Как разговаривать с ними на одном языке

Как разговаривать с ними на одном языке

Я решил использовать, наконец, своё конкурентное преимущество. Точнее, мне подсказали мягким пинком, чтобы сообщить правильное направление движения. Потому что самостоятельно двигаться против течения я не способен по конструкции. И вот уже — лечу-у-у…

Будет тренинг для внутренних аудиторов, сбшников, специалистов по ИБ и всех остальных, кто поспешит к ним примазаться. Только три вопроса:

  1. Как разговаривать с СБ на одном языке.
  2. Как разговаривать с ИТ на одном языке.
  3. Как разговаривать с ВА на одном языке.

Почему этот трюк тренинг уникальный (и не вздумайте повторить его в домашних условиях):

1) Имею опыт работы во внутреннем аудите и понимаю внутренних аудиторов. Всё-таки есть лет 15 работы руководителем ВА и строительства этого безнадёжного дела с нуля.

2) Имею опыт и знания работы в области предотвращения и расследования хищений. Доказательства — OSINT вам в руки.

3) Имею опыт и знания в ИТ и ИБ. Сам пописываю всякий софт, примусы починяю, никого не трогаю. Руководил даже лабораторией систем искусственного интеллекта. Было, каюсь. А моими говнокодами в целях личной наживы пользовались и пользуются друзья и знакомые. И не удивлюсь, если это всё до сих пор летает где то высоко-высоко.

Так вот, из нашей с вами жизни наблюдаю, что нормальный внутренний аудитор плохо понимает птичий язык ИТ-шника и «здравствуйте-здравствуйте» от СБ. Предпочитает с оными не встречаться, а если и встречается, то встреча проходит, как переговоры Северной и Южной Кореи.

И много раз ко мне обращались с просьбой за любые деньги за два-три дня сделать из внутренних аудиторов специалистов в ИТ. Но спешу вас разочаровать  — мои магические способности не простираются в область потустороннего, чёрной магии и антивещества. Нет, по воде ходить и оживлять мёртвых — оно всегда пожалуйста. А вот это самое — извиняйте.

Но рассказать, как они живут, эти «три мира, три детства» — могу, переводом с птичьего на птичий язык владею, как родным матерным. И внутреннему аудитору придёт озарение, о чём ему улыбается при встрече СБшник, а безопасник поймёт — как разговаривать с сисадмином. Без того, чтобы потом отпивать стресс неделями.  И будет всем им счастье.

Одно из назначений узко профессиональных терминов — сократить объём слов при обозначении сугубо профессиональных понятий. На своих занятиях определяю профессиональный состав слушателей за одну минуту — просто рисую на экране сокращение «ОРД» и потом прошу указать первую ассоциацию. Если ОРД  у субъекта ассоциируется с «организационно-распорядительным документом» — перед вами типичный аудитор. Если с «оперативно-розыскной деятельностью» — то безопасник. Если «одноступенчатый ракетный двигатель» — то у вас сложный случай. Но и такое бывает. И его вылечим. Просветление — гарантировано.

Очень осторожно, чтобы не травмировать психику, расскажу, что такое внутренний контроль, внутренний аудит, экономическая безопасность, оценка рисков, комплайенс, интеллидженс. Чем они живут и какими словами всё то, что они делают, называется. Обещаю не использовать при этом ненормативную лексику.

А заодно обсудим, поспорим и подерёмся на тему, как лучше организовать корпоративную систему безопасности бизнеса. Где там место внутреннего аудита, комплайенс, СЭБ, КРУ и прочих участников, включая касту неприкасаемых — риск-менеджеров.

Будет это в конце мая, в Москве. Пишите, звоните. info@acfe-rus.org

С моих слов записано верно, мною прочитано, дополнений не имею.

Если тебя укусит строитель…

Если тебя укусит строитель…

… ты тоже станешь строителем. http://bit.ly/2FE1j0H

Капитальное строительство — это нечто прекрасное! Это не наука, это искусство. Столько творчества, фантазии, артистизма! Особенно в сметных расчётах, да и не только — начиная с возбуждения по поводу инвестиционного проекта, и далее — со всеми остановками. На всех этапах, без исключения.

Именно поэтому оно, строительство, в России обходится в два раза (в среднем) дороже, чем надо. А не в среднем? Я знаю один проект, который при начальной расчётной стоимости 120 млн. уё закончился со стоимостью 850 млн. уё.  Нет, это не строительство аэропорта Хитрово — который был построен всего в три раза дороже, чем ожидалось бюджетом. И тысячи их, погоревших на капстрое…

Если хотите знать, где постелить соломки,  потому что таки собрались чего-то там строить — заказывайте корпоративный тренинг «Аудит и контроль капитального строительства». Расскажем, на что обращать внимание, какие контроли и где ставить. Может быть, цена вашего проекта снизится процентов на 20.

