Сегодня ходили на "Снежную Королеву" в театр танца Гжель и, пока шло действо, я размышлял, как можно приземлить сказку на ситуацию с VM-процессом в организации. 🙂

🔹 Кай и Герда драйвят VM в отделе инфраструктурной безопасности. Всё складывается успешно, пока CTO (Снежная Королева) не переманивает Кая курировать устранение уязвимостей со стороны IT. Кай "ловит звезду" и превращается в недоговороспособного чудака, напрочь стопорящего VM-процесс. Герда пытается разрулить ситуацию.

🔹 Совещание Герды с CISO и CIO (Принц и Принцесса) проходит отлично: накинули ресурсов и увеличили бюджет. 🤩 А вот CFO (Разбойник) не проникся - бюджет срезают. 😢 Но получается задружиться с ERP-инженером (Северный Олень).

🔹 И вот после проникновенного выступления Герды на совместном совещании Кай осознаёт неправоту и становится таким, каким и был… Лол, конечно нет. 😅 Максимум получается выработать договорённости, чтобы криво-косо перезапустить VM-процесс. 👍🙏

+- Happy End! 😏

Ходили сегодня на музыкальный спектакль "Морозко" в музыкальный театр "На Басманной". Эта версия, конечно, сильно отличается от всем знакомой киноверсии Роу. Но суть +- та же:

🔹 Неважно, как хорошо и усердно ты работаешь, нет гарантий, что тебя за это будут ценить и уважать. 😐 Нужно быть готовым, что тебя могут отправить с невыполнимым поручением "на мороз". Просто в силу обстоятельств корпоративной войны. 🤷‍♂️

🔹 И если так вышло, не советую поступать как главная героиня сказки: терпеть и держать всё в себе. В том числе утвердительно отвечать на вопрос от Higher Authorities: "Тепло ли тебе девица?" 😏🥶 Есть, конечно, шанс попасть на проницательного Морозку, который решит все проблемы. 🪄 Но куда вероятнее "замёрзнуть в сугробе", оказавшись потом виноватым во всех бедах (ко всеобщему удовольствию).

Берегите психику, качайте софт-скилы и аккуратно всё фиксируйте. Как правило, это полезнее VM-щику, чем погружение в техники эксплуатации конкретных уязвимостей. 😉

В воскресенье со своими девчонками ходил на балет "Золушка" в Театр на Цветном. Появился повод поразмышлять о том, как эта сказка перекликается с Vulnerability Management процессом. 😉

О чём она? О том, что безрадостное существование может измениться к лучшему. ✨ Так к VM-щику, который тянет весь процесс на себе, борется по мере сил с IT-шным хамством и саботажем, старается, чтобы все активы были покрыты, все уязвимости были продетектированы, учтены и устранены, однажды спустится C-level фея-крёстная. 🧙‍♀️🪄

🔹 Отвалит бюджет на нормальное VM-решение. 🎃➡️🏎

🔹 Промотивирует дорогих коллег перестать крысить и впрячься в совместную работу. 🐀➡️🐴

Жаль, что так бывает только в сказках. Да и там ненадолго. 🕛😉

В реальности VM-щику, у которого начало что-то получаться, запросто могут назначить "созвон с руководителем и HRBP". 🤷‍♂️ А у C-level феи-крёстной может быть своя agenda и следовать её советам следует с осторожностью (а то будет, как в песне Пикника 😉).

Сходили сегодня в театр на детский спектакль "Кентервильское привидение". Если помните, по новелле Оскара Уайльда или советскому мультфильму, там сюжет строится на том, что американская семья приобретает замок с привидением и успешно его курощает.

Я смотрел и размышлял, что ITшник, который под различными предлогами отказывается устранять уязвимости во вверенной ему инфраструктуре, напоминает такое привидение, которое гремит цепями, зловеще завывает и рисует на полу "несмываемые" кровавые пятна. То есть уверяет всех, что обновить системы невозможно, что это приведёт к катастрофическим последствиям и что единственный вариант - оставить всё как есть. А VMщикам убираться подальше. 😉

И бороться с этим следует методами тех американцев. Не вестись: удалять пятна пятновыводителем, смазывать цепи, давать микстуру от завываний, а на запугивания запугивать в ответ. 😈

А в конце можно и помочь демотивированному привидению, когда оно будет готово принять помощь.

Сходили сегодня на детский спектакль "Золотая антилопа", в результате я сформулировал принципы Управления Уязвимостями по методу хитрого Раджи. 🤴🙂

1. К продетектированным уязвимостям относись как к золоту, которого "не может быть слишком много". Стремись обладать наиболее качественными средствами детектирования, своей "золотой антилопой". 🦌🔍

2. Нормальное управление уязвимостями возможно только при наличии реальных рычагов давления, аналогичных мотивированному исполнительному палачу: "позволь я отрублю ему голову". ⚔️😈

3. Одного детектирования уязвимостей недостаточно. Необходимо инвестировать в приоритизацию и автоматизацию их устранения. Иначе "золото превратится в черепки", а уязвимости - в реальные инциденты, в результате чего ты потеряешь своё место. 💥👨‍💻

4. Никогда не принимай отказа в устранении уязвимостей. Всегда требуй поэтапный план устранения с зафиксированными дедлайнами. Если не готовы отдать буйвола, пусть отдают "ногу буйвола". 🐃😉