Про безопасников - Компьютерные священные войны

Здравствуйте, DOOM, Вы писали:

DOO>А я для себя сделал выводов про вас поболе:

А я про безопасников

DOO>1. Тот факт, что сотрудники используют альтернативный браузер говорит, что у вас есть какие-то проблемы в процессе управления конфигурацией/релизами (не верю я, что Опера — ваш корпоративный стандарт). Либо есть проблема с фиксацией фактов нарушения корпоративной политики (т.е. слабоват внутренний аудит).

Такое впечатление, что, дай вам волю, вы всех засунете в смирительные рубашки, напрочь парализуя процесс разработки. Запретив один из инструментов, вы должны предоставить другой не менее удобный. Если не можете предоставить — решайте свои проблемы самостоятельно, не мешая остальным.

DOO>2. Тот факт, что прокси имеет проблемы с ведением логов (я, все же, подозреваю, что это не глюки — а сознательное отключение логирования для части правил на прокси) говорит о том, что конфигурация прокси определяется только, например, ИТшниками, для которых логи это, прежде всего, головная боль — сложно искать что-то нужное, необходимо выискивать место для хранения логов и т.п. Журналы интересны вам — значит вам и контролировать, что конфигурация прокси соответствует вашим требованиям. Т.е. опять проблемы на стыке управления конфигурацией/безопасностью + недостаток внутреннего аудита.

Журналы интересны вам — значит вы и должны обеспечить ресурсы для их ведения и бюджет для реализации, а не перекладывать на плечи айтишников. И если для сбора и хранения логов нужны машины на несколько миллионов и специальный человек для обработки, то это ваши проблемы, как внести их в годовой бюджет.

DOO>3. Тот факт, что в этом расследовании ваш партнер на полном серьезе рассматривался как потенциальный злоумышленник (искажающий сведения о событии ИБ) — это тоже повод задуматься. Даже не знаю, что сходу предложить, потому что для меня это крайне нетипичная ситуация.

Это потому, что партнёрство у опсосов довольно специфическое: каждый третий — или секс по телефону или спам или полукриминальные лотереи.

DOO>4. Снова видно, что вы самостоятельно занимаетесь сбором информации о событии ИБ + управляете инцидентами ИБ (начиная от приема заявки по телефону) — странно, учитывая большое количество систем разного уровня, автоматизирующих эти процессы (и очень даже неплохо, иной раз).

Опять, кому нужно — тот и делает. В противном случае следует существенно пересмотреть зарплатную политику остальных отделов — в сторону существенного увеличения, чтобы они помимо своей работы ещё и вашу выполняли

DOO>Вот так. По результатам можно даже неплохой план работ на 2011 г. для руководства подготовить — вдруг профинансируют

Вот с этого и надо было начинать

30.11.10 11:23: Ветка выделена из темы Ответ — kochetkov.vladimir

30.11.10 11:25: Перенесено модератором из 'Этюды для программистов' — kochetkov.vladimir

Здравствуйте, frogkiller, Вы писали:

F>Такое впечатление, что, дай вам волю, вы всех засунете в смирительные рубашки, напрочь парализуя процесс разработки.
Причем тут разработка? Речь шла про какого-то манагера, который тупо серфил в интернете...

F>Запретив один из инструментов, вы должны предоставить другой не менее удобный. Если не можете предоставить — решайте свои проблемы самостоятельно, не мешая остальным.
Во-первых, эталонная конфигурация — это порождение ИТшников, а не безопасников.
Во-вторых, использование той же Оперы привело к тому, что Владимир и его коллега + немного их партнер потратили время на то, чтобы понять, что вся проблема в Опере. Давайте теперь тупо посчитаем сколько стоит час их работы и к каким прямым финансовым потерям привела эта ситуация.
Еще раз повторю — эталонные конфигурации придумали ИТшники — как способ оптимизации процесса поддержки пользователя.

DOO>>2. Тот факт, что прокси имеет проблемы с ведением логов (я, все же, подозреваю, что это не глюки — а сознательное отключение логирования для части правил на прокси) говорит о том, что конфигурация прокси определяется только, например, ИТшниками, для которых логи это, прежде всего, головная боль — сложно искать что-то нужное, необходимо выискивать место для хранения логов и т.п. Журналы интересны вам — значит вам и контролировать, что конфигурация прокси соответствует вашим требованиям. Т.е. опять проблемы на стыке управления конфигурацией/безопасностью + недостаток внутреннего аудита.

F>Журналы интересны вам — значит вы и должны обеспечить ресурсы для их ведения и бюджет для реализации, а не перекладывать на плечи айтишников.
Это тупиковая позиция. На западе хорошо понимают, что IT Service Management неразрывно связан с управлением безопасностью — тебе тупо надо уметь отличить инцидент ИТ от инцидента ИБ (тут именно в этом была проблема — инцидент ИТ был принят за инцидент ИБ).
Дак вот — кесарю, кесарево. Завтра ты еще скажешь, что база бухгалтерии нужна бухгалтерам — вот пусть они ее и поддерживают. А вы тогда зачем нужны? Ваша задача предоставлять ИТ сервисы всем заинтересованным сторонам.

