метрики

Была тут встреча с заказчиком, которому мы SOC помогаем строить. Ну и зашел разговор о метриках, всяких TTA, TTR, TTC и куче других, о которых мы большую выпустили на Хабре. Но… важный вопрос, который часто звучит после того, как компании определились с метриками, — как определить конкретные показатели для этих метрик, в частности для времени […

Если вернуться к заметке про результат решения по управлению уязвимостями, то я там упоминаю такой показатель, как TTX, то есть Time to Exploit или время на эксплуатацию уязвимости, который очень сложно измерять самостоятельно. Так как же его тогда оценивать, чтобы сравнивать с другим показателем (Time to Notify, TTN)? Увы, универсального источника данных нет —

Я думаю, вы видели классическую формулу, используемую при оценке рисков ИБ, которая путешествует из презентации в презентацию, из стандарта в стандарт: РИСК = ВЕРОЯТНОСТЬ * УЩЕРБ Если эксперты хотят блеснуть эрудицией, то они иногда еще говорят, что эта формула определяет математическое ожидание функции потерь вследствие принятия или непринятия неких решений.

Думаю, многие из вас если не знакомы с законом Гудхарта, то слышали его в переложении или сталкивались на практике с его проявлениями. Звучит он следующим образом: Наблюдение Гудхарта базировалось на том, что любая мера, становящаяся целью, становится объектом манипуляций; как прямых (фальсификация чисел), так и косвенных (активность исключительно ради

Ну что, завершаем серию заметок про то, как иностранные CISO ходят к топ-менеджменту, защищая себя, свои проекты, своих подчиненных, свои инициативы. На этот раз поговорим на мою любимую тему — о метриках, которые позволяют демонстрировать определенные достижения в области кибербезопасности. CISO из описываемых мной примеров в части применения

В прошлой заметке я писал про критическое мышление, которое помогает разбираться в правдивости получаемой нами информации и принятии решений на ее основе. Но, что если пойти чуть дальше, и попробовать поставить вопрос по другому, а именно: Можно ли количественно измерить уровень доверия к источнику информации? Например, если я подключаюсь к различным

Если не рассматривать крупные организации, службы ИБ которых насчитывают сотни человек, то в массе своей нам обычно не хватает людей на все наши хотелки и мы всегда чувствует дефицит персонала. И чем мельче компания, тем сильнее этот дефицит, который надо как-то закрывать. И когда ты приходишь к генеральному директору за одобрением новых ставок в штат […

 Несколько лет назад, а именно пять, я писал о том, как можно было бы облегчить жизнь с реализацией приказов ФСТЭК, внедрив неку/ю модель зрелости, которая бы позволила оценивать текущий уровень реализации требований регулятора и выстраивать некую дорожную карту достижения желаемого уровня соответствия. К сожалению, описанная мной тогда идея так

Каждый год многие, я так думаю, ставят перед собой какие-нибудь амбициозные цели, например, похудеть. Ой, что это я, мы же про безопасность говорим. Значит ставятся цели по ИБ. Допустим снизить число инцидентов в день с 23 до 18 или на 17%. Вроде бы красивая и нужная цель, но чтобы достичь ее, необходимо произвести ряд шагов. […]

Выборы президента США навели меня тут на рассуждения о том, как умело манипулируют цифрами то демократы, то республиканцы и как это похоже на то, что происходит в центрах мониторинга ИБ, а именно при визуализации ключевых показателей эффективности SOC. Аналогичные манипуляции используют и организаторы онлайн-мероприятий по ИБ, которые пытаются их продавать