Чтобы получить бюджет на безопасность, недостаточно говорить на языке угроз. Нужно говорить на языке денег. Но деньги требуют точных цифр, а в безопасности их почти никогда нет. ROSI и другие методы, это не калькуляторы для поиска истины, а набор линз, через которые можно показать руководству, как снижение рисков превращается в реальную экономию или избежание убытков. … Читать далее
«Spillover effects, это не просто побочный эффект от вложений в защиту. Это фундаментальный сдвиг в том, как мы оцениваем ценность кибербезопасности. Речь не о защите одной системы, а о создании иммунитета для всей экосистемы, когда инвестиции в одного участника повышают устойчивость всех остальных, даже если они сами не потратили ни копейки.» Что такое spillover effects … Читать далее
«Иногда самые сложные задачи — не поиск уязвимости или настройка IDS, а убедить руководство выделить на это деньги. Успех вашей инициативы по ИБ зависит не от качества технологии, а от качества её ‘продажи’ совету директоров. Я предлагаю готовый фреймворк коммуникации: от первого письма до итоговой презентации.» Зачем шаблонизировать коммуникацию с СД Любой специалист по безопасности … Читать далее
Нормальный бюджет на ИБ”, это один из самых туманных и бесполезных запросов. Вместо того чтобы искать готовый процент, нужно понять, почему вы вообще тратите на безопасность деньги и какие механизмы превращают эти расходы в выброшенные на ветер. Правда не в готовых цифрах, а в том, что большинство компаний тратят одновременно и слишком много, и слишком … Читать далее
“Инвестиции в безопасность, это не расходы, а страховка для бизнеса. Их сложно измерить в моменте, но легко оценить по убыткам, когда всё рухнет. Задача — не просто отчитаться о потраченных деньгах, а показать, что эти средства работают на сохранение стоимости компании, её репутации и будущих доходов. Это разговор не о технологиях, а о деньгах и … Читать далее
«Защищать бюджет на ИБ — значит вложиться не в технологии, а в язык, на котором CIO слышит бизнес-риски и окупаемость. Это игра на переводе с технического на финансовый.» Не в деньгах счастье, а в их количестве В классической формулировке, информационная безопасность, это обеспечение конфиденциальности, целостности и доступности информации. Для CIO эта формулировка звучит абстрактно и … Читать далее
«Процент от IT-бюджета на безопасность, это такая же грубая абстракция, как средняя температура по больнице. Она ничего не говорит о конкретном диагнозе и лечении. В российских реалиях, где регуляторная повестка ФСТЭК и 152-ФЗ накладывается на импортозависимые ландшафты и профильные угрозы, разговор должен идти не о проценте, а о цене управления конкретными рисками, которые бизнес не … Читать далее
«Дорогой виртуальный комбайн, это не показатель навыка. Чаще он маскирует непонимание, как всё работает на самом деле. Настоящая практика начинается с ограничений и умения обойти их. Бюджетная лаборатория не экономит деньги — она вынуждает думать, а не тыкать в кнопки. Это и есть настоящая подготовка». Минимальный бюджет, это философия, а не цифра Представьте, что вам … Читать далее
«Объяснить руководству необходимость бюджета на ИБ, это не про устрашение киберугрозами, а про управление рисками на языке бизнес-выгоды. Нужно перевести вопрос из категории «технические траты» в категорию «защита капитализации и репутации». Ключевая ошибка — говорить о технике. Ключ к успеху — говорить о деньгах, репутации и стратегической устойчивости». Стратегический фокус: от «стоимости» к «ценности» Разговор … Читать далее
«Проблема демаркации, это вопрос о том, где проходит граница между наукой и псевдонаукой. В IT-безопасности эта граница размыта как никогда. Мы окружены практиками, которые выглядят научно, но при ближайшем рассмотрении оказываются ритуалами, основанными на вере, а не на доказательствах. Это не просто академический спор — от этого зависит, на что мы тратим бюджеты и какую … Читать далее