F>И если для сбора и хранения логов нужны машины на несколько миллионов и специальный человек для обработки, то это ваши проблемы, как внести их в годовой бюджет.
Обосновать потребность в таком сервисе — задача безопасников. Сказать, что для этого надо дцать серверов таких-то — задача ИТшников. Если каждый будет решать что надо купить, то ваш ЦОД превратится в неуправляемый зоопарк — поэтому снова повторюсь: такая позиция — тупиковая. Я видел большие организации, где вот так вот подразделения разбежались по своим углам и только и занимаются тем, что доказывают, что это не их задача, а вот этих. Эффективность никакая.

DOO>>3. Тот факт, что в этом расследовании ваш партнер на полном серьезе рассматривался как потенциальный злоумышленник (искажающий сведения о событии ИБ) — это тоже повод задуматься. Даже не знаю, что сходу предложить, потому что для меня это крайне нетипичная ситуация.
F>Это потому, что партнёрство у опсосов довольно специфическое: каждый третий — или секс по телефону или спам или полукриминальные лотереи.
Может быть

DOO>>4. Снова видно, что вы самостоятельно занимаетесь сбором информации о событии ИБ + управляете инцидентами ИБ (начиная от приема заявки по телефону) — странно, учитывая большое количество систем разного уровня, автоматизирующих эти процессы (и очень даже неплохо, иной раз).
F>Опять, кому нужно — тот и делает. В противном случае следует существенно пересмотреть зарплатную политику остальных отделов — в сторону существенного увеличения, чтобы они помимо своей работы ещё и вашу выполняли

Что-то не понял этого твоего замечания.

DOO>>Вот так. По результатам можно даже неплохой план работ на 2011 г. для руководства подготовить — вдруг профинансируют

F>Вот с этого и надо было начинать

Начинать нельзя. Если ты придешь к руководству и скажешь "дайте 10 млн, потому что" — то тебя не дослушают. Сначала надо долго доказывать почему сейчас плохо и как все может быть хорошо, а в конце сказать, что надо-то всего XXX млн. рублей — еще хорошо бы рассчитать срок окупаемости. Обычно при таком подходе руководство более сговорчиво

Здравствуйте, frogkiller, Вы писали:

F>Здравствуйте, DOOM, Вы писали:

DOO>>А я для себя сделал выводов про вас поболе:

F>А я про безопасников

Вот теперь и представь, какие выводы я делаю о программистах, регулярно читая этот форум

DOO>>1. Тот факт, что сотрудники используют альтернативный браузер говорит, что у вас есть какие-то проблемы в процессе управления конфигурацией/релизами (не верю я, что Опера — ваш корпоративный стандарт). Либо есть проблема с фиксацией фактов нарушения корпоративной политики (т.е. слабоват внутренний аудит).

F>Такое впечатление, что, дай вам волю, вы всех засунете в смирительные рубашки, напрочь парализуя процесс разработки. Запретив один из инструментов, вы должны предоставить другой не менее удобный. Если не можете предоставить — решайте свои проблемы самостоятельно, не мешая остальным.

Процесс разработки тут не причем, речь шла о рядовом (с т.з. ИТ-процессов) пользователе.

DOO>>2. Тот факт, что прокси имеет проблемы с ведением логов (я, все же, подозреваю, что это не глюки — а сознательное отключение логирования для части правил на прокси) говорит о том, что конфигурация прокси определяется только, например, ИТшниками, для которых логи это, прежде всего, головная боль — сложно искать что-то нужное, необходимо выискивать место для хранения логов и т.п. Журналы интересны вам — значит вам и контролировать, что конфигурация прокси соответствует вашим требованиям. Т.е. опять проблемы на стыке управления конфигурацией/безопасностью + недостаток внутреннего аудита.

F>Журналы интересны вам — значит вы и должны обеспечить ресурсы для их ведения и бюджет для реализации, а не перекладывать на плечи айтишников. И если для сбора и хранения логов нужны машины на несколько миллионов и специальный человек для обработки, то это ваши проблемы, как внести их в годовой бюджет.

У нас это так и реализовано. ИТшники лишь обязаны обеспечить своевременную передачу журналов на наши системы.

DOO>>3. Тот факт, что в этом расследовании ваш партнер на полном серьезе рассматривался как потенциальный злоумышленник (искажающий сведения о событии ИБ) — это тоже повод задуматься. Даже не знаю, что сходу предложить, потому что для меня это крайне нетипичная ситуация.

