Comments 26
Добравшись до определенного уровня компетенции и зарплаты я просто не иду на собеседование, если знаю, что надо будет говорить с СБ. Благо рынок в мою пользу. Забавно, что многие HR в банках хорошо понимают эту проблему и стараются оттянуть встречу с особистом, чтоб соискателю уже было жалко все это бросать.
Послал в итоге лесом. Слишком много хотят за $2500.
Я думаю тут не проблема в самом "все запретить", а в том, что на то чтоб "разрешить" ты должне идти на поклон к прапорщику с кучей бумажек, а потом ждать недели. Вторая засада в том, что ты более квалифицирован, чем он. Очень тяжело объяснить прапору, что тебе нужна другая ОС на компьютере (он вообще не знает, что там может быть не Windows) или что не надо проверять Касперским трафик с maven-central из-за ложных страбатываний и т.д.
Картинка к статье кстати очень удачная(себе скачал:)). Мое личное мнение, что все-таки правильней или не запариваться безопасностью или уже начинать с опечатывания компов, портов и т.п.
Большинство сотрудников СБ, если не все, набираются из МВД, ФСБ, военных и т.д.Насколько достоверна эта статистика? Сколько в вашей текущей организации сотрудников СБ (ну или ЭБ) и сколько из них — бывшие сотрудники МВД, ФСБ, военные?
Я не хочу обидеть сотрудников СБ, и у меня нет к ним личной неприязни, мести и умысла очернить ихПосле прочтения составленного вами «кодекса» как-то не очень верится. Возьмите десять своих недостатков или ошибок, увеличьте в десять раз, напишите такой же «кодекс» про себя и проверьте, обидит он вас или нет.
Статья в целом — очередной плач Ярославны, коих здесь было уже.
Спасибо за комментарий.
Для начала неплохо бы осознать, что вы в статье описываете сразу два направления
Да, согласен.
- Насколько достоверна эта статистика?
- Сколько в вашей текущей организации сотрудников СБ (ну или ЭБ) и сколько из них — бывшие сотрудники МВД, ФСБ, военные?
Исследования не проводил, мне такую информацию не представляли и получить её не получится, но с теми с кем общался были как раз оттуда
После прочтения составленного вами «кодекса» как-то не очень верится.
Да согласен, тут можно обидится. Но не это цель статьи
Статья в целом — очередной плач Ярославны
Я как-то не одной жалобы не написал
коих здесь было уже
Да тема пересекается, но статьи о разном
Исследования не проводилНо выводы делаете, причём за всю отрасль.
Каждый программист должен не только уметь хорошо разбираться и пройти тесты/курсы по безопасности и, как минимум, знать все самые популярные способы взлома, которые применяются на его языке программированияКакие самые популярные способы взлома применяются на вашем языке программирования?
Ну и по поводу ситуации в целом:
1. СБ — это просто структурное подразделение компании. Где-то оно обладает особенным авторитетом, где-то об неё IT с кадрами ноги вытирают — это зависит от конкретной организации. Но в любом случае СБ действует в рамках полномочий, которые ей выдало руководство этой организации.
2. Цели и методы работы СБ определяются руководством. Обоснуйте бизнесу, почему вы такой классный и как много для компании значите — и для вас сделают исключение, СБ будет тихо курить в уголке, а вы — наслаждаться жизнью. Это касается как отдельных личностей, так и отделов / департаментов / направлений деятельности внутри организации.
Не получается? Ну, значит, бизнес не считает, что риски, связанные с выдачей вам таких прав, целесообразны. Что, в свою очередь, означает, что либо не такой уж вы и классный, либо вы / ваш начальник / ЗГД по вашему направлению не способны донести свою точку зрения до руководства. В обоих случаях виновата не СБ, а либо раздутое самомнение, либо отсутствие необходимых лидерских качеств (работнику такое ещё простительно, руководителям высшего звена — уже вряд ли).
3. «Установить такие правила, которые устроят всех» невозможно в принципе. Во-первых, все разные, и одному нужны соцсети и гаджеты, второму — торренты, третьему — работать из дома, четвёртому — права администратора. Во-вторых, пользователям всегда хочется значительно больше, чем нужно для производственной деятельности, и какие-то ограничения необходимы.
4. Предложенные вами меры (нанять в СБ психолога, провести интересное обучение, повышать компетенции пользователей и сотрудников СБ) имеют право на жизнь, но здесь решение опять же принимает руководство компании. Если такое не внедряется — значит, бизнес не в восторге от идеи потратить ещё пару (десятков?) миллионов на психологов и тренинги.
Безусловно является. И безусловно надо бы его проводить. Но это стоит (а) денег и (б) времени безопасников. А в большинстве организаций народу в ИБ и так не хватает, они по горло загружены согласованием заявок, настройкой СЗИ, анализом логов и тому подобным.
