правильно так

Any company contracting for Penetration Testing should make sure that this is a separate activity from re-mediating the vulnerabilities that the Pen Test finds. Otherwise a person who is contracted to do both could:

a. just happen to ONLY find vulnerabilities that he/she can definitely fix.
b. fix just enough vulnerabilities to ensure another follow-on engagement.
c. be reluctant to tell the client that there are just some things that they might have to accept as risky given a particular business model.

On the flip side, be leery of any Pen Tester who offers to do both testing and remediation without at least warning you that this is not the best approach. 

http://www.linkedin.com/groups?viewMemberFeed=&gid=38412&memberID=2432590 

Скоро смогу писать диссертацию на тему "Россия как фактор страха в принятии бизнес-решений в мультинацональных проектах"
Со стороны - просто смешно, но по факту - интересно.

про "Security Questions"

Сейчас модно задавать разные "хитрые вопросы" при регистрации разных акаунтов.
С одной стороны, для дальнейшего подтверждения айдентити, с другой для восстановления паролей.

Недавно понял, что отвечать на эти вопросы настоящими ответами - крайне неверное решение.
Нужно придумать пару слов, которые и вставлять во все подобные вопросы.

С одной стороны - даже если кто-то узнает, как зовут вашу собачку, это ему не поможет.
С другой - слово это можно регулярно менять, чем повышать уровень устойчивости.

Понятное дело, что, скорее всего, я это придумал после того, как этим уже все пользуются пять лет. Но - главное, что придумал сам.

опа!

Сегодня первый раз чуть не попал на велике по-настоящему.
Делал левый поворот в переулок, левый ряд которого традиционно заставлен запаркованными машинами. Скорость была нормальная, поэтому так или иначе вылетал на встречку.
До этого пролетал этот поворот 100 раз, а тут лоб в лоб встретился с машиной. Т.е. почти.
Понятно, нажал на тормоза как следует и поехал боком. Потому как после дождика, да еще и на сликах. Хорошо машина шла медленно перед поворотом и, с одной стороны водитель затормозил, а с другой я как-то выровнялся и обрулил бампер.
Хорошо, что хорошо получилось - нужно удвоить бдительность.

Немного про английские банки. Снова.

Они таки просто прекрасны.
Решил получить кредитку, потому как платить тут проще картой, а с дебиткой сплошные засады в плане незащищенности средств от воровства.
На текущий день обратился уже в 7 банков и все отказали. При этом, подконец выбирал самые "мусорные" предложения, но и таких оказался недостоин.
Даже в банке, где у меня зарплатная карта откзали - сказали, что нужно прожить тут три года, чтоб иметь больше шансов.

Наверное это, конечно, правила такие и удивляться нечему, но в купе с тем, что мой Российский банк не может прислать им кредитную историю и с тем, что можно потерять какой-то кусок денег запросто так - напрягает.

Буду запрашивать рейтинговые агенства. Может тогда станет ясно что-нибудь.

Вчера решил прокатиться "до леса" по маршруту, которым уже ездил, но летом. А тут выяснилось, что сейчас там дикие говны, дождем навымывало камней и вообще полный пэ.

До леса так и не доехал, но мне хватило и того, что смог. На обратном пути пару раз чуть не разложился. С холма тропинка между деревьев - уклон около 25. Разгоняешься влет, а вот тормозить как-то и нехочется, потому как или зад улетает, или вперед наклоняешься. Так и слетел почти с закрытыми глазами.

Надо повторять чаще, а то силы уже не те, блин.

Was out cycling 9.58 km with Endomondo. You can see it here: http://www.endomondo.com/workouts/p_nBmgHvJRQ

про холода

неожиданно настала английская зима, т.е. темперетура с утра около +3. вчера так и вообще иней на траве лежал. этоничего, что все деревья зеленые и трава растет как летом.
в связи с этим, все и каждый в офисе делают круглые глаза, когда видят меня на велике или со шлемом, и спрашивают, как я выжил в такой холодрыге, да еще и на велике?

а как не ездить-то, если кругом все зеленое и после 5 минут на педалях уже жарко.

какое-то время назад решил, что буду все деловые заметки, задачи и записи в календаре вести на английском.
как-то незаметно понял, что это уже не составляет особого труда и проблема уже в том, что писать в слепую на английском я пока не могу.