F>Это потому, что партнёрство у опсосов довольно специфическое: каждый третий — или секс по телефону или спам или полукриминальные лотереи.

Ты работал раньше в компании, которая является нашим партнером. Ты работаешь сейчас в компании, которая является нашим партнером. Представляешь, что ждет тебя в третьей компании?

... << RSDN@Home 1.2.0 alpha 4 rev. 1472>>

Здравствуйте, kochetkov.vladimir, Вы писали:

DOO>>>А я для себя сделал выводов про вас поболе:
F>>А я про безопасников

KV>Вот теперь и представь, какие выводы я делаю о программистах, регулярно читая этот форум

Фантазия у меня, конечно, богатая, но выводы могут быть довольно разными

DOO>>>1. Тот факт, что сотрудники используют альтернативный браузер говорит, что у вас есть какие-то проблемы в процессе управления конфигурацией/релизами (не верю я, что Опера — ваш корпоративный стандарт). Либо есть проблема с фиксацией фактов нарушения корпоративной политики (т.е. слабоват внутренний аудит).
F>>Такое впечатление, что, дай вам волю, вы всех засунете в смирительные рубашки, напрочь парализуя процесс разработки. Запретив один из инструментов, вы должны предоставить другой не менее удобный. Если не можете предоставить — решайте свои проблемы самостоятельно, не мешая остальным.
KV>Процесс разработки тут не причем, речь шла о рядовом (с т.з. ИТ-процессов) пользователе.

Это был в первую очередь камень в огород DOOM'а с его "нарушением корпоративной политики".

F>>Это потому, что партнёрство у опсосов довольно специфическое: каждый третий — или секс по телефону или спам или полукриминальные лотереи.
KV>Ты работал раньше в компании, которая является нашим партнером. Ты работаешь сейчас в компании, которая является нашим партнером. Представляешь, что ждет тебя в третьей компании?

Всё нормально. Секс по телефону уже был, так что у меня в запасе как минимум одна нормальная попытка должна быть

Здравствуйте, DOOM, Вы писали:

F>>Такое впечатление, что, дай вам волю, вы всех засунете в смирительные рубашки, напрочь парализуя процесс разработки.
DOO>Причем тут разработка? Речь шла про какого-то манагера, который тупо серфил в интернете...

Как-то ты пренебрежительно о людях отзываешься, а гордыня, между прочим, — смертный грех

F>>Запретив один из инструментов, вы должны предоставить другой не менее удобный. Если не можете предоставить — решайте свои проблемы самостоятельно, не мешая остальным.
DOO>Во-первых, эталонная конфигурация — это порождение ИТшников, а не безопасников.

Я придрался к твоей фразе про нарушение корпоративной политики, а это уже к вам, а не к айтишникам.

DOO>Во-вторых, использование той же Оперы привело к тому, что Владимир и его коллега + немного их партнер потратили время на то, чтобы понять, что вся проблема в Опере. Давайте теперь тупо посчитаем сколько стоит час их работы и к каким прямым финансовым потерям привела эта ситуация.

Такая логика применима только для компаний, которые сами ничего не производят, а лишь занимаются перераспределением денег из одних карманов в другие — банки, разные пререпродавцы и т.д.
Какие, к примеру, будут финансовые потери компании-разработчика, если все её сотрудники будут на 5% менее эффективны из-за неудобных инструментов? И не в течении пары лет, а месяцы и годы.

F>>Журналы интересны вам — значит вы и должны обеспечить ресурсы для их ведения и бюджет для реализации, а не перекладывать на плечи айтишников.
DOO>Это тупиковая позиция. На западе хорошо понимают, что IT Service Management неразрывно связан с управлением безопасностью — тебе тупо надо уметь отличить инцидент ИТ от инцидента ИБ (тут именно в этом была проблема — инцидент ИТ был принят за инцидент ИБ).
DOO>Дак вот — кесарю, кесарево. Завтра ты еще скажешь, что база бухгалтерии нужна бухгалтерам — вот пусть они ее и поддерживают. А вы тогда зачем нужны? Ваша задача предоставлять ИТ сервисы всем заинтересованным сторонам.

Это некоторое лукавство — бухгалтера (обычно) не обладают соответствующей квалификацией для администрирования базы. А безопасники обязаны быть квалифицированы в том числе и в области настройки оборудования, иначе как они смогут подтвердить его безопасность? И как иначе они смогут выставлять требования к конфигурации?

