Самозащита. Учимся работать на себя в ИБ. Иван Пискунов

1. Расскажите, пожалуйста, немного о себе. Образование, стаж работы, опыт.

Меня зовут Пискунов Иван Владимирович, мне 31 год. Я начал работать еще с 4 курса университета, то есть, по большому счету, где-то 11-12 лет в индустрии. Образование у меня профильное: информационная безопасность, специалитет, красный диплом. Общий бал у меня 4,92, если я не ошибаюсь, лучший показатель в группе, группа у меня была человек 30 — 35. Я начинал с техника техподдержки, с администратора информационной безопасности. Долгое время работал просто системным администратором, потому что я сам из Иркутска и, к сожалению, в этом городе не было работы по информационной безопасности, приходилось идти по смежке, чтобы хоть как-то заработать и развивать технические скиллы. 

После этого я работал в различных организациях, в том числе в государственных, в частности, я работал в муниципальной больнице, участвовал в конкурсе на госслужбу в Министерство финансов Иркутской области. Работал в Научно-исследовательском проектном строительном институте – это коммерческая организация, холдинг на 700 человек, работал в подрядчике ПАО «Газпрома», работал в иностранной компании, которая занимается аутсорсингом услуг, в том числе по информационной безопасности. Последние два года я работаю на фрилансе. У меня было свое ООО, его пришлось закрыть, сейчас я нахожусь в режиме самозанятого. По сути, это частная практика, фриланс, практически как индивидуальный предприниматель, только новая форма.

2. Где сейчас живете?

Живу я в Москве, в марте будет 4 года, как переехал. Сам из города Иркутска, там родился, рос, там получал образование, там проходил дополнительные курсы, которые были доступны на тот момент.

3. Когда начали заниматься фрилансом/подрядом/удаленкой?

После ВУЗа приходилось работать на двух работах или где-то подрабатывать, потому что, к сожалению, зарплаты были не очень. Жить хочется полноценно, на тех должностях, на которых я работал, не хватало денег. Поэтому я работал на основной работе и пытался выполнять любые работы, которые мне помогали заработать: от настройки конфигурации оборудования до решения проблем с безопасностью, например, системы сертификации КриптоПро, установки специализированного софта. Если говорить о том времени, когда я занялся фрилансом полноценно, то это последние два года, с конца 18го.

4. Какие виды работы вы выполняете?

Я стараюсь выполнять все виды работ в информационной безопасности, которые пользуются спросом. За что платит клиент на рынке, то я и стараюсь предлагать. Прежде всего это пентесты: пентесты инфраструктуры, пентесты веба, любое техническое тестирование информационных систем, которые базируются на Windows, либо на Linux, как на open source софте, так и на enterprise коммерческом, в виде SQL серверов и тому подобного, для всего, что в IT ландшафте есть у enterprise я могу провести тестирование либо аудит защищенности. Вторая услуга, которую я стараюсь продвигать – это форензика или кибер расследования. Если были какие-то инциденты, утечки, проблемы, связанные с потерей данных от НСД, то я использую определенные инструменты чтобы восстановить сценарий произошедшего, идентифицировать эту проблему, если это возможно, то установить злоумышленника (чаще это не получается), предложить варианты защиты, чтобы в будущем этого не повторилось. Третье чем я занимаюсь, это классический консалтинг. Это консультирование по любым вопросам: техническим, правовым, юридическим, связанным с ИБ. это корректировка политик, регламентов, написание различной документации, которая регулирует процессы безопасности в организации, – все, что так или иначе относится к бумажной безопасности. Четвертая составляющая, которой занимаюсь я исключительно (иногда у меня есть коллеги, которые подключаются) - преподавание и обучение. Веду частные курсы, сотрудничаю с различными учебными центрами и школами, которые предоставляют курсы по информационной безопасности. У меня есть опыт преподавания: два года в университете в Иркутске и один год в Московском Политехе.

5. Кто заказывает работу (интегратор, университет, завод, портал, журнал, физические лица)?

Поскольку я частник и, собственно говоря, у меня нет какого-то маркетинга, громкой кампании, мои клиенты – это мелкий бизнес: магазинчики, кафешки, которые думают о безопасности, но у которых нет больших денег, чтобы платить их большим игрокам рынка. Это те, кто задумываются о проблемах ИБ, или у кого случилась утечка, и они хотят обеспечить достойный уровень безопасности. Бюджета у них под это нет, и я пытаюсь решить эту проблему за адекватные деньги для них с адекватным качеством. Обращаются физические лица. Ко мне обращалась женщина, которая подозревала своего мужа в «нечестных отношениях с женщинами незнакомыми ей», и просила помочь ей расшифровать переписку в WhatsApp, восстановить удаленные фотографии. На эту тему у меня есть статья в журнале Хакер, я там описал все обезличено, но это реальный кейс, с которым я сталкивался. Больше заказчиков нет: либо мелкий бизнес, либо физические лица.

6. Оформляете ли вы отношения с помощью договоров? На что обращаете внимание в договоре?

Да, конечно, обязательно, я оформляю все через договор. Есть стандартный, который оформляю я, либо предлагает сам заказчик. Я его изучаю и, если все в порядке, мы его подписываем. Обязательно фиксируем сроки, стоимость и условия, по которым считается, что работа выполнена. Потому что я не раз натыкался на «честное слово», когда я делал работу, вперед отдавал отчеты, а мне потом долгое время не могли заплатить деньги, либо когда я делал работу, а мне отказывали и не платили деньги, либо говорили, что там что-то не доделано, а договора не было, я просто верил человеку на слово. Однозначно все через договор, все через фиксацию условий и еще могу добавить, что я всегда работаю с авансом. Раньше много было ситуаций, когда, например, достаточно крупной суммы договор, я делал все вперед, отдавал и мог пару месяцев дожидаться своих денег, и никакого рычага давления у меня не было. А идти в суд было просто невыгодно, потому что, если нанять адвоката, оплатить пошлины, пройти процедуры востребования, вышли бы как раз те деньги, которые я заработал, даже дороже. Это просто невыгодно. Так что обязательно договор, обязательно аванс и обязательно условия, по которым определяется что работа выполнена.

7. Оформляете юридическое лицо, ИП, самозанятость? Расскажите о нюансах.

В принципе я уже сказал, изначально у меня было свое ООО на общем режиме налогообложения, но ООО пришлось закрыть. В Москве введен режим самозанятого, это более выгодно, чем ИП. Я нахожусь на режиме самозанятого: 4% при расчете с физиками и 6% с юр лицами, это гораздо выгоднее, чем 13% по ГПД.

8. Где ищете заказы?

Либо я ищу заказы, либо меня ищут. У меня есть некая известность в ИБ индустрии, потому что мир тесен, все друг друга знают, если не лично, то через кого-то точно, даже в Москве несмотря на то, что здесь достаточно много компаний, занимающихся безопасностью. У меня есть своя известность, свой бренд, есть блог, Telegram канал, статьи в Хакере, публичные выступления, я где-то общаюсь с людьми, обмениваюсь контактами. Иногда меня по этим контактам находят и предлагают какую-то работу выполнить. Я размещался в различных сайтах по фрилансу, предлагал свои услуги, размещал свои контакты, таким образом люди на меня выходили, мы обсуждали условия, если могли договориться, то я брался за работу.

