"Погоня за «корочками» в ИБ похожа на накопление валюты в нестабильное время — их ценность меняется в зависимости от того, какой коридор власти ты выбрал. Международный сертификат от (ISC)² сегодня, это знак принадлежности к старой гвардии, работавшей по глобальным лекалам. А сертификат учебного центра ФСТЭК, это уже не формальность, а паспорт в систему, где правила … Читать далее
Путаница между ИБ и кибербезопасностью — не просто спор о терминах. Это фундаментальный разрыв в понимании того, что именно мы защищаем. ИБ, это философия защиты информации как ценности, независимо от её носителя. КБ, это инженерная дисциплина по защите конкретной цифровой инфраструктуры от удалённых атак. Смешивая их, мы строим «непробиваемую» цифровую стену, оставив открытой калитку в … Читать далее
«Безопасность как техническая функция давно понятна. Почему же её постоянно откладывают? Дело не в лени разработчика, а в фундаментальном конфликте между работой, которая видна и приносит дивиденды, и работой, которая лишь предотвращает ущерб. Процесс разработки устроен так, чтобы поощрять прокрастинацию в отношении безопасности. Выход — не в новых инструментах, а в перестройке самих механизмов оценки … Читать далее
«Вместо того чтобы пытаться угадать единое значение риска, симуляция Монте-Карло показывает все возможные сценарии и вероятность каждого. Это перевод управленческих интуиций и разрозненных оценок на язык цифр, который понимают руководители и контролёры. Простейший инструмент для входа — Excel.» Чем простая оценка риска отличается от количественной В российской регуляторике по 152-ФЗ и требованиям ФСТЭК часто говорят … Читать далее
Мы защищаем не компьютеры, а организации, которыми управляют люди. Самая надёжная уязвимость, это наш собственный мозг, его паттерны и ошибки. Защита часто проигрывает не потому, что атака слишком изощрённая, а потому, что мы не замечаем очевидного. Психические паттерны на службе защиты Mental models, или ментальные модели,, это упрощённые представления о том, как устроен и работает … Читать далее
“Ты думаешь, что просто хранишь данные пользователей для удобства. На деле ты годами копишь бомбу замедленного действия, даже не подозревая о её размерах. Закон не прощает незнания.” Как тихий сбор данных превращается в грубое нарушение В российском IT принято считать, что персональные данные, это явно указанные ФИО, паспортные данные или номер телефона. Поэтому многие разработчики … Читать далее
«Если вы думаете, что штат ИБ, это просто вопрос бюджета, вы упускаете главное. Речь идёт о том, как превратить хаотичную нагрузку в управляемый процесс, где каждый человек не просто выживает, а приносит реальную пользу. Формула проста: не «сколько нужно», а «что должно делать» и «как это организовать». Всё остальное — следствие.» Почему «сколько человек» — … Читать далее
"Реестр данных, это не библиотечный каталог, который можно составить и забыть. Это инструмент управления, который работает только тогда, когда его информация используется для принятия решений, а сам он обновляется этими решениями. Его смысл не в том, чтобы быть точным, а в том, чтобы быть причиной действий." От статического учета к операционному ядру После первоначального заполнения … Читать далее
«Когда речь заходит о цене SOC, все считают железо и ПО. На деле это вопрос времени, квалификации и устойчивости процессов. Без них миллионы рублей превращаются в дорогостоящую игрушку для отчётов». Что мы считаем «нормальным» SOC? Прежде чем говорить о деньгах, нужно определить цель. «Нормальный» SOC в российском понимании — не столько технологический хаб уровня Голливуда, … Читать далее
«Если ваш план по информационной безопасности на пять лет, это просто документ, который будет пылиться в папке, а не живая карта действий, то вы не двигаетесь от рисков к контролю, а просто фиксируете проблемы на бумаге. Реальный переход начинается, когда вы перестаете описывать ‘что должно быть’ и начинаете определять ‘что мы делаем завтра, а что … Читать далее