DOO>>>Вот так. По результатам можно даже неплохой план работ на 2011 г. для руководства подготовить — вдруг профинансируют

F>>Вот с этого и надо было начинать

DOO>Начинать нельзя. Если ты придешь к руководству и скажешь "дайте 10 млн, потому что" — то тебя не дослушают. Сначала надо долго доказывать почему сейчас плохо и как все может быть хорошо, а в конце сказать, что надо-то всего XXX млн. рублей — еще хорошо бы рассчитать срок окупаемости. Обычно при таком подходе руководство более сговорчиво

Имхо, это тоже лукавство. Затраты на безопасность — это непроизводственные затраты, поэтому окупаемости для них быть не может. Может быть снижения риска потерь от действий злоумышленников или несчастного случая. И больше какого-то процента от стоимости активов получить всё равно не удастся. Поэтому сговорчивость руководства будет весьма условной. Что, конечно, не означает, что калькуляция рисков и потерь не нужна, но вот не надо к безопасности относиться как главному составляющему производства.

Здравствуйте, frogkiller, Вы писали:

DOO>>Причем тут разработка? Речь шла про какого-то манагера, который тупо серфил в интернете...
F>Как-то ты пренебрежительно о людях отзываешься, а гордыня, между прочим, — смертный грех

Да ладно. Что ж извиняюсь, если кто-то решил, что я в этой фразе показал пренебрежительное отношение к какой-то группе людей...

F>>>Запретив один из инструментов, вы должны предоставить другой не менее удобный. Если не можете предоставить — решайте свои проблемы самостоятельно, не мешая остальным.
DOO>>Во-первых, эталонная конфигурация — это порождение ИТшников, а не безопасников.
F>Я придрался к твоей фразе про нарушение корпоративной политики, а это уже к вам, а не к айтишникам.
Да ну? IT Assets management — ITIL'овский процесс. И термин software usage policy (или даже software compliance policy) — тоже оттуда.
У нас на работе стандарт — Windows 7 и Office 2010 совсем не потому, что XP и 2003-й какие-то дырявые или что-то еще — просто это стандарт для максимально эффективной совместной работы + выполнение лицензионных требований (мы не имеем права на даунгрейд — ограничение халявных партнерских лицензий).

DOO>>Во-вторых, использование той же Оперы привело к тому, что Владимир и его коллега + немного их партнер потратили время на то, чтобы понять, что вся проблема в Опере. Давайте теперь тупо посчитаем сколько стоит час их работы и к каким прямым финансовым потерям привела эта ситуация.
F>Такая логика применима только для компаний, которые сами ничего не производят, а лишь занимаются перераспределением денег из одних карманов в другие — банки, разные пререпродавцы и т.д.
F>Какие, к примеру, будут финансовые потери компании-разработчика, если все её сотрудники будут на 5% менее эффективны из-за неудобных инструментов? И не в течении пары лет, а месяцы и годы.
Это сотовый оператор, а не компания-разработчик. И я не говорю, что корпоративный стандарт должен быть обязательно IE — Опера, дак Опера. Просто зоопарк в здравом уме никто держать не станет — это штат тех. поддержки надо, грубо, в 3 раза больший.

F>Это некоторое лукавство — бухгалтера (обычно) не обладают соответствующей квалификацией для администрирования базы. А безопасники обязаны быть квалифицированы в том числе и в области настройки оборудования, иначе как они смогут подтвердить его безопасность? И как иначе они смогут выставлять требования к конфигурации?
Здрасьте приехали. Безопасник может вообще ничего не понимать в вопросах настройки какой-то конкретной железки или софтины. Как и ИТ-шник, вообще говоря (если речь идет о специалисте соответствующего уровня). Каждый должен заниматься своим делом — задача ИТ подразделения — предоставление ИТ сервисов для работы бизнес-процессов. Задача безопасника — оснащение бизнес-процессов механизмами контроля и оперативный контроль — если ему для этого нужен ИТ сервис, то ИТ его предоставляет.

F>Имхо, это тоже лукавство. Затраты на безопасность — это непроизводственные затраты, поэтому окупаемости для них быть не может.
Спорим? Я тебе могу легко нарисовать окупаемость введения той же усиленной аутентификации. Или экономический эффект от внедрения кластера для критического бизнес приложения. Да даже от антивируса легко оценить экономический эффект. Ну а если система защиты гарантирует, что проверяющий не закроет юр. лицо после своей проверки — то тут руководству экономическая выгода очевидна просто-таки сразу, даже без расчетов

F>Может быть снижения риска потерь от действий злоумышленников или несчастного случая. И больше какого-то процента от стоимости активов получить всё равно не удастся. Поэтому сговорчивость руководства будет весьма условной.
Если перед руководством маячит угроза прекращения деятельности юр. лица или даже реальный срок (например, за нарушение SOX'а в США), то, поверь, — руководство готово тратить существенно больше отдельных процентов.
Опять же — все зависит от. Например, в тех же банках никто не считает, что ИТ важнее безопасности — там эти вопросы считают одинаково важными и примерно одинаково финансируют.

F>Что, конечно, не означает, что калькуляция рисков и потерь не нужна, но вот не надо к безопасности относиться как главному составляющему производства.
А что такое "главное составляющее производства"?

