понедельник, 3 февраля 2020 г.

Лица ИБ. Владимир Безмалый. Об обучении пользователей

"Эра двоечников настала. Эра, эпоха, чудовищное, могучее поколение двоечников и неучей. Нет, они и раньше были, но еще несколько лет назад они не так сильно бросались в глаза. Как-то стеснялись своей безграмотности, что ли. А сейчас они, такое ощущение, везде."

Yerzhan Yessimkhanov


1. Добрый день, Владимир! Интервью с вами я считаю одним из своих самых удачных проектов. С таким интересным собеседником нельзя ограничиться одним разговором. Сегодня я бы хотела побеседовать с вами о корпоративном обучении. 
2. Владимир, при обсуждении темы интервью вы сразу предложили обсудить корпоративное обучение. Почему вы считаете эту проблему столь актуальной?
2.1. На самом деле так считаю не только я. Основная проблема безопасности сегодня, впрочем, увы, как и всегда – это человек. Гаджетов все больше, ума, увы, все меньше и меньше. Потому, на мой взгляд, есть две проблемы:
2.1.1. Крайне низкие знания ИТ (особенно в небольших городах). Чаще всего знают куда «тыкать», но не знаю почему. ИТ постепенно превращается в ремесло
2.1.2. Широкое распространение гаджетов привело к тому что все пользователи уверены что знают все.
2.1.3. Обе категории упорно не хотят и не умеют учиться.
2.2. Вместе с тем хотелось бы отметить, что в этом, увы, виновата система образования, причем не только в России. Ученики привыкают заучивать нужные ответы, но не привыкают самостоятельно думать!

3. На вашем сайте не так давно вышла заметка, в которой говорится, что «В среднем сотрудники отправляют более 130 писем в неделю неправильным получателям». Цифра заставляет задуматься. Что можно сделать с невнимательностью пользователя при отправке писем? 
Практически ничего, увы. Единственное что можно предложить – создавать интервал, в течение которого пользователь может отозвать свое письмо и оно не будет отправлено. Понимаете, желательно думать ДО, после, увы, бессмысленно!

4. В одной англоязычной статье я читала, что иногда применяются всплывающие окошки «Вы уверены, что собираетесь отправить письмо на адрес ххх?» И далее предлагается указать пару фраз об ответственности. Насколько это эффективно на ваш взгляд?
Думаю, что подобный подход позволит несколько снизить отправку писем «не туда». Но не стоит обольщаться. Проблему, на мой взгляд, это не решит. Еще раз повторю. Тут нужна внимательность пользователя. Он должен думать. А научить думать… Ой, это сложно! Очень!

5. Другая широко известная проблема – фишинг. Специалисты находятся в постоянном поиске рекомендаций, которые бы позволили просто и понятно обучить пользователей, как отличать «хорошие» письма от «плохих». Возможно ли на ваш взгляд выработать иммунитет к фишингу? Или злоумышленники постоянно совершенствуются и при определенных условиях каждый может стать жертвой?
Хорошее слово «иммунитет». Как показывают исследования, только около 5% пользователей ни разу в жизни не попадались на мошенничество. Можно ли выработать иммунитет к фишингу? На мой взгляд мы не можем полностью заблокировать подобные атаки. Но с помощью регулярного обучения можно снизить количество успешных атак. Увы, гарантировать то, что вас или меня не взломают, на мой взгляд нельзя. Злоумышленники всегда будут на шаг впереди.

6. Вы являетесь сертифицированным тренером ЛК с 2014 года и очень многое знаете об антивирусах, что по вашему мнению пользователи должны знать об антивирусной защите? Осталось ли еще предубеждение, что с антивирусом «все тормозит» или люди в большинстве своем уже убедились, что работать за компьютером без антивируса нельзя категорически?
Ой, какой огромный вопрос. Даже два. Пользователи должны знать:
6.1. Бесплатной защиты не бывает!
6.2. Защититься ТОЛЬКО с помощью антивирусного ПО сегодня невозможно! Есть масса технологий, применяемых в том числе и антивирусами, которые в чистом виде антивирусными не являются. Например firewall, резервное копирование, мониторинг установленного ПО и т.д.
6.3. ЧИТАЙТЕ ДОКУМЕНТАЦИЮ!!!
6.4. Увы, убеждение что «тормозит антивирус» все еще встречается и довольно часто.
6.5. Работать за компьютером без антивируса категорически нельзя. Ага, скажите это миллионам пользователей Android, у которых в лучшем случае установлено какое-то непонятное бесплатное ПО. Убедите их заплатить!
6.6. И снова мы с вами возвращаемся к началу. Пользователей нужно учить!