9. Важна ли публичность в вашей работе? Личный бренд повышает стоимость услуг?

Да, конечно, однозначно. Я занялся фрилансом, потому что у меня есть личный бренд, узнаваемость, репутация, если я делаю работу, то делаю работу качественно, либо я не берусь за работу, если в ней не уверен, потому что репутацию купить невозможно. Деньги заработать можно, репутацию вернуть обратно невозможно. Личный бренд я создавал годами, начиная со статей, с блога, с выступлений на конференциях, на каких-то больших ивентах и т.п. Публичность в этом плане мне помогла. Правда иногда меня находят люди, которые вообще обо мне ничего не знают, им кто-то порекомендовал, передал мою визитку, они верят на слово тем людям, которые порекомендовали. В целом публичность свой плюс однозначно дает.

10. Как проводятся переговоры? Устно, письменно?

Здесь, конечно, от ситуации зависит. Если есть возможность подъехать в офис и увидеться с человеком неформально (бывает в кафе сидим после конца рабочего дня), мы, конечно, обговариваем условия прежде всего устно. Если сначала запрос поступает на почту, то мы сначала все фиксируем предварительно, потом встречаемся, все обговариваем и перекладываем в договор. Здесь в зависимости от ситуации, кому как удобно, от сложности задачи, от того каким образом был инициирован первичный контакт: был это звонок, письмо, сообщение в мессенджере или личная встреча.

11. Как вы определяете стоимость своих услуг? Из чего она складывается?
Во-первых, есть понимание, сколько может стоить та или иная услуга на рынке, я конечно отталкиваюсь от этого. Во-вторых, я отталкиваюсь от своих трудозатрат: какие инструменты использую, покупаю ли программное обеспечение, приходится ли тратиться на дорогу, на перелеты в другой город, на командировку, либо это можно сделать локально, добравшись на метро, на такси. Затраты складываются из трудочасов, которые потрачены, одну задачу можно сделать за один рабочий день, другую задачу, например, аудит за 25-30 часов. Из понимания стоимости трудового часа, используемых инструментов, средней услуги по рынку, из всех этих моментов складывается некая средняя сумма, которая в конечном счете все равно обговаривается с заказчиком, в зависимости от лояльности заказчика, от того как мы договариваемся, она фиксируется и попадает уже в конечный договор.

12. Требует ли ваша работа наличия лицензии, специального образования или сертификата? Нужно ли покупать что-то кроме ноутбука?

Ноутбук идет по умолчанию. Раньше, когда я только начинал, у меня было два или три ноутбука. С одного я запускал сканирование, с другого я запускал сканирование внешнего периметра веба, с третьей машины я, например, делал еще какие-то операции при penetration test. Сейчас виртуальные машины стоят в облаке, у меня есть ноутбук, с которым я приезжаю, дальше мне дают VPN канал и какие-то работы я делаю через облачную инфраструктуру. Мне хватает того образования, которое я получил в университете, дополнительных курсов и самообразования в виде книг и тому подобного за те 11 лет, что я занимаюсь безопасностью. Сертификат у меня есть и не один, у меня есть и Cisco Certified Network Associate и Certified Ethical Hacker, у меня есть Microsoft Certified Systems Administrator и т.п. Не скажу, что они требуются для работы, но, если надо, я могу их показать, иногда они играют положительную роль. Что касается наличия лицензий: для предоставления услуг по penetration test требуется лицензия.

13. Какими инструментами планирования вы пользуетесь? Бумажные ежедневники или электронные планеры?

Честно говоря, я не любитель всех этих электронных вещей, гаджетов, я пользуюсь двумя: у меня есть календарь Mail.ru, на него у меня почта завязана рабочая, и Google календарь. И, собственно говоря, записная в телефоне, в которую я могу накидывать что-то чтобы не забыть по дороге, когда я еду в метро, если надо после звонка зафиксировать о чем говорили. Специальными программами я не пользуюсь. Никакими диаграммами Гантта по продвижению проектов я тоже не пользуюсь. Все остальное то, что мне нужно я помню, все что нужно записать, чтобы не держать в памяти, я записываю просто в виде текстовика в телефоне, звонки встречи я подвязываю в и Google календарь. В принципе, всего этого набора мне хватает, и расширять его я не собираюсь.

14. Как оцениваете показатели своего труда? Можно ли спрогнозировать нагрузку?

Начну отвечать с крайнего вопроса. Нагрузку, наверное, спрогнозировать невозможно. Потому что было такое, что я пару месяцев работал без выходных, было много проектов, задач насыпалось, нужно было их делать, я подписал контракт. Но как правило летом где-то с конца мая по середину сентября работ нет. Многие уезжают в отдых, ротации, переходы, жара сказывается. Как правило проекты буксуют. Все переносят их либо на осень, либо на конец года, чтобы закрывать бюджеты. Из этой практики можно сказать, что в теплый сезон нагрузка минимальная, а максимальная где-то, скорее всего, на осень, зиму, еще на весну. Но выстрелить может в любое время. Однозначно говорить невозможно. Как я оцениваю результаты своего труда? Да очень просто. Заработал я что-то за месяц или не заработал, проел эти деньги и прокатал их? Иногда приходится продавать услуги, делать презентации, рассказывать что-то клиентам, а в итоге клиент отказывается, говорит, что подумает, или ему это не нужно. И в итоге несколько дней презентаций, поездок, несколько встреч, часов прошли впустую. Я потратил их, и мне никто не компенсировал. Показатель очень простой – сколько ты заработал за месяц. По состоянию счета можно сказать хорошо ты сработал или плохо.

15. По каким признакам определяете «плохого» или «хорошего» заказчика? Используете интуицию?

Мне этот вопрос очень нравится. Интуицию я безусловно тоже использую. Некоторый внутренний голос мне что-то подсказывает, но все-таки я смотрю по манере человека общаться и по его потребностям. Есть люди, которым серьезно нужно решить какую-то проблему, и они хотят это сделать. А некоторые просто интересуются, спрашивают, но видно, что они больше заинтересованы в информационных услугах: что-то узнать, стоимость выяснить или просто поговорить нужно. Если люди конкретного толка: «Что будешь делать, в какие сроки, что тебе нужно, какая цена, мы подписываем договор». Есть люди, которые тянут: «Вот расскажи, что ты можешь, можешь ли то, другое, у нас есть то и то, как ты считаешь, например». Или: «Ну ты там скинь нам презентацию, мы посмотрим, через неделю встретимся». Есть люди, которые ориентированы на дело, с ними можно сразу результат получить. А есть заказчики, которые не заинтересованы, они тратят свое и твое время, и ничего хорошего из этого не получается. Либо есть люди, которые начинают увиливать, например, от подписания договора, в котором я сразу прописываю аванс. Если человек начинает отказываться, не объясняя почему он так делает, то скорее всего он что-то темнит. Здесь с ним нужно быть осторожным.

16. Расскажите интересный/смешной/пугающий случай из практики.

Все кейсы, которые мне попадались, были интересными и нестандартными. Иногда приходилось искать нестандартный подход, потому что спросить было не у кого. В интернете такой информации не найдешь. Коллеги тоже не расскажут, обратиться к кому-то вариантов нет, ты решаешь эту проблему сам, а ты уже взялся и подписал контракт, уже пообещал заказчику, что задача будет решена, и уже не имеешь права слиться и отказаться. Все кейсы были интересные - это некий челендж, и так или иначе я со всеми справлялся. Смешной или пугающий случай? При тестировании на проникновение пароль по умолчанию admin admin, какая-нибудь база неучтенная висела с открытыми портами, о ней вообще никто не знал. Ну то есть какие-то глупые ошибки, детские, которые могли привести к печальным последствиям, если бы это был реальный хак, а не проникновение по заказу.

