метрики

Вопрос с Security ROI возникает постоянно. Как по делу, так и в разного рода спекуляциях. И четкого ответа так до сих пор и нет. Я его тоже не дам 😉 Но можно поразмышлять — может что и родится в процессе. Начну с того, что оценка возврата инвестиций в ИБ не обязательно должна проводиться в форме […]

За последнее время наткнулся на несколько интересных документов по ИБ. Информацию о них я кидал в Twitter, но не факт, что все видели эти ссылки. Первый документ, а точнее его проект, подготовлен OWASP (The Open Web Application Security Project). Документ называется «Application Security Guide For CISOs» и это название говорит само за себя. Собственно сам […

К теме повышения осведомленности я обращался не раз. К теме оценки эффективности и измерению ИБ тоже. И вот решил я объединить их, тем более, что в курсе по измерению ИБ я эту тему освещаю. Как измерить эффективность программы повышения осведомленности? Очевидно, что не по посещаемости и не по отношению посетивших и не посетивших тренинги по […]

В апреле я уже писал про методику TEI от компании Forrester. В ней были объединены классические методики ROI и TCO, которые Forrester расширила рядом нововведений, позволяющих оценивать вклад и отдачу от внедрения ИТ и ИБ. В той же заметке я привел пример использования этой методики для оборудования Cisco. И вот на днях мы запустили онлайн-калькулятор […

Возвращался вчера из командировки и во время посадки листал журнальчик «Аэрофлот Style» за июль этого года. В статье, посвященной ценообразованию женских духов, наткнулся на замечательную фразу, которая отлично отражает ситуацию и при оценке экономической эффективности информационной безопасности: «Правда заключается в том, что никакой

В ноябре я выступал на InfoSecurity Russia с докладом об экономической эффективности ИБ. Во время сессии вопросов и ответов Женя Климов спросил меня, как оценивать сканеры безопасности? Тогда я четко ответить не смог, а сейчас смог подготовить некоторый ответ. Возьмем, к примеру, систему MaxPatrol от Positive Technologies. Это уже не простой сканер уязвимостей —

И вновь вернусь к этой животрепещущей теме 😉 Так и не выложил я реальные цифры по расчету ROI по методу Монте-Карло — руки все не доходят оформить это надлежащим образом. Но зато наткнулся неделю назад еще на одну статью, посвященную этому вопросу. А в статье дана ссылка на калькулятор ROSI (Return on Security Investment). Забавный […]

Есть такая практика — составлять руководства/каталоги/рейтинги ресторанов или отелей. Учитывая число посещаемых мной мероприятий мне впору начать вести свой рейтинг мероприятий с рассказом о том, что там хорошо или плохо. А теперь к обзору межотраслевого форума директоров по ИБ.Общее впечатление вполне себе положительное.

Несколько лет назад я прочитал об одном методе оценки успешности инвестиций (ROI) в проекты по ИБ. Но т.к. я скептически относился вообще к ROI в области ИБ, то тогда не особо глубоко внимал в этот способ. Но тут недавно я столкнулся с примером его успешного применения и поэтому решил вновь вернуться к нему. Суть «проста» […]

Я уже писал про ежегодный индекс заражения вредоносным кодом, предложенный компанией Cisco. Идея такого индекса понятна — отслеживать тенденции в области угроз ИБ. И вот новый проект от известного в области ИБ специалиста — Дэна Гира (совместно с Макулом Париком) — Index of Cyber Security. В отличие от иных, достаточно формальных методов