7. Какие из своих сказок вы бы рекомендовали к изучению корпоративным пользователям в первую очередь?
Ой. На этот вопрос мне сложно ответить. Универсальных сказок, как и одинаковых пользователей не бывает. Да и, кроме того, это как у мамы спросить, а какого ребенка ты больше любишь? Они ведь все для меня как дети. Не знаю. Честно!

8. Часто мне пишут ИТ-специалисты, на которых недавно «повесили» обязанности по обучению пользователей. Владимир, как вы считаете, с чего стоит начать эту непростую работу?
Во-первых, учиться самому, уметь говорить с людьми, понять «где у них болит». Поймите, интересы вашей компании и интересы людей в ней работающих, совершенно разные. Учтите, хороший специалист и хороший преподаватель, увы, чаще всего это совершенно разные люди.

9. Эффективно ли тестирование знаний? Или имеет место «зазубривание правильных ответов»?
А вспомните, как вы сами сдавали экзамены?
Мне повезло с ВУЗом. Когда у нас, начиная с 3-го курса, уже шла специальность, нам неоднократно говорили, что на экзаменах мы можем использовать книги, справочники конспекты (причем как свои, так и чужие). Более того, можно было выйти, пойти погулять и вернуться обратно. Но одно условие. У нас на экзаменах не было теории. Все три задания – практика. И если ты не понимаешь, то книги тебе не помогут. Вот так и тесты должны проходить! Хотя принимать так куда сложнее!

10. Как вы относитесь к "учениям"? Все чаще специалисты советуют иногда рассылать собственноручно сделанные фишинговые письма, чтобы понять, кто из пользователей недостаточно хорошо усвоил правила информационной безопасности.
Считаю это полезной практикой. Правда нужно сразу сформулировать цель таких учений. Не наказать того, кто сделал плохо, а наградить того, кто делает хорошо! Причем в приказе по компании! И довести до всех. А с теми, кто все же делает плохо – провести учения еще раз.

11. Согласны ли вы с тем, что пользователей нужно готовить еще с университета, а может и со школьной скамьи? Сейчас довольно сложно представить рабочее место специалиста без компьютера.
Безусловно еще со школы. Но сразу же хочу предостеречь от всевозможных «решебников». Учить компьютеру нужно. Но на всех остальных уроках смартфонам не место! Нужно учиться думать своей головой. А не искать ответы в Google.

12. Как вы относитесь к принципу BYOD (Bring Your Own Device)? 
С одной стороны – это очень удобно. С другой – приводит к зоопарку. Если вспомнить что я все же «безопасник», то отрицательно. Например, пользователи могут использовать свои смартфоны под Android. Да. Но только под управлением последней или предпоследней версии ОС, что автоматически приводит к тому, что срок службы пользовательского устройства не может быть больше 1.5 лет. 
Ну и последнее. К чему это приведет? У вас на работе будет и Windows (всех возможных версий и редакций) и Mac и всевозможный Android. И если вы и ранее не могли обеспечить толком безопасность, то сейчас и подавно!

13. А как вам стратегия тотального контроля над пользователями? Камеры, запрет использования личных гаджетов. Имеет ли это смысл или только провоцирует на совершение нарушения?
Как по мне все зависит от осознанного понимания запретов. Меня это не напрягает. Это работа. Кто-то в таких условиях просто не сможет работать. Другое дело – если вы ввели тотальный контроль, то для всех! Не должно быть неприкасаемых! Ну и, естественно, этот контроль должен касаться только работы. Личная жизнь ваших сотрудников – это их личное дело!

14. Часто специалисты делятся друг с другом подборками плакатов про информационную безопасность. Эффективно ли их использование? Мне кажется, будет полезно заполнить коридоры и кабинеты напоминаниями об угрозах.
Мне тоже так кажется. Но учтите. Рано или поздно плакаты приедаются. Потому необходимо заранее понять, как и когда вы будете их менять!

15. Владимир, как вы считаете, уровень осознанности пользователя растет?
Сложный вопрос. Хотелось бы чтобы было так. Однако с учетом того, что каждое следующее поколение начинает с тех же ошибок…, хотелось бы верить!

16. Стоит ли привлекать для корпоративного обучения внешних специалистов или можно обойтись собственными силами?
А вот тут я считаю что задавать такой вопрос стоило бы не мне. Все же я внешний преподаватель! Вообще, на мой взгляд, преподаватель должен быть или внешним или в большой компании это должно быть вообще-то выделенное подразделение, потому как преподаватель и хороший инженер это совершенно разные профессии!

