Бизнес
У меня весь блог про бизнес без опасности, а в этой рубрике различные заметки про то, как бизнес, топ-менеджмент смотрит на информационную безопасность и как ИБ может выглядеть в глазах ИБ лучше.
Я тут в LinkedIn наткнулся на статью, в которой обсуждаются различия между валовой прибылью (gross margin) и операционной маржой (operating margin) в публичных компаниях, занимающихся кибербезопасностью. Автор объясняет, что большинство продуктов, таких как DNS Security по модели SaaS или подписочные сервисы типа Threat Intelligence, имеют низкие затраты
В Cisco одной из моих ролей была менеджер по развитию бизнеса. Но в локальных офисах международных компаний эта роль не очень полноценна, так как вы не можете повлиять на ценообразование, вы не можете создавать бандлы продуктов, вы не можете повлиять на функционал продаваемых решений, вы не можете… много чего. Но при этом вы проходите всякие […]
Прошло 10 дней с начала коллапса, причиной которого послужил сбой в обновлении CrowdStrike. Можно попробовать подвести некоторые итоги и посчитать, во сколько обошелся миру этот инцидент. Страховая компания Parametrix опубликовала отчет, в котором попыталась оценить объем потерь от коллапса, вызванного действиями CrowdStrike: От инцидента пострадало
Подписчик, за что ему спасибо, прислал фрагмент интересной переписки с мошенниками, которые предлагают практически 100%-й выигрыш на аукционе на поставки средств защиты информации на электронной торговой площадке: Доброго дня. Могу реализовать помехи на торгах, после Вашей ставки на аукционе, тем самым блокировать предложения конкурентов, после вашего хода на торгах.
5 лет назад я написал заметку про шкалу значимости CISO, в которой попробовал посмотреть на руководителя ИБ глазами аудитории, которая смотрит на него и его активность внутри компании. А как на CISO смотрят топ-менеджеры? Как оценивают их зрелость? Мне тут в руки (и не спрашивайте, откуда) попала модель CALM (The CISO Assessment Level Model), которая […
В прошлой заметке я писал про то, что на Западе очень активно стала продвигаться тема со страхованием ответственности за действия CISO в двух формах: Страхование ответственности директоров и должностных лиц (Directors & Officers Liability, D&O). Этот вид страхования защищает директоров и должностных лиц компании от личной ответственности за
За последнее время в американской ИБ проявилась и активно муссируется тема, которая пока непривычно звучит для российских CISO, — риск сесть в тюрьму! Список уголовных преследований уже не ограничивается только CISO Uber и SolarWinds, о которых все слышали. Я напомню список топ-менеджеров, пострадавших за инциденты ИБ или иные связанные нарушения
Думаю, многие уже слышали про такую концепцию как «результативная кибербезопасность», суть которой можно кратко изложить в следующих тезисах: Кибербезопасность давно стала бизнес-задачей и топ-менеджмент должен быть вовлечен в ее решение. Топ-менеджмент не будет погружаться во все глубины, привычные ИБшникам, и заниматься оценкой угроз, атак
Знаете ли вы, что такое риск информационной безопасности? Если посмотреть на один из документов в области, а именно на ГОСТ 57580.3 «Управление риском реализации информационных угроз и обеспечение операционной надежности», то это: Возможность реализации информационных угроз (в совокупности с последствиями от их реализации), которые обусловлены
Зашел у меня тут разговор с коллегами, которые работают в государственном секторе, про недопустимые события (НС). С самим термином вроде уже потихоньку многие смирились и логика его появления стала более понятной. Но вот, как их определять, до сих пор вызывает вопросы, основной из которых звучит так: Пусть Минцифры даст нам список недопустимых событий и мы […