17. Какой совет можете дать начинающим фрилансерам?

Я, наверное, скажу так, порой фриланс не проще чем работа «на дядю». Потому что, помимо того, что тебе нужно делать работу, помимо того, что тебе нужно обладать компетенциями техническим, скиллами ты еще должен уметь продавать, уметь общаться с заказчиками, ты должен быть психологом. Как минимум, ты должен правильно подавать свои услуги, а это не всем дано, не все это могут. Есть люди, которые хорошо разбираются в технике, но не очень хорошо разбираются в продажах. Либо, например, в психологии коммуникации. Они просто не могут продать. Здесь можно подумать начинающим фрилансерам: готовы они к этому или нет? Можно продолжать развиваться и набирать опыт и расти в рамках enterprise, быть наемным работником. Либо, если ты чувствуешь силы, и по каким-то причинам тебе это больше подходит, ты чувствуешь, что фриланс – это по жизни твое, ты не готов сидеть в душном офисе, кому-то подчиняться и работать на кого-то, тогда, конечно, нужно заниматься фрилансом и пробовать и пробовать. Главное, оценить на входе свою готовность, чтоб потом не жалеть. Я бы дал такой совет: все взвесить, подумать оценить и потом только принять решение.

Большое спасибо за ответы!

Сайт Ивана:

https://www.ipiskunov.com/

_________
Ну и, как всегда, минутка саморекламы. В ноябре вышла моя вторая книга по защите персональных данных. Чтобы приобрести "Персональные данные: как перестать беспокоиться и начать защищать?", обратитесь в личные сообщения:

Вконтакте: https://vk.com/shudrova

Facebook: https://www.facebook.com/profile.php?id=100001253566519

telegram: @KseniaShudrova

instagram: @boyarinya_marshmelova 

Книга электронная! Стоимость - 200 р.

Самозащита. Учимся работать на себя в ИБ. Сергей Воробьев

1. Расскажите, пожалуйста, немного о себе. Образование, стаж работы, опыт.

Образование: в настоящий момент имею четыре образования: Военная академия связи - инженер радиоспутниковых систем связи, Международный Институт Экономики и права - специальность бухгалтерский учет, Международный Институт Экономики и Права - специальность юриспруденция, направление гражданское право, академия информационных систем АИС - специальность информационная безопасность. А также ряд других дополнительных сертификатов, повышение квалификации, курсы.

2. Где сейчас живете?

г. Курск

3. Когда начали заниматься фрилансом/подрядом/удаленкой?

По моему мнению, вопрос должен был звучать: "Почему начали заниматься...?"))

Подряд позволяет: 

1. Расширять компетенции, так называемый Soft skills - (англ. «мягкие» навыки);

2. Заниматься новыми проектами, закрепляя и получая новые компетенции.

3. Дополнительный заработок.

4. Какие виды работы вы выполняете?

1.Организационные мероприятия по ЗПДн:

• оценка текущего состояния процессов обработки ПДн, организационно-распорядительной документации, а так же СЗИ на соответствие требованиям 152-ФЗ;
• разработка модели угроз безопасности ИСПДн, проектирование эффективной работающей совместно с бизнес-процессами системы ИБ;
• консультирование по вопросу возложения обязанностей по организации защиты ПДн;
• консультирование по вопросу требований законодательства в сфере защиты персональных данных и т.д.

2. Технические мероприятия по созданию системы защиты персональных данных:

• поставка технических средств защиты информации для ИСПДн;
• консультирование по средствам и системам защиты информации в соответствии с требованиями.

3. Дополнительно:

• помощь в подготовке к прохождению проверки и сопровождение при проверке контролирующих органов (Роскомнадзор);
• помощь в автоматизации процесса защиты персональных данных.

5. Кто заказывает работу (интегратор, университет, завод, портал, журнал, физические лица)?

Юридические лица: заказчиками были медицинские учреждения, рекламные агенства, фирма по производству текстиля и ряд других юридических лиц.

6. Оформляете ли вы отношения с помощью договоров? На что обращаете внимание в договоре?

Услуги оказываю в рамках требований законодательства РФ с оформлением договоров оказания услуг.

В договорных условиях стараюсь минимизировать риски как исполнителя, так и заказчика.

7. Оформляете юридическое лицо, ИП, самозанятость? Расскажите о нюансах.

ИП (С нюансами не сталкивался, оформил по стандартной процедуре).

8. Где ищете заказы?

Большинство заказчиков обращались ко мне с помощью так называемого сарафанного радио.

Остальных заказчиков нахожу с с помощью холодных звонков.

9. Важна ли публичность в вашей работе? Личный бренд повышает стоимость услуг?

Думаю, что публичность в подряде не так важна, заказчику интересен результат с удобными для него условиями. Предполагаю, что в стандартной практике личный бренд, конечно же, добавляет стоимость к оказываемым услугам.

10. Как проводятся переговоры? Устно, письменно?

Все зависит от конкретной ситуации. Проводил переговоры и по телефону, и с выездом к заказчику, осталось только по ВКС провести)))

11. Как вы определяете стоимость своих услуг? Из чего она складывается?

Просчитываю маржинальность услуги. Стоимость складывается из операционных затрат и объема предполагаемых работ. Допустимы и индивидуальные расценки, в зависимости от проекта и заказчика.

12. Требует ли ваша работа наличия лицензии, специального образования или сертификата? Нужно ли покупать что-то кроме ноутбука?

Выполняемая работа лицензии не требует, на этот случай взаимодействую с партнерами, у которых имеется необходимая лицензия. Наличие образования обязательно. Я бы сказал, что минимум для начала необходим ноутбук и принтер, а остальное зависит от возникающих задач.

13. Какими инструментами планирования вы пользуетесь? Бумажные ежедневники или электронные планеры?

Стандартный календарь в мобильном телефоне, сервис Trello, а так же надежный и всем знакомый ежедневник.

14. Как оцениваете показатели своего труда? Можно ли спрогнозировать нагрузку?

Показатель эффективности рассматриваю относительно количества выполненных проектов. Спрогнозировать нагрузку достаточно тяжело, поэтому прогнозы не делаю)

15. По каким признакам определяете «плохого» или «хорошего» заказчика? Используете интуицию?

Проверяю заказчиков с помощью возможных инструментов (бесплатные и платные сервисы), открытых источников, изучаю финансовую отчетность.

16. Расскажите интересный/смешной/пугающий случай из практики.

Если заказчик пытается вам предъявить претензии, не спешите игнорировать его и не брать трубки. Практика показывает, что все быстро решает в диалоге, т.к. возникшая претензия - это упущение или недопонимание заказчика в полученных услугах.

17. Какой совет можете дать начинающим фрилансерам?

Старайтесь не перенапрягаться. Проекты часто длятся дольше, чем запланировано, поэтому всегда резервируйте время для срочных правок, дополнительной работы и подготовки. Не забывайте про отдых. Фрилансеры особенно нуждаются в качественном отдыхе.