17. Кто должен обучать пользователей безопасным методам работы в корпоративной сети?
Или отдел информационной безопасности (если есть штат, время и способности) или внешние специалисты.

18. Какую литературу вы бы посоветовали для чтения неспециалистам, которые интересуются темой информационной безопасности?
Ой… Не сочтите рекламой… Мои сказки 😊 Ну и, естественно, кучу специализированных сайтов.

19. Верно ли утверждение, что основные угрозы информационной безопасности исходят изнутри? 
Думаю да. Самая страшная фраза, которую я когда-либо слышал: «Я хотел как лучше!»

20. Чего на ваш взгляд больше – злого умысла или халатности?
Конечно, халатности! Страшен даже не сам по себе дурак в роли пользователя! Страшен дурак с инициативой!

21. Должны ли строгие правила политики безопасности распространяться на ИТ/ИБ подразделения? Или проверяющие «вне игры»?
У вас сегодня очень интересные и умные вопросы, впрочем, как и всегда! Либо правила распространяются на всех сверху до низу либо зачем такие правила?

22. Какие тенденции в корпоративном обучении вы бы выделили?
Мне сложно ответить. Прежде всего я вижу нарастание интереса к «осведомлённости пользователей». В принципе понятно почему. Ведь как я уже говорил, с умными работать проще!

23. Спасибо за столь подробные ответы, Владимир! Беседовать с вами всегда интересно! Пожелайте чего-нибудь хорошего нашим читателям-специалистам.
Пожелать чего-то хорошего? Как говорил когда-то мой командир «Выпьем за нас! Потому что нас кроме нас, никто не любит!
А если серьезно – умных пользователей, умного и щедрого руководства! Ну и УЧИТЬСЯ!!!



 Другие Лица ИБ:
Константин Саматов
Евгений Царёв

Ну и, как всегда, минутка саморекламы. В ноябре вышла моя вторая книга по защите персональных данных. Чтобы приобрести "Персональные данные: как перестать беспокоиться и начать защищать?", обратитесь в личные сообщения:


Вконтакте: https://vk.com/shudrova
telegram: @KseniaShudrova
instagram: @boyarinya_marshmelova 
Книга электронная! Стоимость - 200 р.

пятница, 17 января 2020 г.

Лица ИБ. Константин Саматов


Константин Саматов
"Работаю в сфере безопасности с 2003 года, с 2011 года на руководящих должностях. Основными направлениями моей работы являлись экономическая безопасность и противодействие коррупции, кадровая безопасность, инженерно-техническая защита объектов, информационно-аналитическая деятельность, информационная безопасность, управление проектами.

Параллельно с основной работой занимаюсь подготовкой кадров в УрГЭУ и
УРТК им. А.С. Попова, также веду одно и двухдневные семинары по собственным (авторским) программам в учебном центре IT CLOUD.
С 2016 года член АРСИБ (Ассоциация руководителей служб информационной безопасности), с 2019 года - член Правления АРСИБ.
У меня два высших образования: экономическое и юридическое, степень МВА со специализацией "Управление безопасностью бизнеса", профессиональная переподготовка по информационной безопасности."

Добрый день, Константин! Я зашла на ваш сайт и просто потерялась: сколько всего хочется спросить у человека с таким богатым опытом в сфере безопасности! Мне кажется, ваших трудовых достижений хватило бы на несколько хороших специалистов! И, что особенно ценно лично для меня, вы представляете собой отличный пример успешной карьеры в регионе. Думаю, что многих читателей вдохновит интервью со специалистом из Екатеринбурга, к тому же такого города в Лицах ИБ еще не было. Давайте начнем наше интервью.


1.      Кто вы по первому образованию? Пригодились ли вам знания, полученные в ВУЗе?
Моя квалификация по первому образованию – «учитель экономики». Знания, полученные в ВУЗе, бесспорно, пригодились мне и в процессе работы в сфере экономической безопасности и в текущей деятельности тоже, т.к. обеспечение безопасности деятельности организации во многом базируется на оценке рисков и эффективности (в т.ч. финансовой) мероприятий по их нейтрализации. Кстати, первый диплом я как раз писал по тематике минимизации предпринимательских рисков.

2.      Что ценного дало вам второе образование? Стоит ли получать несколько специальностей для работы в сфере безопасности или достаточно одного профильного/юридического/технического?
Второе (юридическое) образование было формальным, я получал его уже имея неплохой бэкграунд в сфере юриспруденции: опыт оперативно-розыскной деятельности, опыт представительства в судах и пр. Что касается вопроса получения дополнительных специальностей, то он, пожалуй, не привязан к какой-то определенной сфере деятельности и больше зависит от жизненных целей. Речь идет о том, что если есть желание постоянно развиваться и совершенствоваться в чем-то, то нужны разносторонние знания и необходимо постоянное обучение, повышение своей квалификации.