This drink originated around 1475 and is an old favorite on New Year's Eve.
3 rounded tbs medium oatmeal, 2 tbs heather honey, whiskey
Mix oatmeal with cold water to form paste, stand for 1/2 hour, strain, discard oatmeal, mix in honey, pour into a quart bottle, top up with whiskey, shake well and serve

расходы

Вчера посмотрел, сколько уходит в месяц на все расходы кучей.
Сумма вышла совершенно непривычная в плане размера.

В Москве было не в пример дешевле, особо в плане расходов на еду, транспорт и электричество.

про войсковые операции

 Чем дольше тружусь на новом месте, тем больше понимаю, насколько сложно делать что-то большое.
Вижу, как выглядит противодействие изнутри.
Вижу, как можно развалить хорошую работу почти без усилий.
Вижу как трудно мобилизовать людей делать разрозненные операции для чего-то большого.


При этом, вижу, что если понимать как - можно делать большие дела.
Учусь и извлекаю пользу.

корпоративная история

Есть компания А и у ней есть набор продуктов. Продаются по одному и пачкой. Пачка стоит 100 у.е.
Принимается решение купить только один продукт, потому как покупать пачку дорого.
Принимается решение закрывать оставшиеся потребности другими продуктами.

О решении сообщается компании А.

Что имеем в финале - пакет от компании А по цене немного ниже, чем отдельный продукт, который договорились покупать до этого.
А все почему? Не дать конкуренту продать ничего вообще это максимальный приоритет. Пусть даже при более низкой прибыли для себя лично.

У индейцев штата Дакота есть поговорка: «Если ты заметил, что едешь на мертвой лошади, слезь с неё». В нашей жизни мы часто используем и другие стратегии, в соответствии с которыми мы:

• ищем более крепкий кнут
• меняем всадника
• говорим: «Да мы всю жизнь ездим на такой лошади!»
• создаем рабочую комиссию, чтобы проанализировать лошадь
• перенимаем зарубежный опыт езды на мертвых лошадях
• повышаем стандарты качества для объездки мертвых лошадей
• создаем целевую группу для воскрешения лошади
• записываемся на тренинг по усовершенствованию навыков верховой езды
• проводим сравнительный анализ различных видов мертвых лошадей
• изменяем критерии, по которым определяется смерть лошади
• нанимаем подрядчиков, которые якобы умеют ездить на мертвых лошадях
• запрягаем больше мертвых лошадей, чтобы ехать быстрее
• провозглашаем: «Ни одна лошадь не может быть настолько мертвой, чтобы на ней было невозможно ездить!»
• заказываем исследование, чтобы выявить, существуют ли более дешевые или улучшенные мертвые лошади
• пребываем в уверенности, что наша лошадь мертва лучше, быстрее и дешевле, чем остальные
• создаем комиссию по поиску новых применений для мертвых лошадей
• перерабатываем Общие Условия Заключения Сделок по Мертвым Лошадям
• создаем независимый кост-центр для мертвых лошадей
• расширяем зону ответственности за мертвых лошадей
• разрабатываем программу мотивации мертвых лошадей
• создаем особое подразделение, которое занимается исключительно потребностями мертвых лошадей
• меняем структуру нашей организации с тем, чтобы мертвые лошади нашли себе другие области применения

утащил мысль

Пересказ слов умного человека дураком никогда не бывает точным, поскольку дурак невольно переводит то, что слышит в то, что понимает.

(с) Бертран Рассел

Немного про медицину.

Она тут вообще другая. Ну т.е. она как бы есть, но выглядит настолько непривычно, что вначале думаешь, что ее просто нет.
Стоимость услуг вообще за гранью добра и зла. В норме в 5-10 раз дороже, чем это можно получить в Москве, при этом, я не бы не стал говорить, что уровень услуги во столько же раз выше.
Потянул я мышЫцу в спине, приковылял к доктору и он выписал мне обезболивающие.
В аптеке оно стоило 500 руб за пачку, при этом, в Москве около 50. Может, оно тут особо действующее и высоко очищенное, конечно же, но оно вот так.

Будет время - дополню про медицину в период беременности.

Немного про английские банки.

Свалю в кучу все мои наблюдения о. Наблюдений пока немного и основаны они на именно моем локальном опыте.
1. Практически все отделения банков работают до 16-30 или до 17-00. В субботу там дикие очереди, потому как они не работают в воскресенье.
2. Уведомление СМС-кой о списании средств это что-то запредельное для банков, с которыми я сталкивался.
3. Револьверные кредиты на дебетовую карту это в порядке вещей и относится к неотменяемым услугам. При этом, платить придется как за пользование, так и за предоставление.
4. Уведомления о тех или иных изменениях в контракте приходят раз в месяц.

