Уральский форум: почему половина презентаций были бестолковы

Уральский форум: почему половина презентаций были бестолковы
Я взял за правило в 15-тиминутный обзор Уральского форума не включать то, что говорили вендоры в своих презентациях. Отчасти потому, что там редко бывает что-то интересное, отчасти потому, что там одна реклама... В первые два раза, когда я делал обзор, я еще пытался указать спикерам на типичные ошибки при выступлении, но потом отказался от этой идеи. Все-таки каждый сам кузнец своего счастья и каждый самостоятельно определяет как он отбивает маркетинговые затраты на поездки в Магнитогорск. Для кого-то основная задача - поймать тепленького клиента вечером и договориться обо всем (в таких случаях можно и на выступление свое не ходить - такое бывало). Для кого-то выступление - это отбывание повинности и результат в этом случае неважен. Для кого-то выступление - это самолюбование. Но есть и те, кто действительно пытается с пользой потратить 15-20 минут. Для них моя заметка.

В презентациях по финансовой эффективности ИБ я не раз фокусирую внимание на очень важной мысли, без понимания которой любая оценка обречена на неудачу. Важно понимать не ЧТО вы делаете в ИБ, а для ЧЕГО вы это делаете. В случае с презентациями я могу повторить ту же самую идею. Не так важно, ЧТО вы хотите вложить в вашу презентацию; гораздо важнее, ЧЕГО вы хотите достичь, читая вашу презентацию.

Те, кто могут сделать шаг от "ЧТО" к "ДЛЯ ЧЕГО" еще только находятся на полпути к победе, так как очень часто "ДЛЯ ЧЕГО" они трансформируют в "ДЛЯ ИНФОРМИРОВАНИЯ" и дальше честно рассказывают кучу слайдов о своих продуктах или продукте, забывая все-таки ответить на вопрос "для чего информировать целевую аудиторию". Цель нормальной презентации - не информировать о чем-то, а изменить что-то. Например, изменить поведение людей и организаций (правильно выбирать пароли или проводить расследование инцидентов), изменить убеждения (перестать тупо повторять про зло от импортных продуктов) и т.п. Это задача минимум. Задача максимум - заставить целевую аудиторию сделать что-то (например, пойти и купить продукт или хотя бы протестировать его, скачать freeware-решение для анализа вредоносного кода, присоединиться к FinCERT и т.п.). Иными словами, идеально, если презентация сможет не только убедить что-то сделать, но и заставить что-то сделать. И в презентации должен быть мостик между этими двумя пунктами.

Именно поэтому рассказы о современных угрозах, тенденциях и других аналогичных темах, могут быть интересны с точки зрения получения информации, но малополезны с точки зрения конкретных действий и пользы от них для конкретной организации, направившей своего сотрудника в командировку. Если бы еще каждый докладчик рассказывал что-то новое и ранее неслышанное, то тут ему можно было бы сказать спасибо хотя бы за новую информацию (спикер запомнится только этим, но он запомнится). А если все повторяют про APT, АРМ КБР, DDoS как попугаи, то это на третьем докладе становится уже скучным и народ начинает покидать зал.

Запугивать страшилками про "кражу миллиарда из АБС", "апокалипсис в мобильных банковских приложениях", "повсеместные импланты АНБ" и т.п. - дело нехитрое и много ума не требующее. Гораздо сложнее показать, как с этими угрозами бороться. И уж совсем непросто показать конкретные шаги, которые нужно сделать для того чтобы борьба с угрозами превратилась из слов в дело. Желательно, конечно, чтобы эти шаги были выполнимыми и их можно было бы начать делать сразу после презентации. Тогда шанс, что аудитория их попробует сделать гораздо выше, чем попытка "продать слона целиком". Но опять же повторю, что все это имеет смысл, если задача спикера - получить выгоду от своей презентации. Если он демонстрирует себя - забудьте, что я написал. Если он уже все "порешал" на горе или в баре - забудьте, что я написал.

На Уральском форуме были не только представители продавцов, задача которых должны была состоять в том, чтобы заставить слушателей после конференции попробовать их продукты/услуги. Были также и представители банков, которые ничего никому не продают, а просто делятся своим опытом. Как к ним применить то, что я написал выше? Как ни странно, но ничего не меняется. Если заказчик выступает на конференции и он не мотивирован производителем скрыто рекламируемой услуги или продукта, то у выступающего могут быть следующие цели:

  • Закрепить имидж своей компании ("смотрите, какую классную штуку мы у себя внедрили") или свой собственный авторитет ("смотрите, с какой классной штукой мне удалось поработать - я готов поделиться опытом").
  • Приобрести статус эксперта в какой-либо области ("смотрите, я обладаю уникальными знаниями/опытом - обращайтесь ко мне").
  • Сформировать сеть знакомств ("смотрите, я могу тоже самое сделать и для вас").
И чтобы этих целей достичь надо не только заинтересовать слушателей (им должна быть знакома проблема, описываемая в докладе), но и заставить после доклада обратиться за деталями. Разумеется, доклады в стиле "я обладаю сокровенным знанием, но каким не скажу" не срабатывают. Тут нет даже информирования и убеждения, не говоря уже о действиях.

Наконец, третья категория выступающих - регуляторы. Они могут попадать как в первые две категорию докладчиков - продающие что-то (новые нормативные акты) и продающие себя, так и относиться к третьей - озвучивать отчет о деятельности по какому-то направлению (FinCERT, 202-я или 203-я форма отчетности, проверки и т.п.). В последнем случае регулятор тоже хочет (я надеюсь, что он хочет) добиться некоторых управленческих решений от слушателей, подпадающих под регулирование. Если, например, по отчетности число атак на ДБО растет, то надо снизить это число путем внедрения новых защитных мер. Если по результатам анализа 202-й формы оказывается, что у многих банков либо завышена, либо занижена итоговая оценка, то надо изменить что-то в самой отчетности и предостеречь банки от махинаций с цифрами. Поэтому регуляторам, отчитывающимся о своей деятельности, я бы рекомендовал следующий простой план выступления:
  1. Основные показатели деятельности (лицензии, дыры, сертификаты, проверки, уровни соответствия, хищения и т.п.). Достигнуты установленные в начале отчетного периода значения или нет? Если нет, то почему?
  2. Что произошло в работе важного за этот отчетный период? Почему это важно ("важно" для регулятора и для целевой аудитории может быть разным)?
  3. Все движется и развивается как должно или есть отклонения? Они серьезные? Если да, то почему они возникли и как в будущем вернуться на путь истинный?
  4. Есть ли какие-то сложности, которые нужно разрешить в будущем? Регулятор это сделает сам или ему нужна помощь от регулируемых?
  5. Если есть возможность рассказать о планах, то почему бы и нет - аудитория любит слушать о будущих изменениях; особенно если рассказ о них сопровождается объяснением, зачем эти изменения нужны.
Вот такие размышления о том, как выступали различные докладчики на Уральском форуме.

Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Ищем уязвимости в системе и новых подписчиков!

Первое — находим постоянно, второе — ждем вас

Эксплойтните кнопку подписки прямо сейчас