Category: IT

Мы все с нетерпением ждём!

Мы все с нетерпением ждём!

Осталось только 29 дней!

Ещё можно успеть записаться и принять участие в нашей ежегодной конференции по противодействию мошенничеству в бизнесе! Она состоится 10-11 октября в Москве, при поддержке Института внутренних аудиторов России, компании Интерфакс и ряда других уважаемых и полезных для нашей профессии компаний.

Мы проводим нашу конференцию в 12-ый раз (прописью: двенадцатый год подряд) и каждый раз стремимся её сделать ещё лучше. Хотя иногда кажется, что мы уже далеко впереди других конференций. Что у нас такого особенного, отличного от других:

–      мы приглашаем докладчиками только практикующих много лет профессионалов, которым есть что сказать таким же, как вы, профессионалам. Рассказы про COSO и три линии обороны – приводят к полной дисквалификации и освистыванию из зала. Наши докладчики съели много собак в своей узкой профессиональной области и теперь готовы поделиться рецептами, как их готовить. Они не сильно умеют складно говорить, но содержание их рассказа стоит послушать. Поэтому одно из правил нашей конференции – «в пианиста не стрелять»;

–      мы не приглашаем в докладчики профессиональных балаболов на темы типа «как управлять своим временем» или «как дружить со всеми и удачно выйти замуж».

–      мы не приглашаем «знаковых фигур» – типа отставных ичаров гугла или замзам депутата(министра) – сказать они интересного ничего не скажут, а публика тем временем, почему-то, засыпает. А в кулуарах потом всё заплёвано. Только докладчики «от сохи», своими мозолистыми ручками доведшие до обвинительного приговора сотни дел.

–      мы раздаём всем участникам пультики для интерактивного голосования, и каждый докладчик задаёт вопросы и получает ответы от зала; получается иногда очень интересно и неожиданно. К тому же полезно знать, что думают по тому или иному вопросу (анонимно) 150 профессионалов, собравшихся в зале!

–      мы запрещаем доклады рекламного содержания: каждый доклад должен содержать конкретный кейс из жизни и конкретные рекомендации по решению актуальной проблемы, не прибегая к покупке патентованной пилюли.

–      мы всегда обсуждаем на конференции не только то, что было вчера, а и то, где мы будем завтра в нашей профессии. На этой конференции в повестке дня: – технологии интернета вещей, большие данные и интеллидженс во внутреннем контроле.

–      Много времени отведено на дискуссии – но без перехода в драку. Наши участники уважают друг друга, но готовы отстаивать свои точки зрения. И, как я заметил, многие знакомятся и потом дружат семьями и компаниями. Вообще, мы слегка боимся превратиться в место случки рекрутеров и профессионалов в области безопасности бизнеса.

–      Мы смеёмся над собой, своими проблемами и поэтому легко их решаем. Это настроение нашей конференции – фирменный стиль.

–      И ещё мы любим своих постоянных участников, и любим индивидуально каждого.

Вот поэтому мы прожили 12 (прописью: двенадцать) лет!

До встречи на конференции!

Контакты: info@acfe-rus.orgwww.acfe-rus.com

З.Ы.

Кто хочет увидеть меня пораньше – приезжайте в Базель (есть такой город в Швейцарии), на конференцию Европейского института внутренних аудиторов, 21-22 сентября. Буду рассказывать, как космические корабли бороздят просторы внутреннего контроля.

Или в Сочи, на конференцию Российского ИВА, 5-6 октября. То же самое, но в профиль.

 

Advertisements
Личная информационная безопасность. Урок №3.

Личная информационная безопасность. Урок №3.

Предыдущие – №1 (http://bit.ly/2sUBnsb) и №2 (http://bit.ly/2ryGilt). Напоминаю: пишу только о том, “чему не учат в школе” – то есть никто другой об этом не пишет. По разным материальным соображениям.

Вы, наверное, любите “умные вещи”? Зачем же тогда покупать обыкновенный телевизор? Лучше купить такой, который по команде, данной человеческим голосом, поворачивается “ко мне передом, к лесу задом”. То есть распознаёт команды управления, как избушка на курьих ножках. Такой вот был интернет вещей в эпоху бабы Яги и Кащея Бессмертного.

Вот и телевизоры Самсунг (для примера) – внимательно подслушивают всё помещение – с целью “выявления в потоке речи команд управления телевизиором”. Если выявят – то выполнят. А не выявят – не обессудьте. Но прослушивают всё подряд, и отправляют – для распознавания – х.з. куда по интернету. Вроде бы какому-то субчику Самсунга, который неизвестно откуда взялся и неизвестно куда потом денется. И ответственности за то, что ваши словесные упражнения стали известны кому надо, не понесёт. Ведь прослушивается-то всё подряд, и отправляется х.з. куда – тоже.