Я понимаю, что я тут некто без кредитной истории и звать меня никак, но вот такие вот наблюдения.
В загашнике есть про телеком. Coming soon.

облако

В ходе дискуссии нарылось достаточно, на мой взгляд, интересное определение что есть "Облако" в разных его ипостасях.
Может быть полезным в общении с руководством и продавцами.

The NIST Definition of Cloud Computing

Authors: Peter Mell and Tim Grance

Version 15, 10-7-09

National Institute of Standards and Technology, Information Technology Laboratory

Note 1: Cloud computing is still an evolving paradigm. Its definitions, use cases, underlying technologies, issues, risks, and benefits will be refined in a spirited debate by the public and private sectors. These definitions, attributes, and characteristics will evolve and change over time.

Note 2: The cloud computing industry represents a large ecosystem of many models, vendors, and market niches. This definition attempts to encompass all of the various cloud approaches.

Definition of Cloud Computing:

Cloud computing is a model for enabling convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction. This cloud model promotes availability and is composed of five essential characteristics, three service models, and four deployment models.

Essential Characteristics:

On-demand self-service. A consumer can unilaterally provision computing capabilities, such as server time and network storage, as needed automatically without requiring human interaction with each service’s provider.

Broad network access. Capabilities are available over the network and accessed through standard mechanisms that promote use by heterogeneous thin or thick client platforms (e.g., mobile phones, laptops, and PDAs).

Resource pooling. The provider’s computing resources are pooled to serve multiple consumers using a multi-tenant model, with different physical and virtual resources dynamically assigned and reassigned according to consumer demand. There is a sense of location independence in that the customer generally has no control or knowledge over the exact location of the provided resources but may be able to specify location at a higher level of abstraction (e.g., country, state, or datacenter). Examples of resources include storage, processing, memory, network bandwidth, and virtual machines.

Rapid elasticity. Capabilities can be rapidly and elastically provisioned, in some cases automatically, to quickly scale out and rapidly released to quickly scale in. To the consumer, the capabilities available for provisioning often appear to be unlimited and can be purchased in any quantity at any time.

Measured Service. Cloud systems automatically control and optimize resource use by leveraging a metering capability at some level of abstraction appropriate to the type of service (e.g., storage, processing, bandwidth, and active user accounts). Resource usage can be monitored, controlled, and reported providing transparency for both the provider and consumer of the utilized service.

Service Models:

Cloud Software as a Service (SaaS). The capability provided to the consumer is to use the provider’s applications running on a cloud infrastructure. The applications are accessible from various client devices through a thin client interface such as a web browser (e.g., web-based email). The consumer does not manage or control the underlying cloud infrastructure including network, servers, operating systems, storage, or even individual application capabilities, with the possible exception of limited user-specific application configuration settings.

Cloud Platform as a Service (PaaS). The capability provided to the consumer is to deploy onto the cloud infrastructure consumer-created or acquired applications created using programming languages and tools supported by the provider. The consumer does not manage or control the underlying cloud infrastructure including network, servers, operating systems, or storage, but has control over the deployed applications and possibly application hosting environment configurations.

Cloud Infrastructure as a Service (IaaS). The capability provided to the consumer is to provision processing, storage, networks, and other fundamental computing resources where the consumer is able to deploy and run arbitrary software, which can include operating systems and applications. The consumer does not manage or control the underlying cloud infrastructure but has control over operating systems, storage, deployed applications, and possibly limited control of select networking components (e.g., host firewalls).

Deployment Models:

Private cloud. The cloud infrastructure is operated solely for an organization. It may be managed by the organization or a third party and may exist on premise or off premise.

Community cloud. The cloud infrastructure is shared by several organizations and supports a specific community that has shared concerns (e.g., mission, security requirements, policy, and compliance considerations). It may be managed by the organizations or a third party and may exist on premise or off premise.

Public cloud. The cloud infrastructure is made available to the general public or a large industry group and is owned by an organization selling cloud services.

Hybrid cloud. The cloud infrastructure is a composition of two or more clouds (private, community, or public) that remain unique entities but are bound together by standardized or proprietary technology that enables data and application portability (e.g., cloud bursting for load-balancing between clouds).

Note: Cloud software takes full advantage of the cloud paradigm by being service oriented with a focus on statelessness, low coupling, modularity, and semantic interoperability.

