Самый тяжелый груз для CISO — не критические уязвимости или падающие серверы. Он — двойная ответственность: за то, что вы делаете, и за то, что вы не можете сделать по причине бюджета, команды или просто времени. Внутренняя война за ресурсы становится более истощающей, чем внешняя. https://seberd.ru/4247 Не только внешние угрозы Когда думают о задачах руководителя … Читать далее
«Проблема демаркации, это вопрос о том, где проходит граница между наукой и псевдонаукой. В IT-безопасности эта граница размыта как никогда. Мы окружены практиками, которые выглядят научно, но при ближайшем рассмотрении оказываются ритуалами, основанными на вере, а не на доказательствах. Это не просто академический спор — от этого зависит, на что мы тратим бюджеты и какую … Читать далее
CISO, это чаще не про безопасность. Это про управление рисками, которые выходят за пределы технологий. И в конечном счёте — о легитимности бизнеса в глазах государства и партнёров. Что такое CISO в реалиях российского бизнеса В российских компаниях роль CISO часто путают с руководителем отдела информационной безопасности. Это разные позиции, и разница не в зарплате, … Читать далее
Когда CISO просит удвоить бюджет, это не всегда попытка выбить деньги. Часто это сигнал о том, что компания годами недофинансировала безопасность, и теперь цена догоняющего развития стала астрономической. Вопрос не в том, верить или нет, а в том, как отличить обоснованную необходимость от тактики запугивания. https://seberd.ru/4249 Почему CISO просит больше денег: пять реальных причин Запрос … Читать далее
Защиту, которую не видно, сложнее всего продать. ROI в информационной безопасности, это не калькуляция прибыли, а стоимостное обоснование управления рисками. Когда инцидентов нет, вы доказываете ценность не по факту, а через предотвращённый ущерб. Ваша задача — перевести тишину на терминале SOC в финансовые аргументы, которые поймут в финансовом департаменте. https://seberd.ru/4028 Почему ROI в информационной безопасности … Читать далее
«Многие воспринимают соответствие требованиям ФСТЭК и 152-ФЗ как финансовую пропасть, которую можно пересечь, только закупив лицензии и наняв армию аудиторов. Но основная уязвимость, это не отсутствие дорогих решений, а непонимание собственной инфраструктуры. Этот рассказ о том, как минимализм, фокус на процессах, а не на бумагах, и использование встроенных возможностей могут дать больше, чем самые дорогие … Читать далее
«Если руководителю не говорят на языке денег, убытков и репутации — ИБ для него остаётся «технической магией», которую всегда можно отложить. Главное — объяснить не почему нужен ИБ, а почему совет директоров не может позволить себе его отсутствие.» Совет директоров смотрит не на технологии, а на риски Обычный разговор специалиста по информационной безопасности с советом … Читать далее
“Спросить «сколько процентов бюджета на ИБ» — как спросить «сколько мне нужно лекарства». Без диагноза — ответ бесполезен. Главный вопрос не «сколько», а «что именно» и «зачем». Процент от IT — не цель, а побочный продукт продуманной стратегии.” Миф о волшебной цифре В мире, где многое измеряется метриками и процентами, возникает естественное желание найти универсальный … Читать далее
«Планирование бюджета на безопасность, это не попрошайничество, а обсуждение стратегических рисков. Ваша задача — сменить парадигму: это не затраты на ИТ, а инвестиции в операционную непрерывность, репутацию и выполнение обязательств перед клиентами. Аргумент ‘компании не было среди пострадавших’ умирает после первой серьезной атаки.» Почему совет директоров не даёт деньги на безопасность? Предложение о финансировании кибербезопасности … Читать далее
«Действительно страхуем киберриски или выписываем плацебо с тысячей исключений? В основе неполноценности современной киберстрахования лежат две фундаментальные экономические ловушки — неблагоприятный отбор и моральный риск. Они не просто искажают премии, а системно превращают полис в документ, который помогает виновным оставаться безнаказанными, а добросовестных ставит в проигрышное положение. Разбираемся, почему так, и можно ли это исправить.» … Читать далее