1807
Чат для обсуждения DevSecOps и постов канала @sec_devops Вакансии: @appsec_job Услуги: https://radcop.online/
Мне вспоминается Maersk
Читать полностью…
Положено, руководство слышало про репутационные риски, значит надо защищаться, то что нет института репутации в расчет не берётся, особенно это смешно слышать от монополистов
Читать полностью…
Так это же и плохо. Это значит, что модель рисков слизали с какой-нибудь европейской шаражки и без оценки натянули. Зачем тратить кучу денег на защиту, если риска нет?
Читать полностью…
вот именно, тогда простите, но нихуя не работает
Читать полностью…
При переходе на отечественные решения это не работает, стоимость выше, качество ниже, поддержка хуже
Читать полностью…
Так защищаться от него всё равно не перестают
Читать полностью…
Каждый раз читаю и смешно: везде пытаются натянуть репутационные риски и потом переживают, что у нас они не работают) может радоваться нужно, одним риском меньше?
Читать полностью…
А что с ними? Риск реализовался. Могли бы быть какие-то репутационные потери, но какая репутация в РФ)) Есть финансовые потери, а если не было простоя то дополнительных денег бизнес бы из-за ИБ всё равно не получил
Читать полностью…
Вспомни Cdek, Аэрофлот , у меня есть личный пример небольшого банка из Швейцарии….
Читать полностью…
Вроде давно уже понятно что ИБ не зарабатывает деньги, максимум может сэкономить
Читать полностью…
Кажется, это тот самый момент, когда новые затраты можно будет обосновать через value add. Мы потратим 1 денег, но заработает 3х денег. отличный аргумент для затрат
Читать полностью…
Вот этот пример, Вами приведенный, да, пожалуй, и любой иной, можно развернуть в любую сторону.
Например, изначально все ходили на разрегулированных движках. "Стахановец" свой отрегулировал, показал товарищу, получили они результат. Прочие - забили болт: "И так сойдет!", и продолжали выплескивать ведро бензина на 100 км (образно). Нормы снизили.
А вторые персонажи, вместо того, чтобы движок подкрутить, продолжают... И получают штрафы.
Я так полагаю, всё правильно и закономерно.
Если она есть у тех, кто профукал сроки - и вообще эти люди есть
Читать полностью…
Зачастую ещё и аферу какую-нибудь, типа рязанского чуда или хлопкового дела
Читать полностью…
Вот и будут 2 стахановцев за 20 человек работать, пока инфаркт или инсульт не словят, даже в отпуск съездить не успеют
Читать полностью…
лично я за то, что надо делать хорошо, если что - и иб это часть этого хорошо. Но когда глядишь на то, что происходит вокруг - начинает казаться, что ты Дон Кихот
Читать полностью…
учитывая скандалы на масштабе компаний
- bp - разлив нефти в Мексиканском разливе
- дизельгейт
- боинг
- проче прочее прочее
- убийство (?) сотрудника OpenAI - просто офигеннейшнее интервью у Такера Карлсона с Семом
а иб - симулякр, лишь бы директор не сел в тюрьму, а пошел админ Вася
Читать полностью…
Виновных наградить, непричастных наказать, как-то так работает
Читать полностью…
И кто нибудь понес ответственность ? Если нет - мертвому припарки. В вашей рисковой модели дыра
Читать полностью…
- снижение операционных расходов (поддержка)
- снижение потребление ресурсов (файнтюнинг) - возможность утилизировать железо
Каждая сэкономленная копейка ~ заработанная
Ну да, репутация в рф это что-то сферическое в вакууме, а вот есть затраты в производстве как товара так и услуги, например автотранспорт как свой или наемный, офис, рейд5 вместо страйпа в сервере, уборщица, чоп на входе, вот к таким расходам можно относите кибербез.
Просто у айти специальностей нет ограничения полета фантазии в необходимости мер, это к строителя есть четко посчитанный объем кирпича на стену с небольшим запасом на бой, а у нас в АйТи фантазию и попытки придумать велосипед часто не остановить
Мне кажется мы уже немного в другую плоскость перешли (тут разговор уже больше про управление ожиданиями от ИБ)
Еще пару комментариев:
- Не нужно сразу пытаться сделать космолет, добавочную ценность сразу дать не получится, это разговоры, которые появляются с ростом уровня зрелости ИБ
- Никто не говорил что это сделать просто (такие изменения mindset могут занять несколько лет), но для этого компания как раз и нанимает CISO (чтобы проводить такую трансформацию, управлять ожиданиями и т.п)
Скорее про закрытие рисков
Читать полностью…
А когда мы потратим много, чтобы сделать безопаснее безопасность, то сомнительно
Читать полностью…
А, если в общем, то музыка эта вечна: ещё году так в 2008-м, довелось мне доказывать, что банковская иб, каковую я тогда возглавил, нужна, и нужна не менее, чем, допустим, вооружённая охрана при службе инкассации (кстати, пришлось и этими вопросами заняться однажды :) )
Пришлось на пальцах пояснять, что "ничего ведь не случилось?" - это не потому, что жуликам не интересно, а потому, что рядом деньгами ходит хмурый дядя с "Сайгой" / добрый ибшник с внедренным комплексом мер... :)
@Zhamet_m: user has been CAS banned
Читать полностью…
Ещё пример: у банка заканчивался срок аренды домена. По какой-то причине профукали: по регламенту за месяц до окончания должны были продлить, а оставалась неделя. Проблему подсветили, благодаря чему оперативно решили. Но, что с премией? Как оценивать? После окончания аренды домен сразу не выставляют на продажу, а дают ещё месяц. Правда, видимо, бизнес-процессы остановятся до момента оплаты домена - просто риск продажи домена другим лицам смягчается отсрочкой в месяц. Ну, и эта вещь была также найдена случайно безопасником, не входит в его обязанности. Мне кажется логичным выплатить премию из размера премии тех, кто профукал сроки.
Читать полностью…
То есть стахановцы делают плохо всем
Читать полностью…
Зависит от того, кто слушает и принимает решение
Читать полностью…