Кстати, на заметку: первый (исторически) тренинг на эту тему в России провели именно мы, сами придумали всё — начиная от программы и до упражений. И несть числа тем, кто потом скопировал у нас его программу и содержание. Ну, примерно, как китайцы — часы Ролекс.

Те, кому предстоят свершения на ниве капстроя, пишите сюда: info@acfe-rus.com.

 

Социальная инженерия как наука

Социальная инженерия как наука

Если посмотреть то, что пишут, печатают и снимают на тему социальной инженерии, то складывается впечатление, что всё это из области «не знал и забыл». Дорогие читатели, если вам говорят, что соц инженерия — это лазанье по мусорным корзинам, то не верьте. Никакого отношения СИ к мусорным корзинам не имеет, а мусор в основном в головах тех, кто так думает.

Вот моё определение соц инженерии:

«Социальная инженерия — это скрытое управление (манипуляция) действиями человека помимо его воли, без применения физического насилия или технических средств, на основе использования законов психофизиологических реакций, социальных навыков поведения и типологии личности, с целью заставить его выполнить определенные действия, не осознавая, что эти действия могут не соответствовать его интересам«.

Мы все занимаемся разными психологическими манипуляциями от рождения — когда хнычем, чтобы выпросить новую игрушку, или заставляем ребёнка убрать в комнате. Продавцы в магазине пристают к нам с заранее выученными тупыми скриптами, которые используют наиболее общие приёмы СИ. А самые громкие инциденты в информационной безопасности, оказывается, начинались с социальной инженерии.

Но все эти примеры основаны на так называемых «массовых сценариях», когда атака проводилась без учёта личности конкретного человека — объекта атаки. И то, почти всегда получается. А что же говорить в случае «индивидуального пошива», когда атака разрабатывается в отношении конкретного человека? Тогда шансов противостоять нет? Или как? Как такую атаку разработать и есть ли от неё защита?

Об этом — в презентации, которую вы можете скачать здесь и бесплатно (почти полную версию). Предлагаю Вашему вниманию разработанную мной реально работающую теорию соц инженерии. Чтобы дать понимание, что это есть на самом деле. А вот чтобы услышать рассказ с подробностями, придётся прийти на нашу конференцию «Информационная безопасность — взгляд изнутри компании». Если остались ещё места (но это не моя проблема:).

Скачать презентацию — здесь.

Записаться на конференцию и услышать рассказ об этой презентации, а также увидеть и услышать выступления еще 15 профессионалов в ИБ — здесь.

Внутренний контроль, интернет вещей и интеллидженс

Внутренний контроль, интернет вещей и интеллидженс

Три разных профессии — внутренний контроль, технологии интернета вещей и интеллидженс. Каждая говорит на своём птичьем языке. Как оказывается, у них есть общая точка соприкосновения — в недалёком будущем, лет через пять. Тогда об этом будут говорить все, а я уже сегодня предлагаю Вашему вниманию заглянуть в будущее, которое, на самом деле, уже здесь. Понимаю, что вряд ли один, конкретно взятый человек из моих читателей окажется специалистом  во всех трёх областях. Поэтому попытался изложить всё максимально доступным языком. В основном, в расчёте на внутренних аудиторов. Но, надеюсь, и остальным будет понятно.

Итак, скачиваем презентацию, которую я сделал по любезному приглашению Российского института внутренних аудиторов на ихней конференции в Сочи в октябре 2017 года (2017 10 05-06 Sergey Martynov IIA conf Sochi). Потом скачиваем  аудиофайл доклада к этой презентации ( ). Потом запасаемся попкорном и средствами от разрыва шаблона. Начинаем их принимать, и параллельно слушать презентацию. Слайды листать придётся самостоятельно, легким движением руки. Мышь вам в руку:)

Enjoy! Your feedback — welcome!

Важное дополнение номер 1.

Классное мероприятие будет в ближайшее время (начало февраля): https://www.acfe-rus.com/itsecurity

Первый раз в мире — конференция про информационную безопасность, на которой не будет выступать НИ ОДИН из продавцов «волшебных таблеток» — софта или железок для ИБ. Только практический опыт «изнутри» компании — как обогнал, как подрезал, как построить ИБ в компании с нуля. И я там расскажу кое-что интересное.

