Category: Discussions

Вот так и живём…

Вот так и живём…

Я очень часто ошибаюсь. Наверное, чаще, чем другие. Потому что любопытство преобладает над осторожностью. Такое бывает. Но редко.

Единственное, что отличает меня от большинства уважаемых людей – я легко признаю свои ошибки. Мне некогда доказывать свою крутизну и упражняться в словоблудии – надо идти дальше. Жизнь такая короткая, а столько интересного вокруг. Поэтому если я не прав, или недостаточно прав – легко сдаю позиции. В этом отношении мой кумир (не люблю это слово, ибо сказано – не сотвори) – Уинстон Черчилль. Наверное, потому что он близок мне по восприятию окружающего и реагированию на него. Бешеное упорство в отстаивании своих идей и отказ от них в одну секунду после того, как понята их ошибочность. Одним словом, полная беспринципность, скажут некоторые. Но почему же отстаивание неверной идеи не назвать прямо – ослиным упрямством или глупостью? Сохранение чести мундира? Да мундир надо сохранять, а не честь его. А ещё лучше – содержание мундира. Было бы содержание, а мундир найдётся. Верю.

Еще есть одно отличие от большинства окружающих: каждый раз из своих ошибок я делаю выводы. Как стать лучше. И обязательно делаю маленький шаг в этом направлении. Такая фигня Кайзен называется. Оказывается, работает. Но люди не любят заморачиваться улучшениями. “И так сойдёт” – вот девиз нашего времени. Главное, не напрягаться. Поэтому в обществе таких людей жить легко и просто. Начиная с нуля, за короткое время становишься лучшим специалистом в любом деле.

А ещё я повторяю свои ошибки. Нечасто. Но иногда – несколько раз. На хорошие грабли не грех наступить и трижды, правда ведь?

ЗЫ: Есть несколько базовых реакций, зашитых на уровне мозжечковой извилины. Ну, страх там, печаль, удивление, азарт.. Управлять ими на уровне сознания невозможно. Мне жить интересно, потому что всё вокруг интересно. Смотрю на маленького ребенка (год) – лезет на стул, со стула на стол. Загремит или нет? Ему по фигу – для него главное – а что там? Любопытство побеждает осторожность. Поэтому ребенок и осваивает окружающий мир.

Advertisements
2FA – Two Factor Identification: As It Is

2FA – Two Factor Identification: As It Is

Information Security:

Q: May I ask why you advise *not* using two-factor identification? There are a very large way of implementing two-factor. Do you mean a specific implementation, or are you opposed to two-factor in general? I don’t necessarily disagree, but I don’t understand. Curious…

A: Jason, very good question! I am wondering why nobody asked it before? The first reason: password gives you excellent level of security, if system configured to delay more and more after every attempt to login with wrong password. There is no possibility to guess password in reasonable time. But mass service supplier (Google etc) do not use this feature. Why? Interesting question. I configure my systems to block ip after 4 unsuccessful attempts.

The second reason. The only available second factor (“what I have”) is mobile phone. But, mobile identification makes security more weak – a lot of fraud cases show us that it is very easy to cheat the mobile provider to issue new sim-card, then force user to disclose password. Why all US mass service provider made so called “two factor identification” obligatory? Just to simplify spying after you. Now you cannot create fake account and use it. Every user must be accounted in US control system.

The third argument is that some of mass providers really use three-factor identification. For example, gmail service controls your equipment (computer fingerprints) – it is the 3-rd factor “What I am”; as well it controls your geo-location (4-th factor) and immediately blocks login to your account if discover you logging from the new place or from new device. They did not ask your agreement with such policy. They just use it. So, level of security, configured in every mass service access, is very strange: no blocking or waiting after in the process of trying to use different passwords – it is very convenient for password choosing by generation; obligatory use identification with mobile phone – to exclude anonymity; and controlling your fingerprints and location. Looks nice, isn’t it?

Q: Sergey, what is your opinion on 2FA with hard token?

Bob, I consider more reliable when second factor is geolocation, than hard token. Any thing that you have can be stolen or taken by force. I don’t see any meaning in tokens in such cases. Continue reading “2FA – Two Factor Identification: As It Is”

Внутренний аудитор и расследования

Вопрос:

А не путает ли автор профессию аудитора с профессией расследователя? В ряде случаев люди могут косячить просто из-за незнания как можно сделать лучше, и скажут спасибо за подсказанные решения. И чем больше будет применяться “допросов” тем с большим сопротивлением будут сталкиваться аудиторы при внедрении рекомендаций.

Ответ:

Такие случаи (накосячить из-за незнания) возможны; но даже в этом случае большинство накосивших будут всеми силами скрывать собственные ошибки от проверяющего – что вполне логично. Спасибо они вряд ли скажут, если прочитают в отчете описание своих косяков и то, что они виноваты в этом. Методы проведения допросов в бизнесе не работают. Человек понимает, что не несет ответственность за дачу ложных показаний, что никто его в камеру не запрет. Поэтому методы проведения интервью в бизнесе сильно отличаются от методик проведения допросов.

Вопрос:

Как можно скрыть ошибки от эксперта в предметной области, в голове у которого есть карта процессов с входами и выходами, показателями эффективности и пр? Ошибки будут видны как “дырки” в мозаике. Не подменяем ли мы необходимость понимать предметную область аудиторской командой тактическими инструментами интервьюирования ?

Ответ:

Практика показывает, что в любом процессе контрольные процедуры не покрывают все возможные ошибки и умышленные нарушения (кстати, как отличить первое от второго?). Внутренний аудитор обычно не является экспертом в аудируемом процессе, а описание процесса (обычно) или отсутствует, или далеко от реальности. В идеальной модели – когда все возможные ошибки закрыты контролями, все исполнители добросовестны и старательны, они с радостью воспринимают замечания аудитора – ваш подход работает, и необходимости выявлять скрываемую информацию нет. Даже нет необходимости вообще разговаривать с исполнителями – сверил карту процессов и контролей с документами, написал отчет. Но проблема в том, что в реальности такая ситуация не встречается. В реальности: бизнес-процессы вообще не описаны, описаны формально, либо описания устарели; исполнители не читают и не пользуются регламентами по этой причине; исполнители умышленно нарушают регламенты по причине лени (принцип сохранения энергии), низкой компетентности или с целью хищения; исполнители не любят, когда у них находят недостатки в работе и за это их наказывают; исполнители не любят проверяющих вообще как класс по вышеперечисленным причинам; аудитор не владеет деталями предметной области на уровне соответствующего менеджера. Если эти условия имеют место быть, то у аудитора стоит задача выявления скрываемой информации, то есть проведения расследования (называть это можно любыми словами).