четверг, 15 мая 2014 г.

Проблемы ИБ-ассоциаций

    Начиная с 2009 года мне довелось наблюдать за трансформацией и изменениями в ряде ИБ-ориентированных ассоциаций, а именно Украинской группы информационной безопасности (UISG), RISSPА, АРСИБ и ISACA Moscow.

    С ними происходили самые разные события - из UISG, существовавшей в форме LinkedIn-сообщества вышел ряд активных членов, зарегистрировал некоммерческую организацию "УГИБ" и взял на себя бремя организации уже существовавшей одноименной конференции, RISSPA потеряла статус отделения ISC2 и приобрела статус отделения CSA, ну а взявшая поначалу хороший темп АРСИБ реализовала наверное 3% от своих планов (видно только регулярные конкурсы "Лучший по профессии", сьезды да поддержку CTF-движения).
     Т.е. видим 2 страны, миллионов 200 населения с довольно высоким средним уровнем образования, миллиарды долларов экспорта ИТ-услуг за рубеж, и 5 лет без действительно значимых успехов ассоциаций ИБ. При этом индустрия информационной безопасности за это время серьезно изменилась - как минимум стало уделяться больше внимания вопросам безопасности АСУ ТП, противодействия мошенничеству, защиты "облаков" и электронного бизнеса (тендерных и торговых площадок, банковских и платежных процессов), безопасности приложений и оптимизации затрат на безопасность.
     Дошло до того, что ассоциаций становилось все больше, а толку от них все меньше (как метко заметил Сергей Борисов). В чем же причина? Конечно, на первый взгляд причина в извечном противоречии Заказчик - Исполнитель, когда первый хочет дешево, быстро и качественно (т.н. "потребительский экстремизм"), а второй продать что есть - семью-то кормить надо. Хорошо данное противоречие описала Мария Сидорова, а мы пока копнем глубже.
     Итак, имеем некое мероприятие. Глобально для него нужно 2 вещи - деньги на организацию и аудитория. С деньгами вроде бы все ясно - есть маркетинговые бюджеты игроков рынка, и если правильно (выбирая амбициозных игроков, которым интересны не столько продажи сколько развитие бренда и имиджа) с ними коммуницировать то деньги будут. Аудиторию классическим образом возможно разделить на 2 части - инженеры и управленцы. При этом инженерам вряд ли будут сильно интересны мероприятия общего плана, им все "покрутить" - потестировать нужно, а вот управленцы вполне себе не прочь послушать о новых подходах и концепциях.. при этом контент должен быть качественным. А что значит качественным в глазах конкретного ИБ-управленца? Контент должен быть релевантным если не напрямую к его проблемам, то хотя бы к его предприятию, его индустрии. Тренд на "заточку" презентаций под конкретные индустрии есть, но в целом "заточка" весьма декоративна. Все то же самое но в новой обертке. Может быть, стоит наконец-то проводить более глубокую аналитическую работу при подготовке и фильтрации выступлений игроков рынка? Если в них нет реальной отраслевой экспертизы или действительно современных\инновационных подходов ("облака", антифрод и т.п.) то не стоит их презентовать уставшим от рассказа о очередном фаерволле\антивирусе безопасникам?..
     Наверное, отраслевой фокус мероприятий не панацея. Наверное, нужно еще филигранно подбирать место, активно расширять аудиторию, в общем - фактически фулл тайм развивать ассоциацию. Т.е. должна быть соответствующая ставка в штате, и членские взносы, хотя бы на "поддержание штанов". Кстати, глядишь и на мероприятия ходить будут активнее, заплатив кровные-то.

Комментариев нет:

Отправить комментарий