метрики
Бизнес
Не смог не запостить еще и сюда 😉 Идет в LinkedIn дискуссия. Одна из многих. Местами жаркая. Обсуждаем, как водится, технический подход к ИБ и бизнес-подход. Доходит дело до отчета Digital Security о безопасности приложений для мобильного банкинга. И Илья Медведовский делает такое заявление: «Что касается мобилок, то в самих мобильных банкингах масса проблем и […
Стратегия
И вновь вернусь к одной из дискуссий, поднятых на форуме директоров ИБ. Была поднята тема измерения эффективности ИБ. Нередко упоминались метрики ИБ, KPI ИБ и т.д. Но… стоило копнуть глубже и тема сдувалась. Выступающие, как правило, приводили в пример простейшие метрики ИБ. Вроде времени реагирования на рассмотрение заявки на доступ к ресурсам. Правильная ли это […
Угрозы
Прошлая неделя прошла под знаком травли маководов. Эксперты обнаружили ботнет на 500 с лишним тысяч ПК с ОС MacOS. И началось… Особо преуспели фанаты Windows, которые наконец-то смогли оторваться на владельцах якобы невзламываемой ОС. Мне это напоминает известный конфликт виндусятников и линуксоидов, который не продолжается уже десятилетия и с
Бывший федеральный CIO США (главный CIO всех органов власти) Вивек Кундра как-то сказал: «Непрерывный мониторинг — основа истинной безопасности». И это действительно так. Внедрить системы защиты, настроить их, реализовать реагирование на инциденты… Это все хорошо, но недостаточно. Необходимо уметь оценивать текущий уровень ИБ
Разное
В мае прошлого года я писал про индекс кибербезопасности — проект, запущенный в марте 2011-го года. Прошел год. И можно подвест промежуточные итоги. Они говорят о том, что индекс растет, а значит растут и риски. За год рост составил 240 пунктов.
Считается, что здоровье не имеет цены и, следовательно, оценить ущерб от взлома медицинских систем очень сложно. Как оказалось это неверно. В презентациях по оценке ИБ я не раз приводил тезис о том, что самое важное в любом измерении — это определить объект измерения. Это половина успеха. В случае с ущербом медицинским системам ситуация аналогичная и […
Давеча столкнулся с очередной версией проекта нового стандарта ISO 27016 по организационной экономике ИБ. Стандарт ну очень достойный и нестандартный в своей нетехнической направленности. Начинается он со слов: «Успешное управление ИБ требует строгого понимания взаимосвязи технических (например, баланс рисков и безопасности) и экономических (например
Бизнес
Вопрос, вынесенный в заглавие поста, возникает на протяжении многих лет. В последнее время его пытаются освещать на различных мероприятиях по ИБ. В частности на DLP Conference эту тему поднимал я, а неделей позже на DLP Russia — Евгений Климов. Все сходятся на том, что нет общего языка между безопасниками и бизнесом (я про это еще […]
Стратегия
К теме измерения IdM-проектов я уже обращался не раз. Тогда (слайды 30-37 второй презентации) я рассматривал эту тему с точки зрения финансовой оценки эффективности проекта по внедрению системы идентификации, аутентификации и авторизации. Недавно я наткнулся на статью, в которой приводятся метрики, по которым можно оценить эффективность работающей системы
Стратегия
На позапрошлой неделе в FB с двумя бывшими коллегами из Информзащиты (оба MBA) спорили на тему — можно ли посчитать ROI для ИБ. Люди, прошедшие курсы MBA заявили, что все это фигня. Притянуть можно все угодно, хоть ROI, хоть WACC (хотя я недавно наткнулся и на упоминание использования WACC для ИБ). И даже если кто-нибудь […]