Страница ВК: https://vk.com/s.vorobeyev

_________
Ну и, как всегда, минутка саморекламы. В ноябре вышла моя вторая книга по защите персональных данных. Чтобы приобрести "Персональные данные: как перестать беспокоиться и начать защищать?", обратитесь в личные сообщения:

Вконтакте: https://vk.com/shudrova

Facebook: https://www.facebook.com/profile.php?id=100001253566519

telegram: @KseniaShudrova

instagram: @boyarinya_marshmelova 

Книга электронная! Стоимость - 200 р.

Самозащита. Учимся работать на себя в ИБ. Alexander Sverdlov

1. Расскажите, пожалуйста, немного о себе. Образование, стаж работы, опыт.

Я строил защиту самой современной атомной станции в мире – в Эмиратах, прежде чем создать свою собственную компанию. Три раза подряд выступал на PHDays, написал две книги по ИБ.

2. Где сейчас живете?

Живу в Болгарии с детства, поэтому связи с русской „диаспорой“ ИБ у меня не очень сильные – но много лучше знаю безопасников в США, например.

3. Когда начали заниматься фрилансом/подрядом/удаленкой?

Я работал по специальности – ИБ – на фриланс площадках до 2013 года, когда увидел, что цены там начали очень быстро падать в связи с резким увеличением желающих на этом заработать именно на фриланс площадках. С тех пор я оттуда ушел и не думаю возвращаться. Основная проблема фриланс площадок, что они забирают себе очень большой процент денег – между 10 и 20%, потом еще теряешь деньги на налогах, а также приходится считаться с конкуренцией по цене – на один и тот же проект пишут десятки, иногда сотни человек, огромное количество которых новенькие и работать готовы „за отзыв“. Теряешь огромное время на создание „профиля“ что тебя завязывает там, не позволяя строить настоящий бизнес и настоящий бренд / сервис в реальной жизни. В общем фриланс на площадках – не для меня.

В 2014 году вернулся работать – CISO в болгарском банке – а через год меня пригласили в телеком Эмиратов, где я проработал 2 года. Потом поработал в Майкрософте, где консультировал множество банков и гос учреждений на Ближнем Востоке и внешним консультантом в вышеупомянутой эмиратской атомной электростанции.

4. Какие виды работы вы выполняете?

Virtual CISO – но в отличие от обычного CISO кого берут „чтобы был“, - я работаю по четко установленной программе, с четкими KPI – клиент видит что покупает, у него есть дашборд всех выполняемых работ... в общем, CISO очень редко может постичь такого качества – и клиенты это видят, а один раз увидев – больше не хотят нанимать человека на эту позицию – сервис для них работает намного лучше.

5. Кто заказывает работу (интегратор, университет, завод, портал, журнал, физические лица)?

Кому продадите, тот и заказывает. Учитесь продавать! Ходите на курсы, слушайте аудиокниги, читайте книги и потом просто идите и делайте так, как это описывали авторы. Да, у вас нифига не будет получаться, будете думать, что написанное в книгах – фуфло. Но фуфло не в книгах, а в вашем опыте – поэтому делайте пока не начнет получаться. Иногда бывает что 10 страниц советов в одной книге будут стоить вам месяцы труда, тысячи долларов пустых трат – считайте это платой за опыт и продолжайте делать пока не начнет получаться. Физ лицо с миллиардом на счету с удовольствием потратит немало денег на свою защиту, если сумеете это продать.

6. Оформляете ли вы отношения с помощью договоров? На что обращаете внимание в договоре?

На договорах не экономьте, оплатите услуги хорошего юриста. Они знают на что обратить внимание, какие вопросы вам задать, чтобы составить грамотный договор. Если придете к заказчику с договором из Интернета, потеряете репутацию навсегда, а возможно и немало денег и времени в последствии.

7. Оформляете юридическое лицо, ИП, самозанятость? Расскажите о нюансах.

Однозначно юрлицо. Если будут проблемы, проблемы должны быть у юрлица, а не у вас и вашей семьи.

8. Где ищете заказы?

Я выстраиваю отношения с клиентами задолго до того, как начинаю им продавать свои услуги.

9. Важна ли публичность в вашей работе? Личный бренд повышает стоимость услуг?

Личный бренд исключительно важен. Критичен. Ниша тоже. Нельзя уже быть просто „специалистом по ИБ“ – это как „специалист по финансам“ – прямой путь в голодный ад. Дам пример – можно стать специалистом по защите птицеферм от хакерских атак – это уже бренд. Если вашими клиентами станут все птицефермы страны, (любой страны) – у вас все будет хорошо. Посчитайте.

10. Как проводятся переговоры? Устно, письменно?

Очень важно встретиться с человеком лично. Но иногда бывает, что клиент никогда меня не видел лично – тогда очень важно начинать знакомство с видео связи. Пусть клиент увидит красивый дом или домашний офис.

11. Как вы определяете стоимость своих услуг? Из чего она складывается?

Стоимость услуг исключительно зависит от принесенной пользы. Если можно посчитать пользу – можно посчитать цену. Никогда не определяйте свои цены по конкуренции и никогда не давайте цену ниже средней по рынке, если ваш сервис – выше среднего по качеству. На фрилансе вы конкурируете с очень большим количеством компаний и фрилансеров – поэтому очень четко вырабатывайте свою нишу. Всем хочется например работать с инвестиционными банками – но они выбирают себе подрядчиков исключительно по рекомендациям. А вы знакомы с теми, кто дает советы по выбору подрядчика инвестиционным банкам? Из всего интерьвью, я б занялся только этим вопросом и не читал ничего другого.

12. Требует ли ваша работа наличия лицензии, специального образования или сертификата? Нужно ли покупать что-то кроме ноутбука?

Все должно быть частью личного бренда. От костюма сшитого у портного, до обуви – клиент знает чем отличается шитый костюм от купленного и сразу это заметит. Клиент заметит какой у вас ноутбук, какая обувь, какие часы, прежде, чем вы успеете открыть рот и показать свои сертификаты. И если то, что он увидит ему не понравится, никакие сертификаты это не исправят. Потом необходимо рассказать о том каким компаниям вы уже помогли и в последнюю очередь можно показать сертификаты. Не только вы – все знают как легко их получить, поэтому не стоит на них сосредатачиваться.

13. Какими инструментами планирования вы пользуетесь? Бумажные ежедневники или электронные планеры?

Джира, Трелло, календарь. Это минимум. Для клиентов делаю отдельные борды в Трелло, чтобы они могли отслеживать статус всего что происходит в проекте постоянно.

14. Как оцениваете показатели своего труда? Можно ли спрогнозировать нагрузку?

Можно, если можно спрогнозировать продажи и встречи. Готовьтесь в первые два года пахать как бешеные. Чтобы потом пахать еще больше. Я не ожидал, что буду работать по 14 часов 7 дней в неделю – а на фрилансе это бывает так довольно часто, пока не дорастете до уровня нанимать продавца, маркетолога, личного ассистента. На работе вы работаете ИБшником – а на фрилансе вы еще фултайм продавец, маркетолог, сисадмин, и тд. Считайте это прежде, чем начинать, потому что „зарабатывать“ можете только в те часы, свободные от встреч, продаж, переездов между городами и тд.

15. По каким признакам определяете «плохого» или «хорошего» заказчика? Используете интуицию?