3.      Как получить степень MBA? Кому она может пригодиться?
Степень МВА пригодится тем, кто работает на управленческих должностях или занимается предпринимательской деятельностью (имеет собственный бизнес). Получить указанную степень в настоящее время не сложно, имеется достаточно большое количество учебных заведений, осуществляющих обучение по указанной программе, есть очный и дистанционный форматы. Трудности дистанционной формы обучения, которые отмечают многие, в самодисциплине: не у всех она есть и поэтому многим не удается довести начатое до конца. Обе программы которые я освоил (miniMBA и MBA General) были дистанционными.

4.      Есть ли у вас в планах написание кандидатской диссертации?
Да. Такие планы есть. Кандидатские экзамены у меня сданы, так что остается только подготовка и защита диссертации.

5.      Здорово, успешной защиты! У вас написано множество интересных, а главное полезных книг: про персональные данные, КИИ, мобильные технологии, даже про личную информационную безопасность. Какую книгу написать было тяжелее всего? Какая книга самая любимая?

Безопасность мобильных технологий не моя книга, я лишь выступал членом редакционной коллегии при ее подготовке. Точно также брошюры по личной безопасности, я лишь автор кейсов, рисунки и конечное оформление делали другие люди. Самой сложной было написание пособия по КИИ, т.к. эта тем новая и никому особо не знакомая, однако в рамках подготовки была сформирована рабочая группа при АРСИБ, возглавить которую мне и предложили. Эта монография является и самой любимой и востребованной (особенно второе издание). Последнее время на вопросы по тематике КИИ я даже часто говорю вот методичка – смотрите такой-то параграф. Следует отметить, что версия 2.0 («Безопасность объектов критической информационной инфраструктуры организации») не является окончательной, в планах продолжение выпуска обновленных версий данной методички, с какой периодичностью – пока не знаю.

6.      Вы выступаете как самостоятельный писатель, так и как соавтор. Сложно ли организовать совместную работу?
Немного сложнее чем свою – да. Но, в целом, я особых трудностей в организации не наблюдал.

7.      Ваша любимая книга из художественной литературы?
Александр Дюма «Граф Монте Кристо», ну и вообще классическую литературу люблю: опять же Дюма, Конан Дойль, Тургенев, Пушкин. Правда, к сожалению, последний раз читал художественную книгу, наверное, лет 10 назад.

8.      Что бы вы посоветовали почитать начинающему автору? Как научиться писать тексты?
Как ни странно, но для меня этот вопрос сложный, потому что не было особых проблем никогда. Многие мои еще университетские работы (курсовые, дипломные) занимали 1-3 места на олимпиадах. Но, чтобы дать ответ по существу, скажу, что в аналитическом центре, где я в текущий момент работаю, коллеги очень любят книгу Ильяхова Максима и Сарычевой Людмилы «Пиши, сокращай. Как создавать сильный текст».

9.      Надо будет обазятально прочитать! Расскажите про АРСИБ: что это за организация такая, как в нее вступить, какие преимущества дает членство? Чем занимается АРСИБ на Урале?
АРСИБ – это Ассоциация руководителей служб информационной безопасности, т.е. организация, объединяющая профессионалов, занятых в сфере информационной безопасности. Основной целью ее деятельности является содействие в развитии информационного общества, обеспечении безопасности процессов его сопровождающих. На практике это выражается во взаимодействии с государственными институтами и оказании им экспертной помощи в поиске ответов на концептуальных вопросы, подготовке методических рекомендаций по реализации требований законодательства или best practices по информационной безопасности (пример – методички по безопасности КИИ и безопасности мобильных технологий), проведении публичных мероприятий для обсуждения наболевших вопросов в сфере информационной безопасности (пример – серия конференций под брендом «БИТ»), формировании круга общения между специалистами (экспертами) практиками и помощь коллегам «по цеху» (консультативная прежде всего).
Как вступить? Достаточно просто. Нужно подготовить заявление и анкету, затем правление ассоциации ее рассмотрит и, если кандидат соответствует требованиям (они изложены в уставных документах и есть на сайте АРСИБа – aciso.ru), то он будет принят. Говоря про мой опыт вступления – все было, на мой взгляд, очень просто и быстро: в 2016 году я получил приглашение (в качестве участника) на конференцию БИТ Урал, увидел что ее организует АРСИБ, нашел на сайте раздел как вступить, заполнил необходимые документы и отправил по указанном на сайте электронному адресу. Результат – на конференции БИТ Урал 2016 я уже выступал в качестве спикера – члена АРСИБ.
На Урале мы стараемся развивать т.н. «клубное движение» специалистов в сфере информационной безопасности. Проще говоря, стараемся поддерживать более тесные отношения со специалистами в сфере информационной безопасности, обмениваться мнениями, помогать в решении текущих проблемных вопросов.

