Неуместная архивность — ловушка для операторов персональных данных: мы сохраняем данные из-за инерции мышления и страха, вместо того чтобы планомерно уничтожать то, в чём нет законной надобности. От сбора к осознанию масштаба Большинство организаций начинает работу с персональными данными не с определения их конечного срока жизни, а с бессистемного накопления. Приходит новый клиент — заводится … Читать далее
«Каждый раз, когда мы подписываем документ в PDF, мы видим конечный результат — текст на виртуальной странице. Но на самом деле там может лежать целая база данных — журналы редакций, комментарии, следы удалённых строк, из которых можно восстановить историю переговоров, финансовые поправки и внутреннюю оценку контрагента. И всё это остаётся в документе после подписания». PDF, … Читать далее
«Кибербезопасность, это не наука о фактах, а искусство управления неопределённостью. Мы строим оборону в среде, где противник сознательно скрывает свои возможности, а наши собственные системы слишком сложны, чтобы их до конца понять. В результате мы вынуждены принимать решения, опираясь не на железобетонные истины, а на вероятности, интуицию и, да, мнения. И это не признак слабости … Читать далее
«Термины в ИБ, это не просто словарь, а карта реальных угроз и обязательств. Их понимание определяет, будет ли ваша защита формальной или работающей.» От слов к действию: почему термины, это основа В сфере информационной безопасности термины часто воспринимаются как бюрократическая необходимость, набор аббревиатур для заполнения отчётов. На практике они формируют общее смысловое поле для специалистов, … Читать далее
«Большинство воспринимает личный бренд в ИБ как саморекламу или ‘продажу’ себя в соцсетях. На деле это системная работа по структурированию и упаковке своих компетенций, создающая профессиональную репутацию. Это не про то, чтобы стать инфлюенсером, а про то, чтобы стать надежным источником знаний и действий для узкого круга, который принимает решения». От профиля на hh.ru до … Читать далее
«Каждый разговор в кухне с сотрудниками, это уязвимость, но чтобы взлом начался через кофемашину, нужно понять, как интернет вещей стал частью систем, которые мы защищаем по ФСТЭК и 152-ФЗ. Умные устройства пока никто не считает защищаемой информацией, но их можно использовать не для кражи документов, а для анализа поведения сотрудников перед ключевыми событиями.» Что такое … Читать далее
Большинство специалистов слышали про COBIT, но многие считают его чем-то далёким и бюрократичным, вроде «свода требований от международных аудиторов». На самом деле, COBIT, это не столько набор требований, сколько структурированная логика принятия решений, которая помогает связать технические задачи информационной безопасности с управленческими целями бизнеса. В российской регуляторике, где часто приходится «подгонять» процессы под ФСТЭК и … Читать далее
«Информационная безопасность часто представляется сугубо национальным делом — наши регуляторы, наши законы, наши сертификаты. Это заблуждение, которое может стоить дорого. Цифровая инфраструктура не знает границ, а требования для выхода на глобальный рынок формируются в Женеве, Сингапуре и Брюсселе. Игнорировать это — значит сознательно ограничивать свой бизнес и технические возможности.» Внешний контур: глобальные игроки и стандарты … Читать далее
«Регуляторные сценарии часто кажутся абстрактными, пока в почте не появляется письмо с требованием объяснить утечку, найденную в открытых источниках. Но самая большая ошибка — попытаться сразу доказывать свою невиновность. Первый шаг — зафиксировать доказательства того, что произошло снаружи, и только потом разбираться, имеет ли это отношение к вам». Как выглядит инцидент Не нужно представлять утечку … Читать далее
Пароли, это трещина в фундаменте вашей безопасности, а менеджеры паролей и политики Active Directory — лишь заплатки. Настоящая проблема глубже: мы пытаемся управлять тем, что по своей природе неуправляемо — человеческим фактором в условиях устаревшей парадигмы аутентификации. Парольная аутентификация остаётся основным механизмом контроля доступа в большинстве корпоративных систем. В России требования ФСТЭК и 152-ФЗ напрямую … Читать далее