Impresszum Help Sales ÁSZF Panaszkezelés DSA

About...

Napi betevő adag elírás, elütés és helyesírási hiba egy helyen! Amúgy meg #információbiztonság #webcserkészet néha #élettudomány

bardóczi ákos @post.r

blogavatar

minőségi kontent-egyveleg

RSS

cimketenger

ITsec (38),Facebook (18),privacy (17),egyéb (12),social media (11),itsec (11),social web (10),biztonság (9),mobil (8),Google (6),OSINT (6),jog (6),szellemi tulajdon (6),tudomány (6),magánszféra (6),szájbarágó (5),email (5),webcserkészet (5),molbiol (5),felzárkóztató (5),Nobel-díj (4),big data (4),Gmail (4),kultúra (4),terrorizmus (4),online marketing (4),kriminalisztika (4),plágium (4),webkettő (4),genetika (3),molekuláris biológia (3),pszichológia (3),azelsosprint (3),Android (3),biztonságpolitika (3),nyelvtechnológia (3),magatartástudomány (3),Apple (3),sajtó (3),2015 (3),orvosi-fiziológiai (3),élettudomány (3),gépi tanulás (3),jelszó (3),üzenetküldés (3),CRISPR (3),Onedrive (3),2-FA (3),popszakma (3),konferencia (3),levelezés (3),kriptográfia (3),reklám (3),biztonságtudatosság (3),hype (3),torrent (3),open source intelligence (3),neuropszichológia (2),Whatsapp (2),deep web (2),FUD (2),kulturális evolúció (2),nyílt forrású információszerzés (2),TOR (2),hitelesítés (2),titkosítás (2),Pécs (2),bűnügy (2),tweak (2),facebook (2),SPF (2),DKIM (2),bűnüldözés (2),DDoS (2),bejutas (2),videó (2),Reblog Sprint (2),természetes nyelvfeldolgozás (2),villámokosság (2),Hacktivity (2),Yoshinori Ohsumi (2),reblog (2),cyberbullying (2),arcfelismerés (2),ransomware (2),fiziológia (2),Netacademia (2),webkamera (2),szabad információáramlás (2),P2P (2),Balabit (2),cas9 (2),beszélgetés rögzítése (2),pszeudo-poszt (2),molekuláris genetika (2),bulvár (2),gépház (2),tartalomszolgáltatás (2),jövő (2),bolyai-díj 2015 (2),könyv (2),Tinder (2),öröklődő betegség (2),HR (2),sudo (2),Yandex (2),bug (2),nyelvtudomány (2),meetup (2),Twitter (2),tanulás (2),biológia (2),netkultúra (2),malware (2),IDC (2),social engineering (2),szociálpszichológia (2),kutatás (2),hírszerzés (2),iOS (2),vírus (2),farmakológia (2),pedofília (2),epic fail (2),génterápia (2)

Néhány tabu az informatikushiányról


Rég volt már tabudöngetés, most meg ráadásul ki is kívánkozik belőlem néhány gondolat a sokat emlegetett informatikushiány kapcsán. Amit talán nem is kell előre jeleznem, hogy több helyen nem leszek diplomatikus, viszont őszinte igen.

informatikus hiány munkaerőhiány tabu élet állásinterjú HR

A magyar kockaszektorból mindent egybevetve több tízezer informatikus hiányzik, de azzal kapcsolatban sincs megbízható adat, hogy ez tízezret vagy ennek mekkora egész számú többszörösét jelenti. Amellett, hogy roppant mód unják már sokan a témát, engedtessék meg nekem egy roppant kínos kérdést: ha holnaptól kikerülne a munkaerőpiacra mondjuk húszezer valóban jól képzett informatikus, ideértve az IT-st, a fejlesztőt, a projektmenedzsert, a devops-ost, mégis honnan a halálból lehetne megfizetni? Írom: jelen bérviszonyok mellett sehonnan, az más kérdés, hogy kisebb hiány esetén a bérek hogyan változnának meg, valamint gyorsabban kibukna-e, hogy ki a kutyaütő és ki az, aki valóban ért is hozzá.

Csak benyomásom, de mintha egy területen minél nagyobb lenne a hiány, annál jobban jelentkezne az a súlyosbító tényező, hogy a valós tudással rendelkezőkkel szemben előnybe kerülnek azok, akik hatalmas mellénnyel úgy gondolják és azt mutatják, hogy mindenhez értenek, mire tényleg elhiszik róluk, mert a piac el akarja hinni valakiről, hogy ha már például kódolni nem tud fejlesztőként, legalább beszélni igen, aztán kapásból ő lesz a házi full stack developer, aki vérprofi módon tereli el a felelősséget, ha valamit nem kontár módon kellene megvalósítani.

A saját ismeretségi körömben a szakmai kompetencia és a bér valamint elismerés sok esetben semmiféle összefüggést, már úgy klasszikus értelembe vett összefüggést nem mutat. Ha a cég olyat nem talál, aki alkalmas egy feladatra, beéri inkább olyannal, aki tényleg el tudja hitetni mindenkivel, hogy az, azt viszont felejtsük el, hogy biztosan előnybe lenne az, aki követi azokat a klasszikus értékeket, mint a tudás vagy a szakmai alázat, ezek csak hosszú távon működnek.

Holott nem lenne nehéz felmérni az alkalmasságot, esetleg csak ezt követően megnézni, hogy ki mit hazudozik össze sokszor a LinkedIN-adatlapján. Ahogyan egy orvos sem nyilatkozhat azzal kapcsolatban, amikor megpályáz egy helyet egy külföldi magánklinikán, hogy mekkora VIP arcokat kezelt, informatikai területen is van olyan, amikor mindenki akkor alszik nyugodtabban, ha emberünk nem tünteti fel, hogy korábban hol és mit dolgozott, különösen, ha szabadúszóként csinált valamit. A kompetencia mégis mérhető lenne, bár ennek az általam instant kisütött módszertannak alighanem a döntő többség nem örülne. Mondani aztán lehet sokmindent, túl egyszerű is lenne az élet, ha az interjúban függően attól, hogy valaki milyen jellegű munkakört pályáz meg, már az első körben le lehetne vizsgáztatni az illetőt. Ennek persze biztosan nem örülnének, viszont számos érv hozható fel mellette.

informatikus hiány munkaerőhiány tabu élet állásinterjú HR

0x100. Eleve sokat mond, hogy hogyan viselkedik valaki olyan szituációban, amikor a tét relatív nagy és ott helyben kell valamit megoldani. Ideális esetben pedig a technikai interjút úgy lehetne összekalapálni, hogy a kérdésekre szinte biztosan tudja a választ az, aki ért hozzá és szinte biztosan ne tudja, aki pedig nem ért hozzá, ami bonyolultabb, mint amilyennek tűnik, de messze nem mondanám lehetetlennek.