13 лет назад точно также мы провели первую в России конференцию по противодействию хищениям в бизнесе. Никто не верил, что прийдут люди, и будут рассказывать, как у них воруют и как с этим бороться. Тем не менее, уже больше 10 лет конференция собирает порядка 150 участников, и половина из них — участвуют каждый год.

Участникам этой, нашей первой конференции (я могу смело об этом сказать, потому что мест осталось немного) — бесплатное участие во всех следующих конференциях «Информационная безопасность — взгляд изнутри компании».

 

 

 

 

Информационная безопасность бизнеса — взгляд изнутри

Информационная безопасность бизнеса — взгляд изнутри

Программа конференции «Информационная безопасность бизнеса — взгляд изнутри » готова! Похоже, получается супер интересно! Отличные докладчики, практики, которые своими руками строили ИБ в компании изнутри, начиная с нуля. У каждого — огромный опыт. Обсудили с каждым, выбрали наиболее интересные темы.

Программа конференции: 2018 01 15 Конференция ИБ бизнеса

Ещё по теме конференции:

«Слоны -мои друзья» http://bit.ly/2m1Tdrg

«Информационная безопасность бизнеса — взгляд изнутри компании»  http://bit.ly/2DikTSJ

«Дао и информационная безопасность бизнеса» http://bit.ly/2D1R9JG

Дао и информационная безопасность

Дао и информационная безопасность

С информацией всё было просто, ещё недавно. Лет 500 назад. «Песать-счетать» не умели (хотя ЕГЭ тогда не ещё было). Вся информация хранилась в головах и передавалась устно. Для защиты информации, например, от разглашения, достаточно было отрезать носителю язык. Или голову целиком. Эх, как было всё легко и понятно!

Потом, с появлением бумаги, информация стала отделяться от физиологичеси активного и смертного носителя. Для её охраны надо было изобретать шифры, грифы, расписки, спецхраны. Прошивать, брошюровать, скреплять печатью. Кто был в той трубе, тот знает дымоходы.

Потом, с появлением компьютеров, информация стала ещё более нематериальной, записанной в виде воображаемых ноликов и единичек на каком-то, даже в микроскоп невидимом, молекулярном уровне. Всякие там диски магнитные, флэшки и даже хуже.

Потом, с появлением интернет, облачных-заоблачных и распределённых хранилищ у информации исчезла и такая характеристика, как геопозиция. То есть нет у неё конкретного места нахождения, где её можно прищучить.

А с появлением больших данных и технологий так называемого «искусственного интеллекта» она стала вообще приблизительной. Дважды два, в основном, — четыре, но может быть — пять.  Шесть — это совсем редко, только в случае масштабного сбоя нескольких серверов. Восемь — практически невозможно. Но гарантий никто дать не может.

И с каждым этапом эволюции человечество всё больше зависит от неё, от информации. Отключи сейчас интернет на месяц по всему миру – и половина населения умрёт с голоду. И закончится всё примерно так: http://bit.ly/2Bx7Fgq.

Так что же такое мы имеем в результате? Информация – это нечто нематериальное, неосязаемое физически, находящееся неизвестно где, пронизывающее всё и всецело определяющее нашу жизнь.

Ба, так это же определение Дао!

Для справки – даосизм – это китайская философия (религия, если хотите, тоже), возникшее примерно три тысячи лет тому назад. Советую ознакомиться, только не спеша. За полчасика не одолеете. За десять лет – тоже.  Хотя, если упорствовать, начнёте понимать.

Вот одно не могу понять — как 3 тысячи лет назад они смогли так точно дать определение роли и сущности информации в современном обществе.

Так вот, возвращаясь к информационной безопасности. С ней получается как в сказке – пойди туда, не знаю куда, и принеси то, не знаю что. И пока большинство наших специалистов по ИБ находятся в понимании информации и её защиты на стадии шаманизма. Шаманизм — это такое первобытное понимание Дао как бога защиты информации, который любит жертвоприношения в виде DLP и антивирусов, которые надо приносить ему ежеквартально в виде исполнения бюджета на закупку всяких софтин и железок.

И тогда, может быть, смилостивится великий Бог Информации, и не допустит злых духов — вирусов на плодородные нивы наших локальных сетей и тучные стада серверов. И убережёт их от проказы утечки информации, и от чумы её потери. Поэтому и призывает совет директоров на свои заседания старейшин начальника ИТ, и пляшет он перед ними с бубном, несвязно выкрикивая заклинания про угрозы и уязвимости, и приносит совет старейшин всё новые и новые жертвы в виде бюджетов на ИТ безопасность.

