Начинаешь с пяти человек и чувствуешь, что все держится на доверии и общих чатах. Задачи решаются за пятнадцать минут, контекст передается устно, роли перетекают друг в друга. Система работает на честном слове и энтузиазме. Потом добавляете десятого сотрудника, и привычная магия рассыпается. Синхронизация требует все больше встреч, важные сообщения тонут в потоке уведомлений, а новые … Читать далее
Аудит облачной инфраструктуры, это не сканирование уязвимостей, а проверка архитектуры на соответствие реальным угрозам и регуляторным требованиям. Он начинается с карты того, что ты считаешь своей безопасной средой, и заканчивается обнаружением разрыва между декларацией и фактическим состоянием. https://seberd.ru/5031 От модели угроз к плану аудита Первый шаг — формализация модели угроз. В облачной среде это не … Читать далее
«Резервная копия, это не файл на диске, а процесс, который завершается только успешным восстановлением. Тестирование этого процесса — единственный способ превратить абстрактную «гарантию» в реальную уверенность. В российском контексте, где требования регуляторов к доступности и сохранности данных ужесточаются, регулярная валидация восстановления становится не просто best practice, а обязательной частью эксплуатации». Почему тестирование восстановления важнее создания … Читать далее
«Компании не выбирают сценарий развития — они в него попадают. ИБ, которая не понимает, в каком сценарии находится бизнес, обречена на конфликт с руководством и бесполезные траты. Есть три базовых состояния, и для каждого — своя логика защиты.» Сценарий 1: Выживание. Когда каждый рубль на счету Это состояние, в котором находится большинство малого бизнеса и … Читать далее
Правовое регулирование bug bounty programs Если вы занимаетесь информационной безопасностью или разработкой, вам наверняка встречались объявления о программах bug bounty — публичных приглашениях от компаний для поиска уязвимостей в их продуктах и сервисах с обещанием вознаграждения. Кажется, это отличный способ повысить безопасность и создать позитивную репутацию. Однако попытка поучаствовать в такой программе может обернуться неприятностями. … Читать далее
У страха большие глаза, и есть кто-то, кто их кормит. https://seberd.ru/4092 Мы привыкли думать, что тактика FUD (Fear, Uncertainty, and Doubt) – это лишь дешевый инструмент маркетинга конкурентов, чтобы подорвать доверие к продукту. Но сегодня это не просто спекуляции на человеческой тревожности; это хорошо организованная, часто легальная, многоуровневая экономика. Целые отрасли – от аналитических центров … Читать далее
Обсуждение того, под чьи интересы на самом деле пишутся некоторые требования регуляторики в IT,, это не про заговор, а про естественный анализ эффектов от норм. Требования по защите информации часто создают победителей и проигравших на рынке — иногда предсказуемо, иногда неожиданно. От целей государства к выгодам конкретных игроков Когда говорят о национальной безопасности в IT, … Читать далее
“Сократить проверки на 70%, это не про оптимизацию ради галочки. Это фундаментальный пересмотр подходов к безопасности в условиях тотального дефицита кадров и ресурсов. Сегодня это единственный способ выполнить требования, не разорив бизнес.” Кейсы компаний, которые сократили проверки на 70% Тема сокращения рутинных проверок безопасности в IT-среде часто вызывает скепсис. Снижение объёма контроля воспринимается как ослабление … Читать далее
Внутренние SLA, это способ превратить информационную безопасность из функции-надзирателя, которая всегда говорит «нет» и тормозит, в предсказуемый бизнес-сервис. Они переводят работу из поля хаотичных просьб и взаимных претензий в плоскость ясных договорённостей, где обе стороны и ИБ, и бизнес — знают правила игры. В итоге служба ИБ перестаёт быть пожарной командой и начинает заниматься тем, … Читать далее
Противоположность текущей реальности — не децентрализация как мода, а централизация как аномалия. Мы живём в перевёрнутом мире и считаем его нормой. Что, если архитектура доверия, заложенная в блокчейн, стала бы основой протокола, а не надстройкой? https://seberd.ru/4132 Интернет, каким мы его не знаем Современный интернет, это результат компромиссов середины прошлого века. Его основа, протокол TCP/IP, была … Читать далее