Comments 23
Печально… Но так и есть…
И так сойдёт! ©
И так сойдёт! ©
Ребят, а что вы вообще делаете, для чего живете? Семья понятно, а что останется после вас, вашей семьи?
То что вы пишите это же текучка, как растёт дерево, горит дом, течет вода.
Нужно что то позитивное, может быть это и философский вопрос, но если бы каждый из нас были, как Менделеев, Ломоносов, изобретали что то новое, а не настраивали один и тот же софт, ставили одни и те же патчи изо дня в день? Вам не думается, что люди бы были уже бессмертны никогда не болели и могли больше времени отдавать той же семье, чем работе ради работы? Мне кажется, нам всем есть к чему стремится и менять работу ради существования, на работу ради одной какой то персональной цели например, как у Гагарина полететь в Космос. Жалко только что он рано перегорел, достигнув своей цели.
То что вы пишите это же текучка, как растёт дерево, горит дом, течет вода.
Нужно что то позитивное, может быть это и философский вопрос, но если бы каждый из нас были, как Менделеев, Ломоносов, изобретали что то новое, а не настраивали один и тот же софт, ставили одни и те же патчи изо дня в день? Вам не думается, что люди бы были уже бессмертны никогда не болели и могли больше времени отдавать той же семье, чем работе ради работы? Мне кажется, нам всем есть к чему стремится и менять работу ради существования, на работу ради одной какой то персональной цели например, как у Гагарина полететь в Космос. Жалко только что он рано перегорел, достигнув своей цели.
Т.е. вся суть статьи — "забей"?
Решение подходит для любой технической проблемы, собственно.
Особенно в сфере IT:
Сисадмины/администраторы сетей и прочие часто сталкиваются с недостатком инвестиций в резервное копирование или инфраструктуру, но пока системы работают и приносят прибыль, всем наплевать. Кроме того, несмотря на то, что инфраструктуры приносят прибыль, IT по-прежнему рассматривают как «статью затрат». Менеджменту наплевать. Сейчас всё работает, а с проблемами мы разберемся позже.
Программистам приходится внедрять уродливые и дерьмовые хаки, потому что не было выделено достаточно времени, чтобы выпустить продукт, в котором разработчики были хотя бы относительно уверены с точки зрения тестирования и QA. Менеджменту всё равно, значение имеют только сроки выполнения проекта и выпуск любого дерьма, за которое будут платить покупатели.
Почему только менеджменту все равно? Манагеры такие недальновидные, а ай-ти специалистам лишь не хватает времени, инвестиций, ресурсов. И админам и инженерам и программистам тоже плевать. Не плевать, когда есть волшебные педели, и по карману тоже, и тех и других как за сами системы, так за и организацию работ (Где-то в сказочной стране).
Манагеры такие недальновидные, а ай-ти специалистам лишь не хватает времени, инвестиций, ресурсов. И админам и инженерам и программистам тоже плевать.
Пока гром не грянет, мужик не перекреститься.
До того как грянет болезнь серьезная — люди, как правило, махают рукой на свое здоровье, «завтра-завтра».
Это особенность нашего мышления — то, что вне непосредственной нашей чувственной сферы нами не воспринимается живо.
Менеджеры не недальновидные. Просто для них это вообще не о чем. Раздражающие сигналы, обратную связь менеджер может получить только от инженера, а не непосрественно из командной строки, как это могут сделать инженеры.
И если менеджер не принимает решений о принятии мер — то в этом определенно есть большая вина инженера.
Главная задача безопасников — защищать самих себя, чтобы потом, в день Д и час Ч, иметь возможность принимать решение влияющее на менеджмент или, проще говоря, принимать решения менеджмент уровня.
Второстепенные директивы: поддерживать свой скилл, создавать иллюзию защищенности компании, рисовать отчёты, пиариться на конференциях, получать зарплату.
Второстепенные директивы: поддерживать свой скилл, создавать иллюзию защищенности компании, рисовать отчёты, пиариться на конференциях, получать зарплату.
Все так. Как уже заметили не только в безопасности но и в других технических сферах.
Тут хотелось видеть расчет вероятности наступления события и стоимости его для компании. Менеджеры, принимающие решения принимают решения в денежном эквиваленте. Т.е. для обоснования инвестиций, в первом приближении, умножить вероятность наступления события на стоимость события для компании. Сравниваем эту стоимость со стоимостью превентивных мер. Получаем ответ о обоснованности превентивных мер.
Тут хотелось видеть расчет вероятности наступления события и стоимости его для компании. Менеджеры, принимающие решения принимают решения в денежном эквиваленте. Т.е. для обоснования инвестиций, в первом приближении, умножить вероятность наступления события на стоимость события для компании. Сравниваем эту стоимость со стоимостью превентивных мер. Получаем ответ о обоснованности превентивных мер.
Все конечно плохо и печально, но давайте посмотрим на фразу
То есть некая компания внедрила подразделение контроля за уязвимостями, при этом в компании нет налаженных процедур, связанных с работой данного подразделения — работник сам должен в каждом конкретном случае проявить инициативу, добиться, чтобы кто-то взял ответственность за обновления.
Соответственно вопросы — кто создал такое подразделение, не прописав его функционал, обязанности сотрудников, процедуры взаимодействия и тд и тп? Почему в руководстве нет человека, в чьих обязанностях есть взаимодействие с ИБ? А не было ли создание подразделения писком моды и не более?
Ваша работа — запускать сканирование на уязвимости, убеждаться в том, что уязвимости с высоким риском устраняются во всей организации, и особенно в системах с выходом в интернет.… Вы рассказываете о своих выводах, планируете установку патча, пытаетесь выступить с инициативой на встрече по контролю изменений… и ничего не добиваетесь.