10.  Что вы делаете как член правления?

Правление, по сути, это орган управления ассоциацией, а соответственно его участники (члены) управляют, т.е. принимают решения по вопросам ее деятельности и обеспечивают их реализацию, например принятие решений о выпуске методического пособия, создании комитета, принятии в ассоциацию нового члена и т.п.

11.  Есть ли в Екатеринбурге сообщество специалистов по безопасности?
Да. Есть сообщество специалистов по корпоративной безопасности - Некоммерческое партнерство «Союз руководителей служб безопасности Урала», мы давно дружим с основателем данной некоммерческой организации – Константином Сергеевым, активным общественным деятелем, преподавателем УрГЭУ, директором по безопасности торговой сети «Монетка».
Также сейчас есть в планах создать региональное отделение АРСИБ по Уральскому федеральному округу.

12.  Успеха в этом начинании! Расскажите о своем опыте работы в территориальном фонде обязательного медицинского страхования. В чем специфика обеспечения безопасности в этой сфере?

Специфика обеспечения безопасности в данном учреждении заключается в следующем:
1.      Информационные ресурсы содержат информацию практически обо все жителях территории, причем эта информация достаточно критичная: есть как данные о человеке (паспортные данные, контактны данные), так и сведения о его здоровье. Таким образом, по сути, мы имеем в качестве объектов защиты информационные системы, содержащие огромный объем специальных категорий персональных данных, нарушение безопасности которых может быть очень критично.

2.      Подразделение информационной безопасности практически равно «служба безопасности» (по крайней мере в моем случае было именно так, хотя у каждого территориального фонда есть своя специфика), т.е. в круг обязанностей помимо «классической» информационной безопасности также входила инженерно-техническая безопасность, кадровая безопасность, противодействие коррупции (это государственное учреждение, с бюджетными деньгам), анализ и согласование государственных контрактов. Единственное, чем мы практически не занимались – это проверкой контрагентов (классика экономической безопасности), т.к. все закупки шли по механизму государственных закупок, а это значит, что при нарушении обязательств по контракту контрагентом, он попадает в «реестр недобросовестных поставщиков» и, следовательно, теряет возможность в них участвовать. Помимо этого, все контракты предусматривали постоплату, т.е. работы (услуги) должны быть сначала выполнены, товары поставлены и приняты, прежде чем организация их оплатит. Как видно, при такой схеме риски минимальны.

13.  Полезный и интересный опыт! Расскажите, чем вы занимаетесь на текущем месте работы в аналитическом центре?
В основном работой по проектам, связанным с обеспечением информационной безопасности заказчиков нашей компании. В основном это проекты по защите персональных данных, безопасности критической информационной инфраструктуры, проведение комплаенс аудита. Последние полгода еще добавились вопросы, связанные с центрами мониторинга и реагирования на инциденты информационной безопасности, т.н. SOC (Security Operation Center).
Также большой пласт работы связан с управление персоналом (подчиненными работникам), развитием их компетенций. Это, кстати, во многом приятное занятие, когда ты видишь, что у тебя на входе работник не владеющей экспертизой в каком-то направлении, которое у тебя хорошо развито (например, защита персональных данных), а на выходе (через 3-6 месяцев) специалист, обладающий хорошей экспертизой в этом вопросе.

14.  Большой пласт вашей работы был связан с кадровой безопасностью. Можете рассказать какой-нибудь интересный случай из практики?

Да, был интересный случай, связанный с утечкой одного из документов организации и попаданием его в средства массовой информации. Подробно я рассказываю его в своем видеокурсе по коммерческой тайне, который есть в свободном доступе в сети Интернет. Интересен он нестандартным, быстрым и эффективным поиском сотрудника, совершившего данное деяние, а еще тем, что я тогда был в отпуске (а это бывает очень редко) и мои сотрудники (подчиненные) нашли решение и выявили «крота» всего за 2 часа.

15.  А смешные ситуации бывали?
Смешные ситуации бывали в годы службы, например, подготовишь справку об оперативной обстановке, принесешь начальнику (службы экономической безопасности), а он везде тебе вместо «член ОПГ» (ОПГ – организованная преступная группа), напишет «участник ОПГ», а еще мог наложить на справке резолюцию (правда у меня не разу такой не было): «Х..я переделать» и подпись-дата. Так что это не байка. Конечно, на самом деле бывали и другие, но не о всем я могу рассказывать.