Здравствуйте, DOOM, Вы писали:

F>>Я придрался к твоей фразе про нарушение корпоративной политики, а это уже к вам, а не к айтишникам.
DOO>Да ну? IT Assets management — ITIL'овский процесс. И термин software usage policy (или даже software compliance policy) — тоже оттуда.

Какие-то страшные термины, звучат как ругательства. Такое впечатление, красивыми словами пытаются заменить здравый смысл.

DOO>У нас на работе стандарт — Windows 7 и Office 2010 совсем не потому, что XP и 2003-й какие-то дырявые или что-то еще — просто это стандарт для максимально эффективной совместной работы + выполнение лицензионных требований (мы не имеем права на даунгрейд — ограничение халявных партнерских лицензий).

И как это мешает поставить ту же Оперу или ФФ?

DOO>Это сотовый оператор, а не компания-разработчик.

Даже сотовый оператор иногда должен производить что-то помимо услуг связи. Тот же сайт поддерживать, например. И уж очевидно, что этот сайт должен нормально отображаться во всём зоопарке браузеров, а не только в выбранном корпоротивным стандартом. При этом никакое предварительное тестирование не может дать гарантии, что там всё всегда в порядке. Знаешь кто лучший тестировщик? Тысячи хомячков-сотрудников. Особенно в крупной компании типа сотовой связи, у которой филиалы во всех частях страны.

DOO>И я не говорю, что корпоративный стандарт должен быть обязательно IE — Опера, дак Опера. Просто зоопарк в здравом уме никто держать не станет — это штат тех. поддержки надо, грубо, в 3 раза больший.

Не вижу никакого рокет-сайнса в настройке браузера. И если для техподдержки есть разница между настройкой 3-х IE или 2-х IE и одной Оперы — это какая-то плохая техподдержка. Тем более что сейчас большинство пользователей в состоянии сами и установить и настроить большинство офисно-интернетовского софта.

F>>Это некоторое лукавство — бухгалтера (обычно) не обладают соответствующей квалификацией для администрирования базы. А безопасники обязаны быть квалифицированы в том числе и в области настройки оборудования, иначе как они смогут подтвердить его безопасность? И как иначе они смогут выставлять требования к конфигурации?
DOO>Здрасьте приехали. Безопасник может вообще ничего не понимать в вопросах настройки какой-то конкретной железки или софтины. Как и ИТ-шник, вообще говоря (если речь идет о специалисте соответствующего уровня). Каждый должен заниматься своим делом — задача ИТ подразделения — предоставление ИТ сервисов для работы бизнес-процессов. Задача безопасника — оснащение бизнес-процессов механизмами контроля и оперативный контроль — если ему для этого нужен ИТ сервис, то ИТ его предоставляет.

Это напомнило мне, как я на заре своей программерской карьеры работал в бывшем "почтовом ящике", а ныне гордом ОАО. Вот там был свой первый отдел, оставшийся с советских времён. И мужичок-безопасник с цепким взглядом, но ничего не понимающий в компах. В результате даже внутренней сети там не было, всё между компами носилось на пронумерованных дискетах. В результате на то, чтобы только прочитать документацию к очередной железке, уходил месяц. А когда, наконец, выбили подключение к сети на одном компе, там приходилось каждый день в специальной тетрадочке записывать посещённые сайты. О какой эффективности тут может идти речь? При этом видимость безопасности была обеспечена

F>>Имхо, это тоже лукавство. Затраты на безопасность — это непроизводственные затраты, поэтому окупаемости для них быть не может.
DOO>Спорим? Я тебе могу легко нарисовать окупаемость введения той же усиленной аутентификации.

Нарисуй.

DOO>Или экономический эффект от внедрения кластера для критического бизнес приложения. Да даже от антивируса легко оценить экономический эффект. Ну а если система защиты гарантирует, что проверяющий не закроет юр. лицо после своей проверки — то тут руководству экономическая выгода очевидна просто-таки сразу, даже без расчетов

Вот что-то мне кажется, ты всё время имеешь ввиду какой-нибудь банк или прочих непроизводственных нахлебников.

А в случае разработки/производства тебе также придётся учитывать потери за каждый день задержки по вине неудобных инструментов и ограничений. И может статься так, что задержка всего в 1 месяц приведёт к тому, что инстпекторам даже не нужно будет закрывать юр.лицо — оно само прогорит.

F>>Что, конечно, не означает, что калькуляция рисков и потерь не нужна, но вот не надо к безопасности относиться как главному составляющему производства.
DOO>А что такое "главное составляющее производства"?

В данном контексте "главная" — значит такая, чтобы совершать удобные для неё действия в ущерб остальным.

Здравствуйте, frogkiller, DOOM

Господа, шли бы вы в свои уютные КСВ, а то и в приват.