По офису, по тому как они заботятся о своих подчиненных. Если подчиненные сидят на стульях за 30 баксов и обедают шаурмой, бегите оттуда и даже не пытайтесь продать этой компании ничего. Хороший заказчик обращает внимание и тратит время на мелкие детали во всем – но сразу видно это по их офису.

16. Расскажите интересный/смешной/пугающий случай из практики.

Смешные случаи в этой профессии редко бывают. Были тяжелые моменты, когда эмоциональная интеллигентность была намного полезней технических знаний. Так что советую очень над этим поработать.   

17. Какой совет можете дать начинающим фрилансерам?

Знакомьтесь с потенциальными клиентами „с вашего двора“ – но также можно выбрать отдельный город в Европе и сделать так, чтобы вас там знали. Ходите по офисам, относите капкейки, бутылки вина, подарки, вас должны знать в лицо и по имени. Это ваша цель, если хотите преуспеть не только в фрилансе, но и в жизни. Выступайте на конференциях – и не только на ИБ – ходите, например, рассказывать на конференциях птицеферм, как надо защищать птицефермы от хакерских атак. Ну, вы поняли. Вас должны знать клиенты – а набивать себе личный бренд в ИБ сфере – люкс, когда уже поток клиентов зашкаливает. Тогда можно позволить себе пощеголять на ИБ конференции.

Большое спасибо за ответы!

Ну и, как всегда, минутка саморекламы. В ноябре вышла моя вторая книга по защите персональных данных. Чтобы приобрести "Персональные данные: как перестать беспокоиться и начать защищать?", обратитесь в личные сообщения:

Вконтакте: https://vk.com/shudrova

Facebook: https://www.facebook.com/profile.php?id=100001253566519

telegram: @KseniaShudrova

instagram: @boyarinya_marshmelova 

Книга электронная! Стоимость - 200 р.

Самозащита. Учимся работать на себя в ИБ. Елена Артамонова

Сайт Елены Артамоновой: 

http://itzashita.ru/news/delovoe-predlozhenie.html

Группа в ФБ:

https://www.facebook.com/groups/itzashitaru/

1. Расскажите, пожалуйста, немного о себе. Образование, стаж работы, опыт.

Имею 2 высших университетских образования: в сфере точных наук (радиофизика) и в сфере экономики и бизнеса, ученую степень PhD (в области информационных технологий).  Стаж работы около 30 лет (коммерческие структуры, преподавание ИБ в вузе, собственный бизнес более 10 лет).

2. Где сейчас живете?

Г. Минск, Беларусь.

3. Когда начали заниматься фрилансом/подрядом/удаленкой?

Начала заниматься лет 6-7 назад.

4. Какие виды работы вы выполняете?

- Пишу статьи и техническую документацию, разрабатываю контент для сайтов в тематиках:

информационная безопасность, блокчейн, криптовалюты, ИТ, телеком, разработка веб и мобильных приложений и др.

- Работаю с материалами на английском языке (переводы с английского и на английский, написание текстов, manuals, user guides, tutorials, Software Requirements Specification и т.д.).

- Имею большой опыт в разработке тех. документации по ГОСТ 19, 34 (Руководства пользователя и администратора, ПМИ, Техническое задание и др.).

5. Кто заказывает работу (интегратор, университет, завод, портал, журнал, физические лица)?

Как правило, заказывают работу коммерческие фирмы-интеграторы, R&D компании, стартапы – разработчики моб. и веб. приложений, корпоративные веб-сайты и порталы. Иногда физ. лица.
Журналы, в основном, просят сотрудничать на бесплатной основе (это научные и ВАК издания, предоставляю им свои научные статьи на бесплатной основе).

6. Оформляете ли вы отношения с помощью договоров? На что обращаете внимание в договоре?

Да, как правило, если работа серьезная, то оформляется «Договор подряда». Внимательно читаю условия, особенно в части NDA, форм оплаты и приемки работы.  Договора составляют юристы (со стороны заказчика).

 7. Оформляете юридическое лицо, ИП, самозанятость? Расскажите о нюансах.

Советую оформлять ИП, если есть пул надежных заказчиков, которые ЕЖЕМЕСЯЧНО будут предоставлять постоянный объем заказов с хорошей оплатой. Ибо, кроме налоговых выплат, ИП должен отчислять страховые взносы, а это очень приличные выплаты в бюджет.
Можно оформить самозанятость, лучше консультироваться с юристами и изучить налоговое законодательство своей страны. В любом случае, заказчик может заключить с вами договор-подряда.

8. Где ищете заказы?

В профильных группах в соц. сетях, Linkedin, Телеграм, на job-сайтах и др. ресурсах. Иногда, потенциальные заказчики сами находят. В общем, пытаюсь использовать все источники.

9. Важна ли публичность в вашей работе? Личный бренд повышает стоимость услуг?

Для меня не особенно важна публичность, работа тех. писателя ее не предусматривает, хотя хороший профиль в Linkedin и обширное портфолио работ -  не помешают, как и участие в профильных группах в соц. сетях, на форумах и т.д.  Какую-то раскрутку автору дают публикации в печатных научных изданиях.
Личный бренд (если так можно выразиться) помогает только, когда предыдущий заказчик рекомендует меня следующему.

10. Как проводятся переговоры? Устно, письменно?

Если заказчик работает в моем городе, то переговоры проводим устно (в офисе или по телефону).
Если в другом городе, стране – то письменно (в мессенджерах, по e-mail и т.д. или Skype call).

11. Как вы определяете стоимость своих услуг? Из чего она складывается?

Для написания статей (ИТ-копирайтинг) – это ставка за 1000 знаков с пробелами. Она у каждого специалиста своя. Я выставляю ее в зависимости от сложности тематики, сроков, требований заказчика (требования по SEO, английский язык, работа с нормативкой увеличивают стоимость работ). Если это написание тех. документации, то выставляется ставка за час работы или за страницу документа. Такое ценообразование связано со следующими факторами: тех. писатель иногда выполняет работу аналитика (разрабатывает схемы для проектов, готовит много рис., участвует в командных митингах и др. видах командной работы и коммуникаций, очень много исправляет в документации по ходу разработки продукта и т.д.), и все это время необходимо учесть, ибо это большие трудовые затраты. Может быть и фиксированная оплата за проект (по договоренности с заказчиком).

12. Требует ли ваша работа наличия лицензии, специального образования или сертификата? 

Нет, моя работа не требует лицензии и сертификатов. Но, предпочтительно иметь серьезный технический бэкграунд и образование, хорошие лингвистические навыки, а также знание английского языка (хотя бы уровень B1, B2, а лучше даже C1, С2), если собираетесь принимать участие в международных проектах или выполнять работу на английском языке.

13. Нужно ли покупать что-то кроме ноутбука?

У меня есть вся техника дома, даже МФУ. Для тех. писателя, все-таки порекомендую иметь стационарный компьютер с большим монитором хорошего качества (если планируете работать с множеством документов сразу и самостоятельно готовить рис. и схемы или редактировать веб-сайты). Ноутбук пригодится, если вы собираетесь работать в поездках.

14. Какими инструментами планирования вы пользуетесь? Бумажные ежедневники или электронные планеры?

Бумажный ежедневник, конечно же, есть. Но все-таки, для планирования работы использую в основном Trello (установлен на смартфоне). Знаю и применяю веб-технологии в работе (ранее занималась разработкой веб-сайтов на Wordpress). В удаленной командной работе использую следующий стек технологий: Slack + Confluence + Google Docs (в зависимости от требований заказчика).