В принципе, ещё Д. Оруэлл описал такой телевизор Самсунг в своём бессмертном романе “1984”. Пока не запретили (не телевизор, а роман), крайне рекомендую почитать. Конечно, делайте поправки на то, что писано всё это было ещё в 1948 году, когда и телевизоров-то толком не было. Но тем приятнее.

Так вот, живите проще. Никогда не приносите домой всякой гадости, которая хочет жить с подключением к интернету. Что может быть лучше старых простых чайников, кофеварок, телевизоров, хлебопечек, пылесосов, которые можно было выключить легким движением руки?

Кстати, о пылесосах. Есть такой шибко умный пылесос Roomba (I-Robot), который, (естественно!) “для улучшения качества бла-бла-бла” собирает всю информацию вокруг себя – о площади и планировке квартиры, температуре, как часто вы занимаетесь уборкой и т.д. – и отправляет её в компанию-производитель пылесоса. Всё бы прошло незаметно, но тут Colin Angle (CEO этого пылесоса) проболтался, что поделится всей накопленной за два-три года информацией с теми, кто – то ли заплатит больше, то ли имеет более красивые глаза. Кто не верит – читайте вот тут (http://reut.rs/2tP4fSR). Ну, может, уставший он был, слегка. Короче, сморозил.

Ох, какой же был скандал! Просто как у Луи в песне Пугачёвой. Через неделю, правда, появилась статья (http://bit.ly/2eZsbQL), что его не правильно поняли, и тому подобное. Ну, как всегда в таких случаях. И информацию он не продаст, а подарит бесплатно, и не все данные, а только те, которые вы согласились отдать, бла-бла-бла.

А для тех, кто дочитал досюда, мораль: а ну их на фиг, эти умные вещи. Живите проще, пока можно. А то ведь скоро на аукционах будут продавать “бесценный металлический чайник 20 века, который может работать без подключения к интернет”. А на покупку такого чайника надо будет получать лицензию, как на огнестрельное оружие.

Всем хорошей трудовой недели!

Так у вас большие данные или маленький компьютер?

Так у вас большие данные или маленький компьютер?

 Товарищи учёные, доценты с кандидатами уже не первый год совещаются в поте лица, сочиняют определение термина “Big Data”, чтобы потом увековечить его в очередном эпохальном ФЗ. А тем временем я расскажу вам, что это такое.

Многие думают, что Big Data – это когда много данных. А что такое много? Гига-, тера-, пента-? Неспособность вашего компьютера обработать ваши данные (“многа буковок ниасилил”) не делает ваши данные Big Data. Скорее всего, у вас не большие данные, а маленький компьютер.

Главное отличительное свойство Big Data, о котором я сейчас скажу, приведет немало почтеннейшей публики в состояние разрыва шаблона. Оно, это свойство, заключается в том, что, работая с большими данными, вы никогда не получите точный ответ на свой запрос. Как же так? Мы привыкли, что если уж компьютер посчитал – это точно.

Существуют ряд причин, по которым получаемая вами из Big Data информация будет всегда приблизительной, с большей или меньшей степенью ошибки.

Если вы пишете запрос к обычной базе данных найти всех людей по фамилии Иванов, вы уверены, что полученный список будет включать всех существующих Ивановых. В случае с Big Data это не так.

В любой момент времени точное количество Ивановых неизвестно. Часть из них умерла, но информация об этом ещё не занесена в базу данных, а часть – родилась, но тоже ещё не зарегистрированы, потому что в Петропавловске-Камчатском – полночь. У некоторых Ивановых фамилия занесена в базу данных с ошибкой, например – Ивонов, Ивнов и т.д., и они не будут найдены. Часть базы данных, находящаяся в на Дальнем востоке, подверглась кибератаке и не ответила на запрос, поэтому все находящиеся в этом сегменте Ивановы тоже не были найдены. Так как с большими данными работают сотни приложений, сочинённых не совсем пряморукими кодерами, всегда часть из этих приложений глючит (как наш с вами любимый ЛинкедИн), и в любой конкретный момент времени  что-нибудь, да не работает.

То есть, работая с Big Data, вы всегда получаете не точный, а более-менее правильный ответ – с некоторой степенью ошибки. Как в известном анекдоте: «Сколько будет 2х2? – Ну, в основном четыре, редко – пять, а совсем редко – даже 8 бывает». Раньше это был анекдот. А теперь это – нормальный результат работы с Big Data.