Здравствуйте, wildwind, Вы писали:

W>Здравствуйте, frogkiller, DOOM

W>Господа, шли бы вы в свои уютные КСВ, а то и в приват.
Да уж, явно не в Этюдах обсуждать, увлеклись

А сколько еще хотелось сказать

Здравствуйте, DOOM, Вы писали:

DOO>Здравствуйте, wildwind, Вы писали:

W>>Здравствуйте, frogkiller, DOOM

W>>Господа, шли бы вы в свои уютные КСВ, а то и в приват.
DOO>Да уж, явно не в Этюдах обсуждать, увлеклись

DOO>А сколько еще хотелось сказать

Welcome

... << RSDN@Home 1.2.0 alpha 4 rev. 1472>>

Здравствуйте, kochetkov.vladimir, Вы писали:

KV>Здравствуйте, DOOM, Вы писали:

DOO>>Здравствуйте, wildwind, Вы писали:

W>>>Здравствуйте, frogkiller, DOOM

W>>>Господа, шли бы вы в свои уютные КСВ, а то и в приват.
DOO>>Да уж, явно не в Этюдах обсуждать, увлеклись

DOO>>А сколько еще хотелось сказать

KV>Welcome

Спасибо, продолжим

Здравствуйте, frogkiller, Вы писали:

F>>>Я придрался к твоей фразе про нарушение корпоративной политики, а это уже к вам, а не к айтишникам.
DOO>>Да ну? IT Assets management — ITIL'овский процесс. И термин software usage policy (или даже software compliance policy) — тоже оттуда.
F>Какие-то страшные термины, звучат как ругательства. Такое впечатление, красивыми словами пытаются заменить здравый смысл.
Нет. Потому что есть большие числа.
Например, чтобы оптимизировать затраты на лицензионное ПО Microsoft есть смысл использовать специальные соглашения типа Enterprise Agreement — условием этого соглашения является стандартизация ПО Microsoft на всех рабочих станциях, охваченных соглашением.
Ну и вообще — нести многомиллионные штрафы только потому, что какой-то чрезмерно умный сотрудник решил, что лично его продуктивность вырастет на 5%, если он вместо корпоративного WinZip будет использовать WinRar (а реально попасть можно на пару лимонов) — это, мягко говоря, неразумно.

DOO>>У нас на работе стандарт — Windows 7 и Office 2010 совсем не потому, что XP и 2003-й какие-то дырявые или что-то еще — просто это стандарт для максимально эффективной совместной работы + выполнение лицензионных требований (мы не имеем права на даунгрейд — ограничение халявных партнерских лицензий).
F>И как это мешает поставить ту же Оперу или ФФ?
Почему ты сужаешь тему? Это мешает поставить какой-нибудь Office 2003 или Open Office — мы тоже чью-то продуктивность снижаем? Или не заморачиваясь с кучей форматов (напомню, что у 2010-го формат не совместим даже с 2007-м) и проблемами из-за конвертации (например, документ сконвертированный в 2003-й формат нередко вырастает в размере примерно в 10 раз, форматирование летит почти всегда) мы все-таки повышаем общую продуктивность?

DOO>>Это сотовый оператор, а не компания-разработчик.
F>Даже сотовый оператор иногда должен производить что-то помимо услуг связи. Тот же сайт поддерживать, например. И уж очевидно, что этот сайт должен нормально отображаться во всём зоопарке браузеров, а не только в выбранном корпоротивным стандартом. При этом никакое предварительное тестирование не может дать гарантии, что там всё всегда в порядке. Знаешь кто лучший тестировщик? Тысячи хомячков-сотрудников. Особенно в крупной компании типа сотовой связи, у которой филиалы во всех частях страны.
Это слишком дорогой способ тестирования. Тем более, что 99% корпоративных web приложений работают только под IE

F>Не вижу никакого рокет-сайнса в настройке браузера. И если для техподдержки есть разница между настройкой 3-х IE или 2-х IE и одной Оперы — это какая-то плохая техподдержка. Тем более что сейчас большинство пользователей в состоянии сами и установить и настроить большинство офисно-интернетовского софта.
Ты опять забываешь про закон больших числе. У 1000 сотрудников даже использование абсолютно одинакового софта будет порождать огромное количество абсолютно оригинальных проблем. А если этого софта еще и не 1 вариант будет, а 10 — то лучше сразу застрелиться, чем обеспечить работу ИТ в такой компании.

