1807
Чат для обсуждения DevSecOps и постов канала @sec_devops Вакансии: @appsec_job Услуги: https://radcop.online/
Оно так не работает, будет как у водителей/машинистов, есть норма топлива и есть пережёг, сначала награждают пару месяцев того, у кого экономия топлива, а на третий месяц норму топлива понижают до того уровня, за который платили премию, а кто раньше выполнял норму теперь получают пережёг и штраф.
Читать полностью…
Простым и понятными тезисами ты слона не продашь, нужно много бла-бла
Читать полностью…
О результативной ИБ только PT и Лукацкий говорит, остальным некогда говорить, работать надо
Читать полностью…
У меня отец, когда работал в газмясе на компрессорной станции простым электромонтером, придумал какую-то штуку, выполнявшую работу агрегата стоимость под миллиард, за это ему целых 10 тысяч рублей премии дали, вот значиттценят своих сотрудников))
Читать полностью…
скажем, девопс увидел счет на кучу денег /channel/makebreakreflect/199 и сэкономил компании 3к в месяц. Где премия, бро?
Читать полностью…
Ну т.е. это риск, что в какой-то момент можешь начать получать сильно меньше. И классический выход в виде смены работы последние годы не так хорошо работает: может пройти много месяцев, пока не найдёшь новую работу (вкратце: сломан найм, ужасная работа HR во многих компаниях, + HR завалены кучей откликов и не в состоянии их анализировать). Я в прошлом году искал полгода. И я такой оказался не один: такие же истории слышу от коллег в этом году (да и Хабр такими статьями завален)
Читать полностью…
И это тоже - хорошее, вообще оба подхода можно и нужно сочетать. Это вопрос согласования позиций в контексте сквозного бизнес-процесса. Вчера на КОД ИБ Профи читал на эту тему доклад:
Читать полностью…
Т.е. чтобы и на жизнь хватало, и на кредиты, но без "поездок на Бали". А на Бали - ездят стахановцы, которые заслужили 🙃
Читать полностью…
Мы недавно ездили на Сахалин, изучали опыт работы шахтеров в заброшенном г. Тельновск - и здесь вполне применимы подходы, реально работающие на советских производствах в 30-е - 70-е годы, когда стахановцы-инноваторы и оптимизаторы-рационализаторы получали премии за выявленные недочеты, от экономии бюджета. По сути это то, как могут мотивироваться те же security champion в здоровой культуре...
Читать полностью…
Да, поправил, спасибо. Суть не меняется - привязывать награду к полезности. Включая субъектность и вовлекая в работу и полезный результат, переводя во взрослую позицию.
Читать полностью…
Я знаю другой пример: где приняли риски т.к. судя по статьям зловред нацелен на взаимодействие крипто кошельков с фронтом, где зловред. А если логика фронта не подразумевает взаимодействия с крипто кошельком - то и нет риска. При этом нет анализа возможности злоумышленников изменить код (непонятно из статей остался у злоумышленников доступ к какому-то проекту или нет). Ну, и остаётся риск, что у клиента заорёт антивирус на сайт компании. И это - репутационные риски (хотя для самого клиента реальной кибер угрозы может и не быть при таких раскладах)
Читать полностью…
Да. Пример из реальной жизни: найден микро сервис, который позволяет рассылать на любой телефон любой текст от имени организации (в т.ч. фишинговые ссылки). Владелец сервиса сказал, что он давно не используется. ИБ добилось удаления маршрута до сервиса (т.е. теперь из интернета его не вызвать). При этом сам сервис остался запущенным, жрёт ресурсы - в условиях, когда в компании острая нехватка ресурсов. Владелец сервиса на вопрос почему сервис не потушили сказал что-то вроде «дойдут руки - потушим». В итоге лишний сервис, жрущий ресурсы (и, возможно, доступный внутреннему злоумышленнику) - история, с которой нет полномочий бороться у ИБ. Хотя, польза от выявления всех лишних сервисов и их выключения полезна для бизнеса. Кто и за что должен премию получать в подобных вещах? Что является результатом, конвертируемым в премию? Кто и как должен добиваться выключения лишних сервисов (а не просто маршрутов до них)? И как это всё выстроить?
