наука
Бизнес
Тезис о том, что качественное и защищенное ПО лучше наколеночных и дырявых поделок мало у кого вызывает сомнение. Как минимум на уровне восприятия. А вот вопрос о раскрытии информации об уязвимостях в ПО (Vulnerability Disclosure) регулярно вызывает дискуссии на различных конференциях и страницах профессиональной прессы. Раскрывать или нет?
Фундаментальный вопрос: «Как я, человек, могу доверять информации, получаемой из Интернет?» Я читаю статью на Википедии. Как я могу доверять ее содержимому? Мы должны доверять человеку, который написал эту статью, компьютеру, который хранит этут статью, каналу связи, по которому эта страница поступает читателю, и, наконец, компьютеру, который
Последние авиакатастрофы в России напомнили мне давнее исследование министерства транспорта США (может и у нас такое есть, но с публичностью таких документов в США на несколько порядков получше будет) «Система классификации и анализа человеческого фактора» (The Human Factors Analysis and Classification System —
Мероприятия
Сегодня, как оказалось, всемирный день отказа от автомобиля. И как предсказывалось пробок сегодня меньше не стало, а местами и больше. В прошлом году вообще в этот день было 10 баллов по 10-тибалльной шкале. А ведь дилемма заключенного это явление отлично объясняет. Если бы большинство автовладельцев действительно отказалось от поездок сегодня, то на дорогах было бы […
Разное
На прошлой неделе Брюс Шнайер дал ссылку на интересное исследование «Knowledge Sharing and Investment Decisions in Information Security«, которое продолжает тему инвестиций в ИБ. Я уже как-то обращался к этой теме и тогда мы говорили о применении теории игр в вопросах инвестирования в ИБ. В исследовании, на которое ссылается Шнайер, говорится еще обо одной задаче […
Психология
Брюс Шнайер опубликовал ссылку на интересное исследование «The Cultures of Risk Tolerance», которое показывает разницу в уровне терпимости к риску в разных странах и культурах. В исследовании приняли участие 4000 человек из 23 стран мира; Россия, к сожалению, в список не попала. Если сразу перейти к выводам, то уровень терпимости к риску достаточно высок в […
Для одной из своих презентаций по финансовой оценке ИБ по я подготовил такую картинку: Она позволяет взглянуть на информацию с точки зрения ее защиты. Далеко не всегда мы защищаем то, что имеет ценность. А часто мы защищаем то, что вообще является ценностью только в наших собственных глазах. И вот на днях я наткнулся на похожие […]
Честно говоря, мне казалось, что я за 4 года существования блога писал про концепцию DIKW. Но поиск по блогу показал, что эта тема была мной обойдена вниманием. Зато я про нее написал в большом материале на тему «Что должен знать ИТ-директор об информационной безопасности… в России». Сначала я писал его на английском (для своих заграничных […
Бизнес
При оценке эффективности ИБ (в т.ч. и с точки зрения экономики) обычно используют подход из теории принятия решения, аналогичный анализу рисков (в России используют только его). Идея проста — оцениваем риск в терминах вероятности его реализации и ущерба от него. Затем выбираем методы снижения риска (или принятия, или перекладывания), стоимость
Бизнес
Несколько лет назад я прочитал об одном методе оценки успешности инвестиций (ROI) в проекты по ИБ. Но т.к. я скептически относился вообще к ROI в области ИБ, то тогда не особо глубоко внимал в этот способ. Но тут недавно я столкнулся с примером его успешного применения и поэтому решил вновь вернуться к нему. Суть «проста» […]