F>Это напомнило мне, как я на заре своей программерской карьеры работал в бывшем "почтовом ящике", а ныне гордом ОАО. Вот там был свой первый отдел, оставшийся с советских времён. И мужичок-безопасник с цепким взглядом, но ничего не понимающий в компах. В результате даже внутренней сети там не было, всё между компами носилось на пронумерованных дискетах. В результате на то, чтобы только прочитать документацию к очередной железке, уходил месяц. А когда, наконец, выбили подключение к сети на одном компе, там приходилось каждый день в специальной тетрадочке записывать посещённые сайты. О какой эффективности тут может идти речь? При этом видимость безопасности была обеспечена

Это ничего не говорит (т.е. я понимаю, что мужичок так и заставлял — именно бумажный журнал, именно на промаркированных дискетах и т.п.), но на практике он должен был лишь говорить, что ему требуется:
— аутентификация при межсетевом взаимодействии (что можно сделать, например, с помощью IPSec)
— учет всех передаваемых данных (реализуют многие системы класса DLP)
— учет ресурсов сети Интернет, куда ходят пользователи (проски).
Знать именно технологии при этом не надо.
Тоже самое, если я тебе предложу автоматизировать процесс управления проектами, то сильно ли тебе поможет какое-нибудь знание Project Server? Или оно скорее помешает?

DOO>>Спорим? Я тебе могу легко нарисовать окупаемость введения той же усиленной аутентификации.
F>Нарисуй.
Ну это не совсем честно — я недавно выступал с этой темой и набрал аналитики.
Вкратце фишка такая: по оценке Гартнер пользователь теребит службу ТП по поводу забытого пароля примерно 1.5 раза в год.
Время отработки заявки пользователя — порядка 30 минут.
Накидываем еще 30 минут на тупняк пользователя (он же сначала вспомнить пытался), берем тупо стоимость часа работы пользователя и специалиста ТП и считаем в лоб трудозатраты по их з/п (можно еще налоги приплюсовать основные). Выйдет у тебя порядка 500-700 тыс. руб на 1000 пользователей в год (кстати, калькуляторы есть в иннете можно легко найти по ключевым словам).
Что такое 500-700 тыс. руб. в год? Это, например, деньги достаточные на оснащение всех сотрудников смарт картами. Ридеры + система управления обойдется еще в какую-то сумму, но в результате это все окупится года за 3.

DOO>>Или экономический эффект от внедрения кластера для критического бизнес приложения. Да даже от антивируса легко оценить экономический эффект. Ну а если система защиты гарантирует, что проверяющий не закроет юр. лицо после своей проверки — то тут руководству экономическая выгода очевидна просто-таки сразу, даже без расчетов

F>Вот что-то мне кажется, ты всё время имеешь ввиду какой-нибудь банк или прочих непроизводственных нахлебников.
Это почему еще нахлебники-то? Просто банки у нас очень сильно на ИТ завязаны — вот и приходится их в пример приводить.

F>А в случае разработки/производства тебе также придётся учитывать потери за каждый день задержки по вине неудобных инструментов и ограничений. И может статься так, что задержка всего в 1 месяц приведёт к тому, что инстпекторам даже не нужно будет закрывать юр.лицо — оно само прогорит.
Ты смотришь только на одну сторону. Предприятие — это совместная работа людей ради общей цели. Если учитывать интересы только одной категории людей в предприятии, то оно не будет эффективным. Ты пытаешься, почему-то учесть только потребность разработчика. Но если на каждого твоего супер-эффективного разработчика надо держать штат ихз 3-х человек поддержки, то тебя уделает по себестоимости продукта любая другая фирма

DOO>>А что такое "главное составляющее производства"?

F>В данном контексте "главная" — значит такая, чтобы совершать удобные для неё действия в ущерб остальным.
В общем ты мне тут пытаешься реально про основной бизнес процесс говорить, т.е. такой процесс, который формирует внешний продукт предприятия. Но есть еще поддерживающие процессы, без которых основной тоже работать не будет. К слову — ты много заводов видел, где у каждого мастера свой индивидуальный станок? Нет, конечно — на их обслуживание понадобилась бы такая толпа народу и такой огромный запас зап. частей и столько народу, который взаимодействует с сервисными организациями, что завод тут же загнулся бы под такой массой.

Здравствуйте, frogkiller, Вы писали:

F>Какие-то страшные термины, звучат как ругательства. Такое впечатление, красивыми словами пытаются заменить здравый смысл.

Опыт одного холдинга по несистематичному и весьма схематичному внедрению ITIL.

Внедрение эталонного ПО сократило количество инцидентов, связанных с неправильной работой ПО на рабочих станциях или терминалах примерно на 70%. Время закрытия подобных инцидентов также сократилось более чем вдвое. Это вылилось в возможность сокращения работников первой линии поддержки, включая полное сокращение IT-служб в мелких филиалах. Процесс перехода еще не закончен, поэтому до второй линии поддержки до сих пор доходят инциденты, быстрейшим решением которых является приведение ПО к эталонному. Потому, что развернуть ПО из библиотеки гораздо быстрее (примерно час в нашем случае), чем копаться в мешанине непротестированного ПО.

Так что это вовсе не попытка "красивыми словами пытаются заменить здравый смысл".

Здравствуйте, frogkiller, Вы писали:

F>Вот что-то мне кажется, ты всё время имеешь ввиду какой-нибудь банк или прочих непроизводственных нахлебников.