Поэтому одна из самых важных проблем, которую приходится решать при работе с большими данными – как при неточных, содержащих ошибки, искажения и тому подобные прелести исходных данных, получить результат с необходимой (приемлемой) точностью. А если вы всё же нашли способ получать в любой момент времени совершенно точный результат при работе с данными – извиняюсь, у вас уже не Big Data, сколько бы тера и пентабайт данных там не было.

Собственно, для получения достаточно точных результатов при некачественных исходных данных существуют всего два метода. Но об этом в другой раз.

Личная информационная безопасность. Урок 2.

Личная информационная безопасность. Урок 2.

Напоминаю, что рассказываю здесь о таких правилах информационной безопасности, о которых не пишут и информация о которых не так легко доступна. Причина – широкое распространение знаний в массах сделает эти массы менее уязвимыми, а бизнес и управление ими – менее прибыльным. Так вот, сегодня поговорим о публичных WiFi.

У меня есть хорошее сравнение: «Пользоваться бесплатным интернетом – это всё равно, что облизывать тарелки в столовой. И не наешься, и заразу подхватить шансов в сто раз больше».

Придумал специально, чтобы мозги вправлять, воздействуя на эмоциональном уровне. Тем, кто падок на халяву. Основные точки опасности, которые предлагают вам бесплатный интернет: кафе (рестораны), публичный транспорт (московское метро, например), отели и курорты.

Возможны два варианта атаки: 1) от владельца сети (уж не думаете ли вы, что сыр вам бесплатно предлагают?). Кто-то за это платит. Кто бы это мог быть? Угадайте с трёх раз. 2) От некоего частного субъекта (хакера), подключившегося к этой сети с недостаточно чистыми помыслами.

И один из этих вариантов с вами случится в 100% случаев. Помню, отдыхая в Венгрии, в очень неплохом отеле, я как-то необдуманно подключился к местному WiFi. И потом оставшиеся две недели боролся с попытками перехватить все мои пароли и получить доступ ко всему, что только возможно. А рядовой, не отягощенный премудростями ИБ человек ничего бы и не заметил.

Да и скорость у этих публичных WiFi, надо сказать, очень напоминает объедки на тарелке. То пусто, то густо. А то – вообще никак.

Поэтому, друзья – никаких публичных WiFi. Неужели так сложно чуток потерпеть? Или, как я, возите с собой чистый от всяких значимых паролей смартфон. Ну, посерфить там всякие сайты, узнать новости. Если уж невтерпежь.

З.Ы. Наша ежегодная конференция по обеспечению безопасности бизнеса: http://bit.ly/2otLfpw

Ближайший вебинар по большим данным и технологиям интернета вещей во внутреннем контроле (28 июня): http://bit.ly/2rynPpu

Внутренний контроль в эпоху интернета вещей и больших данных

Внутренний контроль в эпоху интернета вещей и больших данных

Задумывались ли вы, что затраты на внутренний контроль составляют не менее 20% от общих затрат любого бизнеса, а кое-где и гораздо больше. В отличие от затрат на сырье, заработную плату и другие составляющие себестоимости, расходы на внутренний контроль “размазаны” по всем операциям бизнес-процессов. Это затраты на то, чтобы результаты процесса и его основные параметры не сильно отличались от ожидаемых владельцем бизнеса. Чтобы продукция и сырьё не разворовывалось и не пропадало от бесхозяйственности, чтобы налоги платились как положено, природоохранные мероприятия выполнялись и на строителя Васю не упала бетонная плита. И много чего ещё.

Вторая особенность, о которой мало кто думает: проверить и оценить эффективность затрат на внутренний контроль довольно сложно. Если ничего плохого не случается – значит, это потому, что внутренний контроль у нас замечательный. Выступаем на конференциях, хвалим себя за величие во внутреннем контроле. Если таки что-то случилось – типа украли 200 миллионов трейдеры – это же человеческий фактор, природа и погода подвели. И продолжаем выступать на конференциях и расхваливать свой внутренний контроль и заодно себя любимых.

И скажу я вам, джентльмены, что главное для выживания бизнеса среди конкурентов при прочих равных условиях заключается в двух вещах:

   1) научиться оценивать затраты на внутренний контроль

   2) научиться сокращать затраты на внутренний контроль

Этот простой закон я вывел, наблюдая в течение лет 20 за организацией внутреннего контроля в десятках компаний, российских и не очень.

