понедельник, 10 ноября 2014 г.

Мои 5 копеек про конференции ИБ

Осень в разгаре, бОльшая часть мероприятий по информационной безопасности уже отгремела (с разным успехом), и надо сказать что общий тон отношения к качеству их проведения у коллег несколько сместился в положительную сторону. Несмотря на то что, во многом я склонен с ними согласиться, я хотел бы отметить один факт, который на мой взгляд сказывается все же на качестве конференций. 

По отзывам я могу сказать, что реально улучшилась "тусовочная" составляющая мероприятий, т.е это возможность встретиться и пообщаться с разными людьми, с кем в суматохе дней встретится не удается. Но ведь это же далеко не вся составляющая конференции, правда ?  Есть же еще выступления спикеров, об этом и хочу поговорить. 

В силу того, что в своем нынешнем качестве мне приходится активно вовлекаться в две различные области: информационную безопасность и разработку программного обеспечения, я так или иначе в том числе участвую и в мероприятиях, посвященных вопросам разработки ПО и могу, что называется, сравнивать. 

Отличительной особенностью многих конференций по разработке является то, что там с докладами выступают люди, которые непосредственно занимаются теми вопросами, о которых они рассказывают (т.е они не предлагают какие-то услуги для аудитории конференции), т.е по сути делятся личным опытом.  Конечно же на рынке разработки ПО значительно меньше компаний, которые оказывают какие-либо услуги или предлагаю какие-то продукты, которые ориентированы на разработчиков, но тем не менее они есть, но они как правило не превалируют в сетке докладов.  Ниже я привожу данные по довольно популярной конференции Agile Days:

* Сразу оговорюсь что т.к. никакой собирательный термин мне придумать не удалось, я использую термин "Представители заказчиков" для отображения количества докладов от тех, кто не предлагает каких-либо услуг, а к "Представители интеграторов" отношу доклады всех тех, кто представляет компании, предлагающие услуги по консалтингу, обучению, интеграции и проч. В расчете не участвуют круглые столы и панельные дискуссии. В строке "Прочие" я указываю доклады от представителей регуляторов, сообществ, ассоциаций и т.п. В строке "% представителей интеграторов" показывается процент докладов от представителей интеграторов в общем количестве докладов.

  Общее количество докладов      64
  Представители заказчиков 34
  Представители интеграторов 25
  Прочие 5
  % представителей интеграторов 39 %

А теперь давайте для сравнения посмотрим на три ИБ-конференции: IT & Security Forum (Казань), BIS Summit, Код информационной безопасности (Казань).

IT & Security Forum

  Общее количество докладов      47
  Представители заказчиков 1
  Представители интеграторов 46
  Прочие 0
  % представителей интеграторов 98 %

BIS Summit

  Общее количество докладов      24
  Представители заказчиков 3
  Представители интеграторов 20
  Прочие 1
  % представителей интеграторов 83 %

Код информационной безопасности (Казань)

  Общее количество докладов      22
  Представители заказчиков 0
  Представители интеграторов 22
  Прочие 0
  % представителей интеграторов 100 %


Ну в общем цифры говорят сами за себя.  Какие выводы я хотел бы из этого сделать. 

1) Я не выступаю против вендорских/интеграторских докладов. Я сам теперь представляю разработчика, но я считаю что на сцене должны быть те, кому действительно есть что сказать и кого интересно послушать по конкретной теме (не важно кого он представляет). И если среди выступающих будет больше людей, которые будут рассказывать про собственные успехи и неудачи, от этого глобально выиграет все сообщество.  Пора перестать уже все скрывать, действуя по старому и неработающему принципу security through obscurity.

2) Многие западные конференции (и аналогичную практику я вижу в конференциях по разработке ПО) задолго до начала организуют сбор заявок на выступления (Call for Papers), это значит что потенциальные спикеры заранее презентуют концепт и суть своего выступления, а организаторы выбирают то, что как им кажется будет интересно их аудитории. Думаю что такой подход стоит перенять.

3) Организаторам конференций надо уже принять волевое решение и отказаться от порочной практики предоставления докладов как части спонсорских пакетов. Возможность участия в конференции должно определяться исключительно тем, что спикер готов дать интересный для аудитории  контент. Интересный контент и возможность услышать чужой опыт обязательно привлекут аудиторию, а вендоры/интеграторы готовы будут заплатить за то, чтобы быть там, где есть хорошая аудитория.  Лично я готов платить за то, чтобы просто быть со стендом там, где действительно качественный контент в докладах и серьезная аудитория в зале.

P.S. Не надо думать что в текущей ситуации я виню только организаторов, надо сказать, что найти тех, кто мог бы поделиться ценным опытом выполнения проектов и готов об этом рассказывать, оооочень сложно. Кто-то стесняется публичных выступлений, кто-то считает что про безопасность надо рассказывать поменьше, кто-то не хочет утруждать себя излишней общественной нагрузкой. В общем со спикерами беда и это уже вопрос к нашему экспертному сообществу.  Отчасти это можно было бы решить платой за выступления самим спикерам, но это не всегда работает и не факт что поможет.

среда, 5 ноября 2014 г.

У безопасника должна быть карта сети !


Очень часто к сожалению приходится сталкиваться с ситуацией когда в организациях нет актуальных данных по инфраструктуре, они либо вообще отсутствуют, либо существуют в каких-то системах инвентаризации у ИТ-шников, в которых очень часто, как говорится, "черт ногу сломит". 

А как можно обеспечивать защиту того, о чем у тебя нет детальных сведений ? Можно конечно, только это рождает ряд объективных сложностей и рисков.

Мы в команде R-Vision считаем, что эту проблему можно и нужно решать и именно поэтому мы в течение всего 2014 года вели разработку нового модуля по инвентаризации и визуализации данных об инфраструктуре.

Результаты нашей работы мы представим на вебинаре 11 ноября в 10:00.  Приходите !

Подробности и регистрация тут - https://rvision.pro/event/vebinar-asset-manager/

Количество участников (к сожалению) ограничено.