Вывод простой:
решение — не в бесконечной смене подрядчиков,
а в выстраивании грамотного управления внутри вашей компании.
#ИТаудит
решение — не в бесконечной смене подрядчиков,
а в выстраивании грамотного управления внутри вашей компании.
#ИТаудит
👍9💯5⚡2🔥1
Интересная и показательная ситуация произошла в выходные.
Воскресное утро.
Поют птички.
Ничего не предвещает беды…
Внезапно звонок 🚨☎️📞
от директора по электронной коммерции, в панике:
Начинаю разбираться.
Оказывается, цены на сайте те же, что и были, а некорректными они стали только в тот момент, когда менеджеру понадобилось их поменять, но он сам не смог это сделать, и поэтому завёл отдельный тикет в IT-службу.
Разумеется, поменять цены понадобилось неожиданно для всех, в выходной день.
Тикет, конечно, был создан в духе:
«На сайте неправильные цены, IT не выполняет свою задачу, работать не хотят, в выходные никого не найти, компания страдает…»
А всё почему?
Потому что IT виноват!
Воскресное утро.
Поют птички.
Ничего не предвещает беды…
Внезапно звонок 🚨☎️📞
от директора по электронной коммерции, в панике:
«На сайте неправильные цены! Срочно-срочно сделайте что-нибудь! Где все айтишники? Не могу никого найти!»
Начинаю разбираться.
Оказывается, цены на сайте те же, что и были, а некорректными они стали только в тот момент, когда менеджеру понадобилось их поменять, но он сам не смог это сделать, и поэтому завёл отдельный тикет в IT-службу.
Разумеется, поменять цены понадобилось неожиданно для всех, в выходной день.
Тикет, конечно, был создан в духе:
«На сайте неправильные цены, IT не выполняет свою задачу, работать не хотят, в выходные никого не найти, компания страдает…»
А всё почему?
Потому что IT виноват!
🗿8😢3❤2🙉2🔥1💯1
Регулярно сталкиваюсь с тем,
что руководители бизнесов показывают мне разные статьи, где написано, что
Есть такое распространенное заблуждение среди людей,
не знакомых с программированием лично, будто основные затраты 💰
на создание программного кода уходят на печатанье больших объемов текста,
и что ИИ со своей скоростью печати
сильно этот процесс ускоряет.
На самом деле,
скорость создания функционала
уже лет 20–40 как оптимизирована
через другие инструменты - библиотеки кода, фреймворки, ассистенты IDE, кодогенераторы.
И в этой области ИИ, как будто, ничего не добавил принципиально нового именно
для Enterprise-продуктов (не говорю про быстрые пилоты для проверки гипотез),
хотя некоторые места реально улучшил
за счет целевых ассистентов.
Важно понимать,
что основные временные затраты в разработке ПО уходят на:
• создание структуры,
в которой будет писаться код
• создание направлений разработки
• выяснения всех требований у Заказчика
• внесения изменений по итогам развития ИТ-продукта
• изменения понимания его Заказчиком
• переделки под меняющийся мир
и т.п.
И тут ИИ пока бессилен на текущий день…
Кто готов спорить — welcome в комментарии.
#МифыОбИИ #БудущееIT #ITМенеджмент
что руководители бизнесов показывают мне разные статьи, где написано, что
какая-то очередная модель ИИ очень быстро пишет полноценный программный код, и поэтому скоро с помощью нее можно будет отказаться от половины программистов и существенно ускорить разработку ПО».
Есть такое распространенное заблуждение среди людей,
не знакомых с программированием лично, будто основные затраты 💰
на создание программного кода уходят на печатанье больших объемов текста,
и что ИИ со своей скоростью печати
сильно этот процесс ускоряет.
На самом деле,
скорость создания функционала
уже лет 20–40 как оптимизирована
через другие инструменты - библиотеки кода, фреймворки, ассистенты IDE, кодогенераторы.
