15 сентября 2021 г.

Если бы отрасль кибербезопасности отвечала за прогноз погоды


 

Прогноз погоды — научно обоснованное предположение о будущем состоянии погоды в определённом пункте или регионе на определённый период. Составляется (разрабатывается) метеорологическими службами на основе методов метеорологии.

1 августа 2021 г.

Мой опыт состоит из того, на что я обратил внимание


ИБ в какой то степени является междисциплинарной областью изучения, поскольку это понятие относится сразу к нескольким областям знаний. Поделюсь своими впечатлениями о только что прочитанной книге - Джейсон Андресс. "Защита данных. От авторизации до аудита." Издательство "Питер", 2021.

29 июля 2021 г.

Роли в ИБ

 

Статья впервые была опубликована в журнале "Information Security/Информационная безопасность", №3, 2021.


Данный материал можно рассматривать как третью часть трилогии. Первые две назывались "Топ-менеджмент и ИБ: дружба поневоле" и "Business Information Security Officer – востребованный герой нашего времени".

23 июля 2021 г.

Учимся говорить на волшебном ибэшном

Волшебный ибэшный

Душный русский

Стать крутым спецом в ИБ

ИТ-инженер нашёл работу не по специальности

Разработать Стратегию ИБ в компании

Разработать презентацию по ИБ для руководства

Разработать с нуля всю нормативку по ИБ

Накопипастить шаблоны нужных документов по ИБ из Интернета

Заниматься повышением осведомлённости в вопросах ИБ у сотрудников

В должностных обязанностях указано проведение вводного инструктажа по ИБ для новых сотрудников

Настроить механизмы журналирования и аудита ОС

Настроить механизмы журналирования и аудита ОС, но ни разу не заглянуть в эти журналы

Внедрить метрики для контроля достижения целей и согласовать их с бизнесом

Согласовать с руководителем форму своего месячного отчета по ИБ о проделанной работе

Следить за индикаторами рисков ИБ

Готовить еженедельные отчёты наверх по рискам информационной безопасности

Иметь большой опыт работы в ИБ

Заниматься выпуском сертификатов открытых ключей для клиентов банковской системы ДБО

Проявлять лидерские качества и демонстрировать ответственное отношение к работе

Ответственно исполнять чужие распоряжения

Получать фидбек от руководителя

Получать нагоняй от шефа

Разработать авторские курсы по защите персональных данных

Собрать из материалов Лукацкого в Интернете свою презу

Бизнесу не нужны безопасники, ему нужны надёжные, безопасные ИТ-системы

ИТ-шники посылают ИБ лесом

Участвовать в челленджах по ИБ

Поддержать инициативу заокеанских безопасников #infosecbikini

Выступать на ИБ-эвентах

Задать вопрос выступающему на ИБ-конференции

Заслуженный ИБ-баттлер

Отраслевой неформал

Провести крутой семинар для дата–сайентистов

Забить встречу дата–сайентистов в такой дыре, куда даже сатанисты не поедут

Работать над получением сертификатов CISM, CISSP, CRISC и других

В очередной раз заняться английским

Иметь опыт проведения внешних аудитов и тестирования на проникновение

Запустить внешнее сканирование хоста без аутентификации

Иметь опыт проведения внутренних аудитов по информационной безопасности

Найти Excel-таблицу в DLP-системе с перечислением номеров выданных банковских карт

Осуществить заход в заказчика

Позвонить заказчику

Закрыть гештальт

Доделать свои косяки

Словить инсайт

Читать электронную переписку в DLP-системе

Участвовать во внутренних проектах по ИБ - аудит, консалтинг, проектирование, внедрение

Замещать своего ИБ-руководителя на время отпуска

Прокачать внутренние скиллы

Посетить вечеринку - #ПоИБэшечку

Токсичный сотрудник, инсайдер

Вредный сотрудник

Выходить из зоны комфорта

Все проекты по ИБ заморожены на неопределённое время

Внедрить Data-centric security

Купить DLP-систему

Замутить цикл вебинаров по ИБ

Замутить видеомарафон из решений вендоров

Серьёзно вложиться в своё ИБ-обучение

Скачать бесплатные курсы

Провести презентацию платного курса по ИБ

Запостить сообщение в Twitter

Найти в Интернете интересную статью по ИБ

Продвигать решения определённой ИБ-компании

Дать последний шанс тем, кто не успел подписаться на ваш платный канал по специальной цене