15. Как оцениваете показатели своего труда? Можно ли спрогнозировать нагрузку?

К сожалению, нагрузку спрогнозировать очень трудно. Местами работаем по принципу «то густо, то пусто», иногда долго не бывает хороших заказов, а иногда заказчики приходят все сразу и толпой J Это не дает оптимизировать рабочее время, ну и финансовые показатели тоже не очень радуют.

16. По каким признакам определяете «плохого» или «хорошего» заказчика? Используете интуицию?

Практически точно определяю «качество заказчика» сразу и будут ли с ним проблемы в дальнейшем. Использую и опыт, и интуицию, и логику (в общем, все soft skills).
Исходя из своего опыта, могу сказать, что если заказчик вам предлагает объемные и сложные тестовые задания на бесплатной основе, а также многоступенчатые предварительные собеседования (каждое по часу и более, а иногда и на английском языке), то в 95% случаев, кроме потраченного времени и приобретения негативного опыта вы ничего не получите. 
А иногда, с совершенно незнакомым до этого момента заказчиком, можно в течении всего одной предварительной встречи (звонка, переписки) выйти на достаточно долгое и выгодное обоим сторонам сотрудничество.
Бывают заказчики, которые просто «добивают» исполнителя переделкой статьи или документации очень много раз, причем не по вине тех. писателя (например, команда постоянно дорабатывает продукт или редактору портала не нравится «литературный стиль» статьи). Это неприятно, но такие случаи должны компенсироваться хорошей оплатой J

17. Расскажите интересный/смешной/пугающий случай из практики.

Случаев и плохих, и хороших у меня немало. Запомнился заказчик, который заказал обширную документацию по блокчейн тематике, а …потом «передумал» и «пропал» вместе с моей оплатой. Работу я ему сдавать не стала (оплаты нет, а время потрачено), и решила, что «если жизнь подкинула тебе лимон, то сделай из него лимонад»J  В результате, техническая документация по блокчейну переросла у меня в достаточно большое исследование, которое я опубликовала на своем сайте и в целый ряд статей, опубликованных в научных и ВАК-овских изданиях, а также в профильных группах в соц. сетях. А этому заказчику стало стыдно J

18. Какой совет можете дать начинающим фрилансерам?

- хорошо подумайте, прежде чем идти на фриланс, может просто устройтесь в какую-нибудь компанию на удаленку для начала;

- молодым специалистам, я все-таки предлагаю начинать с работы в команде в какой-нибудь компании, потому как на фрилансе много минусов, хотя и плюсы есть тоже;

- старайтесь аккуратно и качественно работать с заказчиками, не демпинговать по ценам, быть осторожными с биржами фриланса и прочими посредниками;

- нужны волевые качества, такие как ответственность, самостоятельность, способность к самоорганизации своего труда и рабочего места, навыки владения тайм-менеджментом.

Большое спасибо за ответы!

Ну и, как всегда, минутка саморекламы. В ноябре вышла моя вторая книга по защите персональных данных. Чтобы приобрести "Персональные данные: как перестать беспокоиться и начать защищать?", обратитесь в личные сообщения:

Вконтакте: https://vk.com/shudrova

Facebook: https://www.facebook.com/profile.php?id=100001253566519

telegram: @KseniaShudrova

instagram: @boyarinya_marshmelova 

Книга электронная! Стоимость - 200 р.

Самозащита. Учимся работать на себя в ИБ. Константин Швецов

Добрый день, коллеги! Сегодня я хочу представить вам свой новый проект "Самозащита". Это проект о людях, которые работают на себя в сфере информационной безопасности: о тех, кто работает по договору, выполняет подряд, называет себя фрилансером, о самозанятых, индивидуальных предпринимателях и руководителях собственных предприятий. О тех кто один в поле воин. Почему мне интересно об этом рассказывать? Потому что я сама "шабашу" с 2011 года: пишу статьи, продаю книгу, веду лекции и вебинары, работала по совместительству, выполняла научную работу по гранту и другие виды работ за деньги (а еще много чего абсолютно бесплатно). Я знаю о множестве подводных камней при работе на себя, но еще большего не знаю и хочу узнать. А заодно поделиться с вами полезной информацией. Это проект совместного обучения и вдохновения. Давайте вместе осваивать самые разные способы заработка в нашей профессии!

Первым специалистом, который решил поделиться своим опытом, стал Константин Швецов. Ниже представлены мои вопросы (выделено жирным) и ответы Константина. Приятного и полезного чтения!

1. Расскажите, пожалуйста, немного о себе. Образование, стаж работы, опыт.

Константин Швецов. Фото из facebook.

Образование – Организация и технологии защиты информации, работаю по специальности уже около 14 лет. Опыт довольно разнообразный, от бумажной безопасности до пентестов и анализа кода на уязвимости. Из сферы ИБ не приходилось заниматься разве что только реверсом и аналитикой малвари.

2. Где сейчас живете?

В Казани

3. Когда начали заниматься фрилансом/подрядом/удаленкой?

В начале 2015 года. Стимулом был кризис в декабре 2014, когда я решил, что нужно иметь дополнительный источник дохода в иностранной валюте.

4. Какие виды работы вы выполняете?

Опять же самую разнообразную, чаще всего требуется анализ безопасности инфраструктуры, веб-приложений или каких-то отдельных узлов у заказчика. На втором месте – подготовка документации для сертификации или просто по требованию инвестора/партнеров.

5. Кто заказывает работу (интегратор, университет, завод, портал, журнал, физические лица)?

Очень много работы было с разнообразными стартапами, так же работал с крупными предприятиями, но как представитель подрядчика-интегратора.

6. Оформляете ли вы отношения с помощью договоров? На что обращаете внимание в договоре?

Да, чаще всего ГПХ. Обращаю внимание на санкции в случае просрочек и календарный план работ.

7. Оформляете юридическое лицо, ИП, самозанятость? Расскажите о нюансах.

Нет, пока ничего не оформлял.

8. Где ищете заказы?

Основная площадка – Upwork.com, иногда знакомые подкидывают заказы, но это скорее исключение.

9. Важна ли публичность в вашей работе? Личный бренд повышает стоимость услуг?

Я думаю, не особенно важна, при работе с зарубежными заказчиками куда важнее портфолио и наличие, как говорят, industry recognized certificates. Это же влияет и на стоимость услуг, точнее проще обосновать, почему ты просишь 50 долларов в час, а не 20 😊

10. Как проводятся переговоры? Устно, письменно?

Предварительно обычно устно, но я стараюсь закрепить результаты письменно (в чате или скайпе), что бы была история переговоров, на которую можно было бы сослаться в случае возникновения спора.

11. Как вы определяете стоимость своих услуг? Из чего она складывается?

Для некоторых «типовых» видов работ у меня уже есть выработанная такса, от неё я отталкиваюсь, когда договариваюсь о цене с заказчиком. В основном исхожу из того, сколько времени мне надо потратить на подготовку и проведение самой работы. Ну и смотрю по общению с заказчиком, насколько я готов «упасть» в цене ради работы с ним.

12. Требует ли ваша работа наличия лицензии, специального образования или сертификата? Нужно ли покупать что-то кроме ноутбука?