Предоставленный самому себе, внутренний контроль внутри организации разрастается на манер раковой опухоли, придумывая новые формы отчётности, контрольные процедуры, вынося мозг менеджерам и простым сотрудникам в особо извращённой форме, без какого-либо полезного результата. И даже наоборот.

Собирался я поговорить об этой проблемке и путях её решения на тренинге по стандартизации и унификации внутреннего контроля в конце мая. Но пришлось его отменить. Записалось всего семь человек. Выходит, тема не актуальная для широких масс трудящихся.

С другой стороны, все записавшиеся работают исключительно в топовых компаниях российского бизнеса. В этих самых компаниях, если сложить вместе, работают больше полмиллиона сотрудников. В каждой – много больше чем 100 сотрудников внутреннего контроля и аудита. О чём это как бы намекает? Что тема всё-таки очень актуальная, но для крупного бизнеса. Как говорится, кто был в трубе, тот знает дымоходы.

И чем крупнее бизнес, тем проблема неэффективности внутреннего контроля становится актуальнее. Но принцип экономии бюджета прост: сходи на концерт Карузо, послушай, потом остальным напоёшь. А зачем платить больше? Презентации же раздают. Диктофончик включил и можно даже вздремнуть после вчерашнего.

На самом деле таким компаниям надо весь персонал контрольных подразделений пропускать через такие тренинги. А лучше вести непрерывное обучение, один день в неделю – по видеосвязи, с выполнением домашней работы, сдачей зачётов и так далее.

Но это была мотивирующая присказка. А сейчас приступим к самой сказке про внутренний контроль.

Начнем с общего представления о внутреннем контроле. Только сначала забудем его определение, которое даёт COSO, как обобщенное до неприличия и потому практически бесполезное. И замахнемся на Вильяма, понимаете ли, нашего, Шекспира.

Давайте определим внутренний контроль как процесс мониторинга операций, который состоит из:

1) установления критериев отклонений процесса от желаемых параметров, отслеживания реальных значений параметров,

2) выявления отклонений процесса от заданных параметров,

3) выдачи сигнала тревоги.

-А где корректирующие мероприятия? – вскрит здесь многоопытный внутренний аудитор. А нету их тут. Всё, что происходит дальше – что делать по сигналу тревоги – принимать (или не принимать) корректирующие меры, и какие меры принимать – является уже процессом управления (его же называют “менеджмент”). И нечего туда лезть внутреннему контролю.

Эта граница между внутренним контролем и менеджментом должна быть проведена достаточно чётко. Мониторинг – функция внутреннего контроля; принятие всяких решений по управлению процессами и операциями – функция менеджмента. Конечно, граница эта условная, но принципиально важная. Например, контрольная процедура в турникете на проходной считывает пропуск, сравнивает его с заданным значением, и, если отклонения не обнаружены, выдаёт сигнал на электрический замок, который открывает калитку.

Здесь предпринимаемое действие – открывание электрического замка, строго говоря, уже не относится к контрольной процедуре. А вот если пропуск недействительный? Предположим, в этом случае звучит зелёный свисток и вахтер реагирует соответственно – выходит из сонамбулического состояния и начинает подавать признаки жизни. Что конкретно он будет делать, нашу контрольную процедуру это уже не волнует.

Кстати, в предлагаемой здесь формулировке внутренний контроль как составная часть входит во многие известные методики менеджмента – контроллинг, кайдзен, тот же НОТ. Что не удивительно.

Теперь дальше. Итак, у нас есть набор функций, который должна иметь каждая контрольная процедура:

– 1) установление контролируемых параметров операции, заданных значений и пограничных значений отклонений от них.

2) постоянный, периодический или выброчный мониторинг заданных параметров в «живом» процессе или отдельной операции.

3) выработка сигнала тревоги при превышении отклонений заданных пределов и подача этого сигнала куда надо.

На этом – всё. То есть, всё остальное (реакция на отклонение) тоже может быть, но функционально это относится не к внутреннему контролю, а к менеджменту.

А теперь давайте посмотрим на пирамиду внутреннего контроля с несколько необычной точки зрения.

На самом нижнем уровне (Уровень 1) находятся технологические контрольные процедуры, больше известные под именем систем АСУТП или, по-ихнему, SCADA. Многочисленные датчики собирают информацию о состоянии и режимах работы различного оборудования и система АСУТП сама принимает решения о том, что надо подрегулировать, отключить-выключить – словом, чтобы контролируемые параметры остались в допустимых, заданных пределах. Участие человека здесь происходит в виде наблюдения за работой системы оператором и задания вручную определённых режимов работы в тех ситуациях, которые не заложены в алгоритмы программного обеспечения. http://bit.ly/2oXX0br

Отметим особенности технологического уровня внутреннего контроля:

– доля автоматизированных контрольных процедур намного превышает количество выполняемых вручную, алгоритмы выявления отклонений и реакции на них хорошо известны,

– перестройка перечня контролируемых параметров и уровня предельных отклонений выполняется крайне редко.