В идеальном розовом мире в структуре ИБ должно быть несколько разных отделов, которые занимаются разными задачами. Кто-то заявки рассматривает, кто-то СЗИ настраивает, кто-то разрабатывает новые политики безопасности, кто-то логи смотрит, кто-то занимается обучением сотрудников и повышением их осведомлённости.
Но это возможно только в крупных компаниях, которые ещё и всерьёз подходят к вопросам обеспечения ИБ, коих на рынке единицы.
Хочу немного уточнить, я не жалуюсь на СБ, мне просто кажутся не очень эффективны способы их работы. И я просто решил поделиться своим мнением и посмотреть, согласен ли кто-нибудь с такой точкой зрения.
Спасибо за то, что поделились вашей точкой зрения
Цели и методы работы СБ определяются руководством. Обоснуйте бизнесу, почему вы такой классный и как много для компании значите — и для вас сделают исключение, СБ будет тихо курить в уголке, а вы — наслаждаться жизнью.
Не соглашусь. Глупое руководство так будет делать, которому, в принципе, плевать на безопасность. Я классный. Я это сам знаю. Перед моим возвращением в Россию я был одним из создателей крупной западной компании, которая вот уже 17 лет успешна на глобальном рынке и с 50 тысяч евро стартового капитала имеет сейчас собственный оборот свыше 5 миллиардов евро в год. Я в этой компании занимал одну из самых ключевых позиций с самого основания до самого ухода. Не хвастаюсь, а определяю свою значимость и опыт. Так вот, придя в довольно крупную российскую компанию, куда меня эта компания сама пригласила, после беседы с владельцем компании я все же прошел и тесты СБ, и беседу со специально приглашенным психологом из МГУ. Пять больших тестов в течение всего дня. Прошел успешно. Получил руководящую должность. Владелец был рад, что я прошел тесты. Несмотря на его личное желание принять меня на работу, результат тестов был важен. Если бы где-то завалил, не взяли бы, несмотря ни на что. Я считаю это нормальной практикой. Руководящий сотрудник должен проходить больше проверок, подчиненные меньше. У нас все проходят СБ. Это обязательно. И я сам убедился, что это верно. По моему настоянию были приняты таки два сотрудника однажды против решения СБ. Очень настаивал, лично убеждал владельца компании. И результат — оба сотрудника уже не работают. Один сам ушел, второго уволили по несоответствию. С тех пор я доверяю решению нашей СБ.
Сложно всё это.., да и вообще работа с людьми самая сложная. Всем мир)
Не раз сталкивался с подобными проблемами при взаимодействия не только с СБ но и с юридическим отделом (виноваты если договор не исполнен и предъявить исполнителю ничего не можем), финансовым (виноват если необоснованные траты), снабжением и т.д. По моему опыту, проблемы возникают с 1-2 отделами, если с бОльшими «не выжить» ни тебе ни компании. Причём с СБ работа более менее налажена была.
При обращении к «тыжпрограммисту» тоже никто не понимает что толком спросить и почему он при этом не может сразу всё предоставить, починить и сделать. Ему тоже нужны какие-то данные, какая-то «ненужная» инфа от тебя, требует какие-то пароли логины, номера почему-то не устанавливает ту или иную прогу, не даёт полный доступ и т.д. И здесь всё зависит от IT-специалиста, как он наладит взаимосвязь с отделами. Если не наладит так и останется «тыжпрограммистом» у которого все виноваты что его так называют.
Т.К. сотрудники СБ чаще выполняют установки чем пишут, тем более в IT. Я бы попробовал сам написать установки безопасности и попросил бы СБ следовать им т.к. это увеличит их и вашу продуктивность. А СБ использовать как инструмент. Если ты ответственен за любой доступ или действие которое ты делегировал, все «инструменты» службы безопасности вдруг могут стать полезными)
Сколько сотрудников СБ в вашей компании?
И тоже помню бесило, когда все действия согласовывали с СБшниками, а они большинство были в ИТ не сильно далекие, многие пришли из УВД, а там в ИТ попали ввиду различных контузий или дефектов по здоровью. И бывало по часу сидели разжевывали им новую хранимую процедуру, и что в ней изменилось и для чего, и что это будет работать и это не магия. Хотя причем можно было хрень наговорить, главно делать это с уверенным лицом и они согласовывали.
судя по заголовку ожидал статью про уязвимости в системе безопасности крупных компаний)
Ну извините, СБ — им тоже надо как-то бизнесу доказать, что жуют свой хлеб не просто так.
Да и вообще — чужая работа обычно кажется легче
ЗЫ: я не из СБ :)
Безопасность в современных корпорациях