Для работы с зарубежными заказчиками – нет. Хотя, как я упоминал, им важны профессиональные сертификаты, но начинать можно и без них. Для работы на российском рынке, по-хорошему требуется лицензия ФСТЭК (и образование юр.лица).

13. Какими инструментами планирования вы пользуетесь? Бумажные ежедневники или электронные планеры?

Календарём iOS, синхронизированным с Google 😊

14. Как оцениваете показатели своего труда? Можно ли спрогнозировать нагрузку?

Как я уже писал, у меня есть «типовые» работы, по которым я знаю примерную нагрузку и могу с точностью до 2-3 часов сказать заказчику, когда он получит результат. То, что выходит за рамки «типовых» задач или является новым, не очень изученным направлением, я примерно прикидываю, основываясь на опыте. Стараюсь для этого дробить задачи на отдельные короткие куски и оценивать их отдельно. Так проще спланировать нагрузку.

15. По каким признакам определяете «плохого» или «хорошего» заказчика? Используете интуицию?

На первом месте, конечно, интуиция. Из выработанных для себя правил: надо быть настороже с заказчиками из восточных стран. С ними особенно тщательно проговаривать и фиксировать договорённости по работам. Не раз случались ситуации, когда требовали дополнительно что-то сделать, аргументируя это словами – а я думал, это тоже входит в твои работы (в особо «запущенных» случаях – я плачу деньги, делай, что сказано!). Тоже в большей части относится и к заказчикам из стран СНГ или эмигрировавших соотечественниках. С заказчиками из западной Европы и Америки такого ни разу не происходило за 5 лет. Хотя всегда бывают исключения и у меня в практике есть пара-тройка заказчиков из Юго-Восточной Азии о которых я вспоминаю исключительно с теплотой и улыбкой, а также 2 русских заказчиков из США.

16. Расскажите интересный/смешной/пугающий случай из практики.

Самый интересный случай был, пожалуй, когда на длительном проекте у большого заказчика представляли нового удаленного сотрудника – моего знакомого из моего же города 😊. Где же ещё встретиться двум российским безопасникам, как не в корпоративном чате калифорнийской конторы.

17. Какой совет можете дать начинающим фрилансерам?

Для начала, пока ещё формируете своё портфолио (даже если у вас 20 лет работы CISO, на интернет-площадках ваше резюме не смотрят) старайтесь ставить минимальную цену или делайте некоторые работы бесплатно за отзыв. Смотрите внимательно на историю заказчика, даже из положительных отзывов можно сделать выводы (а также смотрите, оставляет ли сам заказчик отзывы фрилансерам). Если есть сомнения, то либо соглашайтесь только на почасовую оплату с трекингом времени (на Upwork это 100% защищенный вариант), либо просто отказывайтесь, не смотря на обещания больших денег.

Большое спасибо за ответы!

Ну и, как всегда, минутка саморекламы. В ноябре вышла моя вторая книга по защите персональных данных. Чтобы приобрести "Персональные данные: как перестать беспокоиться и начать защищать?", обратитесь в личные сообщения:

Вконтакте: https://vk.com/shudrova

Facebook: https://www.facebook.com/profile.php?id=100001253566519

telegram: @KseniaShudrova

instagram: @boyarinya_marshmelova 

Книга электронная! Стоимость - 200 р.

Лица ИБ. Владимир Безмалый. Об обучении пользователей

"Эра двоечников настала. Эра, эпоха, чудовищное, могучее поколение двоечников и неучей. Нет, они и раньше были, но еще несколько лет назад они не так сильно бросались в глаза. Как-то стеснялись своей безграмотности, что ли. А сейчас они, такое ощущение, везде."

Yerzhan Yessimkhanov

1. Добрый день, Владимир! Интервью с вами я считаю одним из своих самых удачных проектов. С таким интересным собеседником нельзя ограничиться одним разговором. Сегодня я бы хотела побеседовать с вами о корпоративном обучении. 

2. Владимир, при обсуждении темы интервью вы сразу предложили обсудить корпоративное обучение. Почему вы считаете эту проблему столь актуальной?

2.1. На самом деле так считаю не только я. Основная проблема безопасности сегодня, впрочем, увы, как и всегда – это человек. Гаджетов все больше, ума, увы, все меньше и меньше. Потому, на мой взгляд, есть две проблемы:

2.1.1. Крайне низкие знания ИТ (особенно в небольших городах). Чаще всего знают куда «тыкать», но не знаю почему. ИТ постепенно превращается в ремесло

2.1.2. Широкое распространение гаджетов привело к тому что все пользователи уверены что знают все.

2.1.3. Обе категории упорно не хотят и не умеют учиться.

2.2. Вместе с тем хотелось бы отметить, что в этом, увы, виновата система образования, причем не только в России. Ученики привыкают заучивать нужные ответы, но не привыкают самостоятельно думать!

3. На вашем сайте не так давно вышла заметка, в которой говорится, что «В среднем сотрудники отправляют более 130 писем в неделю неправильным получателям». Цифра заставляет задуматься. Что можно сделать с невнимательностью пользователя при отправке писем? 

Практически ничего, увы. Единственное что можно предложить – создавать интервал, в течение которого пользователь может отозвать свое письмо и оно не будет отправлено. Понимаете, желательно думать ДО, после, увы, бессмысленно!

4. В одной англоязычной статье я читала, что иногда применяются всплывающие окошки «Вы уверены, что собираетесь отправить письмо на адрес ххх?» И далее предлагается указать пару фраз об ответственности. Насколько это эффективно на ваш взгляд?

Думаю, что подобный подход позволит несколько снизить отправку писем «не туда». Но не стоит обольщаться. Проблему, на мой взгляд, это не решит. Еще раз повторю. Тут нужна внимательность пользователя. Он должен думать. А научить думать… Ой, это сложно! Очень!

5. Другая широко известная проблема – фишинг. Специалисты находятся в постоянном поиске рекомендаций, которые бы позволили просто и понятно обучить пользователей, как отличать «хорошие» письма от «плохих». Возможно ли на ваш взгляд выработать иммунитет к фишингу? Или злоумышленники постоянно совершенствуются и при определенных условиях каждый может стать жертвой?

Хорошее слово «иммунитет». Как показывают исследования, только около 5% пользователей ни разу в жизни не попадались на мошенничество. Можно ли выработать иммунитет к фишингу? На мой взгляд мы не можем полностью заблокировать подобные атаки. Но с помощью регулярного обучения можно снизить количество успешных атак. Увы, гарантировать то, что вас или меня не взломают, на мой взгляд нельзя. Злоумышленники всегда будут на шаг впереди.

6. Вы являетесь сертифицированным тренером ЛК с 2014 года и очень многое знаете об антивирусах, что по вашему мнению пользователи должны знать об антивирусной защите? Осталось ли еще предубеждение, что с антивирусом «все тормозит» или люди в большинстве своем уже убедились, что работать за компьютером без антивируса нельзя категорически?

Ой, какой огромный вопрос. Даже два. Пользователи должны знать:

6.1. Бесплатной защиты не бывает!

6.2. Защититься ТОЛЬКО с помощью антивирусного ПО сегодня невозможно! Есть масса технологий, применяемых в том числе и антивирусами, которые в чистом виде антивирусными не являются. Например firewall, резервное копирование, мониторинг установленного ПО и т.д.