То есть встроенность в систему человека как анализирующего и принимающего решения элемента контрольной процедуры на этом уровне контроля минимальна.

Переходим на следующий уровень. Уровень 2. Здесь организационные контроли, назначение которых – участвовать в координации действий людей, работающих в бизнес-процессах. Люди плохо понимают электрические сигналы (кроме сигналов электрошокера), поэтому для них пишутся регламенты, инструкции, приказы. По сути, каждый такой приказ или регламент (если он толко не тривиальное указание типа «пойди и сделай!») содержит в своем составе контрольную процедуру. Например:

«Договор согласует юридический и финансовый отдел” (это косвенно определяет перечень контролируемых параметров);

«Допустимым значением является наличие всех согласований у договора» (это перечень допустимых значений контролируемых параметров) ;

«Проверить, есть ли у договора все необходимые согласования» (это компонента мониторинга);

«Если хотя бы одно согласование отсутствует, включить в голове сигнал тревоги (красный свет) и перейти к исполнению неких заданных действий» (это выработка сигнала о недопустимом отклонении параметра)

Этот уровень внутреннего контроля хорошо известен внутренним аудиторам, контролёрам и ревизорам. Особенностями его являются:

– несмотря на некоторый уровень автоматизации контрольных процедур (который постоянно растёт и будет нашей главной темой обсуждения), подавляющее большинство контрольных процедур исполняется всё же людьми, которые играют роль датчиков и логики обработки их сигналов.

– перестройка алгоритмов контроля (перечня контролируеых параметров и их предельных значений) достаточно проста – надо только написать новый регламент или отдать приказ.

– Система очень ненадежна, потому что люди – как компоненты контроля имеют своё собственное мнение относительно исполнения контроля, лень, халатность, желание украсть и так далее. То есть они могут намеренно не выполнить контрольную процедуру или имитировать её выполнение, что и происходит отнюдь не как исключение, а скорее как правило.

– В системе появляется новая составляющая – корпоративная культура. Это то, что находится в головах людей – их ценности, убеждения и привычки по отношению к выполнению своей работы и в том числе, контрольных процедур. И некоторые специалисты полагают, что не столько регламенты, а именно корпоративная культура в основном определяет надёжность системы внутреннего контроля в целом. Я с ними согласен.

Уровень 3. Переходим на следующий уровень корпоративных процессов. Здесь у нас обитает менеджмент, высший и к нему приближённый, совет директоров и акционеры. Здесь уже нет писаных в виде регламентов правил, да и неписанных немного. Перечень контролируемых параметров и предельные значения отклонений формируются в решениях СД, и чаще всего в расплывчатых формулировках (http://bit.ly/2atymtE).

Вот они, все три уровня внутреннего контроля современного бизнеса. Назову их: «технологический», «организационный», и «божественный» :). На нижнем, технологическом уровне, у подножия Олимпа, обитают специалисты по автоматизации производственных процессов, такие, как айтишник Петя в своей каморке под лестницей (http://bit.ly/1XuAKBW). На среднем шуршат регламентами внутренние аудиторы аудиторы, рассуждая о модели COSOв неэвклидовом пространстве и тепловой смерти карты рисков. На верхнем ярусе Олимпа атмосфера очень разряженная и внутренний контроль выживает среди богов только на уровне бактерий и формальных деклараций.

Экосистема бизнеса сложилась исторически, аудиторы не суют нос в технологические контроли (потому что ничего в них не понимают), ни в высокие сферы совета директоров (голову откусят и не заметят).

Но тут начались тектонические (то есть технологические) сдвиги в окружающем мире (ссылка на статью о смерти внутреннего контроля), и Олимп зашатался. Милых олимийцев в ближайшие времена ждут небывалые изменения. Тех из них, которые выживут. Потому что внутренний контроль меняется по своей сути. Что происходит:

– технологии всяких датчиков, микроконтроллеров и систем беспроводной связи перешагнули рубеж, и перестали быть элитным и дорогим упражнением. Стоимость компьютерных «железок» упала настолько, что сегодня написать регламент некоторых контрольных процедур «для людей» стоит дороже, чем реализовать его «в железе и программе» в виде маленькой коробочки размером с пачку сигарет. А ведь людей ещё надо научить исполнять его, мотивировать на исполнение, контролировать, чтобы не украл. Да и затраты времени на исполнение регламента приходится оплачивать. Поэтому умер усатый охранник на проходной ( http://bit.ly/2lNaODF http://bit.ly/2m3v9po), и эта смерть была не последней. А скорее наоборот.