0x200. IT-skillek: már ha egyáltalán annak lehet nevezni a következő néhány faék egyszerű kérdést, ami pont olyan, ami az előbbi feltételnek megfelel. Hanyas porton muzsikál az secure-IMAP4? Mi az EFS vagy éppen a Bitlocker működésének a lényege? Mi az a sticky bit? Mind-mind olyan, amire a kattintgatós hülyegyerek nem tudja a választ, olyan viszont szinte biztosan igen, aki rendszeresen utánanéz azoknak a dolgoknak, amiket használ, nem feltétlenül mainframe vagy hypervisor környezetben, hanem a saját gépén.

0x300. Fejlesztésben való jártasság. Lehet mondani ideig-óráig, hogy az elemi algoritmusok ismerete nélkül is felelősen részt vehet valaki összetett szoftverrendszerek fejlesztésében, csak én mondjuk eléggé régivágású gyerek vagyok ahhoz, hogy ez ne higgyem el. Függően attól, hogy a munkakör mennyire fejlesztésorientált, milyen egyszerű is lenne, ha a jelölt feladatként kapná, hogy egy általa választott rendezési algoritmust, egy bináris-keresőfát írjon le pszeudokódban vagy UML-modellel. Ha pedig emberünk ezer éve nem piszkált kódot és nem is nagyon lesz rá szüksége, akkor hozzá lehet vágni egy olyan feladatot, amit józan ésszel, de algoritmikus gondolkodással meg lehet oldani. Mentő kérdésként  pedig be lehet dobni egy folyamatábrát és egyszerű feladatleírással, amiről emberünknek el kell magyaráznia, hogy a folyamatábra hogyan írja le az algoritmust és hogy helyesen-e.

Na kérem szépen, ha az alapok megvannak, azt követően van értelme aktuálisan fancy metodológiákról, verziókövető rendszerekről, tervezési mintákról és hasonlókról beszélni, de valahogy ezt a sorrendet olyan mértékben sikerül elcseszni, hogy nagyobb helikopter az, aki a tököm tudja melyik módszertannak már dolgozott, meg látott már verziókövető rendszert, mint aki tud programozni.

0x400. Ha valaki nem örök vesztes, akkor azért utánalapozott olyannak is, ami az egyetemen nem kötelező tananyag. Vagy esetleg éppen az egyetem helyett tanult valami használhatót, amiről előre látható volt, hogy előbb vagy utóbb, de megkerülhetetlen része lesz annak, amit csinál. Nem kell mindent tudó atyaúristennek lenni a projektmenedzsment területén vagy éppen részletekbe menően tudni, hogy az üzleti elvárásokra milyen informatikai megoldásokat kínál a piac, ezek hogyan változtak időben, hogyan kapcsolódtak egymáshoz, az viszont elvárható kellene, hogy legyen, hogy legalább valami szemléletes képe legyen már róla játékosunknak. Ha nincs, az sokkal súlyosabb jelzés annál, hogy az adott területen éppen nem tanult semmit, azaz szimplán kimaradt neki: alighanem csak azt tanulta meg, amit lepofoztak rajta a vizsgán, az önképzéssel kapcsolatos szokások pedig nem igazán változnak. És akkor még nem is ejtettem szót azokról a fogalmatlan gyökerekről, szakirányú végzettség ide vagy oda, akik meg tényleg csak a buzzwordöket fossák és többször telepítettek Drupalt lopott skinnel pofátlan pénzekért, mint amennyiszer komolyan vehető szakkönyvet vettek a kezükbe.

0x500. Seggfejekkel dolgozni senki sem szeret. Ebben nagy meglepi nincs, teljesen érthető és indokolt, ha professzionális szempontokon túl értékelik azt is, hogy mennyire tud csapatban gondolkozni és dolgozni a játékos, na meg kommunikálni, amennyire kell. Viszont vegyük észre, hogy miközben valaki értelmesen választ ad egy kérdésre, abból azért ez leszűrhető. A kitűnő kommunikációs skillekkel meg el lehet menni egy olyan mesevilágba, ahol a kitűnő kommunikációs skillekkel írják a kódot, finomhangolják a szervereket, ütemeznek be egy projektet vagy matekozzák ki, hogy ilyen-olyan komponensek cseréje adott ráfordítás mellett az érintett szervezet produktivitását hogyan befolyásolja majd.

És akkor most feldobom a kínzó kérdést: kik vannak ezen a terepen igazságtalanul előnybe azokhoz képest, akik tényleg tudnak? Igen, nagyon sokszor a hülyébbek, hatalmas egóval.

informatikus hiány munkaerőhiány tabu élet állásinterjú HR

Egy ideális világban egy komoly játékost nem a cég választ ki, hanem a cég felvételizik nála, aztán ha megfelelt, majd lehet tárgyalni a továbbiakról. Ennek pedig van néhány igen kellemetlen sajátossága, ami a torzult piacból frappánsan levezethető. Ha valaki az egész életét végigtanulta és a fülébe jut, hogy valamiféle kutyaütő kontár mennyit keres főállásban, amint szóba kerül, hogy milyen bérre gondolt a játékos, nagyon nem szivesen fog alálicitálni annak, amennyit egy féltudású prosztó keres. Ha a jól képzett informatikus olyan összeget köhögne be az interjún, amennyit a tudása ténylegesen ér, a legelitebb helyeket nem számítva nem fizetnék meg belföldön, ebben biztos vagyok. Azaz ha valaki tud is, nincs mese, kénytelen újra beárazni magát, különben a szervezet inkább azt fogja választani, aki nyilván sokkal silányabb munkát ad ki a kezéből, de legalább olcsón vállalja.

