CISO

Почему изменения ИБ, особенно крупные, часто тяжело идут внутри компаний? Почему нам так сложно перестраивать процессы, чтобы внедрить в них кибербез? Почему так непросто заставить (слово дурацкое) людей пользоваться многофакторной аутентификацией, ИТ-службу внедрить MFA-решение для доступа к ключевым системам, а финдира заставить за все это заплатить?

Знаете, специалистов по ИБ часто называют людьми, говорящими «нет», за что их не любят и стараются обходить стороной, даже тогда, когда от ИБ нужна резолюция на тот или иной проект. В итоге, это «нет» часто приводит к реализации негативных последствий, которых можно было бы избежать, если бы ИБ и ее руководители чаще говорили «

Продолжаем — напишу про то, что было на лондонском Gartner Security & Risk Management Summit. Я сам там не был, но посмотрел, о чем говорили в Туманном Альбионе и могу кратко пересказать, что занимает умы глобальных консультантов, устанавливающих мировые тенденции и новые аббревиатуры. Итак, тезисно звучали следующие мысли: Гартнер предложил CISO уйти от стратегии «

5 лет назад я написал заметку про шкалу значимости CISO, в которой попробовал посмотреть на руководителя ИБ глазами аудитории, которая смотрит на него и его активность внутри компании. А как на CISO смотрят топ-менеджеры? Как оценивают их зрелость? Мне тут в руки (и не спрашивайте, откуда) попала модель CALM (The CISO Assessment Level Model), которая […

В прошлой заметке я писал про то, что на Западе очень активно стала продвигаться тема со страхованием ответственности за действия CISO в двух формах: Страхование ответственности директоров и должностных лиц (Directors & Officers Liability, D&O). Этот вид страхования защищает директоров и должностных лиц компании от личной ответственности за

За последнее время в американской ИБ проявилась и активно муссируется тема, которая пока непривычно звучит для российских CISO, — риск сесть в тюрьму! Список уголовных преследований уже не ограничивается только CISO Uber и SolarWinds, о которых все слышали. Я напомню список топ-менеджеров, пострадавших за инциденты ИБ или иные связанные нарушения

Почти все умные стандарты по кибербезопасности говорят о том, что для успеха ИБ нужна поддержка топ-менеджмента. Но никто не говорит, как эту поддержку получить. А в других умных книжках говорится, что с бизнесом надо говорить на его языке. Но опять же мало где учат этому языку. Можно пойти, конечно, на курсы MBA или EMBA, но […]

7 лет я не обращался к этой теме, что является достаточно большим сроком, чтобы вновь поднять ее на флаг и посмотреть с высоты накопленного опыта. На тот момент одним из самых популярных подходов в выделении денег на ИБ было использование % от ИТ-бюджета и ключевой вопрос был в том, каков должен быть этот процент. До […]

В пятницу прошел , на котором мне довелось модерировать пленарную секцию с восемью достойными CISO, представляющими различные компании и сектора российской экономики. У нас был всего 1 час на дискуссию и мне, как это часто бывает, не удалось расспросить коллег обо всем, о чем я хотел. Но на многие вопросы коллеги все-таки ответили и я […]

На этой неделе, а именно завтра, пройдет и вспомнил я тут недавно одну дискуссию о том, кто такой CISO и сколько вообще CISO может быть в организации. Последний вопрос, вроде бы имеет один и очевидный ответ, но это поверхностная точка зрения. Дело в том, что мы привыкли к работе в небольших компаниях, в которых действительно […]