– системы контроля, благодаря беспроводной связи, становятся распределёнными. И, следовательно, неубиваемыми. Вместо архаической системы, в которой сотни датчиков по проводам слали сигналы в единый центральный компьютер, который анализировал, всё ли в порядке в датском королевстве, системы стали распределёнными (http://bit.ly/2eOobhu). Тысячи микроконтроллеров и микропроцессоров работают каждый со своими датчиками и принимают решения о наличии отклонений. Да ещё одновременно передают собранную информацию куда надо, например – в аналитический центр. Пора осваивать технологии интернета вещей (IoT), товарищи аудиторы и контролёры! Настойчиво овладевайте! http://bit.ly/2fmzyQz

– конечно, если у вас тысячи точек сбора информации, то какие-то из них могут и сломаться вообще или начать врать, или будут отключены умышленно шибко грамотными сотрудниками. То есть возникают типичные Большие Данные (Big Data), как я их определяю (http://bit.ly/2izu0Ek). Которые могут содержать некоторый уровень шума по определению. Раньше черное было чёрным, а белое – белым. Теперь чёрное может быть чёрным на 83% и одновременно белым на 38%. Что не укладывается в логику ни внутренних аудиторов, ни старой теории внутреннего контроля. Что начинает беспокоить тех, кто занимается внутренним контролем по старинке и в то же время ощущает что-то неладное вокруг. Пора осваивать технологии Big Data, товарищи аудиторы и контролёры! Настойчиво овладевайте!

– получая неточную, неполную, противоречивую информацию информацию, да ещё в больших количествах, приходится использовать её для построения контрольных процедур. И самое интересное здесь – вопрос: как принимать решения о том, что отклонения процесса вышли за пределы нормы. Простым сравнением с эталоном здесь не обойдешься, ведь параметров процесса, которые мониторятся – десятки. Решение: применять методики интеллидженс, которые позволяют на основе косвенных признаков выбирать наиболее вероятную гипотезу. Алгоритмы интеллидженс, кстати, легко реализуются вычислительными мощностями современных микроконтроллеров или их гибридами с микрокомпьютерами. Если надо. Пора осваивать методики интеллидженс, товарищи внутренние аудиторы и контролёры! Настойчиво овладевайте! http://bit.ly/1PdcED3

И как-то так само собой, в процессе ежедневных практических упражнений, у меня сформировалась новая теория внутреннего контроля, которая, как любая истина, сейчас воспринимается как ересь, но лет через пять (или меньше) станет истиной, а потом умрет, как предрассудок. В этой новой теории нет, например, места традиционному разделению прав и полномочий между тремя тетками в бухгалтерии, на складе и отделе закупок. И поэтому часть этих теток неизбежно умрет (как штатные единицы). Да-да, машины опять съедят людей.

Те бизнесы, которые не позволят съесть тёток из гуманитарных побуждений, будут сами съедены конкурентами, у которых себестоимость продукции и уровень непроизводительных затрат и затрат на внутренний контроль станет намного ниже.

А ещё, на основе новой теории внутреннего контроля можно будет сделать самое главное – стандартизировать и унифицировать контрольные процедуры. Стандартизация и унификация КП – ключ к повышению эффективности контроля в целом. Даже неавтоматизированные контроли нужно унифицировать, так же, как сегодня стандартизирован и унифицирован бухучёт. Разрабатывать КП и аудиторвать их после этого будет настолько же проще, как и делать кап ремонт в доме, который построен из деталей стандартных типоразмеров.

Вот об этом всём и хотел рассказать кратенько, дня на два, на том самом тренинге, который не состоялся.

А ещё придумал одну забавную фишку с практическими упражнениями по анализу больших данных и интеллидженс, и вкладыванию этой логики в контрольную процедуру. Для практического примера всегда нужен набор данных из некоторой прикладной области, на котором будем тренироваться. Эти данные должны обладать всеми свойствами больших данных (искажения, неточности, неполнота). Вот с выбором прикладной области всегда бывали проблемы. Работникам банков неинтересно слушать про производство кирпича, в розничной торговле ничего не понимают про калорийность угля, и все вместе они ничего не понимают в производстве и дистрибуции лекарств. Нужно было найти всем понятную и интересную прикладную область. И нашел.