F>А в случае разработки/производства тебе также придётся учитывать потери за каждый день задержки по вине неудобных инструментов и ограничений. И может статься так, что задержка всего в 1 месяц приведёт к тому, что инстпекторам даже не нужно будет закрывать юр.лицо — оно само прогорит.

У разработчиков, работающих в нормальной команде есть обязательство придерживаться одного стиля, правда ведь? У него также есть обязательство использовать определенную систему контроля версий, набор технологий и, возможно, определенную IDE. Это так же может привести к некоторому снижению работоспособности отдельного разработчика, который мог бы быть теоретически более продуктивным, используя свой стиль, другие библиотеки и не используя систему контроля версий.

Однако, ради общего выигрыша в производительности накладываются ограничения.

Здравствуйте, _ABC_, Вы писали:

F>>Какие-то страшные термины, звучат как ругательства. Такое впечатление, красивыми словами пытаются заменить здравый смысл.

_AB>Опыт одного холдинга по несистематичному и весьма схематичному внедрению ITIL.

_AB>Внедрение эталонного ПО сократило количество инцидентов, связанных с неправильной работой ПО на рабочих станциях или терминалах примерно на 70%. Время закрытия подобных инцидентов также сократилось более чем вдвое. Это вылилось в возможность сокращения работников первой линии поддержки, включая полное сокращение IT-служб в мелких филиалах. Процесс перехода еще не закончен, поэтому до второй линии поддержки до сих пор доходят инциденты, быстрейшим решением которых является приведение ПО к эталонному. Потому, что развернуть ПО из библиотеки гораздо быстрее (примерно час в нашем случае), чем копаться в мешанине непротестированного ПО.

А этот холдинг что-нибудь производит сам?

_AB>Так что это вовсе не попытка "красивыми словами пытаются заменить здравый смысл".

Здравствуйте, frogkiller, Вы писали:

F>А этот холдинг что-нибудь производит сам?
Да что ты так к этому цепляешься? Любой бизнес что-то производит. А уж производит он банковские продукты или "веселого фермера" — это по фигу совершенно.

Здравствуйте, frogkiller, Вы писали:

F>А этот холдинг что-нибудь производит сам?

Оказывает услуги населению, скажем так. В данном случае это не важно. Цена простоя или сниженной производительности определяется вовсе не тем, производит ли предприятие что-либо, или оказывает услуги.

Кстати, из опыта, на крупном производстве цена простоя ПК была намного ниже, чем в данном холдинге.

Здравствуйте, _ABC_, Вы писали:

_AB>У разработчиков, работающих в нормальной команде есть обязательство придерживаться одного стиля, правда ведь? У него также есть обязательство использовать определенную систему контроля версий, набор технологий и, возможно, определенную IDE. Это так же может привести к некоторому снижению работоспособности отдельного разработчика, который мог бы быть теоретически более продуктивным, используя свой стиль, другие библиотеки и не используя систему контроля версий.

_AB>Однако, ради общего выигрыша в производительности накладываются ограничения.

Данный случай с браузером более близок к твоей аналогии про IDE. Вот объясни, пожалуйста, в чём профит даже для командной разработки, если запретить, к примеру пользоваться emacs'ом или eclipse'ом?

Браузер — даже больше, чем средство разработки, в нём всё показывается так, как это видят пользователи. И вот представь, что в рассматриваемом примере с непристойной фоткой зайца вместо девушки действительно имел место взлом. Если сервис массовый, то её увидели бы тысячи, если не миллионы пользователей, и счёт идёт на секунды — чем быстрее ликвидируют последствия, тем меньше урон престижу компании. В случае сотового оператора речь может идти о суммах, значительно превышающих годовую зарплату нескольких сотрудников.

Если собственные сотрудники не пользуются теми же инструментами, что и пользователи, то вряд ли стоит ожидать, что проблему удасться обнаружить и ликвидировать до того, как она станет широко известна. И никакое предварительное тестирование не поможет, поскольку протестировать можно только известные проблемы, а обязательно найдётся парочка неизвестных (ну, или же стоимость такого тестирования будет существенно превышать все остальные расходы). Это относится не только к браузерам, но и даже к операционным системам.

Так что твой выигрыш в удобстве сопровождения зоопарка инструметов в случае разработки скорее всего обернётся проблемами при сопровождении выпускаемого продукта.

	От:	frogkiller
	Дата:	27.11.10 21:16
	Оценка:	3 (1) +2

	От:	DOOM
	Дата:	28.11.10 05:12
	Оценка:

От:	kochetkov.vladimir	https://kochetkov.github.io
Дата:	29.11.10 16:18
Оценка:

	От:	frogkiller
	Дата:	29.11.10 16:43
	Оценка:

	От:	frogkiller
	Дата:	29.11.10 17:07
	Оценка:	+1