Performance review results

[Flash-04]

Ну так увольте их нафиг, в чем проблема?

[Flash-04]

Учитывая ситуацию с информационной безопасностью, пороть розгами нужно инфосеков. Подозреваю, и рифма неслучайна.

Пороть нужно программистов и qa. Первых за то что им начхать на безопасность, мешает видите ли новые фичи выпускать как не в себя. А вторых за то что тестировать не умеют и pentest не привлекают.

[Flash-04]

они все время пытаются указать на несуществующие vulnerabilities. Причем ничего реально _ни разу_ не нашли, но писанины для того, чтобы доказать что все их так называемые findings - это полный бред - много.

У меня ровно обратная ситуация - находится слишком много.

[АццкоМото]

Учитывая ситуацию с информационной безопасностью, пороть розгами нужно инфосеков. Подозреваю, и рифма неслучайна.

Пороть нужно программистов и qa. Первых за то что им начхать на безопасность, мешает видите ли новые фичи выпускать как не в себя. А вторых за то что тестировать не умеют и pentest не привлекают.

Совершенно непонятно, что умеют инфосеки. А!!! Кричать громче всех, что содомиты окрест и только они — Ильи Муромцы. Хотя по сути — бабки-вахтерши.

[Flash-04]

Ну раз непонятно, то может не стоит лезть в то, что вы не смыслите?
Я лично вырос как инфосек из программиста который писал security software. Поэтому я побывал на обеих сторонах баррикад.

[oshibka_residenta]

Ну так увольте их нафиг, в чем проблема?

Была бы моя воля, уволил бы 90%

[Flash-04]

пишите доносы

[Mark]

Ну так увольте их нафиг, в чем проблема?

Была бы моя воля, уволил бы 90%

О сколько пострадавших от инфосеков набежало
На самом деле хорошего infosec architect надо беречь и лелеять (хорошо что начальство Flash-04 это понимает и суетится с плюшками вовремя).
А насчет "бабок-вахтеров" - так и на любой работе непрофессионалы и дилентанты могут наворотить такого. Реальный и недавний пример:
- известная госструктура в NE. Наверное многие здесь (хоть раз) видели машины с их логотипом
- на требования консультантов регулярно патчить DB/FMW infosec лениво отвечал что: "конечно да но на усмотрение лидеров груп".
- в итоге все сервера DB/FMW (кроме тех где эти патчи ставились некими "очень нервными" консультантами) майнили биткоины в течении месяца. Дырка должна была пофиксится еще в октябре.
- я таких случаев из моей практики могу накидать мульйон
- disclaimer: я к information security отношения не имею просто по роду деятельности постоянно с ними работаю

[АццкоМото]

Ну раз непонятно, то может не стоит лезть в то, что вы не смыслите?

1) я твой русь язык учил
2) даже у последнего инфосека есть жмущая корона

[Flash-04]

Да, корона мне не чужда, имею моральное право

[Вишенка]

У меня не IT. В этом году 2.5% среднее повышение з/пл. У кого-то 4%, у кого-то 0% (есть и такие, и много). Бонус в среднем fully funded, т.е. если таргет 20% от годовой з/пл, то 20% и получишь, если met expectations. Ну, понятно, что кто-то 100% от таргет получит, а кто-то 50%, а кто-то 150%.

[oshibka_residenta]

Ну так увольте их нафиг, в чем проблема?

Была бы моя воля, уволил бы 90%

Уволить не получится потому что у нас security - priority one, выше чем разработка новых продуктов. Много инфосеков - задница высокого начальства прикрыта. В случае чего всегда можно сказать: мы сделали всё что могли, у нас инфосеков больше чем гомосеков. Chief Diversity Officer может подтвердить. И да, у нас есть Chief Diversity Officer.

[Flash-04]

Умора!

[8K]

Наши инфосеки мудят втихаря. Идешь на myipaddress.com - он кажет твой адрес. Идешь еще раз - упс, адрес уже другой. Третий раз - и снова поменяли.

[Flash-04]

У вас небось несколько gateways стоит как Web proxy. Инфосеки тут ни причём. В нашей конторе это совсем отдельный тим к infosec отношения не имеющий. А логи у них берём конечно.

[8K]

Да фиг его знает. Уже неделю работать невозможно. Чужие сервисы дуреют от таких чудес.

[8K]

..

[8K]

И раз в месяц твой машин-экаунт протухает. Надо продлять на специальной страничке по макадресу.

[fruit6]

..

По описанию похоже на внутреннюю диверсию на чью-то джоб секурити

[Flash-04]

Это перебор конечно.

[valchkou]

Ну так увольте их нафиг, в чем проблема?

Была бы моя воля, уволил бы 90%

Уволить не получится потому что у нас security - priority one, выше чем разработка новых продуктов. Много инфосеков - задница высокого начальства прикрыта. В случае чего всегда можно сказать: мы сделали всё что могли, у нас инфосеков больше чем гомосеков. Chief Diversity Officer может подтвердить. И да, у нас есть Chief Diversity Officer.

A название компании не из 4 букв ? Похоже мы в одной компании работаем

а первая буква не Ж?

[M. Ridcully]

Ну так увольте их нафиг, в чем проблема?

Была бы моя воля, уволил бы 90%

О сколько пострадавших от инфосеков набежало
На самом деле хорошего infosec architect надо беречь и лелеять (хорошо что начальство Flash-04 это понимает и суетится с плюшками вовремя).

Я ничего против инфосеков не имею - и иногда тоже приходится чуть-чуть с ними пересекаться по работе, периодически.
Но вот кое-что в закутках сознания гложет, а именно - фундаментально "плохая мотивация" (или как перевести skewed incentives?) в оценке их работы.
Какие у них метрики успеха? Загадка...

[Flash-04]

Вы сами его обслуживаете?

[oshibka_residenta]

Лично у меня на Инфосеков один большой зуб. Надо было зашифровать базу и положить ключ в HSM(Hardware Security Module) . Для того пришлось исписать овердофига отчетов, докладывать этим нехорошим человекам что к чему и как. Чтобы они царственно сказали : одобрям ! Заняло три месяца.

Да, компания из 4 букв. В HSM тоже кладем помаленьку. Но у нас с инфосеками мирный договор - если в новом продукте ничего особо в плане security не поменялось, то они мне верят на слово, что все хорошо. Но периодически их pentest или еще какие тулы чего-то показывает, а они нифига не понимают. Или применяют правила тупо. Например, они говорят "нельзя md5" использовать для cryptography, а у нaс где-то используется формула md5(id) mod 2. Говорят: security finding, чините. Приходится об'яснять: "вы, что, охренели?" В результате получается только 0 или 1. Что это кому дает?

[Flash-04]

Любопытно, а для чего вы такую формулу пользуете?