И в этой области ИИ, как будто, ничего не добавил принципиально нового именно
для Enterprise-продуктов (не говорю про быстрые пилоты для проверки гипотез),
хотя некоторые места реально улучшил
за счет целевых ассистентов.
Важно понимать,
что основные временные затраты в разработке ПО уходят на:
• создание структуры,
в которой будет писаться код
• создание направлений разработки
• выяснения всех требований у Заказчика
• внесения изменений по итогам развития ИТ-продукта
• изменения понимания его Заказчиком
• переделки под меняющийся мир
и т.п.
И тут ИИ пока бессилен на текущий день…
Кто готов спорить — welcome в комментарии.
#МифыОбИИ #БудущееIT #ITМенеджмент
👍10⚡4❤2🔥2😁1🤨1
Вчера довелось поучаствовать в New Retail Forum в роли спикера
Если кратко, суть разговора свелась к двум темам на злобу дня:
1. Использование ИИ - положительные кейсы и как им правильно пользоваться, чтобы он действительно помогал, а не просто был модным и бесполезным (спойлер - считайте эффективность в деньгах, с учетом человеческих затрат на составление правильных промптов и исправление ошибок и галлюцинаций ИИ)
2. Информационная безопасность: спикеры (включая меня) выдали чек-листы минимальных шагов, которые нужно выполнить, чтобы не потерять в результате атак свои данные и бизнес (спойлер - храните бэкапы в надежном месте).
Организация как всегда на высоте, модератору @borisagatov спасибо за возможность поделиться опытом и очень правильные вопросы 🤝
Если кратко, суть разговора свелась к двум темам на злобу дня:
1. Использование ИИ - положительные кейсы и как им правильно пользоваться, чтобы он действительно помогал, а не просто был модным и бесполезным (спойлер - считайте эффективность в деньгах, с учетом человеческих затрат на составление правильных промптов и исправление ошибок и галлюцинаций ИИ)
2. Информационная безопасность: спикеры (включая меня) выдали чек-листы минимальных шагов, которые нужно выполнить, чтобы не потерять в результате атак свои данные и бизнес (спойлер - храните бэкапы в надежном месте).
Организация как всегда на высоте, модератору @borisagatov спасибо за возможность поделиться опытом и очень правильные вопросы 🤝
nrf.upgrade.st
New Retail Forum 21-22 октября 2025
Крупнейшее ритейл событие октября 2025 года, перестройка бизнеса для работы в новой экономике. Новые бизнес-модели, растущие форматы, развитие интернет-торговли. Поиск новых поставщиков и партнеров. Логистика, маркетинг, платежи. Выставка
👍16🔥4🤝2
Сисадмины vs Разработчики
Пока одни компании решают задачу, как правильно внедрить ИИ в свои процессы, мы ведем свой репортаж из недр среднего бизнеса, борющегося за стабильное функционирование своей ИТ платформы. Спойлер - таких очень много 🙈
Разберем сегодня одну из множества выявленных проблем компании, недавно прошедшей наш ИТ аудит.
Итак, есть бизнес, который не связан с ИТ, а ИТ департамент выполняет обслуживающую функцию.
У компании есть свои сервера, за работоспособностью которых зорко следит команда системных администраторов. Ребята подходят к работе ответственно, поэтому без их ведома и разрешения никаких изменений в ИТ инфраструктуре не происходит и она работает надежно.
Компания активно развивает свои электронные ИТ продукты - имеет свой сайт, который регулярно дорабатывает. За доработку сайта отвечает команда разработчиков и DevOps. Команде разработчиков нужно быстро менять сайт, внедрять новые фичи, внедрять новые инструменты, потому что от них этого в ультимативной форме требует руководство бизнеса.
Разработчики обратились к сисадминам с просьбой предоставить им максимальные права на серверах, чтобы иметь возможность самим проводить изменения, устанавливать программы, удалять данные, но получили отказ в грубой форме по своему запросу.
