"Может тебе дать еще ключ от квартиры где деньги лежат" (с)
Был я сегодня на одном собеседовании в один громадный немецкий автомобильный концерн. Тот, который нельзя всуе упоминать, надо только молиться и падать ниц при виде эмблемы.На проект по обеспечению безопасности SAP Систем.Эти системы имеют в себе инфу по всем Financial,CRM,SRM а также всю! инфу по HCM (human capital management) т.е зарплаты,номера счетов банков, адреса, телефоны сотрудников, семейное положение и прочее.Ваш покорный слуга, сертифицированный человек по защите SAP, проходил сертификацию в США.
К моему стыду и непониманию я был выгнан с собеседования, так как возразил против попытки отдать все эти системы в Cloud.Ну вот так. То есть: "мы хотим отдать это всё в Cloud и иметь доступ только через SAP GUI". Я вот чего не понимаю, уважаемые коллеги, отдать эту инфу и сервера на сторону, иметь все базы данных и архивы на мощностях, которые тебе не принадлежат, рутовые пароли, от которых имеют непонятно кто, как и где. Ламануть эти клауды, это ж как 2 пальца об асфальт. Тем более снять dump от базы данных и сделать потом системную копию и всё увидеть.
Есессно, я попытался для начала объяснить, что такую операцию нежелательно делать для такого рода информации.Потом попытался доказать это на рисунке, потом уже на примере. После чего, присутствующие люди закрыли записные книжки , сказали, что собеседование окончено ввиду непонимания мной текущего курса партии.
Коллеги, вопрос: я старый маразматик, идиот и параноик? Ну не хочу, я чтобы мои данные были непонятно где и я не имел понимания, кто их админит. В свете конца 2019 года, это плохо да?
- RomanpTh's blog
- Login to post comments
> окончено
> окончено ввиду непонимания мной текущего курса партии.
Увы, это так. Ты смотришь на проблему, как будто это твои персональные данные хранятся в этой базе. Бизнесмен смотрит на проблему с точки зрения минимизации своих рисков - риск бизнеса не в том, что данные утекут - рядовой пипл, чьи данные утекли, даже по закону не сможет предъявить никаких претензий (по крайней мере в Европе), а уж "по понятиям" тем более. Кроме того, "Это не твой зуб. И даже не мой зуб. Это - его зуб!" (с) - эти данные не являются данными самого бизнеса. Ему на них наплевать. Они чужие. Не его.
Риск бизнеса в том, что "серьёзные пацаны", сиречь государство, могут наехать - персональные данные в данном случае всего лишь формат "заводки" - мы сказали тебе, возле этого угла не ходить? Сказали. Ты прошёл? Прошёл. Получай в рыло!
Вывод в клауд - это чисто юридический трюк в комплекте с аутсорсом. Ответственность и риски переходят к третьей стороне, это раз. Бизнес избавляется от своры технического персонала и сопутствующего геморроя, это два - один юрист стоит всяко дешевле целого ИТ отдела с его железом. К тому же, у серьёзных контор клауд обычно свой - т.е. формально это отдельное юрлицо, а по факту - всё тот же свой собственный ИТ отдел. Если что-то случается - юрлицо прихлопывается и открывается новое с теми же рожами во главе.
Мои соболезнования.
Свежий кейс в
Свежий кейс в мегарегуляторе.
Done:
1) разнести эксплуатацию, ИБ, контроль эксплуатации и ИБ АС по разным департаментам
2) вывести все компетенции по работе с АС на аутсорс
3) отыграть конкурс на обслуживание АС без маржи для аутсорсера(натурально, за такие деньги только студенты пойдут работать)
4) заодно навязать в п.3 кабальные условия по договору, как по объему работ, так и по времени реакции.
Пока не сделано/нет информации:
1) застраховать риски
последствия простоя - вплоть до репутационных на международном уровне.
Тут важно, в
Тут важно, в какой юрисдикции дело происходит.
п.п. 3,4 - это и есть собственный ИТ отдел в виде отдельного юрлица с нулевой прибылью. Типа аутсорс такой.