Читать полностью…
Совершенно верно, при чем в парадигме "ИБ как ценность для бизнеса" и вопросы премий и грейдов очень хорошо расшиваются - сэкономил деньги на фроде, получил премию как долю от экономии; внедрил что-то, что понижает TTM/снижает простои - получил систематический рост зп (в виде премиальной составляющей, но выплачивающейся, пока прибыльность сохраняется), за счет сокращения издержек и роста "свободных денег" в компании....
Читать полностью…
Плюс минус. Может что то по ходу дела еще выяснится
Читать полностью…
trivy натрави или подобное (что не по пакетам работает, а по реальным файлам)
Читать полностью…
Умным не сойдешь, а сказать хрень, за которую тебя потом поймают - легко
Читать полностью…
Для всех они разные, кому-то радость больше приносит удалёнка и зарплата, чем всех убеждать, что для передачи банковской тайны неплохо бы применить шифрование, а не подход "и так сойдёт или так исторически сложилось"
Читать полностью…
Это как сейчас во многих компаниях начинается вой "ой, у нас всё плохо, надо подождать, мы же семья", что-то когда всё было хорошо, они не хотели своей семье давать стоки, премии и прочие блага, про семью вспоминают когда у самих проблемы начинаются
Читать полностью…
надо внедрять finops для этого - это целая отдельная задача
Читать полностью…
слушай, ты видел, где это работает? При чем именно на реальных цифрах, а не фиктивных угрозах?
Читать полностью…
Тут сложности с наймом новых людей: далеко не все любят, когда з/п состоит в основном из премиальной части. А без премии - ниже рынка. Особенно те, кто ни раз попадал в ситуации, когда премии начинались выплачиваться очень субъективно (часто такое после смены руководителя).
Читать полностью…
А стахановцы и 1млн и 2млн могут получить, прозрачно, если реально пользу принесут)
Читать полностью…
ЗП платим. Тут как раз идея в том, что базовая зп все равно есть. Она просто не 500к, а 200к условно.
Читать полностью…
А вы можете померить стоимость ресурсов? Если можете, и управленческий учет способен квантифицировать лишние ВМ, процессоры, диски, вычисления и т.д. - то собственно тот, кто выявил недочет, получает премию от экономии.
Читать полностью…
Почему нет полномочий? Это повышение поверхности атаки. Сервис работает но не нужен. Ты говоришь закрывайте, они отказываются, тогда ставишь на них риск, в случае чего они виноваты и светишь руководству или вышестоящим. Чтобы они тоже принимали риск или воздействовали. Зависит от иерархии и размера компании.
Читать полностью…
Ну, тут по метрике - продолжают выплачивать премии пока не случится проблема. Именно за это и платят: чтоб не было простоя в бизнес-процессе. Т.е. безопасники заинтересованы вовремя среагировать на возможный простой. И их работа - не в пустую, а для сохранения своей премии (для бизнеса - минимизация простоя бизнес-процесса)
Читать полностью…
Это "честная доля" (fair share). Тут необязательно быть кооперативом как мы в РАД КОП, можно просто в полной мере реализовывать парадигмы Agile включая "думалку" у людей и вовлеченность в "продукт".
Читать полностью…
Половина безопасников до сих пор живёт по принципу “отработал смену - и ладно”. Пока ИБ не начнут мерить ценностью для бизнеса, а не количеством внедрённых тулов, никакой зрелости не будет
Читать полностью…
то есть процесс такой:
1) делаю это: python3 pyinstxtractor.py generate_services_unity 2) pyc -> в обычный python: https://github.com/rocky/python-uncompyle6
3) натравливаю trivy на распакованный generate_services_unity ,?верно или что-то упустил?
скорее всего по хешам пробить - какие это системные либы
Читать полностью…