16.  У вас большой практический опыт – целых 17 лет! Вы могли бы представить себя на другой работе? Если не безопасностью, то чем бы вы занимались?

Подготовкой кадров, развитием человеческого потенциала. Собственно, я и сейчас этим занимаюсь, больше как хобби конечно. Еще много лет назад у меня появилась мысль о том, что если бы в процессе обучения студентов принимали участие реальные практики и умели сочетать подачу теоретического материала со своим опытом, то на выходе мы бы получали гораздо более квалифицированных и адаптированных к работе в реальном секторе экономики специалистов. Вот с 2014 года и занимаюсь реализацией этой идеи.

17.  Полностью с вами согласна, практики студентам часто не хватает. Сложно ли построить карьеру в регионе?
Наверное, немного сложнее чем в Москве, ну и зависит от региона, конечно. Есть динамично развивающиеся регионы, Екатеринбург тому пример, где много компаний, нуждающихся в хороших кадрах и есть определенный уровень миграции рабочей силы внутри региона, поэтому потребности на рынке существуют и обладающие хорошими скиллами профессионалы всегда востребованы. Есть регионы с низким потенциалом развития, где рынок труда обладает меньшей динамикой, там строить карьеру сложнее, т.к. новых рабочих мест меньше.
Есть правда у меня предположение, что в ближайшем будущем произойдет значительный всплеск спроса на специалистов по информационной безопасности в большинстве секторов и регионов. Ведь, если речь зашла о цифровой экономике, то это значит, что большинство активов компаний (в том числе и тех, которые необходимо защищать) имеют информационную составляющую.

18.  Я тоже очень на это надеюсь! Какими качествами должен обладать «настоящий» специалист по безопасности?

Самое важное для специалиста по безопасности – это лояльность к тому «что» или «кого» он защищает: если это государство, то стране, если это компания – то ее руководству и собственниками. В противном случае специалист по безопасности не сможет полноценно выполнять данную функцию. Ведь не зря в государственные службы безопасности (спецслужбы) не берут иностранных граждан. Кстати, именно поэтому, в сфере безопасности, широко распространен подход (многим кажущийся обидным), когда руководителя СБ выбирают прежде всего в силу личной предрасположенности (хороших отношений), нежели его профессиональных качеств.

19.  Вы работаете преподавателем сразу в двух учебных заведениях. Какие дисциплины ведете?
Да. Мне посчастливилось работать как в среднем специальном учебном заведении (Уральском радиотехническом колледже имени А.С. Попова), так и в высшем учебном заведении (Уральском государственном экономической университете). В колледже я преподаю инженерно-технические средства обеспечения информационной безопасности (но, по сути, больше сосредотачиваюсь на инженерно-технической безопасности компаний), а в университете преподаю техническую защиту информации, управление информационной безопасностью, а также построение и проектирование информационно-аналитических систем.

20.  Чему преподаватель может научить студентов?
В идеале своему практическому опыту. У меня в начале педагогической карьеры даже байка была для студентов, что я ни одну книгу по информационной безопасности не прочитал, но одну уже написал (это книга «Персональные данные работников организации и их защита»), потом правда появилась «Безопасность мобильных технологий в корпоративном секторе», которую я прочитал в процессе редактирования (автор не я, а член АРСИБ Александр Першин) и с тех пор я студентам больше так не говорю.

21.  Чем вы занимаетесь в свободное время? Как отдыхаете от работы?
Самообразованием и самообучением. Прокачиваю свои навыки по «проблемным» направлениям (то, в чем я плохо разбираюсь) в основном путем чтения книг или просмотра видеокурсов. Например, последнее время изучаю OSINT (Open source intelligence), на практике более известная как «Конкурентная разведка», хотя это более широкое понятие, включающее в себя OSINT.
Ну и много общаюсь с друзьями, подругами, коллегами, на различные (как связанные с информационной безопасностью, так и не связанные с ней) тематики.

22.  Как вы все успеваете? Поделитесь с читателями своим секретом. Как организовать свой день, чтобы быть эффективным?
Много методик по тайм менеджменты я узнал в процессе освоения программ МВА (miniMBA и MBA General). Но основных инструментов в плане управления временем, пожалуй, два:
·        Хронометраж и оценка своего времени, осознание того, куда оно тратится – бесцельно лежа на диване или для достижения какой-либо полезной цели.
·        Матрица Эйзенхауэра – инструмент по управлению временем состоящий из четырех квадратов определяющих срочность и важность текущих дел. В моей записной книжке OneNote вся неделя разбита на такие ежедневные матрицы.
Основная цель, чтобы большинство задач, которые вы решаете была в желтом квадрате – важные, но не срочные. В таком режиме получается спокойно (без авралов) решать текущие задачи и достигать намеченных целей. Если постоянно заполнен красный квадрат – значит следует обратить внимание на качество своего планирования, в этот квадрат, обычно, попадают те дела, которые не были запланированы своевременно.