"Эксплуатация" и "контроль эксплуатации" - знакомый речекряк :)
п.п. 3,4 - это
п.п. 3,4 - это именно аутсорс компетенций, и прикрытие собственной дупы перед руководством, т.к. собственный ДИТ и Центр Развития не умеют в освоение нового и выходящее за рамки quickstart, за малым исключением, на протяжении десятилетий. Аккредитованных при мегарегуляторе интеграторов - пруд пруди, очередь - это не в полном смысле придворные интеграторы, как это принято во многих толстых юрлицах, в том числе и госкомпаниях.
"Ты смотришь на
"Ты смотришь на проблему, как будто это твои персональные данные хранятся в этой базе". Тут вопрос больше имиджа и спокойного сна. Грохнут базу данных или что-то всплывёт на стороне, потом будут искать виноватых. Стрелочником буду я , так как Senior SAP Security Arch. был на проекте.
Имидж - штука
Имидж - штука контекстно зависимая. В крупном бизнесе совершенно другие критерии успешности и эффективности и другие инструменты по сравнению с мелким и средним бизнесами. Это как вождение фуры и легкового автомобиля - вроде по одним и тем же дорогам ездят, но те вещи которые можно и нужно делать управляя фурой для легковушки будут фатальными, и наоборот.
А чтобы спать спокойно, смотри недавний пост Циника под эпиграфом "Чем больше бумаги, тем чище задница" :)
У меня была
У меня была похожая ситуация, там клиент искренне надеялся на нереальные вещи, которые, по его мнению, должны произойти. Я выслушал его, сказал, что, к сожалению, считаю, что его идеи нежизнеспособны и участвовать в этом я не буду, так как репутация дороже.
Тебя не за точку зрения не взяли. Тебя не взяли за проявленную нелояльность. В корпорациях ценится не здравый смысл, не квалификация, не профессионализм, а именно лояльность и умение играть по корпоративным правилам. Я видел, как IT-отделом фирмы, "перед логотипом которой..." (с) твой управлял человек, который перед этого был начальником HR этой же фирмы в другой стране.
Корпорации не нужны умные, инициативные и профессиональные. Корпорации нужны преданные. Собственно, этим исчерпывается все. А ты позволил себе публично возразить против решения, принятого менеджментом, находящимся минимум на три уровня выше чем менеджер, который тебя собеседовал. Результат очевиден.
Помнишь, мы с тобой часто говорили о том, что не надо работать с мудаками? Вот и радуйся, что ты не работаешь с мудаками и сумел не попасть в место, где ты каждый день бы чувствовал, что вокруг тебя либо тупые мудаки, либо циничные мудаки.
Я тут
Я тут поинтересовался, а как такие дела обстоят в стране моего нынешнего пребывания. Однако, в Берне есть комиссариат (!) по наблюдению и регулировке доступа к финансовой и личной информации. Тамошний комиссар говорит: 1. Финансовые и личные данные физически и логически должны быть только на территории конфедерации. Любое нарушение - расстрел на месте.2. Доступ к обработке имеют право только либо граждане либо лица, имеющие С, либо В от стран Евросоюза, но живущие на территории Швейцарии и имеющие специальные разрешения и допуски. И штрафы там такие нехилые за нарушения. Проверки производятся методом облавы. Спонтанно и без графика. Те работает фирма, и так, бац, заявляется комиссар и требует показать что и как.
Что никак не
Что никак не запрещает отдавать и продавать персональные данные третьим лицам.
Приходишь в банк счёт открыть или на работу устраиваться - первое, что просят тебя подписать, это согласие на передачу персональных данных неограниченному кругу третьих лиц.
перечитал свой
перечитал свой договор с UBS. Нет там такого
Эээээ... это в
Эээээ... это в какой банк и на какую работу? И в какой стране, если не секрет?
Да в Германии
Да в Германии было. Аккурат накануне введения GDPR.
На работе нам просто раздали приложения к трудовым договорам, сопроводив словами, что если кто не подпишет - может уже начинать искать себе другую работу.
В банке я хотел счет открыть, кажется INGDIBA был, без этого пункта отказались.
у нас тут один
у нас тут один судится с парой других.Он без их ведома дал их координаты как reference. Фсё. GDPR в действии. Теперь, я так понимаю, если кто-то спрашивает за референсы, надо согласовать с тем, кому будут писать или звонить. а не давать сразу.
так всегда
так всегда было. Я не вношу в референс-лист без разрешения человека. Другой вопрос, что оно усное, но тем не менее.