6.3. ЧИТАЙТЕ ДОКУМЕНТАЦИЮ!!!

6.4. Увы, убеждение что «тормозит антивирус» все еще встречается и довольно часто.

6.5. Работать за компьютером без антивируса категорически нельзя. Ага, скажите это миллионам пользователей Android, у которых в лучшем случае установлено какое-то непонятное бесплатное ПО. Убедите их заплатить!

6.6. И снова мы с вами возвращаемся к началу. Пользователей нужно учить!

7. Какие из своих сказок вы бы рекомендовали к изучению корпоративным пользователям в первую очередь?

Ой. На этот вопрос мне сложно ответить. Универсальных сказок, как и одинаковых пользователей не бывает. Да и, кроме того, это как у мамы спросить, а какого ребенка ты больше любишь? Они ведь все для меня как дети. Не знаю. Честно!

8. Часто мне пишут ИТ-специалисты, на которых недавно «повесили» обязанности по обучению пользователей. Владимир, как вы считаете, с чего стоит начать эту непростую работу?

Во-первых, учиться самому, уметь говорить с людьми, понять «где у них болит». Поймите, интересы вашей компании и интересы людей в ней работающих, совершенно разные. Учтите, хороший специалист и хороший преподаватель, увы, чаще всего это совершенно разные люди.

9. Эффективно ли тестирование знаний? Или имеет место «зазубривание правильных ответов»?

А вспомните, как вы сами сдавали экзамены?

Мне повезло с ВУЗом. Когда у нас, начиная с 3-го курса, уже шла специальность, нам неоднократно говорили, что на экзаменах мы можем использовать книги, справочники конспекты (причем как свои, так и чужие). Более того, можно было выйти, пойти погулять и вернуться обратно. Но одно условие. У нас на экзаменах не было теории. Все три задания – практика. И если ты не понимаешь, то книги тебе не помогут. Вот так и тесты должны проходить! Хотя принимать так куда сложнее!

10. Как вы относитесь к "учениям"? Все чаще специалисты советуют иногда рассылать собственноручно сделанные фишинговые письма, чтобы понять, кто из пользователей недостаточно хорошо усвоил правила информационной безопасности.

Считаю это полезной практикой. Правда нужно сразу сформулировать цель таких учений. Не наказать того, кто сделал плохо, а наградить того, кто делает хорошо! Причем в приказе по компании! И довести до всех. А с теми, кто все же делает плохо – провести учения еще раз.

11. Согласны ли вы с тем, что пользователей нужно готовить еще с университета, а может и со школьной скамьи? Сейчас довольно сложно представить рабочее место специалиста без компьютера.

Безусловно еще со школы. Но сразу же хочу предостеречь от всевозможных «решебников». Учить компьютеру нужно. Но на всех остальных уроках смартфонам не место! Нужно учиться думать своей головой. А не искать ответы в Google.

12. Как вы относитесь к принципу BYOD (Bring Your Own Device)? 

С одной стороны – это очень удобно. С другой – приводит к зоопарку. Если вспомнить что я все же «безопасник», то отрицательно. Например, пользователи могут использовать свои смартфоны под Android. Да. Но только под управлением последней или предпоследней версии ОС, что автоматически приводит к тому, что срок службы пользовательского устройства не может быть больше 1.5 лет. 

Ну и последнее. К чему это приведет? У вас на работе будет и Windows (всех возможных версий и редакций) и Mac и всевозможный Android. И если вы и ранее не могли обеспечить толком безопасность, то сейчас и подавно!

13. А как вам стратегия тотального контроля над пользователями? Камеры, запрет использования личных гаджетов. Имеет ли это смысл или только провоцирует на совершение нарушения?

Как по мне все зависит от осознанного понимания запретов. Меня это не напрягает. Это работа. Кто-то в таких условиях просто не сможет работать. Другое дело – если вы ввели тотальный контроль, то для всех! Не должно быть неприкасаемых! Ну и, естественно, этот контроль должен касаться только работы. Личная жизнь ваших сотрудников – это их личное дело!

14. Часто специалисты делятся друг с другом подборками плакатов про информационную безопасность. Эффективно ли их использование? Мне кажется, будет полезно заполнить коридоры и кабинеты напоминаниями об угрозах.

Мне тоже так кажется. Но учтите. Рано или поздно плакаты приедаются. Потому необходимо заранее понять, как и когда вы будете их менять!

15. Владимир, как вы считаете, уровень осознанности пользователя растет?

Сложный вопрос. Хотелось бы чтобы было так. Однако с учетом того, что каждое следующее поколение начинает с тех же ошибок…, хотелось бы верить!

16. Стоит ли привлекать для корпоративного обучения внешних специалистов или можно обойтись собственными силами?

А вот тут я считаю что задавать такой вопрос стоило бы не мне. Все же я внешний преподаватель! Вообще, на мой взгляд, преподаватель должен быть или внешним или в большой компании это должно быть вообще-то выделенное подразделение, потому как преподаватель и хороший инженер это совершенно разные профессии!

17. Кто должен обучать пользователей безопасным методам работы в корпоративной сети?

Или отдел информационной безопасности (если есть штат, время и способности) или внешние специалисты.

18. Какую литературу вы бы посоветовали для чтения неспециалистам, которые интересуются темой информационной безопасности?

Ой… Не сочтите рекламой… Мои сказки 😊 Ну и, естественно, кучу специализированных сайтов.

19. Верно ли утверждение, что основные угрозы информационной безопасности исходят изнутри? 

Думаю да. Самая страшная фраза, которую я когда-либо слышал: «Я хотел как лучше!»

20. Чего на ваш взгляд больше – злого умысла или халатности?

Конечно, халатности! Страшен даже не сам по себе дурак в роли пользователя! Страшен дурак с инициативой!

21. Должны ли строгие правила политики безопасности распространяться на ИТ/ИБ подразделения? Или проверяющие «вне игры»?

У вас сегодня очень интересные и умные вопросы, впрочем, как и всегда! Либо правила распространяются на всех сверху до низу либо зачем такие правила?

22. Какие тенденции в корпоративном обучении вы бы выделили?

Мне сложно ответить. Прежде всего я вижу нарастание интереса к «осведомлённости пользователей». В принципе понятно почему. Ведь как я уже говорил, с умными работать проще!

23. Спасибо за столь подробные ответы, Владимир! Беседовать с вами всегда интересно! Пожелайте чего-нибудь хорошего нашим читателям-специалистам.

Пожелать чего-то хорошего? Как говорил когда-то мой командир «Выпьем за нас! Потому что нас кроме нас, никто не любит!

А если серьезно – умных пользователей, умного и щедрого руководства! Ну и УЧИТЬСЯ!!!

 Другие Лица ИБ:
Константин Саматов

Светлана Конявская

Евгений Царёв

Наталья Храмцовская

Владимир Безмалый

Сергей Борисов

Мария Сидорова

Ну и, как всегда, минутка саморекламы. В ноябре вышла моя вторая книга по защите персональных данных. Чтобы приобрести "Персональные данные: как перестать беспокоиться и начать защищать?", обратитесь в личные сообщения:

Вконтакте: https://vk.com/shudrova

Facebook: https://www.facebook.com/profile.php?id=100001253566519

telegram: @KseniaShudrova

instagram: @boyarinya_marshmelova 

Книга электронная! Стоимость - 200 р.