1807
Чат для обсуждения DevSecOps и постов канала @sec_devops Вакансии: @appsec_job Услуги: https://radcop.online/
понимаешь, если у тебя на рынке 10 сервисов - ты можешь сказать фи и уйти. А когда у тебя выбор из Яндекс Еды и что там второе... то п-ц
Читать полностью…
а у людей есть выбор?
Читать полностью…
что может быть более беспомощно, чем обосравшийся вендор ИБ
Читать полностью…
вопрос региона
где то страшно и репутация вниз
но когда обсираются ИБ вендоры даже, чёт не одного разорения не было
теряет, штрафы лютые, не? репутационный ущерб, но если ты уже монополист, то тебе тупо срать
Читать полностью…
Ну от утечек ПДн на текущий момент можно сказать бизнес ничего не теряет, хотя про их защиту больше всего кричат
Читать полностью…
По поводу светофоров, точнее стоимости желтых и красных. Вроде все понятно, есть риск-аппетит. Пока он не превышен, можно все и жёлтые и красные уровни риска ИБ принимать. Или в чем там конкретно проблема?
Читать полностью…
*Тут впрочем лучше первый том "Капитала" Маркса перечитать 😆
Читать полностью…
Но если вы - Владимир Высоцкий - то...
Читать полностью…
Ценность, а стоимость - это частный случай ценности)
Читать полностью…
Опытные в семантике товарище подъехали)
Читать полностью…
Ну вот допустим ISC2 Body of knowledge (CISSP) говорит, что security add value to entity assets. И это точно не джуны, а результат самой популярной систематизации ИБ с 1989 года =)
Читать полностью…
Мне кажется или в обратное верят единицы и джуны
Читать полностью…
Пост и доклады по ссылке отсутсвуют
Читать полностью…
"Суровые истины, о которых ваш CISO не скажет"
Сегодня мы делимся довольно провокационным постом, основанным на материалах доклада "Hard Truths Your CISO Won’t Tell You"🌶.
Автор рассматривает множество "темных сторон" ИБ, с которыми в некоторых случаях можно согласиться, а в некоторых — нет. Предлагаем вам ознакомиться с основными тезисами:
- Бизнес всегда будет важнее безопасности, независимо от того, какие приоритеты компании декларируют в своих публичных заявлениях о защите данных клиентов.
- Compliance поддерживает бизнес. Соответствие требованиям регуляторов всегда в приоритете, поскольку без этого бизнес часто не может функционировать (оставим в стороне мнение CISM, который рассматривает compliance как еще один вид риска).
- Опросники безопасности, используемые в B2B отношениях (TPRM), нередко основаны на вранье и предоставления ложной информации, чтобы вновь поддержать бизнес.
- Людям по своей природе сложно предсказывать и оценивать риски. Люди часто ошибочно полагают, что акулы опаснее бассейнов, хотя статистически больше людей погибает именно в бассейнах. Почему тогда мы берем риск-ориентированный подход за основу? Соответственно, так как безопасность строится на оценке абстрактных рисков, её можно скорее отнести к творчеству, а не к точным наукам.
- В информационной безопасности многое построено на светофоре - приоритизации по категориям критичности (critical, medium и т.д.). Но до сих пор нет однозначного понимания, как правильно работать с этими категориями. Два «желтых» риска — это лучше или хуже, чем один «красный»?
- Безопасность поглощает бюджеты под предлогом "минимизации рисков", но насколько это эффективно, никто не может точно оценить.
- Нет гарантии, что безопасность действительно сработает там где надо и поможет избежать серьезных последствий. Стоит ли компании ожидать утечки? (непонятно). Достаточно ли количество людей в безопасности или нужно больше/меньше? Все ли мы делаем правильно? Как оценить изменение в безопасности, если мы оставим только 1/5 команды ИБ?
- Влияние инцидентов на акции компаний минимально. Статистика показывает, что большинство компаний восстанавливаются через 2-6 месяцев после утечек данных.
- Защита данных потеряла свою значимость. Рынок дата-брокеров, торгующих информацией о людях, продолжает расти, а стоимость персональных данных составляет в среднем 0.00005$ на человека.
- Безопасность часто опирается на менеджеров среднего звена, которых не воспринимают всерьез. Аналогично руководство компании и разработчики предпочитают не уделять этому внимание, поскольку ROI от вложений в безопасность остается невысоким.
- Закупки решений ИБ часто базируются на личных связях CISO с основателями компаний, инвесторами и других неформальных факторах, далёких от рациональных обоснований.
- Большинство моделирований угроз неэффективны. Разработчики ненавидят этот процесс, а архитектура может измениться на следующий день после проведения моделирования — и вы об этом даже не узнаете.
- Сообщество специалистов по информационной безопасности выделяется своей сплоченностью на фоне общей борьбы против "них" - групп преступности.
- Все больше профессионалов ИБ понимают бизнес и начинают менять устаревшие парадигмы.
- Информационная безопасность медленно, но верно развивается и начинает напоминать точную науку.
- Разработчики также стремятся делать все правильно, и в условиях дефицита кадров волей-неволей "перехватывают на себя" все больше функций и задач ИБ.
вот и я том же, просто кек пуньк среньк да акции упали, но компания жива и работает, никто не отказался от ПО
Читать полностью…
Не в РФ, да и вообще думаю институт репутации сильно преувеличен - люди перестали заселяться в отели, которые допустили утечку данных? Или летать авиакомпаниями? Или пользоваться банками или Яндекс едой?
Читать полностью…
пока только обсуждения второй год
Читать полностью…
в рф, кстати, ситуация меняется к лучшему - штрафы растут
Читать полностью…
От этого критического урона не получишь,
А вот от простоя бизнеса — вполне можно
До тех пор пока бизнес без маломальского наличия этой самой ИБ не начнёт терять деняки
Читать полностью…
Согласен, что ИБ не нужно бизнесу и всегда это заявляю
Читать полностью…
Так что ценность и стоимость - это связанные понятия, и ценность - более общий и универсальный объект, а стоимость - это финансовое измерение ценности (т.е. частный случай, т.к. в некоторых этиках деньги вообще не важны/или их нельзя использовать для измерений).
Читать полностью…
машина, в которой вы с семьей ездили на отдых, ценна лично для вас потому что "воспоминания", но этот факт никак не роялит при продаже машины. там надо, чтобы "не битая, не крашеная и коврики чистые"
Читать полностью…
На конференциях, тоже говорят, как всех победили и отбили
Но реальность другая
Сложно верить в то, на что кладут часто болт
Стоимость или ценность ? :)
Читать полностью…
А так: https://www.slideshare.net/slideshow/hard-truths-your-ciso-won-t-tell-you-pdf/271536326 ?
Читать полностью…
Да. Слайдшаре купили линкедин, а он уже давно только через впн
Читать полностью…
Как раз с положительными моментами сложнее всего согласиться) в остальном - да, так и есть. ИБ - это не главная и единственная сфера, как бы нам этого ни хотелось, а лишь одна из функций бизнеса, позволяющая этому бизнесу достигать своих целей.
Читать полностью…
аха
последний уже смотрю
спасиб