О чем говорить заказчику на конференции по ИБ?

В продолжение заметки о причинах редких выступлений со стороны заказчика, стоит проанализировать, о чем говорить на той или иной конференции, когда не поставлена задача продать либо рекламировать.

Возможно, информация будет полезной не только для покупающей стороны, но своя рубашка ближе к телу. 

Если вендору либо интегратору тема ясна, а задача от работодателя - ещё яснее, то у представителя заказчика поле для полёта мысли значительно шире.
При всём этом существует довольно много ограничений.

1. Тематика конференции

Информационная безопасность - довольно узкая область только в том случае, если хочется исключительно поговорить, не углубляясь в практические аспекты. Если ты знаешь определенную ветку ИБ довольно глубоко - пространство для манёвров, с одной стороны, увеличивается (можешь не только на общие темы поддержать беседу), но, с другой стороны - сужается (не все конференции будут одинаково полезны с твоим участием). Бессмысленно выступать с докладом о персональных данных перед сетевыми инженерами, и не проникнутся методологи техническими аспектами безопасности IPv6. 

Итого, нужно выбирать конференцию, соответствующую тематике выступления и наоборот. 

2. Актуальность темы

Будь ты хоть самым великим специалистом по безопасности DOCSIS, в настоящее время тебе будет тяжело найти своё место на конференциях. Опережающие свою эпоху доклады тоже могут приниматься не всеми организаторами, но при этом уровень заинтересованных в инновационных технологиях конференций значительно выше, равно как и докладчиков и аудитории. От тебя, как заказчика, другие заказчики ждут независимой оценки технологий, до обкатки которых многие ещё не дошли, и находятся в сомнениях "а стоит ли". Либо методологической экспертизы для понимания того, как правильно выполнять требования регуляторов. Ровно то, за чем и ты ходишь на тематические мероприятия как слушатель. 

То есть, тема должна быть актуальной для тех реалий, в которых живёт конференция, бизнес-сообщество и город/страна её проведения.

3. Публичность информации работодателя

Нет смысла объяснять специалистам по ИБ категоризацию информации и возможность её публичного разглашения, но даже по отношению к вполне открытым данным нужно понимать: не все то, что спокойно высказывается дома либо друзьям за бутылкой пива, может быть официально заявлено от имени работодателя во всеуслышание. На эту тему мне нравится негласная категоризация информации у вендоров: есть публичная инфа, есть закрытая инфа, а есть то, что представитель вендора может сказать тебе "по секрету". Чаще всего последнее - анонсы роадмапов, уже фактически согласованные, но ещё официально не опубликованные. Таким нехитрым образом вендор, как бы, и тебе даёт иллюзию ощущения исключительности, и свои правила не нарушает. В то же время, например, информация о сотрудничестве с АНБ не будет выдана ни под каким соусом. Не знаю, существует ли в действительности такое разделение, но мне со стороны заказчика видно именно так. 

Соответственно, перед публикацией темы нужно точно определить возможность её вынесения на растерзание общественности. 

4. Компетентность спикера

Нужно понимать, что, какой бы ни была актуальной тема, нет особого смысла выступать, если ты в ней не разбираешься настолько, чтобы суметь ответить на возможные вопросы, которые возникнут у слушателей. Спикер, который не может ответить на напрашивающиеся тематические вопросы, слегка омрачает карму работодателя и свою как специалиста. Стоит продумать, что спросит публика, и быть готовым к ответам. 

Лайфхак: зная, что время на выступление и вопрос-ответ ограничено, можно составить презентацию таким образом, чтобы некоторые вопросы напрашивались сами собой, но это уже совсем искусство. 

5. Готовность к неожиданностям

Кроме этого, нужно быть готовым к провокационным вопросам, которые могут быть заданы конкурентами, недоброжелателями, вендорами, нарывающимися на рекламу себя (антирекламу конкурентов), а также просто троллями (и такие бывают). С одной стороны, нельзя уходить в себя, тупить и ссылаться на коммерческую тайну в ответ на любой вопрос. С другой - нужно помнить, что спикер не обязан отвечать на абсолютно все, что спросят. 

Соответственно, нужно осознать перечень и глубину раскрытия возможных тем. При этом важно понять набор направлений, по которым политкорректно отказывать в ответе (формулировки "без комментариев", "ваш вопрос выходит за рамки моего доклада, поэтому позвольте оставить его без ответа" и т.п.).

Такие выводы я смог сделать из своего относительно небогатого опыта спикера конференций по информационной безопасности, презентации которого не были нацелены на повышение продаж. Возможно, пригодится тем, у кого похожая ситуация.