Не сдавшись, ребята вспомнили, что они вообще-то поддерживают философию AGILE, и организовали себе свое собственное уютное виртуальное облако в Селектеле, где своими силами как могли и развернули инфраструктуру сайта (она не сильно сложная) и продолжили работу там, но уже без участия несговорчивых сисадминов, и, правда, без интеграции с основными системами компании. Через время, когда у них случились сложности с интеграцией с бэкофисной 1С-кой, содержащей кучу нужной информации, они обратились к сисадминам с просьбой помочь им, настроить сеть, сервера, заставить 1С-ку интегрироваться, но получили отказ, мотивированный тем, что сисадмины не знают ничего об облаке Селектела, а все необходимые для работы компании системы развернуты на своих серверах и надежно бэкапируются.
В компании нет единой позиции ИТ директора. Команда сисадминов и техподов работает под руководством CIO, команда разработчиков - под началом СТО. CIO и СTO подчиняются СЕО бизнеса, который не разбирается в ИТ и не может предметно контролировать принимаемые командами решения. По этой причине эскалация результатов не дала, а компания продолжает терять деньги из-за конфликта между разработчиками и сисадминами.
А теперь интересные вопросы для обсуждения в комментариях
Как вы думаете:
❓ Почему вообще сложилась такая ситуация, в чем её первопричины?
❓ К каким проблемам может привести подобная конфигурация работы, если всё оставить в текущем виде?
❓ К кому пойдет с вопросами и деструктивной обратной связью руководитель бизнеса, когда сайт перестанет работать?
❓ Как в условиях противодействия сисадминов разработчикам вести быструю разработку, которую от них требует руководство компании?
❓ Как сисадминам обеспечить надежность и защищенность ИТ ландшафта от хакеров и вирусов, если у них на серверах проходной двор из постоянно меняющихся разработчиков с админскими правами, позволяющими уничтожить инфраструктуру просто чихнув неудачно на клавиатуру?
❓ * Кто виноват?
❓ ** Что делать?
Афанасьев PRO Цифровизацию | ScaleX | CIOaaS
#ИТАудит #Кейс #ИТПроблема
Пока одни компании решают задачу, как правильно внедрить ИИ в свои процессы, мы ведем свой репортаж из недр среднего бизнеса, борющегося за стабильное функционирование своей ИТ платформы. Спойлер - таких очень много 🙈
Разберем сегодня одну из множества выявленных проблем компании, недавно прошедшей наш ИТ аудит.
Итак, есть бизнес, который не связан с ИТ, а ИТ департамент выполняет обслуживающую функцию.
У компании есть свои сервера, за работоспособностью которых зорко следит команда системных администраторов. Ребята подходят к работе ответственно, поэтому без их ведома и разрешения никаких изменений в ИТ инфраструктуре не происходит и она работает надежно.
Компания активно развивает свои электронные ИТ продукты - имеет свой сайт, который регулярно дорабатывает. За доработку сайта отвечает команда разработчиков и DevOps. Команде разработчиков нужно быстро менять сайт, внедрять новые фичи, внедрять новые инструменты, потому что от них этого в ультимативной форме требует руководство бизнеса.
Разработчики обратились к сисадминам с просьбой предоставить им максимальные права на серверах, чтобы иметь возможность самим проводить изменения, устанавливать программы, удалять данные, но получили отказ в грубой форме по своему запросу.
Не сдавшись, ребята вспомнили, что они вообще-то поддерживают философию AGILE, и организовали себе свое собственное уютное виртуальное облако в Селектеле, где своими силами как могли и развернули инфраструктуру сайта (она не сильно сложная) и продолжили работу там, но уже без участия несговорчивых сисадминов, и, правда, без интеграции с основными системами компании. Через время, когда у них случились сложности с интеграцией с бэкофисной 1С-кой, содержащей кучу нужной информации, они обратились к сисадминам с просьбой помочь им, настроить сеть, сервера, заставить 1С-ку интегрироваться, но получили отказ, мотивированный тем, что сисадмины не знают ничего об облаке Селектела, а все необходимые для работы компании системы развернуты на своих серверах и надежно бэкапируются.
