«Попытка заблокировать личную почту для защиты данных, это классическая ошибка. Обычный ответ ИБ-специалиста: поставить запрет. Но если копнуть глубже, окажется, что сама проблема — не утечка данных, а неэффективные бизнес-процессы. Сотрудники не сливают файлы, они просто работают. И задача ИБ — не ставить заслоны, а дать им нормальный инструмент.» Почему все закручивают гайки Сценарий знаком … Читать далее
"Интервью на 40 минут — не о проверке знаний, а о проверке мышления. Формулы, шаблоны и тестовые задания создают иллюзию объективности, но на самом деле отсеивают людей с нешаблонным мышлением. Вместо этого можно задать три вопроса и слушать — как кандидат видит проблему целиком, куда смотрит, как строит рассуждения." Зачем это кому-то нужно Стандартный рекрутинговый … Читать далее
«Безопасность часто обсуждают в категориях затрат, но это ошибка фрейминга. Настоящий вопрос — не «расход или инвестиция?», а «на что именно вы тратите деньги и что получаете в ответ?». Большинство видит только счёт на оборудование и зарплаты, пропуская неочевидные, но критические потери от *отсутствия* вложений: упущенную выгоду, рост операционных расходов при каждом инциденте и фундаментальное … Читать далее
«Многие воспринимают соответствие требованиям ФСТЭК и 152-ФЗ как финансовую пропасть, которую можно пересечь, только закупив лицензии и наняв армию аудиторов. Но основная уязвимость, это не отсутствие дорогих решений, а непонимание собственной инфраструктуры. Этот рассказ о том, как минимализм, фокус на процессах, а не на бумагах, и использование встроенных возможностей могут дать больше, чем самые дорогие … Читать далее
«Национальная стратегия США в области кибербезопасности, это не просто набор планов. Это сложный механизм, который перераспределяет финансовые и кадровые риски, заставляя негосударственные структуры самостоятельно решать задачи, ранее считавшиеся прерогативой государства, под прикрытием ‘партнёрства’ и ‘сотрудничества’.» Эволюция подхода: от прямой защиты к распределённой модели До середины 2010-х годов официальные документы по стратегии кибербезопасности в США были … Читать далее
Мы выстраиваем кибербезопасность как оборону от собственных сотрудников, но при этом с распростёртыми объятиями впускаем в самое сердце инфраструктуры код и устройства, чью внутреннюю кухню мы не знаем. Это парадокс, который делает всю концепцию Zero Trust уязвимой в самой своей основе. https://seberd.ru/5697 Двойной стандарт: пользователь vs. вендор Zero Trust, это не просто модный термин, а … Читать далее
«Если руководителю не говорят на языке денег, убытков и репутации — ИБ для него остаётся «технической магией», которую всегда можно отложить. Главное — объяснить не почему нужен ИБ, а почему совет директоров не может позволить себе его отсутствие.» Совет директоров смотрит не на технологии, а на риски Обычный разговор специалиста по информационной безопасности с советом … Читать далее
«Ошибка многих специалистов по ИБ — считать, что риски передаются сами собой, как цифры в таблице. Между ними и решением стоит толстый слой психологии. Лучшие риски не те, что посчитаны, а те, что поняты и повлияли на поведение.» Почему специалист по ИБ должен разбираться в фрейминге В российской регуляторике, особенно в рамках 152-ФЗ и требований … Читать далее
Профессиональный мониторинг угроз, это не привычка открывать нужные вкладки по утрам. Это архитектурное решение: какие сигналы вы хотите получать, с какой задержкой, в каком формате и что вы будете с ними делать. Специалист, который читает всё подряд, тратит больше времени на фильтрацию шума, чем на реакцию. Специалист, который не читает ничего, узнаёт об атаке из … Читать далее
«Если документ становится священным, это признак, что он мёртв. Живая стратегия выглядит как рабочий файл, а не музейный экспонат». Внутри компаний, особенно в IT-секторе, зарегулированном требованиями 152-ФЗ и ФСТЭК, стратегические документы превращаются в ритуал. Их создают раз в несколько лет большой рабочей группой, утверждают у высшего руководства, после чего кладут в сейф или загружают в … Читать далее