«Построить СМИБ за полгода, это не проставить галочки в списке контролей. Это проявить железную дисциплину, чтобы отказаться от 90% «нужного» и добить до результата оставшиеся 10%. Это про то, как из одного работающего винта собрать двигатель, который потянет за собой всю махину» СМИБ, это не самописный Excel с оповещениями на почту и не «купили коробку … Читать далее
"Любое взаимодействие пользователя с системой, это компромисс между риском и простотой. Задача не в том, чтобы найти золотую середину, а в том, чтобы сделать этот компромисс управляемым и осознанным на архитектурном уровне." Кибербезопасность давно перестала быть проблемой исключительно ИБ-специалистов. Сегодня это вопрос дизайна продукта. Когда команды разработки стремятся создать максимально простой и интуитивный интерфейс, меры … Читать далее
“Мы строим крепости на песке и удивляемся, когда они рушатся. Вся современная парадигма кибербезопасности держится на вере в то, что вы можете проверить и защитить свой собственный дом, не зная, кто сложил кирпичи и какой раствор они замесили. Это иллюзия. Реальная безопасность начинается с понимания того, как всё устроено на свалке.” Фантомная безопасность и реальные … Читать далее
«Все угрозы кажутся удалёнными и цифровыми, пока однажды не обнаружится, что угроза встроена прямо в атомарную решётку кремния, который стоит в самом сердце вашей инфраструктуры. Это не ошибка, а проект, спрятанный в самой основе, и нет кнопки «откатить».» Атаки через supply chain на уровне железа Риски цепочки поставок в IT часто ограничивают обсуждение зависимостями в … Читать далее
«Курс по ИБ или регуляторике — не сборник инструкций. Это смена перспективы, которая перекраивает то, как ты видишь организацию. Ты начинаешь замечать не ‘проблемы с безопасностью’, а системные изъяны в управлении и коммуникации. Здесь не будет лёгких ответов — будет набор инструментов, чтобы задавать правильные вопросы.» Переход от тактики к архитектуре мышления Практик в области … Читать далее
«Метод быстрой расстановки приоритетов для бесчисленных поставщиков: вместо попытки глубоко проанализировать каждого, раздели их по двум ключевым осям — насколько критична их работа для твоей компании и насколько можно им доверять. Это займёт полчаса и спасёт от месяцев формального отбора.» Что такое матрица критичности и зрелости и почему она нужна Каждая компания работает с десятками … Читать далее
«Эталонная архитектура, это не просто список требований, а карта, которая показывает, как соединить регуляторные точки контроля с реальной инфраструктурой, чтобы получилась не просто отчётность, а рабочая система. Она превращает абстрактные ‘должно’ в конкретные ‘как’.» Что такое эталонная архитектура и зачем она нужна В российском ИБ-контексте под эталонной архитектурой понимают не идеальную абстракцию, а практический каркас, … Читать далее
“Структура команды ИБ на 15–30 человек, это поиск компромисса между глубиной специализации и постоянным риском превратиться в команду всезнаек и всёдел. Чтобы не стать узким местом и не потерять экспертизу, нужно делить обязанности по сферам влияния, а не по спискам задач. Здесь я покажу, как разделить GRC, архитектуру, операционную безопасность и Red Team так, чтобы … Читать далее
«Многие ошибочно полагают, что стратегия кибербезопасности, это документ для проверяющих органов. На деле это внутренний компас, который помогает не просто тратить бюджет, а осмысленно двигаться от текущего состояния к целевой архитектуре, прозрачно для руководства. Главная ловушка — начинать со списка закупаемых средств защиты.» От реактивной тактики к системному подходу Типичная картина в российских организациях среднего … Читать далее
Вы когда-нибудь задумывались, почему в одних компаниях CISO сидит на совете директоров и распоряжается бюджетом в миллиарды, а в других его вызывают только после инцидента? Ответ не в технических навыках руководителя и не в размере компании. Ответ в зрелости функции информационной безопасности. Эта метрика влияет на всё: от вашего оклада до доверия генерального директора. Зрелость … Читать далее