То есть некая компания внедрила подразделение контроля за уязвимостями, при этом в компании нет налаженных процедур, связанных с работой данного подразделения — работник сам должен в каждом конкретном случае проявить инициативу, добиться, чтобы кто-то взял ответственность за обновления.
Соответственно вопросы — кто создал такое подразделение, не прописав его функционал, обязанности сотрудников, процедуры взаимодействия и тд и тп? Почему в руководстве нет человека, в чьих обязанностях есть взаимодействие с ИБ? А не было ли создание подразделения писком моды и не более?
Стандартный дурдом. Это везде так, работаю в сфере пожарной и охранной безопасности, обслуживаю кое-что, нигде не будут ценить, пока не грянет. Менеджеры они на то и менеджеры, меряют лишь бабло. Но, справедливости ради, скажу. что у компаний есть определенный бюджет, и его стараются тратить на разное. Вообще, спасибо, что хотя бы как есть тратят — надо сказать страховым компаниям, которые оценивают риски и проводят аудиты по безопасности. Автор правильно оценил всё — надо жить и учиться на это класть болт. Но, как и все остальное — в меру. В жизни людей все, как по законам физики. Не надо закидывать все дрова в печку, прогорят и ничего не останется, а основное вылетит в трубу, можно класть по чуть чуть, чтобы получать достаточно энергии для поддержания тепла и работы печи. Автор теперь не тратит сверхсилы, но научился тратить строго отведенное количество жизненных сил на поддержание необходимого уровня, чтобы в случае чего, если его знания понадобятся для решения срочной проблемы в наше время, быстро включиться в работу. Все правильно. Правда, это не просто нигилизм, это разумный нигилизм) Говоря проще, клади болт, но глазком поглядывай.
То самое чувство беспомощности, когда нужна новая железка, инструмент или модернизация, а ты не можешь обосновать, потому что руководство меряет всё на деньги, а не на эффективность и экономический эффект.
То самое чувство беспомощности, когда нужна новая железка, инструмент или модернизация, а ты не можешь обосновать, потому что руководство меряет всё на деньги, а не на эффективность и экономический эффект.
Они и не должны понимать технических аспектов.
Это твоя работа — разжевать им как технические аспекты превращаются в реальную эффективность. Строго говоря, тебя за тем и наняли, что они не понимают, а ты в технике понимаешь.
Изначально менеджер не заинтересован только экономить. Он заинтересован что предприятие работало эффективнее. При разумной экономии.
Но выбор степени этой разумности зависит от того, как ты сможешь презентовать и обосновать техническое решение и от неизвестных тебе финансовых приоритетов компании (может компания сейчас проводит дико дорогую рекламную кампанию и ни на что денег нет, а ты об этом не знаешь; может быть рассматривается перспектива закрытия филиала, а ты для этого филиала предлагаешь обновить парк компьютеров)
Согласен с этими прописными истинами, однако особенно в случае бюджетных учреждений это работает мало — всеобщее стремление сэкономить ведёт к нахождению средств не в тот момент когда всё работает, а технарь просит модернизацию, а в тот момент когда всё встаёт и на столе руководства лежат несколько служебок и докладных, о том что скоро наступит критический момент.
С бюджетными вообще интересно, там есть такие периоды, когда нужно срочно потратить деньги, а то в следующем году урежут бюджет. И быстро быстро покупают всяческую ненужную хрень.
UFO just landed and posted this here
Насколько я знаю, после моего ухода это подразделение скончалось по другим причинам
Все таки по другим.
Значит, они были правы со своим «пляшем».
У рядовых сотрудников частенько проявляется болезнь, при которой они считают себя умнее менеджеров. А это такие же люди как и они сами — не глупее, не умнее.
Но при этом рядовые технические сотрудники близки к технической проблеме и воспринимают ее как главную причину, не имея доступа к общекорпоративным решениям.
Загадка вашего случая может отгадываться просто: подразделение не приносило прибыли еще до «вируса», руководство компании на момент «вируса» уже раздумывало об его закрытии, потому и минимизировало дополнительные не нужные затраты для того, по ком уже заказан некролог.
>Ваши сканеры находят в популярной платформе для веб-приложений критическую уязвимость, в результате которой злоумышленник может получить доступ к ящику. Например, при удаленном выполнении кода. Или если для данной уязвимости существует эксплойт.
Хорошая статья, но дальше перевод не читал. Ребята, ну вы чего? Настоящий Смиркин в отпуске?
Хорошая статья, но дальше перевод не читал. Ребята, ну вы чего? Настоящий Смиркин в отпуске?
Какая разница что ты делаешь, если это не вредит людям и приносит доход?
Другое дело, что можно делать скидки тем, кто будет выполнять твои рекомендации (при фрилансе)
Можно также блог вести с учетом «яжеговорилов», будет неплохая прибавка к самооценке
Другое дело, что можно делать скидки тем, кто будет выполнять твои рекомендации (при фрилансе)
Можно также блог вести с учетом «яжеговорилов», будет неплохая прибавка к самооценке
Во многом согласен с автором статьи, но как всегда есть свой взгляд. Этап «выгорания» существует абсолютно в любой профессии и любой сфере. Как мне кажется главная задача безопасника — это как раз не «ПВЗ-материалы», а сделать все чтобы минимизировать влияние от негативных факторов. Абсолютно защищенным в современном мире точно быть никто не может. А вот минимизировать вероятность наступления негативных событий и иметь план действия вот это главная задача.
Автору спасибо, за то что напомнил, что Главное работать чтобы жить, а не жить ради работы.
Автору спасибо, за то что напомнил, что Главное работать чтобы жить, а не жить ради работы.
Sign up to leave a comment.
Как быть с «нигилистами в инфобезопасности»