Попался на глаза замечательный пост в паблике "Типичный Сисадмин" про то, как выглядит устранение уязвимостей со стороны IT-специалистов. Всем VM-щикам будет полезно почитать комменты. 😉 Как можно видеть, там обсуждают не то, как эффективнее выполнять задачи на устранение уязвимостей, а то, как лучше от них уклоняться.

Основные приёмы:

📄 Сваливание в бумажную волокиту. Работы не проводятся без служебных записок, завизированных "от генерального до клининга".

😱 Нагнетание страха простоя в случае неудачного обновления.

💰 Запрос бюджета. "Нужно новое железо/ПО - без денег не сделаю".

😏 Дискредитация сканера. "Это false positive, наших активов это не касается, это неэксплуатабельно". Этапы игры в "докажи-покажи".

🤤 Включение дурака. "Без детального мануала не понимаю, как делать". Фактически "как челобитную подаёшь".

Имхо, лучший способ борьбы с этим - формализация. Как VM-процесса, так и связанной аргументации. Не вовлекайтесь в лишние дискуссии, берегите психику! 😉

Разговоры с чудаками и Управление Уязвимостями. Согласен с Алексеем Лукацким, что тратить бесценное время жизни на общение с токсичными чудаками решительно не хочется. Но что делать, если это требуется в рамках рабочего процесса? Например, когда коллеги из IT или бизнеса уклоняются от устранения уязвимостей на своих активах, используя разнообразные риторические приёмы.

Имхо, главное беречь свою психику:

🔹 Стараемся не вовлекаться эмоционально. Наблюдаем за перфомансом токсичного коллеги как психиатр за пациентом. Слушаем, фиксируем, прикидываем "диагноз". На словесные выпады не ведёмся. 👨‍⚕️

🔹 Используем стандартную формальную аргументацию, отсылающую (поэтапно) к политикам организации, требованиям регуляторов и уголовному кодексу. ⚖️👮

🔹 Используем стандартную аргументацию, отсылающую к публичным инцидентам. 👾

🔹 На "докажи-покажи" не ведёмся, а вместо этого методично собираем доказательства, что работы не выполняются и поэтапно эскалируем это на руководство. ⬆️😏