В компании нет единой позиции ИТ директора. Команда сисадминов и техподов работает под руководством CIO, команда разработчиков - под началом СТО. CIO и СTO подчиняются СЕО бизнеса, который не разбирается в ИТ и не может предметно контролировать принимаемые командами решения. По этой причине эскалация результатов не дала, а компания продолжает терять деньги из-за конфликта между разработчиками и сисадминами.
А теперь интересные вопросы для обсуждения в комментариях
Как вы думаете:
Афанасьев PRO Цифровизацию | ScaleX | CIOaaS
#ИТАудит #Кейс #ИТПроблема
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥8👍7👏3⚡1🤔1
А что если кибератака?
Есть такая штука, как DRP - Disaster Recovery Plan. По сути это формализованный план действий, которые компании нужно будет совершить для того, чтобы восстановить работоспособность своей ИТ инфраструктуры в случае ее неожиданной поломки.
🟢 Качественный DRP практически гарантирует бизнесу, что его данные находятся в целости и сохранности, и что в случае нападения хулиганов, хакеров, вирусов, пожара, наводнения, солнечного затмения и неожиданного стояния Луны в Козероге ее бизнес не остановит свою работу или работа бизнеса будет восстановлена в рамках приемлемого и заранее известного времени.
🔴 Отсутствие DRP означает, что все вышеперечисленные риски руководство бизнеса берет на себя.
Примерно в последний год из-за активизации киберхулиганов на первый план по запросам от клиентов вышли три запроса, которых раньше почти не было:
🔹 Восстановить работоспособность бизнеса после кибератаки. Это те, кто думал, что они слишком маленькие и незаметные для хакеров, и если сидеть тихо и заниматься только бизнесом, то их не тронут. Ну или их не тронут просто потому что они классные ребята и делают крутой продукт для рынка.
🔹Провести аудит информационной безопасности, выявить и устранить уязвимости, предотвратить потерю данных и остановку ИТ сервисов при любых сценариях. Это те, кто уже попался, в некоторых случаях неоднократно, и теперь хочет убедиться, что этот неприятный опыт случился у них в последний раз.
🔹Помочь реализовать DRP. Как правило это уже после неприятного знакомства с киберхулиаганами, аврального восстановления своей ИТ инфраструктуры и по итогам последующего ИТ аудита, показавшего, что прошедшая кибератака была крайней, а не последней.
Хотя, правда, по итогам громких кейсов в медиа, появились запросы и на превентивную настройку информационной безопасности и формирование DRP.
Очевидно, что у всех обратившихся никакого DRP ранее не было. Или он был только на бумаге для руководства. Или он был, но реализован был формально, ради отписки для проверяющих. Или он был, но был не доделан до конца, потому что не нашлось бюджетов, инициативы, приоритетов. А ведь есть еще ситуации. когда формально купленные и внедренные системы типа антивирусов, DLP и SIEM фактически не работают, потому что ... (и тут тысяча причин), но зато перед руководством об их внедрении отчитались. Думаете - редкость? Ан нет. И выявить это возможно только с помощью независимой профессиональной проверки.
DRP стоит денег, это факт. Как CAPEX на резервные вычислительные мощности, так и OPEX на регулярные проверки, учения, модификацию, регламенты.
Как думаете, какое соотношение финансовой экономии от отсутствия затрат на DRP к потерям от завершившейся успехом хакерской атаки? Соотношение кратное и даже иногда это порядки, в зависимости от того, насколько опытные были хакеры и насколько сильные были сисадмины и ИБ в компании. Эту информацию легко уточнить у главы любой компании, пострадавшей от действий киберхулиганов.
➡️ Обеспечить DRP существенно дешевле, чем пережить успешную кибератаку
➡️ Обеспечить DRP существенно дороже, чем ничего не делать
Это и есть ключевой выбор руководителя бизнеса. Бытует мнение, что в случае шифровальщика у компании будет шанс откупиться от хакеров несколькими биткоинами. Иногда получается. Однако события последних пары лет показывают, что этот способ восстановления стал работать реже. Причины, думаю, вы понимаете.
