Стратегия
В 2012-м году в СовБезе шла работа над основными направлениями государственной политики в области формирования культуры информационной безопасности. В процессе этой работы возникла тема о том, что достижение этих направлений должно как-то измеряться, но… к сожалению в итоговый проект документа ни одной метрики, ни одного показателя эффективности
Давно ли вы проводили самооценку себя, своих знаний, своих способностей и своего места на работе? Чтобы не превратиться в застывший монолит, который скоро выкинут на свалку истории, необходимо регулярно заниматься этой непростой работой, чтобы не останавливаться на достигнутом и намечать шаги для дальнейшего своего развития.
Продолжу тему чеклистов, которую я начал последней заметкой ушедшего года — ровно месяц назад. Тогда я предложил персональный план для безопасника на 2019-й. Сегодня решил вновь вернуться к этой теме, но уже в контексте деятельности руководителя ИБ. Попробовал составить план ключевых задач CISO в 2019-м году. Сделал немного в немного упрощенной форме, чтобы можно было […
4 года назад я уже как-то обращался к идее составления новогоднего обывательского чеклиста по безопасности. Решил обновить тот список и ориентировать его больше на специалистов по кибербезопасности, которые могут не только обезопасить себя, но и сделать окружающий мир чуточку лучше, следуя теории малых шагов. Затрачивая немного усилий в течение года
В курсе по измерению ИБ есть у меня раздел, который называется «Как врать с помощью цифр ИБ», название которого является аллюзией на известное высказывание Дизраэли, популяризованное Марком Твеном «Есть три вида лжи: ложь, наглая ложь и статистика». В этом разделе я привожу несколько манипуляций, которые позволяют сформировать определенное
Решил вернуться я к теме, поднятой неделю назад, относительно приоритезации устранения уязвимостей. Никита Ремезов в Фейсбуке справедливо заметил, что она ориентирована в первую очередь на госов и надо признать, что это так. К этой схеме он предложил добавить привязку к критичности сканируемых ресурсов для бизнеса. Да, и это тоже верно и контекстные метрики в CVSSv3 […
Malotavr, который недавно вновь вернулся в эпистолярный жанр по ИБ, обратил свое пристальное внимание на тему управления уязвимостями (тут и тут). И это немудрено, учитывая место его работы — компанию Positive Technologies. Так сложилось, что и я недавно погрузился в эту тему, задавшись достаточно простым, на первый взгляд, вопросом —
SecOps
Вчера я выступал на CyberCrimeCon, — конференции, организованной Group-IB. Мероприятие получилось отличным и свежим. В отличие от привычных конференций, где из раза в раз переливается из пустого в порожнее тема законодательства, импортозамещения, цифровой экономики и т.п. Тут же было все очень живенько, так как злоумышленники не стоят на
Стратегия
На РусКрипто я выступал с полуторачасовой презентацией, посвященной вопросу выбора из сотен и тысяч защитных мер самых важных, позволяющих не бросаться из стороны в сторону, а путем минимума усилий получить максимум защиты. За основу были взяты «горячая двадцатка» CIS Controls (бывший SANS Top 20) и 35 защитных мер австралийского регулятора DSD.
Как и отчеты дашборды бывают трех типов — стратегические (для топ-менеджеров), аналитические (для руководителей среднего звена) и оперативные (для исполнителей). Учитывая, что большинство отчетов (да и дашбордов) готовится именно исполнителями и ни они не задаются нужными вопросами (КТО моя целевая аудитория, ЧТО они должны решить и КАКАЯ