És akkor el is érkeztünk egy remek dilemmához, nevezetesen, hogy milyen stratégia mentén mondjon intervallumot a pályázó bért illetően, ha tudja, hogy ha túl alacsonyat mond, esetleg nem fogja komolyan venni a cég, ha viszont átlépi azt a lélektani határt, amit már nem fizetnének meg neki, ugyancsak elvágja magát.

Egy kezemen meg tudom számolni, hogy életemben mennyiszer voltam állásinterjún, ezek közül egyszer olyan helyen, ahova nem hívtak, hanem én magam pályáztam meg. Az interjú végén felmerült, hogy van-e kérdésem, amire ugye az elképzelhető legrosszabb válasz, hogy nincs. Szóval ki is facsartam magamból valamit. Viszont akárhogy is töröm a fejem, egyszerűen nem tudtam volna olyat kérdezni, amire tényleg kíváncsi vagyok, de a kérdés alapján biztosan nem gondolta volna azt az interjúztató, hogy alá akarok kérdezni vagy amire kíváncsi lettem volna, bőven olyan információt, amit csak belsősnek mondanak el. Egyszerűen azért, mert alaposan utánanéztem előzetesen, hogy hova is pályázok. Ez meg ugye a másik dilemma. Feltételezzük, hogy az ember nem tömegesen jelentkezik a cégekhez - pontosabban ahogy előbb tisztáztam, a cégek felvételiznek nála akár a fejvadásza ajánl valamit, akár magától pályázik - ha pedig valaki nem totálisan gyökér, alaposan felkészül abból a cégből, ahova bemegy interjúzni. Viszont magamból kiindulva tényleg csak olyan kérdés marad, amit vagy ilyen vagy olyan okból nagyon nem praktikus a végén feltenni. De akkor mégis mit kérdezzek?

A jelenlegi környezetnek ha van valami előnye, az biztosan, hogy ilyen problémák a hülyéket nem érintik. Más pedig oldja meg, ahogy tudja, ha főállásban szeretne informatikai területen elhelyezkedni.

kép: imgflip

5 Tovább

Viselkedésalapú azonosításé a jövő?


UBA Balabit user behavior analysis authentikáció ITsec felhasználói magatartás viselkedésmintázat magatartástudomány Blindspotter IDC threat intelligenceIgazán kényes helyeken az erős jelszavak és a szigorú jelszópolitika már nem elegendő. Mi több, a többlépcsős hitelesítés is kijátszható, ahogy arról korábban már dobtam is egy posztot.  

Ha még az sem szavatolja a biztonságos beléptetést, hogy a felhasználónak a felhasználói neve és a jelszava mellett még egy egyszer használatos, például SMS-ben érkező vagy mobilalkalmazás által generált tokent is meg kell adnia, akkor mégis mi? Avagy mi az, ami szinte száz százalékosan azonosít egy-egy felhasználót? Igen, a viselkedése, amit a gép fel is ismer. Na de nem szaladnék annyira előre.

Nemrég több nagy iparági óriás is ismertette azokat a trendeket és friss kutatási eredményeket, amikből egészen dermesztő adatok derülnek ki, már ami az információvédelmet egészében illeti.

Az IDC egyik legújabb felmérése szerint a szervezetek többsége még mindig nem méri semmilyen módon azt, hogy az az összeg, amit információbiztonságra fordítanak, mennyire is hatékony. Míg nagyon sok esetben csak a hatósági feltételeknek kell megfelelniük, a harmadik legnagyobb csoportba pedig azok tartoznak, akik klasszikus kockázatbecslést végeznek, amikor kiértékelik egy-egy IT biztonsági incidens bekövetkezésének valószínűségét megszorozva az általa okozott kárral és ezt vetik össze azzal, hogy mennyit is költsenek informatikai biztonságra.

UBA Balabit user behavior analysis authentikáció ITsec felhasználói magatartás viselkedésmintázat magatartástudomány Blindspotter IDC threat intelligence

Olyan szempontból évek óta alig történt változás, hogy a leggyengébb láncszem nagyon sok esetben maga az ember, azaz az incidensek többsége megelőzhető lenne tudatosabb felhasználói viselkedés mellett. Nemrég egy konferencián az IT Services Hungary ismertetett egy, stílusosan Mikulásnapon elvégzett kísérletet, amiben egy auditor Télapónak öltözve ballagott be az ITSH egyik telephelyére nem mellékesen alaposan bekamerázva. Sehol nem állították meg, hogy igazolja a kilétét, szinte mindenki készségesen beengedte, így emberünk alaposan szét tudott nézni az irodákban, márpedig tudjuk, hogy egy hely bejárhatósága a social engineering támadások szempontjából aranybánya. Nem pusztán a helyismeret miatt, jobban belegondolva eléggé rizikós lehet, ha rejtett kamerával simán rögzíthető az, ami a monitorokon vagy esetleg nyomtatva megjelenik. Az öröm nem tartott sokáig, az alkalmazottaknak a Mikulás látogatása után levetítették a teljes felvételt, bemutatva azt, hogy az ál-Mikulás csak azt nem látott, amit nem is akart.

UBA Balabit user behavior analysis authentikáció ITsec felhasználói magatartás viselkedésmintázat magatartástudomány Blindspotter IDC threat intelligence

Márpedig a kifinomult, célzott támadások rendszerint hosszas előzetes információgyűjtéssel kezdődnek a megtámadni kívánt szervezettel kapcsolatban. A Lockheed Martin által csak Cyber Kill Chainnek nevezett ábra magyarra fordított változatát a CheckPoint idei diasorából vettem át, amiből kiderül az is, hogy egy-egy kémprogram telepítése ugyan néhány másodperc, a kémprogramok pedig nem kevés ideig, átlagosan 200 napig lappangnak egy hálózatban anélkül, hogy észlelnék őket, ráadásul ez az idő folyamatosan egyre hosszabbra nyúlik.