23.  Ценные советы, спасибо. Будем применять! Расскажите о планах на будущее. Над какими проектами работаете?
Планов много. Некоторые мы уже затронули. Вообще, текущий 2020 год начал как раз с планирования (по методу Пирамиды Франклина): составил планы на 20, 10, 5 лет, 3 года, 1 год, 1 квартал текущего года. Если говорить про планы в сфере информационной безопасности, то в этом году планирую написать книгу посвященную вопросам менеджмента в сфере информационной безопасности, постараться отразить в ней свой (пусть и небольшой) опыт, начать подготовку кандидатской диссертации (как раз в сфере управления информационной безопасностью).

24.  Что бы вы посоветовали начинающим специалистам?
Основное – это быть готовым постоянно обучаться. Не страшно, что у вас нет опыта, если вы готовы работать и осваивать свою профессию, учиться в ходе этого процесса, извлекать уроки из своих ошибок, очень быстро вы станете настоящим профессионалом. Приведу пример, пришла как-то ко мне в направление на собеседование одна студентка 4 курса. Было понятно, что опыта и знаний у нее ноль. Я ее тогда спросил: ты готова постоянно обучаться, она ответила, что готова. В итоге, через год из нее вырос очень квалифицированный аналитик, способный выполнять задачи по достаточно сложным проектам и достигать необходимых результатов. Кстати, один из авторитетных журналов по информационной безопасности недавно даже стал публиковать обзоры законодательства, которые она готовит в свободное от проектной деятельности время.

Большое спасибо за интервью, Константин!

Источник фотографий: личная страница Константина Саматова на Facebook.
Сайт Константина Саматова.

 Другие Лица ИБ:
Евгений Царёв

Ну и, как всегда, минутка саморекламы. В ноябре вышла моя вторая книга по защите персональных данных. Чтобы приобрести "Персональные данные: как перестать беспокоиться и начать защищать?", обратитесь в личные сообщения:

Вконтакте: https://vk.com/shudrova
telegram: @KseniaShudrova
instagram: @boyarinya_marshmelova 
Книга электронная! Стоимость - 200 р.

четверг, 9 января 2020 г.

Запись вебинара и полезные ссылки

Добрый вечер, коллеги! Сегодня я хочу поделиться с вами записью предновогоднего вебинара с Сергеем Борисовым. Сергей также разместил пост о вебинаре. Не буду дублировать информацию и перейду сразу к делу. Ниже запись, а также полезные ссылки, о которых мы упоминаем по ходу дела.
Запись.


1.      Кого назначить ответственным?
2.      Реестр операторов
3.      Пример судебной практики
4.      Судебная практика
5.      Согласия субъекта на обработку Пдн, данное ОА "МСП Банк"​ ​ ​ ​ ​ ​ https://smbfin.ru.
https://smbfin.ru//ServiceModel/MSPAuthService.svc/MS.. -
6.      Селфи с паспортом
7.      Серия постов по обезличиванию
8.      Про КИИ
9.      Положение об обработке и защите ПДн
10.   Шаблоны документов
11.   Сайт Н. Храмцовской
12.   Связь угроз и требований
13.   Памятка для пользователей
14.   Памятка по безопасной работе с почтой
15.   Книга К. Шудровой «Персональные данные: что было, что будет, на чем сердце успокоится…»
16.   Книга К. Шудровой «Персональные данные: как перестать беспокоиться и начать защищать?»

Ну и, как всегда, минутка саморекламы. В ноябре вышла моя вторая книга по защите персональных данных. Чтобы приобрести "Персональные данные: как перестать беспокоиться и начать защищать?", обратитесь в личные сообщения:

Вконтакте: https://vk.com/shudrova
telegram: @KseniaShudrova
instagram: @boyarinya_marshmelova 
Книга электронная! Стоимость - 200 р.

вторник, 31 декабря 2019 г.