Как охранять и беречь то, не знаю что, находящееся там, не знаю где – об этом мы поговорим на тайном сборище шаманов, которое состоится в начале февраля в Москве, в учебной пещере Сбербанка.  Бубны с собой приносить не надо.

Вот тут ключ как найти вход в пещеру:  https://www.acfe-rus.com/itsecurity

Риск-менеджмент. А много ль корова даёт молока?

Риск-менеджмент. А много ль корова даёт молока?

Да мы молока не видали пока…

Сначала — историческая справка, она же присказка.

Риск-менеджмент, как профессия, успешно цвёл и благоухал в корпоративном мире, вплоть до кризиса 2008 года. На многочисленных конференциях риск-менеджеры упражнялись в богословских спорах, как оценивать риски падения ангелов с кончика иглы, рисовали сложные формулы, писали толстые книги. В целом, всё шло как нельзя лучше. Как вдруг — такая досада – случился кризис. Который никто из штатных предсказателей не предсказал. И их компании погорели на большие бабки. После чего, по независящим от риск-менеджеров причинам, их поголовье резко сократилось. Где-то их слили с внутренним аудитом, кто-то переквалифицировался в управдомы. В общем, в профессии наступила ядерная зима.

Прошло 10 лет. Профессия малось оклемалась, пробились новые свежие поросли риск-менеджеров. Кто они? «Ну, что ж… обыкновенные люди… в общем, напоминают прежних… квартирный вопрос только испортил их…» Квартирный вопрос, в данном случае – это вопрос выживания в корпоративных джунглях. И новое поколение риск-менеджеров больше не рассуждает о методиках оценки рисков – а вдруг опять что не так оценишь? Они теперь, всё больше, про «культуру риск менеджмента», про «взаимодействие с советом директоров», про то, что в кабинет менеджера нужно входить на цыпочках и ласковым голосом намекать, что оценивать риски – это хорошо. А не оценивать – плохо. В общем, вопрос «а как же вы всё-таки оцениваете риски» стал в профессии нетактичным, mauvaises manières и вообще рассматривается как троллинг.

Поэтому я решил восполнить этот пробел в содержательной части риск-менеджмента как профессии и поделиться своим, накопленным за три поколения риск-менеджмента, опытом.  Сегодня расскажу вам о своей концепции риска. Которую использую сам и вам советую применять. Конечно, если после прочтения у вас не случится разрыв шаблона, со всеми вытекающими. Поэтому – сразу предупреждение:  Dangerous content! Age restrictions: 30- (ограничение по возрасту условное, в основном отражает способность непредвзято воспринимать новую информацию).

Широко известно (в узких кругах) определение риска как сочетания угрозы и уязвимости. Чтобы не тратить много времени на объяснение, что такое риск, а что такое угроза и уязвимость, приведу простой пример.

Есть у вас окружённый забором склад, на котором лежит нечто для вас ценное (подгузники Huggies, например). Назначение забора – предотвратить проникновение злоумышленника и кражу бесценных подгузников. Вот те самые злоумышленники, которые бродят за забором и норовят, они и есть – угроза. А дырка в заборе – это уязвимость.  Риск – это когда у вас есть и угроза, и уязвимость одновременно. Если только угроза – то риска нет. Не проникнет злоумышленник на охраняемую территорию, потому что нет в заборе дырок.

И наоборот. Если есть дырки в заборе, но за забором никто не ходит, то, несмотря на размер дыр, никто ваши подгузники не украдёт. Просто некому это сделать.

Обычно такой пример доходит на раз. А на два доходит и то, что ещё одним параметром, который влияет на величину риска, является ценность того, что находится под угрозой. Если на складе ничего ценного нет, то и величина риска небольшая. Пусть крадут, не жалко.

Всё хорошо и логично, как кажется. Для минимизации риска нужно всего лишь вычислить величину угрозы, затем оценить величину уязвимости, а затем как-то всё это сложить-поделить-перемножить между собой, и вот вам – величина риска. А дальше — начинаем ремонтровать забор, если риск большой.

К сожалению, у нас опять получился сферический конь в вакууме, потому что никто до сих пор не научился количественно оценивать ни угрозы, ни уязвимости и, соответственно, – риски.

Поэтому упражнения по оценке величины риска по точности сравнимы с попаданием пальцем в небо.

А теперь о том, что принципиально нового я предлагаю.

Тезис 1.  В реальной жизни угрозы и уязвимости постоянно стремяться к равновесию.

И его достигают. Просто Инь и Янь какие-то. Жизнь устроена так, что в отношении любого конкретного риска и уровень угрозы, и уровень уязвимости приходят в состоянии минимального относительного равновесия естественным путем.