UBA Balabit user behavior analysis authentikáció ITsec felhasználói magatartás viselkedésmintázat magatartástudomány Blindspotter IDC threat intelligence

Nem csak azért nyúlik egyre hosszabbra, mert a malware-ek sokszor azért, hogy ne keltsenek feltűnést, nem lépnek azonnal akcióba, hanem azért is, mert az egész folyamat évről évre egyre kifinomultabbá válik. A kémprogramok elleni védekezés egyik bevett módja az, hogy minden kívülről jövő adat, így az esetlegesen rosszindulatú kód is először egy sandbox környezetben fut, azaz egy olyan virtuális gépen, amiben hiába kezdene el működni elvben, nem tenne kárt a valós rendszerben. 3-4 évvel ezelőttre teszem az első olyan kémprogramok megjelenését, amik már kellően rafináltak voltak ahhoz, hogy észleljék azt, ha nem valós, hanem virtualizált környezetben vannak, így ekkor nem tesznek semmit, hogy elkerüljék a feltűnést. Másrészt technikák egész sora jelent meg, amivel sok esetben lehetővé válik a sandbox-kitörés [sandbox evasion]  a vírusok számára.

UBA Balabit user behavior analysis authentikáció ITsec felhasználói magatartás viselkedésmintázat magatartástudomány Blindspotter IDC threat intelligence

Ahogy a poszt elején is írtam, az incidensek bekövetkezése mégis leggyakrabban emberi mulasztás vagy hiba miatt következik be, mi több, rendszerint ezek járnak a legtöbb kárral, így teljesen érthető, hogy a kutatások egy nagyon preferált területe lett éppen ezeknek az emberi hibáknak az időben történő kiszúrása.

Ahogy frappánsabban össze sem lehetett volna foglalni, a múlt a határvonal-alapú biztonság volt, amit többek közt klasszikus tűzfalakkal oldottak meg, manapság a legelterjedtebb az identitás-alapú biztonság, azaz amikor az előzőn túl egyre erősebb és erősebb azonosítási technikákkal látnak el rendszereket, a jövő pedig a viselkedés alapú biztonságé lesz.

Ami a jelent illeti, a többlépcsős azonosítás korában sokan lobbiznak a biometrikus azonosítást használó technikák elterjedése mellett, amit személy szerint én már akkor is egy igencsak fancy, ámde annál blődebb dolognak tartottam, amikor először olvastam róla komolyabban. A biometrikus azonosítással személy szerint az elvi problémát abban látom, hogy nem valami bölcs dolog olyan azonosításra támaszkodni, aminél az azonosításhoz használt információ nem változtatható meg. Többször igazolták már, hogy az okoseszközök ujjlenyomat-azonosítója arcpirító egyszerűséggel megtéveszthető, a retina mintázatát felismerő kamerák működése drága, körülményes és szintén becsapható. Sajnos a biometrikus azonosítás gyengeségei nem csak az emlegetett okoskütyük esetén jellemző, hanem drága és megbízhatónak hitt rendszerek esetén is. Ujjlenyomat? Retina? Írisz? Arc? Vénalefutás? Kéretik elhinni, hogy mindegyik sokkal biztonságosabbnak van kikiáltva, mint amennyire azok.  

A Balabit friss felmérései szerint az információbiztonsági szakértők gyakorlatilag mindegyike egyetért abban, hogy az incidensek egy jelentős része az alkalmazottak gondatlanságára vagy vezethetők vissza, esetleg ők maguk az insider támadók, valamint a gondatlansággal illetve szándékolt támadásokkal okozható kár nyilván annál nagyobb, minél több jogosultsággal rendelkezik az adott alkalmazott.

UBA Balabit user behavior analysis authentikáció ITsec felhasználói magatartás viselkedésmintázat magatartástudomány Blindspotter IDC threat intelligence

Innen eléggé értelemszerű, hogy akiknek a legnagyobb gondossággal kell vigyázni a munkáját illetve a legjobban védeni a hozzáféréseiket a külső támadóktól, a legmagasabb jogosultsági szinttel rendelkező rendszergazdák.

Itt lépett színre úgy igazán a felhasználó viselkedési mintázatának elemzése [balabites terminussal UBA avagy user-behavior analytics], amire természetesen nem csak ők fejlesztettek ki védelmi megoldást, elsősorban kényes adatvagyonnal dolgozó szervezetek számára.

Nézzük legegyszerűbb példaként azt, hogy mi lehet ordítóan feltűnő akkor, ha egy rendszergazda hozzáférését szerzi meg valaki és azzal próbál visszaélni. Ha valaki például adatbázis-adminisztrátorként egy pénzintézeti adatbázisszerverbe hétköznap általában reggel lép be, néha délelőtt vagy délben, a saját ebédidejében nem nagyon, délután ritkábban, éjszaka pedig soha, akkor szinte biztos, hogy ha hajnalban lép be valaki az ő hozzáférését felhasználva, csak támadó lehet.

UBA Balabit user behavior analysis authentikáció ITsec felhasználói magatartás viselkedésmintázat magatartástudomány Blindspotter IDC threat intelligence

Intuitív ezt nem olyan nehéz megállapítani. De hogyan lehet felkészíteni a gépet, egy komplex védelmi szoftverrendszert arra az esetre, ha ilyet tapasztal? Ismétcsak a bűvös gépi tanulás úszik be a képbe: valamilyen hatékony gépi tanuló algoritmus bizonyos idő alatt megtanulja, hogy az adott rendszergazda mikor szokott belépni, ezt tárolja, majd valószínűségi alapon riaszt, ha ettől a megszokottól valami merőben eltérőt észlel. Természetesen nem csak időbeli eloszlás tanítható a rendszernek, hanem szinte minden, ami leírja egy felhasználó géphasználati szokásait. Ha valaki szinte mindig a céges hálózatról lép be, kicsit szokatlan, ha otthonról lép be a céges VPN-en keresztül, az pedig már eléggé kritikus, ha képzeletbeli rendszergazdánknál azt tapasztalható, hogy hajnalban próbál belépni olyan IP-címmel, ami mondjuk egy karibi-térségben vagy Kínában jegyzett IP-tartományhoz tartozik.