Никто не хочет платить за ваш контент

Взять интервью у ИБ-эксперта для своего блога

Испытывать затруднения в выборе тем для своего ИБ-блога

Хотелось бы видеть вашу реакцию на мой пост

Поставьте лайк, пожалуйста

Воспользоваться редкой возможностью заняться самообразованием

Сидеть без работы

20 июля 2021 г.

Хозяйке на заметку: Что общего между желанием выйти замуж, выбором избранника и аутентификацией*?


*Аутентификация - проверка подлинности


Подходы при использовании аутентификации субъекта, как и подходы к выбору избранника, называются факторами. Действительно, когда вы пытаетесь определить личность избранника с целью оценить его шансы на злоупотребление вашим доверием, вам, как и в случае с аутентификацией субъекта, нужно использовать как можно больше факторов. Чем больше факторов вы используете, тем более качественными будут: аутентификация субъекта - в одном случае, и ваш избранник - в другом. Разберём, что это за факторы.

11 июня 2021 г.

Трёхстраничная Политика ИБ для малого бизнеса

Общие положения

Настоящая Политика информационной безопасности (далее Политика ИБ) содержит рекомендации и правила, направленные на снижение рисков нанесения финансового ущерба организации и её репутации, умышленного или по неосторожности (халатности) разглашения информации, несанкционированное распространение которой запрещено законами Российской Федерации (далее - РФ) и внутренними нормативными документами организации (далее - защищаемая информация).

4 июня 2021 г.

Настоящий специалист по ИБ - это… Продолжение*.

*Начало здесь.

Все мы нуждаемся во впечатлениях и эмоциях. Поплакать над проблемами отрасли, поиронизировать над незадачливым ибэшником, помечтать под музыку телефонных звонков (если вы ещё в офисе). Давайте попробуем добавить юмора в наши будни.

20 мая 2021 г.

“Пропадай моя Телега все четыре колеса“ (русская пословица)


Из переписки в соцсетях:

Сейчас каналов по ИБ - вагон и Телега*“

Может стоит сделать еще и обзор telegram-каналов по ИБ?


*Под Телегой в данном материале подразумевается платформа Telegram - мессенджер и социальная сеть одновременно.


Описывать телеграм-каналы вообще и по ИБ, в частности, дело неблагодарное.

3 мая 2021 г.

Плач безопасника по ИБ. Продолжение.

 


Иллюстрация от Васи Ложкина (подпись "Регулятор" - моя)


Этот пост - продолжение мыслей, изложенных в блоге шесть лет назад в материале “Плач безопасника по ИБ”. Сразу признаем, что проблем с нормативным регулированием информационной безопасности в банковской сфере спустя шесть лет стало только больше.

1 мая 2021 г.

Про "дырявое" ИБ

Эпиграф

MFA не выдаст, Zero Trust не съест!


Испытание на профпригодность в ИБ похоже на средневековое испытание для женщин, подозреваемых в колдовстве. Их привязывали к стулу и бросали в воду: те, которые тонули, ведьмами не считались.

Так же и в ИБ: вас "привязывают" к имеющейся ИТ-инфраструктуре и "бросают в воду", если не повезло и вас взломали, вы - "дырявое" ИБ.

14 апреля 2021 г.

Обзор блогосферы #поИБэ. Пять лет спустя

Начало здесь.

Эпиграф

"Забил ключ, потёк ручеёк, зазмеилась речка" (Борис Акунин)



Начну с констатации того факта, что популярность блогов у интернет-аудитории со всей очевидностью снижается.

3 апреля 2021 г.

Что общего у аутсорсинга с брачным договором супругов?


