новый стандарт

 

Опять книга о работе:) Покажи свою працу!

Работа должна быть показана!Покажи свою работу — новая книга Остина Клеона.

Про то, как творить и не зашиваться от всего мира. И в то же время — не быть гордым нарциссом.

Умение показать свою работу — залог нормальной, здоровой карьеры. Поэтому, считаю, это такой же навык, как скажем, умение писать письма, или вести переговоры.

Раз навык — значит можно (нужно) учиться.

См. детальное описание книги — в обзоре на моем «литературном блоге» Покажи свою работу. Остин Клеон.

PS подумал, что Остин имеет «творческую» специфику, и не все его советы подойдут офисным работникам. Но заряжает он классно:)

Статья в журнале !БДИ — СМИБ: «ЧЕЛОВЕЧЕСКОЕ ЛИЦО» ТЕХНИЧЕСКОЙ ЗАЩИТЫ

Картинка из журнала - Базовая схема СМИБЗапостил статью в журнале «!Безопасность деловой информации» — про человеческий и технический фактор при внедрении СМИБ. Полное название статьи: «СМИБ: «ЧЕЛОВЕЧЕСКОЕ ЛИЦО» ТЕХНИЧЕСКОЙ ЗАЩИТЫ«.

Интересен оказался процесс взаимодействия с авторами журнала. Во многом то, как я первоначально видел и писал — оказалось переделанным, отдизайненным и выглядящим уже не «как родное»:) Но более профессионально что-ли.

В общем, хороший опыт)

Управление фирмой, оказывающей профессиональные услуги. Дэвид Майстер

maisterЭто весьма специфическая книга по узкой теме — работа фирм, оказывающих консалтинг другим фирмам. Такие фирмы существуют, и это не только E&Y, McKinsey и т.п.

Думаю, любому, задумывающемуся о создании консалтинг фирмы, имеет смысл прочитать Майстера. Остальным можно ознакомиться с отдельными главами — чтобы понять, что такое качественный консалтинг, и посоветовать своим консалтерам)

Что под капотом:

  • Внутренняя организация консалтинговой фирмы, понятия партнера, менеджера и младшего сотрудника
  • Структура проектов — мозги (супер проекты), седина (требуется небольшое участие партнеров), процедуры (стандартные проекты, выполняются мл. сотрудниками по процедуре)
  • Работа с клиентом, с собственным персоналом, оценка и оплата работы партнеров, и многие многие нюансы работы

В целом, структура книги несколько рваная, вероятно п.ч. составлена из отдельных статей, написанных автором ранее. Но от этого мы ничего не теряем. Просто пользоваться можно как справочником — открываешь где нужно и вперед.

Некоторые мысли из книги:

  • Прибыльность важнее для консалтинг фирмы, чем доходность (т.е. суть не в объемах продаж, высоких ставках и пр.) Нужно мотивировать партнеров тупо на прибыль, а не ставки, оплаченные часы и пр. Может и кэп, но вот немного выстраивают бизнес именно так.
  • Искусство выстраивания структуры работы партнера — делегировать что нужно делегировать, фокус на прибыльности, важность занятия маркетингом. Много нюансов — перечитывать как столкнешься.
  • Нужно обслуживать не только проблему клиента, но и самого клиента. Это млин важно, п.ч. мы проффи решаем проблемы, а клиент почему-то чувствует себя г*вном. Уделять своим клиентам внимание. Настроить обратную связь, по-настоящему узнавать о чем думают клиенты.
    Меня сильно трогает эта тема, п.ч. вижу в этом системную проблему всего постсовкого пространства:-/
  • Семинары — не более 25 чел, на кажд. 5 чел должен быть выделен партнер, заранее проработать каждого посетителя. Сказка, но почему бы не поставить ориентиром?
  • Одна из величайших ошибок — недостаточное инвестирование времени и внимания в существующих клиентов.
  • Каждый партнер должен иметь личный карьерный план. Вообще удивительно, как партнеры (по сути, совладельцы фирмы) могут уживаться вместе, при наличии своих собственных планов. Вероятно, нужен лидер, который сможет разруливать многочисленные проблемы (об этом тоже много пишет Майстер). Лидер, могущий создать атмосферу динамизма, поддержки амбиций.
  • Настоящий проффи — неврастеник, постоянно сомневающийся в своих способностях. Поэтому ведом достигаторством)
  • Руководитель фирмы, одиноко сидящий в своем кабинете — ничем не управляет) Речь о том, что нужно работать «на полях».
  • Лучший лидер — не лучший проффи. Но тот, кто способен всегда находить и созидать лучшее в людях.
  • Лучший лидер легко отдает честь победы другим. Думаю это транспонируется на любые области. Профессионализм всегда заметят, его особо не нужно защищать.
  • Стратегия фирмы — должна разрабатываться снизу вверх, вплоть до включения в личные планы партнеров. Единственно значимая часть в этих стратегиях — план конкретных мероприятий.
  • Делать быструю стратегию — не на 5 лет, а на 3 мес. И постоянный пересмотр. Об этом кстати хорошо писала Карен Фелан, «Простите, я разрушил вашу компанию».
  • Так за что же отвечает партнер? Все просто и логично:
    • перед клиентом — в рамках проекта
    • перед фирмой — прибыль
    • перед другими сотрудниками — обучение учеников
  • Соответственно, критерии успеха партнера: прибыльность, удовлетворенность клиента, развитие навыков (своих и учеников)
  • Компенсация работы партнера? Это жесть, все делают по разному. Но в идеале, должна строиться на оценке, а не на измерениях (т.е. не тупые метрики, а количественный и качественный анализ).
    Один топ-менеджер сказал — оценка работы партнеров в консалтинговых фирмах либо работает плохо, либо отсутвует.

Резюмируем.
Книга весьма достойная, маст рид для консалтеров. Несмотря на то, что описываемый автором опыт — это опыт США аж 90х лет, но для нас смотрится свежаком. Труднодостижимым.

PS В 2010 году Майстер вот что написал в своем блоге:

After nearly 30 years of advising and writing about professional services, I have decided to retire. I no longer plan to consult, speak or write.

от как нужно жить)

от как нужно жить)

Он пишет далее, что достиг многого, помог многим. Совсем как ап. Павел:)
«2Тим 4:7 Подвигом добрым я подвизался, течение совершил, веру сохранил».
А потом понял, как классно проводить время со своей женой, путешествовать, участвовать во всяких «кружках», и быть учеником а не учителем.
И с тех пор (уже более 6 лет) — ни строчки по профессии.

Очень интересный чел, и мне кажется — достоин подражания.

Оценка:
Сложность чтения: средняя (местами сложная)
Полезность: высокая
Оценка: 9/10 (не 10, п.ч. иногда «не про нас», и местами повторяется)