UBA terén ez ráadásul csak a jéghegy csúcsa. Nyilván azzal kapcsolatban is lehet tendenciákat megállapítani adott, magas jogosultságú felhasználóval kapcsolatban, hogy milyen alkalmazásokat használ és mikor vagy milyen parancsokat ad ki egy parancssoros környezetben. Egészen pofás viselkedés alapú ujjlenyomat hozható létre ugyancsak gépi tanuláson keresztül arról, hogy a felhasználónak milyen a billentyűzési dinamikája, azaz a billentyűleütések időbeli eloszlása vagy ami legalább ennyire egyedi, hogyan használja az egeret [itt olyanokra kell gondolni, mint az egérmozgás sebessége, gesztúrái, vagy a kattintásdinamika illetve ezek együttesen és ki tudja még, hogy mi]. Scheidler Balázs egy ilyen, adott felhasználóra jellemző egérhasználati mintázat vizualizált képét is bemutatta.

UBA Balabit user behavior analysis authentikáció ITsec felhasználói magatartás viselkedésmintázat magatartástudomány Blindspotter IDC threat intelligence

A teljes védelmi megoldásnak szerves részét képzi, hogy a felhasználókat aszerint, hogy milyen jogosultságaik illetve szerepköreik vannak a cégnél, különböző osztályokba sorolja, azaz a valós-idejű monitorozást az sem zavarja meg, ha több, magas jogosultságú rendszergazdát kell megfigyelni, hiszen köztük is nyilván vannak különbségek többek közt szerepkör szerint, azaz lehet valaki adatbázis adminisztrátor, egy adott virtuális szerver adminisztrátora vagy akár mindenki fölött álló hypervisor admin. Enélkül megoldhatatlan lenne a riasztási szintek skálázhatósága, egyáltalán a riasztási házirend kialakítása.

Az UBA igencsak előremutató, hiszen valakinek a jellemző felhasználói magatartását nem lehet csak úgy meghamisítani, ugyanakkor újabb és újabb kérdéseket vet fel. Tudvalevő, hogy a felhasználói viselkedésből is számos pszichikus nyom nyerhető, konkrétabban olyan jellegzetességek is, amik összefüggésben állnak vagy állhatnak a felhasználó más területen mutatott viselkedésével, ami viszont már nem tartozna másra, ennek megfelelően biztosítani kell, hogy ezek a patternek ne kerülhessenek ki. Hogy világosabb legyen: a Rorschach-tesztnél is a vizsgált személy ábrák láttán adott visszajelzéseiből tudnak pazar leírást adni az illető személyére vonatkozóan, holott a teszt előtt nyilván úgy gondolták volna, hogy a tintapacák értelmezésének első blikkre semmi köze nincs például az illető személyiségvonásaihoz.

Másrészt hosszú út is áll még az UBA előtt, hiszen a gépi tanításon alapuló megoldást fel kell készíteni arra is, hogy egy felhasználó jellegzetes felhasználói viselkedése változhat nyilván akkor, ha más szerepkörbe kerül, ezen kívül ami bennem felmerült, hogy a felhasználói viselkedés finomszerkezetét olyan tényezők is befolyásolhatják, mint különböző gyógyszerek vagy akár élelmiszerek. Ez alatt nem csak arra gondolok, hogy a billentyűzési-egerezési dinamika nyilván más lesz, valamilyen lónyugtató hatása alatt ül a gép elé, esetleg több kávét ivott a kelleténél vagy bepiált, az eltérés elvben akkor is megmutatkozhat, ha valaki alaposan teleeszi magát ebédidőben, majd úgy ül vissza a gép elé. A felhasználói viselkedés mintázata márpedig annál nagyobb „felbontású” lesz, minél több információ gyűlik össze a felhasználóról, az pedig eléggé világos, hogy a fejlesztés iránya az, hogy a felhasználó viselkedésbeli ujjlenyomata legyen minél részletgazdagabb.

Remek kérdés, hogy a felhasználói viselkedés elemzésén alapuló védelem finomhangolásához eléggé gyorsan lehet-e alkalmazni, abba integrálni a magatartástudományi, főként kognitív pszichológiai és neuropszichológiai ismereteket, ahogy történt ez például a nyelvtudomány területén is.

A felhasznált ábrákért köszönet az IDC-nek!

0 Tovább

A jó, a rossz és a sikeres CV álláskeresésnél


Magyar nyelven is számos oldal foglalkozott már azzal, hogy hogyan érdemes összeállítani a saját életrajzunkat egy-egy pozíció megpályázásánál, ezek közül viszont nagyon sok egyszerűen egy korábban megjelent a Business Insider- vagy a Mashable-cikk átvételei.

Tisztában vagyok vele, hogy ez egy külön tudomány, aminek nem vagyok szakértője, de nyilván vannak megfigyeléseim azzal kapcsolatban, hogy egy CV mikor igazán sikeres és mik azok a hibák, amikre nagyon kell ügyelni. Tehát amit leírok, nyilván nem mond újat a HR-eseknek, a legírásom ráadásul szubjektív is, viszont tapasztalati alapon, sok-sok ismerős életrajzát néztem meg előtte egybevetve azzal, hogy milyen gyorsan, milyen pozíciót sikerült betölteniük illetve én magam is több CV feljavításában segítettem másnak.

1. Mindvégig tartsuk szem előtt, hogy néhány másodperc alatt dől el, hogy egy életrajzot egyáltalán tovább olvas-e a HR-es vagy dobja a kukába, ezért az életrajznak azonnal áttekinthetőnek kell lennie és semmilyen formátumbeli hiba nem engedhető meg! Érthetően, erre gyakorlatilag csak a PDF fájlformátum alkalmas, erre hamarosan visszatérek.