Поговорим об аутсорсинге ИТ-услуг

Ветераны ИТ-индустрии до сих пор относятся к аутсорсингу с недоверием, предпочитая хранить все данные в собственной инфраструктуре и оставаться наедине со всеми возникающими проблемами (нехватка кадров, ресурсов, инструментов, знаний и навыков). Исторически российские компании выполняли бо́льшую часть ИТ-функций своими силами. Но пришло время пересмотреть взгляды на аутсорсинг ИТ-услуг.

Поделюсь в связи со сказанным возникшей у меня аналогией: аутсорсинг похож на брачный договор супругов, так как любой брак характеризуется своей степенью глубины и зависимости обеих сторон друг от друга.

1 апреля 2021 г.

Первоапрельский рассказ-фэнтэзи "Робоконь"

Попытка нарисовать картину мрачного будущего, изобилующего потенциальным злоупотреблением ИИ, потерей приватности и роботомании

30 марта 2021 г.

Business Information Security Officer – востребованный герой нашего времени

Статья впервые была опубликована в журнале "Information Security/Информационная безопасность", №1, 2021.

Проверка на читабельность текста выполнена с помощью сервиса PlainRussian.ru 


Как ИБ стать стратегическим партнёром бизнесу?

Основная цель процессов ИТ и ИБ в компаниях – это предоставление бизнесу оптимальных сервисов по обоснованной цене с учётом сопутствующих рисков. Управление этими рисками даёт бизнесу разумную гарантию, что не реализуется такой сценарий, который сможет существенным образом повлиять на достижение компанией стратегических целей. К сожалению, риски ИТ- и ИБ-риски во многих компаниях часто оказываются вторичными по отношению к бизнес-целям.

21 марта 2021 г.

Про "цифровой концлагерь"


События последних недель, связанные с соцсетью Twitter в России, и обоснование надзорных органов о причинах жёстких мер по отношению к Twitter и другим популярным социальным онлайн-платформам чем-то напоминают аргументацию автора публикации в "Литературной газете" от 5 апреля 1952 года "Кибернетика - "наука" мракобесов".

20 марта 2021 г.

Масштаб кибератак диктует потребность в новых компетенциях при управлении компанией


Предлагаемый материал можно рассматривать как продолжение статьи “Топ-менеджмент и ИБ: дружба поневоле“, в которой я, в частности, сетовал на отсутствие прямого представителя службы информационной безопасности в руководстве компаний. Очевидным кандидатом на эту роль можно рассматривать Business Information Security Officer (BISO).

18 февраля 2021 г.

Шпаргалка по выполнению требований Положения 684-П



Эпиграф

“Кто-то хитрый и большой наблюдает за тобой“
слова из песни группы “Чайф“


Банк России - как неизбежное добро


В настоящий момент, когда для большинства представителей малого и среднего бизнеса единственным способом получить доход или просто выжить является сокращение затрат, самое время поговорить о том, чем НФО, по мнению Банка России, должны были заняться уже с 01.06.2019, но пока решили оттянуть этот момент до 01.07.2021 - о Положении Банка России от 17.04.2019 № 684-П, вступившим в силу с 01.06.2019 (за исключением его отдельных пунктов, для которых пунктом 19 Положения 684-П установлены иные сроки вступления в силу).

4 февраля 2021 г.

Про вебинары по ИБ


Составлено диванными экспертами на основе последних вебинаров по ИБ.

Отретвитнуто  их немногочисленными подписчиками.

28 января 2021 г.

Время технарей

 


Эпиграф

"Тяжкое бремя соскользнуло с моей души. Я больше не нёс на себе роковой ответственности за всё, чтобы не случилось на свете"

М. Булгаков. "Морфий. Записки на манжетах"

   

Что мы всё об ИБ и про ИБ. Поговорим о технарях.

4 января 2021 г.

Правила блогера или С каждой красивой девчули по лайку



Мы учились мало, но долго


Правило 1: Чтобы быть блогером не обязательно быть закованным в гаджеты

Следствие из правила 1: Надо стараться радоваться жизни и за пределами смартфонов.