«Репутация в ИБ, это не абстрактное понятие. Это конкретный актив, который можно измерить в деньгах, потерянных клиентах и годах восстановления. Некоторые компании, пережив кризис, становятся сильнее. Другие — исчезают с рынка. Разница не в масштабе скандала, а в том, что было сделано в первые 72 часа и в последующие 72 дня.» Что такое репутационный ущерб … Читать далее
«Когда речь заходит о кибератаках, все думают о русских хакерах. А самая дерзкая и хитрая операция в истории IT, которая навсегда изменила безопасность, прошла под китайским флагом. Она показала, что уязвим не пароль, а человек, который его хранит, и что можно взломать не сервер, а процесс разработки. Компании десятилетиями строили замки на дверях, пока противник … Читать далее
«Коллега, подключили облако в десять раз быстрее, чем строили бы свой ЦОД, но теперь мы открываем почту и на каждое второе письмо отвечаем «да, мы не поставляем ваши данные в Африку». Вот этим, третьим сторонкам, вы и занимаетесь». Поймём, что такое third-party risk management — не просто красивая англицизация, а то, что определяет, какой регулятор … Читать далее
“Синдром самозванца, это не про недостаток знаний, а про сломанную систему оценки в профессии, где реальность всегда за кадром. У специалиста по безопасности он становится инструментом контроля, потому что его работа — находить дыры в совершенных, на бумаге, системах.” Синдром без личности В IT-среде говорят о синдроме самозванца как о психологическом феномене: человек считает свои … Читать далее
«Бизнес-непрерывность, это не про то, как быстро починить сервер после сбоя, а про то, как не сорвать социальные обязательства перед миллионами людей. Для организаций, входящих в КИИ, это превращает технический регламент в государственную политику устойчивости. Цель — сохранить ключевые общественные функции даже под целенаправленным ударом по инфраструктуре.» Из чего состоит план непрерывности бизнеса? План непрерывности … Читать далее
“Верификация протоколов в интернете вещей, это проверка не на соответствие стандарту, а на наличие уязвимостей, которые стандарт предусмотреть не мог. Большинство атак на IoT идёт не через слабые пароли, а через логические ошибки в работе протокола, потому что тестировалось соответствие, а не безопасность. Мы тратим годы на сертификацию по формальным требованиям, а злоумышленник ломает систему … Читать далее
“Внутренняя коммуникация в IT состоит не только из почты и чатов. Её сложность часто недооценивают, особенно в компаниях с цифровым продуктом, где сотрудники и без того смотрят в экраны целый день. На самом деле, отлаженная система внутренних каналов, стендов и мероприятий напрямую влияет на скорость принятия решений и качество работы с данными, что критично в … Читать далее
«Аудит безопасности, это не про сборку инструментов в папку и не про заучивание стандартов. Это про создание юридически значимого процесса, где каждый запуск сканера и каждая проверка документа, это не просто активность, а доказательство. Доказательство того, что ваша система защиты не просто существует на бумаге, а реально работает и соответствует требованиям регулятора. Ключ — в … Читать далее
“Если мы хотим не просто вкатывать требования, а менять поведение людей и корпоративную культуру, то автоматизация проверок, это первый шаг. Второй, и главный, — сделать процесс интересным и понятным, а не скучным наказанием. Платформа awareness, которая превращает абстрактные политики в наглядные достижения и рейтинги, может быть этим инструментом.” От Compliance-принуждения к культурной интеграции Типичный путь … Читать далее
«Культура безопасности, это не то, что ты пишешь в политике, и не то, что говорят на планерках. Это невидимый и безжалостный механизм коллективного выбора, который в 90% случаев перевешивает формальные инструкции. Люди действуют по принципу ‘как тут принято’, даже если ‘принято’, это самая слабая ссылка в цепи. Формальные ИБ-отделы часто видят культуру как палку о … Читать далее