2. Evolúciós pszichológiai kutatások igazolták, hogy egy-egy arcot látva automatikusan kialakul valamilyen képünk arról, akinek a fotóját látjuk, ami aztán tudattalanul bejátszik abba, hogy később hogyan állunk az illető személyéhez. Ugyan ideális esetben, nem túlzott mértékben jelentkezik ez a hatás, mégis érdemes előnyös arcképes fotót választani. Azt, hogy melyik mennyire előnyös, ne te döntsd el, hanem kérdezz meg olyanokat, akiktől többé-kevésbé elvárható, hogy őszintén válaszolnak is rá.

3. Az életrajz tartalmi elemeinél annak megfelelően kell felsorolni az tételeket, amilyen sorrendben az a HR-es számára valószínűleg releváns. Az életrajzot eleve angol nyelven készítsük el, ami szerintem nem szorul magyarázatra.

- Azaz az első a végzettség megjelölése. Abban az esetben, ha egy jól ismert csúcs gimnáziumban végeztél, indokolt lehet annak a beírása, mi több, kimondottan jó pont, hiszen egy nagynevű gimnázium olvasásakor azt az olvasó tudattalanul pozitív értékítéletekkel kapcsolja össze. Viszont ha nem csúcs gimnáziumról van szó, kutyát sem érdekel, be se írd!
- A következő pontban jelöld meg, hogy legjobban mihez értesz. Vigyázat! Csak olyat írj be, amiben tényleg vérprofi vagy, amihez tényleg nagyon értesz, különben a hitelességeddel játszol. Úgy gondolom, hogy akármilyen tehetséges valaki, úgy tényleg vérprofi legfeljebb 3-5 területen lehet, aki ennél többet ír be, az vagy az itt ecsetelt preferencia elveit nem követi vagy szimplán hazudozik. [Egy korábbi Mashable-cikk rendszeresen eszembe jut, ami szerint nagy mintán igazolták, hogy a jelentkező több, mint fele (!!) egyszerűen hazudik az életrajzában.]
- Csak ezt követően érdemes felsorolni, hogy milyen projektekben vettél részt, egészen pontosan mikor, hol vagy kikkel és annak kapcsán milyen technológiákkal kerültél kapcsolatba, milyen módon szereztél tapasztalatot. Itt is és az előző pontban is, ha szakmai tapasztalatokról van szó, olyan konkrétan fogalmazzunk, amilyen tömören, amennyire csak lehet!

példa nagyon rossz megjelölésre:
"linux knowledge" - milyen disztribúció? Milyen szinten? Esetleg hány éve?

példa helyes megjelölésre:
"Ubuntu maintenance (on high-level)" - nyugi, ahova beküldöd, ott tudni fogják, hogy az Ubuntu a linux disztribúciók egyike, nem pedig egy rovarfaj, ha a példánál maradva IT-s pozícióra pályázol. 

- Az utóbbi két szempontra egyaránt igaz, hogy természetesen nem kell minden megismert technológiát, hanem azt, amit a leginkább relevánsnak látsz a betöltendő munkakör szempontjából. [erre szintén visszatérek]

- Hobbik - ezzel kapcsolatban oszlanak meg a legjobban a vélemények, hogy egyáltalán mennyire kell, ha kell, akkor mit ildomos ide írni. Szerintem érdemes, de itt is csak olyan megemlítésével, ami érdekessé tehet a HR-es számára és mutatja felé, hogy nem egy szakbarbár vagy.

- Nyelvismeret - kétségkívül a magyar munkaerőpiacon az egyik legszűkebb keresztmetszet. Egyrészt azért, mert nagyon sokan tényleg nem tudják használni az idegen nyelvet, másrészt azért, mert nagyon sokszor egyszerűen rosszul mérik fel az emberek a saját nyelvtudásuk szintjét. Az, hogy tudod használni az oprendszert, meg a webszolgáltatásokat angol nyelvre állítva és elboldogulsz külföldön a kocsmai rendelésnél, még nem nyelvtudás, csókolom! Ha van nyelvvizsgád, még az sem.

- A nyelvtudáshoz kapcsolódik, hogy a CV-ből nem árt, ha látszódik, hogy mennyire tudsz csapatban dolgozni, milyenek a kommunikációs skilljeid, de az ezzel kapcsolatos pontokat inkább egy-egy példával helyettesítsd, amikor te vezényeltél le egy komplett projektet projektvezetőként vagy mentoráltál egy újoncot. Abba most nem megyek bele, hogy vannak olyan munkakörök, ahol a megállapodásnak megfelelően nem csak azt nem írhatod le, hogy mit dolgoztál és kikkel, de még azt sem, hogy hol.

- Gyengeségek - remek kérdés, hogy helye van-e az életrajzban, szerintem amellett, hogy hitelesebbé tesz, nem kell összeszorított farpofával menni a megpályázott melóhely szakmai kompetenciát felmérő részére. Ha benne van az életrajzomban, hogy beszédhibám van, a pályázó és a megpályázott oldalán is kisebb lesz a feszkó, amikor beszélni kell. Természetesen ésszel kell tálalni, összhangba kell, hogy álljon a megpályázott munkakörrel. Egy riporter számára például fontos a beszéd, a munkakörök többségében meg mellékes.

- Kerüljük a gyilkos közhelyeket, a bullshitelést - amikor egy HR-es az egy adott pozícióra való jelentkezésnél az adott napon már a harmincadik CV-ben olvas olyat, hogy "jó csapatjátékos vagyok", "szeretnék szakmailag továbbfejlődni" és hasonló szörnyszülött fordulatokat, nagyon jó pont lesz, ha a tiédben pont nem. Jó csapatjátékos vagy? Akkor azt egy korábbi példával igazold a szakmai tapasztalatoknál, ahogy előbb írtam. Ha szakmailag szeretnél továbbfejlődni, az abból derül ki, hogy mennyire vagy őszintén kíváncsi az első interjún a melóval és a céggel kapcsolatban. Ha pedig előre ismert a cég, akkor alap, hogy fel kell készülnöd belőlük, amennyire csak tudsz.

