Бизнес
У меня весь блог про бизнес без опасности, а в этой рубрике различные заметки про то, как бизнес, топ-менеджмент смотрит на информационную безопасность и как ИБ может выглядеть в глазах ИБ лучше.
В Cisco одной из моих ролей была менеджер по развитию бизнеса. Но в локальных офисах международных компаний эта роль не очень полноценна, так как вы не можете повлиять на ценообразование, вы не можете создавать бандлы продуктов, вы не можете повлиять на функционал продаваемых решений, вы не можете… много чего. Но при этом вы проходите всякие […]
Прошло 10 дней с начала коллапса, причиной которого послужил сбой в обновлении CrowdStrike. Можно попробовать подвести некоторые итоги и посчитать, во сколько обошелся миру этот инцидент. Страховая компания Parametrix опубликовала отчет, в котором попыталась оценить объем потерь от коллапса, вызванного действиями CrowdStrike: От инцидента пострадало
Подписчик, за что ему спасибо, прислал фрагмент интересной переписки с мошенниками, которые предлагают практически 100%-й выигрыш на аукционе на поставки средств защиты информации на электронной торговой площадке: Доброго дня. Могу реализовать помехи на торгах, после Вашей ставки на аукционе, тем самым блокировать предложения конкурентов, после вашего хода на торгах.
5 лет назад я написал заметку про шкалу значимости CISO, в которой попробовал посмотреть на руководителя ИБ глазами аудитории, которая смотрит на него и его активность внутри компании. А как на CISO смотрят топ-менеджеры? Как оценивают их зрелость? Мне тут в руки (и не спрашивайте, откуда) попала модель CALM (The CISO Assessment Level Model), которая […
В прошлой заметке я писал про то, что на Западе очень активно стала продвигаться тема со страхованием ответственности за действия CISO в двух формах: Страхование ответственности директоров и должностных лиц (Directors & Officers Liability, D&O). Этот вид страхования защищает директоров и должностных лиц компании от личной ответственности за
За последнее время в американской ИБ проявилась и активно муссируется тема, которая пока непривычно звучит для российских CISO, — риск сесть в тюрьму! Список уголовных преследований уже не ограничивается только CISO Uber и SolarWinds, о которых все слышали. Я напомню список топ-менеджеров, пострадавших за инциденты ИБ или иные связанные нарушения
Думаю, многие уже слышали про такую концепцию как «результативная кибербезопасность», суть которой можно кратко изложить в следующих тезисах: Кибербезопасность давно стала бизнес-задачей и топ-менеджмент должен быть вовлечен в ее решение. Топ-менеджмент не будет погружаться во все глубины, привычные ИБшникам, и заниматься оценкой угроз, атак
Знаете ли вы, что такое риск информационной безопасности? Если посмотреть на один из документов в области, а именно на ГОСТ 57580.3 «Управление риском реализации информационных угроз и обеспечение операционной надежности», то это: Возможность реализации информационных угроз (в совокупности с последствиями от их реализации), которые обусловлены
Зашел у меня тут разговор с коллегами, которые работают в государственном секторе, про недопустимые события (НС). С самим термином вроде уже потихоньку многие смирились и логика его появления стала более понятной. Но вот, как их определять, до сих пор вызывает вопросы, основной из которых звучит так: Пусть Минцифры даст нам список недопустимых событий и мы […
Про финансовую стоимость инцидента ИБ я в последнее время писал уже несколько раз (заметка на моем сайте и для портала «Резбез»). Но мы понимаем, что ущерб бывает не только финансовый (я про это и в курсе «Как оценивать ущерб в кибербезопасности» тоже говорю). И всегда хочется увидеть какие-то более конкретные примеры. И вот на днях […