пишем оперу

Сложные но необходимые в деловой переписке правила.

Imagine your document on the front page of The Financial Times, Wall Street Journal, Business Day, or another reputable publication, or being read out on CNN.  This may be the single best way to stay focussed as you write.

Imagine yourself in a witness box in Court or before a Tribunal, being cross-examined about the e-mail or document that you are writing.  This should also focus the mind!

Pick up the phone. Before sending an e-mail or creating another form of document or permanent record, consider whether it would facilitate communication and resolution of issues, particularly on sensitive matters, to have a face-to-face or telephone conversation.  Written communications are frequently necessary, but in many cases, face-to-face or telephone conversations are not only more effective and efficient, but can also reduce the risk of written records being misconstrued and save the company the considerable expense of document creation and retention.

Stick to your expertise.  The risk of a problematic document increases, for example, when an accountant comments on a marketing campaign, a marketing manager discusses accounting issues, or anyone offers an unsolicited opinion that something is “criminal” or “illegal.”

Prefer facts over opinions.  Opinions are much easier to argue about or misconstrue than facts.  For example, if someone says, "it's cold outside," a listener may find many reasons to disagree.  But if the statement is, "it's below zero today," the only area of disagreement is a thermometer reading.

Think how a competition authority might view your words.  Avoid language that could be misinterpreted, for example, by suggesting that you are co-coordinating any aspect of the company's commercial strategy with a competitor or that you are controlling your customer's resale prices.  Claims that we "dominate" or are "dominant" in markets or can "control" our customers or "punish" or “eliminate” our competitors, or that the competition has “significant barriers to entry” are also unhelpful.

Use some forms of humour judiciously.  Humour that prompts exaggeration can often be misinterpreted. Consider the comment, "the only thing that report is good for is my fireplace."  Now consider the impact of that comment (which inevitably will be found and produced in discovery) if the report in question cannot later be found in the company's records.

Count to 10 as needed.  Anger and frustration consistently yield poor word choices. For example: "I don't care how you do it. Just get it done"; "she is lying"; "this company will do anything for money."  Simply put, correspondence and reports are never good places to vent.

  

Double-check the distribution list.  Is everyone on the “to” line of your e-mail or memo critical to the communication?  What about the “cc” and “bcc” lines?  Omit recipients who aren’t necessary.

Avoid the use of company email for personal communication wherever possible.  Company e-mail is intended for the conduct of company business.  E-mails that are nothing more than personal communications with other employees or with persons outside the company will, however, have to be retained in the company’s electronic records for some period and may be subject to review and production in legal proceedings, particularly if the communication is in some way relevant to the company or its business.

Don't assume a message to a lawyer (in-house or external) is privileged.  A document that is protected by the attorney-client privilege need not be disclosed in litigation.  But keep in mind that a note to a lawyer is not automatically privileged.  If the discussion concerns only business issues and no legal issues, there may be no privilege.  Similarly, simply stamping the word "Privileged" on a document does not necessarily make it so.  If you intend a message to be privileged, be sure that you address it to a lawyer and, in so many words, either ask for legal advice and/or state that the message is in connection with pending or anticipated litigation.

турникеты и билеты

Транспорт в Англии стоит дорого. Адски дорого!
Особо это будет заметно, если ты турист и нет у тебя купленных заранее скидочных карт или возможности приобрести билет за пару недель до поездки. А бывает и потому, что не знает человек о некторых опциях, типа PlusBus, делающих поездку дешевле.
Перевозки выполняются очень качественно. Поезда в основном забиты несильно, ехать комфортно. Ну и организация на вокзалах отличная. За исключением турникетов.
На моей памяти не было такого случая, чтоб все установленные турникеты работали. И даже те, кто выглядят рабочими зачастую не работают. И даже если он работает, то не факт, что он тебя пропустит. Поэтому у турникетов стоят контролеры и пропускают тех, у кого не срослось с проходом. То же самое на выходе.
Именно поэтому у терникетов постоянное буление и неразбериха. И непонятно, что за препятствие стоит на пути починки так, чтоб все работало.

разминка

в очередной раз попробую начать отражать разные события в пиьменном виде.
для разминки. ну и для того, чтоб поржать, когда прочту. я, собственно, уже ржу, потому как знаю, что толково писать пока не обучен.
чего тут ждать:
- разных веселых и неочень деталей, связанных с жизнью в великобритании
- разных штук, которых я понахватаюсь в рамках новой моей работы
- разное