4. Manapság már az is elvárható, hogy az elérhetőségek mellett tartalmazza a CV azt a rövidített URL-t, ahonnan a kinyomtatott dokumentum letölthető, ez viszont lehetőség szerint ne Dropbox vagy valami hasonlóan kínosan kommersz fájlmegosztó legyen. Hasonlóan formai dolog, hogy a CV PDF formátumú legyen, hiszen az biztosan megjelenik minden gépen, de természetesen olyan PDF-készítővel printelve, ami nem gányol bele semmit a kinyomtatott dokumentumba. Ahogy a való életben elküldött, de fontos dokumentumokat, így a PDF-et is érdemes aláírni, de digitálisan, még ha nem is egy überhivatalos és fizetős CA-val, de olyannal, ami elegendően egyértelmű módon mutatja, hogy a dokumentumot valóban te írtad alá.
Az ingyenes Comodo certi például email címhez köti ezt, ami jó esetben azonos azzal az email címmel, ami a CV-ben is van. Illik észben tartani, hogy a PDF illetve a digitális aláírás tartalmazza az aláírás idejét, magának a fájlnak a metaadatai pedig azt, hogy a fájlt mikor hozták létre, módosították utoljára valamint a CV jó, ha tartalmazza az utolsó aktualizálás időpontját. Ha az éles szemű HR-es észreveszi, hogy ezek nem harmonizálnak, gondolhat egyszerű technikai hiába, ha viszont olyan helyre pályázol, ahol a technikai pontosság fontos, egy ilyen mozzanattal el is vághatod magad, hiszen ha például a doksiban utolsó aktualizálás idejeként újabb dátum van megadva, mint az utolsó módosítás dátuma, a fejvadász alapos okkal gyanakodhat csalásra.

5. Az egy dolog, hogy van egy csőre töltött CV-d, viszont ha tényleg szeretnél egy munkát, az adott munkakörre kell szabni az életrajzot, azaz a fontossági sorrendet és a tartalmat úgy rendezni, hogy az alapján kidomborodjon, hogy mennyire testreszabott számodra a pozíció.

6. Bizonyított, hogy az email cím formátuma is milyen előítéleteket kelthet, részben tudattalanul. Nem megyek bele, hogy miért szerencsésebb, ha az email címed olyan domainhez kapcsolódik, ami vagy a sajátod vagy nem a sajátod, de nem olyan, ami alól bármikor kipenderíthetnek, ha már valami ingyenes fos szolgáltatóhoz tartozik, akkor legalább az előtagja legyen normális. Azaz jópofa lehet egy jomunkasember1991@gmail.com cím azok szemébe, akik tudják, hogy egy középiskolai, iszonyúan bebaszós osztálykiránduláson ragadt rád ez a név, ráadásul még Árpádnak is hívnak, a HR-esnek az jobban fog tetszeni, ami könnyen megjegyezhető és kérem szépen ne tartalmazzon számjegyet, mert ortó ciki, könnyen félrecímezhető, ráadásul nagyobb valószínűséggel landol spambe a HR-es címzettnél, ilyen módon nagyobb valószínűséggel észre sem fogja venni, hogy küldtél neki CV-t!

7. Mielőtt véglegesítenénk a CV-t olvassuk el még párszor és minden redundáns információt távolítsunk el belőle, ne ismételjük önmagunkat! A válasz sansszát rendkívül mértékben megnöveli, ha a levélhez írunk néhány sort, mondjuk azzal kapcsolatban, hogy hol láttuk a megpályáztatott pozíciót, miért érdekel, még akkor is, ha nem kérnek motivációs levelet.

Lazán kapcsolódik a  CV-íráshoz, inkább már az álláskereséshez, de vegyük figyelembe, hogy bárki bármit is mond, a HR-est igenis érdekli a pályázó emberi oldala is. Korábban még nagyon sokan egész egyszerűen lehazudták, hogy megnéznék a pályázó social webes aktivitását vagy rájuk keresnének a Google-ben, ehhez képest előrelépés, hogy a normálisabbak vállalják, hogy igenis rákeresnek az illetőre és amit látnak, mérvadó is számukra. Elítélendő-e, ha professzionális szempontokon túl a HR-es másra is kíváncsi, esetleg még olyanra is, amire a jog betűje szerint nem szabadna rákérdeznie, ha pedig a HR-esnek eléggé jó szeme van, a közösségi weben tud olvasni a sorok közt, azaz amit csak implicit módon, a tudta nélkül osztott meg valaki?

A rövid válasz: hülye a kérdés, egyáltalán nem elítélendő.

Bővebb válasz: nemhogy elítélendő, hanem elengedhetetlen. Ugyanis ha olyan pozícióba keresnek valakit, aki majd minősített adatokat fog kezelni, viszont a Facebookján az látszik, hogy ész nélkül megoszt mindent képekben, amit lát a fasztortás szülinapozástól kezdve az álburzsuj last minute nyaraláson át a legutóbbi bemarós buliig, egészen egyszerűen nem várható el tőle, hogy a munkájával kapcsolatos adatok ne legyenek esetleg kicsalhatók belőle vagy ne kotyogjon ki üzletmenet-folytonosság szempontjából érzékeny információkat. [Korábban a blogon már beszámoltam róla, hogy az emberi tudat legtöbbször nem tudja hatékonyan megkülönböztetni az érzékeny információt a teljesen publikustól, másrészt az információk érzékeny volta nem állandó dolog.] Ha valakiről levágós, hogy melyik politikai vonalhoz húz, nagyon veszélyes dolog, ugyanis az intelligens HR-est ez ugyan nem érdekli, de tisztában van vele, hogy a megbízó cég HR-esét már igenis érdekelheti. Mégpedig azért, mert legyen ez akár igazságos, akár nem, a céges HR-es nem engedi meg magának azt a kockázatot, hogy egy frissen felvett alkalmazott elkezdjen atommeghajtással politizálni vagy éppenséggel más torkán lenyomni a vallását, amihez tartozik, hiszen ez a produktivitást gátló piszok nagy feszültségforrás.