Будем тренироваться на данных в интересном для большинства процессе – снижении веса. Собственного тела. Посмотрим поток реальных данных о калориях, гликемической нагрузке, активности, потреблении углеводов, содержании сахара в крови и так далее (чем не Big Data?), применим к этим наборам данных методики интеллидженс и статистического анализа и построим вместе полезную в обычной жизни контрольную процедуру, которая поможет при желании снижать вес в среднем на 300 грамм в день без голоданий, изнурительной физической нагрузки и волшебных таблеток.

И ещё один интересный факт. Решил узнать, кто ещё в мире занимается той же самой темой. Для этого проще всего посмотреть, кто набирает специалистов подобного профиля. Набрал на LinkedIn Job Search ключевые слова “IoT Internal control Intelligence”. И таки нашлась одна вакансия – в американской компании, которая работает на министерство обороны США ( https://www.linkedin.com/jobs/view/298874415/ ). Подробности узнать не получится – претенденты должны иметь уровень допуска Top Secrets. Интересно, чего они там замышляют? Хотя примерно догадываюсь.

З.Ы. А до 31 мая еще можно зарегистрироваться и оплатить участие в нашей ежегодной конференции (12 по счёту) о противодействии хищениям в бизнесе – по льготной цене. Там мы обо всём этом и поговорим подробнее. Пишите на info@acfe-rus.org

Как узнать о контрагенте больше, чем он знает о себе сам.

Как узнать о контрагенте больше, чем он знает о себе сам.

До чего дошёл прогресс, однако. Вообще-то я в интернетах если что и ищу, то только не мази и кремы, сами понимаете. И посему контекстную рекламу в браузере получаю совсем не про них. А тут шел по улице, никого не трогал. Вдруг “звонок друга” – “Аптеку поблизости видишь? Зайди, купи крем”. Далее внимательно следим за руками.

Захожу в аптеку, покупаю крем, расплачиваюсь наликом, ухожу. Вечером открываю трубу посмотреть для души фильмик на халяву, и на тебе: повалилась контекстная реклама про средства лечения прыщей, от которых покупал сей кремчик. Чего в жизни никогда не было. Узнал много интересного про них, прыщей, аж жутко стало. Задумался, однако.

Откуда же эти гады узнали, что я этот кремчик покупал, и стали грузить прыщавой рекламой по самые гланды? Получается, по всей раскладке, так: зашёл в аптеку, смартфон в кармане. Опсос или Гугл сразу продал рекламщикам моё местонахождение. Дальше касса аптеки выбивает чек, и информация о том, что куплено, тут же сливается рекламщикам. Вроде бы всё анонимно, чинно-благородно, (как бы даже) закон о персональных данных не нарушается.

Дальше, сопоставляя дважды два (где я и что куплено), рекламщики принимают решение, что это я купил кремчик от прыщей, и для меня на сей день нету более актуальной проблемы. И начинают продавать, продавать и продавать мне во все дыры изо всех щелей.

Страшно подумать, что бы было, если бы я, как еврей в анекдоте, вышел с кладбища. Какой бы я рекламы тогда насмотрелся? Порубили все дубы на гробы…

Это называется интеллидженс – когда по косвенным признакам делают выводы о свойствах объекта (то есть меня), как покупателя. Пример хорош ещё и тем, как показывает, что интеллидженс не даёт гарантированно правильного решения – всегда есть вероятность ошибки. Но небольшая. Ну, со мной не повезло, а с сотнями других – в точку. Так что в целом всё окупается, да ещё как.

Скоро наступит полная благодать: как только пукнешь, тут же получишь от своего смартфона кучу советов по поводу лечения метеоризма и список адресов ближайших туалетов.

А теперь – самое главное: Без-воз-мезд-но, то есть даром!  Прямо как здесь: https://www.youtube.com/watch?v=gO1PIg6i0FU

Жизнь такова, что иногда, правда редко-редко, бесплатный сыр бывает не только в мышеловке. Просто места знать надо. Вот пара мест, для тех, кто хочет послушать про практическое применение интеллидженс для защиты бизнеса:

Учебный центр «Интерфакса» при информационной поддержке российского отделения ACFE, приглашает всех неравнодушных к безопасности бизнеса: руководителей компаний и бизнес-подразделений, а также руководителей и специалистов служб безопасности принять участие в конференции

 “Безопасность бизнеса. Современные информационные системы оценки рисков”.