ПоСТравление с новым годом

С наступающим новым годом, коллеги! Начнем по порядку: итоги, планы, благодарности и пожелания.
Итак, итоги. 2019 год оказался для меня довольно сложным в личном плане, так как с самого детства я жила мечтой о степени кандидата наук, защитилась в конце 2018 года и приуныла. Что делать дальше, к чему стремиться? Раньше было просто и понятно: детский сад, школа, университет, аспирантура, защита (упустим параллельно идущую работу, обозначив ее, как фон). И вот последние документы по кандидатской были доделаны в прошлом ноябре, все прошло, что дальше делать непонятно. Вариант с докторской даже не рассматривался. Значит, нужно придумать что-то самостоятельно. Благо в декретном отпуске есть время на то, чтобы подумать о смысле жизни и т.д. Вот я и думала. Проходила бесплатные и бюджетные курсы по личному бренду и созданию курсов. Размышляла. Подняла свою проф библиотеку и даже примерно наметила план самообразования. Чувствую, не цепляет. Обучение важно, но этого мало, хочется сделать что-то свое, новое. Летом провела большой трехчасовой мастер-класс на конференции paymentsecurity в Санкт-Петербурге, но так увлеклась, что материала заготовила гораздо больше, чем нужно. Смотрела, смотрела на этот материал и ничего не придумала. Отвлеклась на проект с Сергеем Борисовым - мы провели уже 3 совместных вебинара, запись третьего скоро появится в наших блогах. Пока готовилась к вебинарам, еще подкопила материал. И в какой-то момент увидела в этой мешанине файлов и шпаргалок идею, структуру и примерное содержание книги. В ноябре книга вышла, и я поняла, что кризис пройден. 
К каким выводам за этот год я пришла?
1. Вебинары - это не страшно. Хотя пришлось потратить время на подбор бесплатной платформы, качество трансляции сейчас вполне сносное.
2. Продавать - это не страшно. Назначить цену книге было некомфортно, первым покупателям хотелось отправить файл бесплатно, но я себя переборола.
3. Звонки - признак плохого заказа. Правило без исключений. Если люди не в состоянии описать свои требования письменно, все будет плохо.
4. Вдохновения ждать не надо. Сажусь и делаю.
5. Писать надо в тишине. Сажусь и делаю в тишине.
6. Писать коротко. Задач очень много и в приоритете - сын, время у него стараюсь не воровать.
7. Говорить "нет" проектам. Это прямо открытие.
8. Требовать выполнения обязательств. Открытие еще почище предыдущего.
9. Статус не важен. Должностями френдов больше не интересуюсь.
В этом году я хочу выразить благодарность своей семье в целом, мужу и сыну в частности, коту в особенности. А еще у меня появилась племянница в этом году. Все вдохновение черпаю в родных и близких, и своих детских мечтах и воспоминаниях. Спасибо друзьям и хорошим знакомым за то, что есть. 
Планы на следующий год. Вебинары, посты. Буду искать новые форматы.
Благодарности. Спасибо Сергею Шустикову, Ирине Лонкиной и Славе с Лизой за гостеприимство, экскурсию по Питеру и подарки. Спасибо Маше Сидоровой за многое, а также всей команде RISC, рада быть с вами. Спасибо Сергею Борисову за совместный проект и энтузиазм. Staffcop за сотрудничество и мерч. Securitylab за ежегодное признание в качестве блогера. Каждому кто купил мою книгу, это очень важно для меня и дает вдохновение. Евгению Безгодову, Владимиру Безмалому, Моне Архиповой, Илье Борисову, Андрею Прозорову, Рустему Хайретдинову, Алексею Лукацкому, Роману Жукову, Ивану Пискунову, Михаилу Долгачеву, Елене Артамоновой, Дмитрию Семененко, Сергею Воробьеву и многим другим за общение в сети и не только, а также интересные посты.
Подписчикам групы ВК за сообщество профессионалов и взаимопомощь. Отдельная благодарность Алексею Денисову за предложенные новости, Сергею Симаку за посты и комментарии. За активное участие в жизни сообщества также спасибо Виталию Пикову, Наталье Мельниковой, Ивану Арнаутову, Алексею Шедову, Михаилу Антипову и многим-многим другим. Нас уже 1170 человек. Спасибо!
Пожелания. Желаю здоровья вам и вашим близким! А еще успеха в делах, любви, хорошего настроения и финансового благополучия! Пусть в вашем доме будет безопасно и надежно!

Ну и, как всегда, минутка саморекламы. В ноябре вышла моя вторая книга по защите персональных данных. Чтобы приобрести "Персональные данные: как перестать беспокоиться и начать защищать?", обратитесь в личные сообщения:
Вконтакте: https://vk.com/shudrova
telegram: @KseniaShudrova
instagram: @boyarinya_marshmelova 
Книга электронная! Стоимость - 200 р.