Az írországi melegházasság eheti megszavazásáról jut eszembe: ahogyan a politikai és vallási beállítódásra, úgy a szexuális beállítódásra is elvben tilos kérdezni, azt figyelembe venni, konkrétan írok egy hipotetikus esetet, amikor a szó szoros értelemben élet-halál kérdés lehet, hogy valaki heteró vagy meleg, leszbi, mittudomén. Tételezzük fel, hogy egy igen komoly céghez felvesznek kapcsolattartó senior consultant pozícióba egy leszbi hölgyet vagy meleg urat, akinek olyan országba kell utaznia majd lobbizás céljából, amilyen állam amúgy feltörekvő, ígéretes piac, viszont a homoszexuális viselkedést börtönnel, az államból kiutasítással büntethetik, elborultabb helyeken halállal. Na már most tegyük fel, hogy emberünk ilyen országba érkezik egy hónapra, aztán elmegy munkaidő után ismerkedni, rosszabb esetben kurvázni, azonos neművel. Ha lebukik, ennek a következménye kevésbé rossz esetben mindössze annyi, hogy az országból kiutasítják, ami egyet jelenthet azzal, hogy a cég a megcélzott piacot el is vesztette. Rosszabb esetben nem csak kiutasítják az országból, de még jól meg is verik.

Az ugye a Wikipedia alapján világos, hogy nem csak a legsötétebb országokban történhet ilyen, tehát nem lehet azt mondani, hogy teljesen ignorálhatók azok a piacok, amiknek a kulturális alapokon nyugvó törvényei és szokásai homlokegyenest ellentmondanak az európainak. Mielőtt valaki jönne azzal a vakon liberális szöveggel, hogy egy-egy ilyen állam "civilizálatlan", na az hasonló kocsmafilozófiai szint, mint amikor valaki virtigli náci szövegekkel áll elő, csak éppen a tartalom más. Ugyanis több antropológiai iskola szerint tudományos szempontból nem értelmezhető az, hogy az egyik kultúra civilizáltabb, a másik pedig kevésbé: Afrika legtöbb államában nem azért verik a melegeket még a hékek is, mert kegyetlenek, gonoszak vagy civilizálatlanok lennének, hanem azért, mert a kultúrájukhoz tartozik.

Aki ezt így nem fogadja el, annak hozok egy analóg példát: számunkra csak az amerikai filmekből lehetnek ismerősök azok a diákszövetségek, mint amilyen az Alpha Epsilon Pi vagy éppen a Phi Kappa Psi, de van még bőven:
http://en.wikipedia.org/wiki/List_of_social_fraternities_and_sororities

Ezeknek ugye egy közös jellemzője, hogy az újoncokat [akik ugye az egyetem legtehetségesebbjei közül kerülnek ki!] olyan - európai szemmel nézve kegyetlen - beavatási rituáléknak teszik ki, amihez képest egy katonai beavatás is eltörpül. Az egy hétig gyakorlatilag szociopata módjára viselkedő felsősöket viszont senki sem nevezné barbárnak, kulturálatlannak, civilizálatlannak, ez egyszerűen az ottani kultúra része, akárcsak az, hogy mennyire kultúrafüggő a többségitől eltérő szexuális orientáció megítélése.

A poszt eredeti témájához visszatérve számtalan olyan emberi faktort fel tudnék még sorolni, ami gyakorlatilag alkalmatlanná tehet valakit a hatékony munkavégzésre, hiszen ha egy cég reprezentatív pozíciójában lévő üzletembernek szólnak, hogy egész nap önteni a lájkvadász oldalakból származó szennyet a Facebookra nem jó ötlet, akkor az a baj, ha nem szólnak neki, akkor meg az a baj, de vegyük észre, hogy mindkét esetben az egész cég látja a kárát.

A végére hagytam valamit, amit végülis teljesen alapvetőnek tekintek: hogy a pályázó maximálisan őszinte. Egy magyar színésznő nyilatkozta egyszer, hogy még akkor sem fog picit sem hazudni, ha emiatt majd jónéhányan megutálják, a 19. században egy amerikai államelnök azt mondta, hogy azért nem hazudna, mert nem eléggé jó a memóriája hozzá, hogy fejben tartsa, hogy mikor mit mondott, ami eltér a valóságtól, így menthetetlenül belegabalyodna, elvesztené a hitelét.

Végülis teljesen mindegy, hogy mi miatt vagyunk őszinték, általánosságba véve a lényeg azon van, hogy az állásinterjún legyünk még őszintébbek, mondjuk azért a szalonképesség határain belül, ami viszont mindenkinél máshol húzódik.

A hitelességgel kapcsolatban megörvendeztetnélek benneteket egy videóval, ami annak idején még nálam is lecsapta a biztosítékot: a Jobline egy állásbörzén senior HR-eseket kérdezett, az elkészült videó alapján pedig azt tudom mondani, hogy ez a videó nagyon gonosz módon lett összevágva vagy azt, hogy a videóban szereplő figurák egy része valami félelmetesen hülye és önmagából indul ki. Több esetben, hangsúlyozva elhangzik a videóban, hogy a nyilvánosan elérhető felületeinken lévő tartalmat rázzuk gatyába és olyanokat posztoljunk, ami a hivatásunkhoz, érdeklődésünkhöz kapcsolódik. Mi a jóég van, már elnézést!!?? Lehet, hogy én nem vagyok normális, de a közösségi webet világ életemben arra használtam, hogy olyanokat posztoljak, ami ténylegesen érdekel, mi több, legyetek erősek: még betépős vagy faszvillantós fotóm sincs. Viszont ez alapján a videó alapján joggal feltételezhetjük, hogy egyik-másik HR-es magából indul ki és burkoltan az a prekoncepciója, hogy a pályázó hazudja le a fél életét és tegyen a helyére olyat, ami jól néz ki... Egy olyan világban, ahol a hitelesség a legnagyobb értékek egyike.

Vigyázat, ha agyi érgörcsöt kapsz a videótól, azért nem vállalok felelősséget.

képek: dopamineproject.org, indevjobs.org, volitionperformance.co.uk, thepoke.co.uk

3 Tovább