Это означает, что если мы затрачиваем на противодействие угрозе (устранение уязвимостей) недостаточно сил и средств, то риск реализуется, начальство обеспокоенно вставляет, и дырки в заборе срочно заделываются (ровно настолько, чтобы враг не пролез). Лепится вдобавок колючая проволока, ставятся прожекторы, и так далее. Уровень обороны временно превышает уровень угрозы.

Но любые усилия со временем ослабевают, если не приносят видимого результата. В том числе и усилия, затрачиваемые на противодействие угрозе, и постепенно они становяться минимально необходимыми, если ничего не происходит. Проволку колючую завхоз увезёт к себе на дачу или сдаст в металлолом, лампочки в прожекторах перегорят, в общем, всё будет, как обычно.

Так будет продолжаться до тех пор, пока уязвимость опять не станет достаточно большой, и риск не случится, снова. Возникает известная ситуация: «сроду такого не было, и вот – на тебе, опять».

Таким путём, после нескольких колебаний относительно среднего, соотношение угрозы и уязвимости приходят в состояние хрупкого равновесия, балансирования на лезвии ножа. И так они и живут дальше. До поры, до времени.

Обращаю ваше пристальное внимание на одну существенную деталь: уровень угрозы и уровень уязвимости находятся в этом балансе автоматически, сами по себе, и нашей оценки, по большому счёту, не требуют. Тем более, что сделать её (оценку) мы не сможем по определению.

Тезис 2. Событие риска вызывается «триггером риска».

На самом деле,  всё, что нас интересует знать про риск – это только одно: когда оно самое случится. По возможности, точнее. Нам как-то неинтересно знать, что случается оно, по статистике, раз в год, в среднем по больнице. Поточнее, пожалуйста, чтобы знать, когда и куда точно стелить соломку. Дату, место, время.

Поэтому я включаю в состав концепции риска еще одно крайне важное понятие — спусковой крючок, или триггер. В принципе, триггер — это незначительное событие (а чаще, сочетание нескольких событий), которые усиливают уровень угрозы или увеличивают уязвимость, пусть на короткое время. И хрупкий баланс на грани разумного и необходимого в противодействии риску рушится,  и риск немедленно реализуется.

Например, недавний пример с аэродромом в Сирии (Новогодний удар по Хмеймиму). И угроза, и уязвимость существовали давно, всем были известны. Давно уже нехорошие бяки точили зуб на этот аэродром, и давно было известно, что система охраны и разведки (и контрразведки) имела уязвимости. Триггер риска сработал 31 декабря. Пусковым крючком в данном случае явилась праздничная дата. Потому что, с одной стороны, желание нагадить у мусульманских экстремистов растет в именно христианский праздник, а с другой стороны, охрана аэродрома, по причине того же самого праздника, расслабляется по полной, и уязвимость увеличивается.

Всё очевидно, как дважды два.  Это знает и наша славная полиция, когда на время проведения массовых мероприятий сгоняет в два-три раза больше охранителей правопорядка, чем обычно.

Но в методиках управления рисками об этом, почему-то – ни слова.

Или другой пример: революция в России в феврале 1917 года. Государство существовало в шатком балансе противоречий — народ жил всё хуже, верхушка воровала всё больше, царь был совершенно неспособен управлять чем либо (он был элементарно тупой).  Но царь стал тупой не вчера, он был таким от рождения. Верхушка увлечённо воровала тоже последние лет 20. Питание рабочих на 80% состояла из хлеба — и это тоже началось не вчера. Всё так могло бы продолжаться еще долго, но случилось совершенно незначительное событие (триггер риска) — небольшой сбой в снабжении хлебом Петрограда (Спусковым крючком Революции стало обрушение тыла) . Возникла паника, скупка и дефицит, бунты и погромы.  В течение трех недель царская власть рухнула.

Так вот чем должен заниматься риск-менеджер, скажу я вам по секрету: выявлять триггеры риска и предупреждать менеджмент. Чтобы те бежали за соломкой, и поживее. Или учить менеджмент выявлять триггеры риска, хотя в успех обучения лично я верю с трудом, по ряду причин (поясню при встрече).

Осталось мне рассказать, как всё-таки выявлять эти триггеры риска, и по возможности, заранее. Но наступило утро, и Шахразаде пора заканчивать дозволенные речи. Так что в следующий раз, как нибудь.

Вдогонку: а кому таки стало интересно,  вот ещё почитать про оценку рисков (очень важная для понимания статья): «Про оценку рисков: легким движением руки….»

И наши самые интересные мероприятия в феврале:

— «Информационная безопасность: взгляд изнутри компании»

— «Проведение внутренних расследований»