Важно еще отметить, что наличие отдела ИБ и инструментов ИБ не является 100% оберегом от нападения. Это всего лишь один из способов минимизировать риски, но не обнулить их.
На обсуждение:
❓ Как вы думаете, все те крупные известные компании, которые столкнулись с кибератаками и попали в прессу, обладали рабочим вариантом DRP?
❓ Как вы думаете, все те крупные компании, которые еще не попали в прессу, просто скрыли атаки, откупились биткоинами или все-таки работают в направлении системной защиты?
❓ Если вы - руководитель бизнеса, и у вас еще нет системно выстроенной защиты, как думаете, сколько времени у вас еще есть на построение DRP?
Афанасьев PRO Цифровизацию | ScaleX | CIOaaS
#ИТАудит
Есть такая штука, как DRP - Disaster Recovery Plan. По сути это формализованный план действий, которые компании нужно будет совершить для того, чтобы восстановить работоспособность своей ИТ инфраструктуры в случае ее неожиданной поломки.
Примерно в последний год из-за активизации киберхулиганов на первый план по запросам от клиентов вышли три запроса, которых раньше почти не было:
🔹 Восстановить работоспособность бизнеса после кибератаки. Это те, кто думал, что они слишком маленькие и незаметные для хакеров, и если сидеть тихо и заниматься только бизнесом, то их не тронут. Ну или их не тронут просто потому что они классные ребята и делают крутой продукт для рынка.
🔹Провести аудит информационной безопасности, выявить и устранить уязвимости, предотвратить потерю данных и остановку ИТ сервисов при любых сценариях. Это те, кто уже попался, в некоторых случаях неоднократно, и теперь хочет убедиться, что этот неприятный опыт случился у них в последний раз.
🔹Помочь реализовать DRP. Как правило это уже после неприятного знакомства с киберхулиаганами, аврального восстановления своей ИТ инфраструктуры и по итогам последующего ИТ аудита, показавшего, что прошедшая кибератака была крайней, а не последней.
Хотя, правда, по итогам громких кейсов в медиа, появились запросы и на превентивную настройку информационной безопасности и формирование DRP.
Очевидно, что у всех обратившихся никакого DRP ранее не было. Или он был только на бумаге для руководства. Или он был, но реализован был формально, ради отписки для проверяющих. Или он был, но был не доделан до конца, потому что не нашлось бюджетов, инициативы, приоритетов. А ведь есть еще ситуации. когда формально купленные и внедренные системы типа антивирусов, DLP и SIEM фактически не работают, потому что ... (и тут тысяча причин), но зато перед руководством об их внедрении отчитались. Думаете - редкость? Ан нет. И выявить это возможно только с помощью независимой профессиональной проверки.
DRP стоит денег, это факт. Как CAPEX на резервные вычислительные мощности, так и OPEX на регулярные проверки, учения, модификацию, регламенты.
Как думаете, какое соотношение финансовой экономии от отсутствия затрат на DRP к потерям от завершившейся успехом хакерской атаки? Соотношение кратное и даже иногда это порядки, в зависимости от того, насколько опытные были хакеры и насколько сильные были сисадмины и ИБ в компании. Эту информацию легко уточнить у главы любой компании, пострадавшей от действий киберхулиганов.
Это и есть ключевой выбор руководителя бизнеса. Бытует мнение, что в случае шифровальщика у компании будет шанс откупиться от хакеров несколькими биткоинами. Иногда получается. Однако события последних пары лет показывают, что этот способ восстановления стал работать реже. Причины, думаю, вы понимаете.
Важно еще отметить, что наличие отдела ИБ и инструментов ИБ не является 100% оберегом от нападения. Это всего лишь один из способов минимизировать риски, но не обнулить их.
На обсуждение:
Афанасьев PRO Цифровизацию | ScaleX | CIOaaS
#ИТАудит
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6🔥5⚡3💯2👀1