Где и когда:

·       Краснодар – 29 марта – Регистрация по ссылке http://event.interfax.ru/meetings/159?utm_source=29.03.17&utm_medium=acfe

·        Казань – 5 апреля – Регистрация по ссылке http://event.interfax.ru/meetings/154?utm_source=05.04.17&utm_medium=acfe

В интереснейшей программе:

  • Современные тенденции и новеллы в области управления рисками
  • Риски, связанные с «качеством» контрагентов
  • Выявление фирм-однодневок
  • Индекс должной осмотрительности: методология расчета, интерпретация результатов
  • Выработка критериев благонадежности, типичные портреты рискованных контрагентов
  • Смена статуса и ключевые источники деловой информации
  • Оперативный мониторинг контрагентов
  • Анализ корпоративных связей
  • Платежная дисциплина – как заранее узнать о надвигающихся проблемах
  • Матрица рисков по всему портфелю контрагентов

Спикеры:

Сергей Яковлев – к.э.н., заместитель генерального директора, Международная информационная группа “Интерфакс”

Андрей Захаров – к.э.н., руководитель учебных проектов, директор по развитию проекта СПАРК, Международная информационная группа “Интерфакс”

Количество мест, ясно дело, ограничено!

Задать вопросы можно по тел.:

·        Москва: +7 (495) 357-39-77

·        Интерфакс-Юг: +7 (861) 274-88-15

·        Интерфакс-Поволжье: +7 (831) 439-73-48

Почему успешны 80% кибератак.

Почему успешны 80% кибератак.

Первое фото я сделал на объекте инфраструктуры повышенной опасности. Там двери во все служебные помещения должны быть оснащены замками повышенной секретности. Вы видите, что требование выполнено. Современный замок установлен, он удовлетворяет всем требованиям регламента. Это шикарный замок стоимостью более тысячи евро. Я мечтал бы иметь такой в своём доме. Нет, в своём банке. Но вот проблема – стена и дверь, на которой установлен замок – это рамка из дощечек, обтянутая тканью.

Это самая наглядная картинка состояния системы защиты от киберугроз в вашей компании.

Я проводил аудит одной достаточно крупной компании в прошлом году. Она находится в списке Форбс. Её ИТ директор купил целый зоопарк всяких решений по ИБ. Он энтузиаст ИБ. Он покупает все новое, а чтобы получить на это деньги, пугает акционеров всякими новыми пугалками и инцидентами. И напуганные акционеры дают очередную сотню тысяч тугриков на приобретение новой защиты от новой страшилки.

Но вот что интересно. Я поговорил с ним, и после этого отправился к бухгалтерам. В отдел, который обрабатывает всякие платежи. И они мне сказали, что у них проблемы. Система не позволяет взаимодействовать с контрагентами, делать то или это. И они нашли решение. Они подкупили (применили методы социальной инженерии) сотрудника ИТ отдела, и он им рассказал, как обойти все ограничения DLP. Они использовали для этого самую красивую девочку в отделе, и пообещали ей много проблем, если она не найдёт решение общей для подразделения задачи. Она нашла решение. И не только производственных, но и своих личных. Вот что значит правильная мотивация!

Почему это произошло? Потому, что никто не настроил систему на пользователей и их потребности. Никто не научил пользователей этим всем пользоваться. ИТ директор считает, что это не его проблема. Он разослал по почте инструкции, которые написаны на языке инопланетян. Так мне сказал главный бухгалтер. И, как оказалось в итоге, это ничья проблема.

А ничья проблема, то есть проблема, которую не хочет решать никто, быстро становится общей проблемой, то есть проблемой каждого.

А вот ещё одно фото. Тоже из реальной жизни. Вы видите сумку с ярлыком “Не выносить из самолёта”. Одна деталь – фото сделано в супермаркете.

В любой компьютерной системе есть самое слабое звено – это человек. Техника совершенствуется, но системы управления человека остаются теми же самыми, что и 3000 лет назад. Те же самые инстинкты, эмоции. И мотивация поведения.

ИТ-производители всего мира тратят огромные деньги на продвижение и рекламу своих новых средств защиты от кибератак. И у нас складывается впечатление, что в постоянном обновлении инфраструктуры есть ключ к решению проблемы киберпреступности.

В итоге: – ваше мировосприятие искажено рекламой. Тренинги для персонала по социальной инженерии стоят в 100 раз дешевле, чем очередная DLP система. Поэтому их никто не рекламирует, – на них ничего не заработаешь.  Хотя они бы решили 80% проблем с информационной безопасностью вашей компании.

Но это так, присказки. А самое интересное я расскажу 7-8 ноября на конференции ELECTRONIC EVIDENCE DIGITAL FORENSICS CYBER SECURITY. Судя по программе, будет масса интересных людей и мнений! www.lawtecheuropecongress.com