» Создание ещё одного формального документа для проверки — бессмысленная трата времени. Настоящая ценность политики ИБ не в её существовании, а в её способности менять поведение людей и систем, делая организацию по-настоящему устойчивее. Это достигается только тогда, когда документ перестаёт быть ‘политикой’ и становится сценарием, по которому работает каждый. Как внедрить политику, чтобы она работала, … Читать далее
Руководитель информационной безопасности в современной компании проводит большую часть времени не за настройкой SIEM-систем и DLP-решений, а за столом переговоров с ключевыми фигурами бизнеса. Его успех определяется не техническими навыками, а способностью находить общий язык с людьми, которые контролируют бюджеты, принимают решения и влияют на культуру организации. С кем разговаривает руководитель информационной безопасности ежедневно Заинтересованные … Читать далее
«Проблема не в том, что требования 152-ФЗ или ФСТЭК слишком дорогие. Проблема в том, что компании часто тратят деньги на то, что им не нужно, потому что не понимают, как работает регуляторика. Они покупают дорогие сертификаты, когда достаточно деклараций, внедряют системы, которые не соответствуют их реальным рискам, и платят консультантам за шаблонные решения. Результат — … Читать далее
«Незавершенность проектов, угасание энтузиазма, компромиссы из-за бизнеса — всё это редко выносят на сцену. Говорят о целях, молчат о подводных камлях на пути к ним. Итог: разрыв между красивой теорией и сложной, часто скучной, практикой. Статья — о том, о чём принято молчать.» Формула успеха vs. Формула провала Каждая презентация на сцене, это история о … Читать далее
"Кибербезопасность часто выглядит как формальное соблюдение правил, но её истинная природа остаётся спорной. Я считаю, что это нечто среднее между инженерной дисциплиной, прикладным мастерством и системой верований. Чем сильнее вы погружаетесь в тему, тем сложнее становится её определить". Кибербезопасность, это наука, искусство или религия? Как определить область, в которой инженерные расчёты сменяются интуитивными догадками, а … Читать далее
“Оценка угроз, это механизм перевода абстрактных списков опасностей в конкретные, осязаемые риски для вашей системы прямо сейчас. Это основа для любых осмысленных защитных мер, а не бюрократический ритуал.” Цель оценки угроз Главный смысл процесса — трансформировать общий перечень теоретических опасностей в конкретный список угроз, которые могут быть реализованы в вашей информационной системе в текущих условиях. … Читать далее
«В кибербезопасности этика, это не абстрактная философия, а практический инструмент для принятия решений в условиях неопределённости. Когда закон молчит или ведёт к провалу, на помощь приходят две философские системы, которые подсознательно управляют нашими решениями каждый день. Они не просто помогают выбрать между «можно» и «нельзя», но и показывают, как разные подходы к безопасности могут противоречить … Читать далее
«Communities of practice, это не просто клубы по интересам. Это механизм передачи того, что нельзя написать в документации: контекста, шаблонов мышления, культурных нормы в безопасности. Они определяют, какие угрозы ты видишь, какие инструменты ты считаешь нормальными, и какую часть риска ты готов игнорировать. Без них кибербезопасность становится набором процедур, которые можно пройти, но не понять.» … Читать далее
Многие думают, что защита данных начинается с антивируса, сложных паролей в облаке и хранения их в криптографически защищенных менеджерах. На практике всё решает то, что стоит у вас на столе или в серверной комнате. Обычные физические устройства, которые обрабатывают, хранят и передают информацию каждый день. Пока вы читаете это на ноутбуке, где-то в офисе принтер … Читать далее
“В индустрии информационной безопасности есть темы, которые редко выносят на публику. Это не сенсации о взломах, а фундаментальные проблемы самой системы: как сертификация превратилась в формальность, почему стандарты работают на бумаге, а не в реальности, зачем отчётность подменяет реальную защиту и как эта бюрократическая машина диктует рынку ложные приоритеты.” Сертификация: бумажная защита вместо реальной Получение … Читать далее