Warning: mkdir(): No space left on device in /var/www/hottg/post.php on line 59

Warning: file_put_contents(aCache/aDaily/2025-07-22/post/sec_devops/--): Failed to open stream: No such file or directory in /var/www/hottg/post.php on line 72
"Суровые истины @Security Wine (бывший - DevSecOps Wine)
TG Telegram Group & Channel
Security Wine (бывший - DevSecOps Wine) | United States America (US)
Create: Update:

"Суровые истины, о которых ваш CISO не скажет"

Сегодня мы делимся довольно провокационным постом, основанным на материалах доклада "Hard Truths Your CISO Won’t Tell You"🌶.

Автор рассматривает множество "темных сторон" ИБ, с которыми в некоторых случаях можно согласиться, а в некоторых — нет. Предлагаем вам ознакомиться с основными тезисами:

- Бизнес всегда будет важнее безопасности, независимо от того, какие приоритеты компании декларируют в своих публичных заявлениях о защите данных клиентов.
- Compliance поддерживает бизнес. Соответствие требованиям регуляторов всегда в приоритете, поскольку без этого бизнес часто не может функционировать (оставим в стороне мнение CISM, который рассматривает compliance как еще один вид риска).
- Опросники безопасности, используемые в B2B отношениях (TPRM), нередко основаны на вранье и предоставления ложной информации, чтобы вновь поддержать бизнес.
- Людям по своей природе сложно предсказывать и оценивать риски. Люди часто ошибочно полагают, что акулы опаснее бассейнов, хотя статистически больше людей погибает именно в бассейнах. Почему тогда мы берем риск-ориентированный подход за основу? Соответственно, так как безопасность строится на оценке абстрактных рисков, её можно скорее отнести к творчеству, а не к точным наукам.
- В информационной безопасности многое построено на светофоре - приоритизации по категориям критичности (critical, medium и т.д.). Но до сих пор нет однозначного понимания, как правильно работать с этими категориями. Два «желтых» риска — это лучше или хуже, чем один «красный»?
- Безопасность поглощает бюджеты под предлогом "минимизации рисков", но насколько это эффективно, никто не может точно оценить.
- Нет гарантии, что безопасность действительно сработает там где надо и поможет избежать серьезных последствий. Стоит ли компании ожидать утечки? (непонятно). Достаточно ли количество людей в безопасности или нужно больше/меньше? Все ли мы делаем правильно? Как оценить изменение в безопасности, если мы оставим только 1/5 команды ИБ?
- Влияние инцидентов на акции компаний минимально. Статистика показывает, что большинство компаний восстанавливаются через 2-6 месяцев после утечек данных.
- Защита данных потеряла свою значимость. Рынок дата-брокеров, торгующих информацией о людях, продолжает расти, а стоимость персональных данных составляет в среднем 0.00005$ на человека.
- Безопасность часто опирается на менеджеров среднего звена, которых не воспринимают всерьез. Аналогично руководство компании и разработчики предпочитают не уделять этому внимание, поскольку ROI от вложений в безопасность остается невысоким.
- Закупки решений ИБ часто базируются на личных связях CISO с основателями компаний, инвесторами и других неформальных факторах, далёких от рациональных обоснований.
- Большинство моделирований угроз неэффективны. Разработчики ненавидят этот процесс, а архитектура может измениться на следующий день после проведения моделирования — и вы об этом даже не узнаете.


Положительные моменты в ИБ:

- Сообщество специалистов по информационной безопасности выделяется своей сплоченностью на фоне общей борьбы против "них" - групп преступности.
- Все больше профессионалов ИБ понимают бизнес и начинают менять устаревшие парадигмы.
- Информационная безопасность медленно, но верно развивается и начинает напоминать точную науку.
- Разработчики также стремятся делать все правильно, и в условиях дефицита кадров волей-неволей "перехватывают на себя" все больше функций и задач ИБ.


А что вы думаете по этим тезисам? С каким согласны, а с какими нет? 🙃

#имхо

"Суровые истины, о которых ваш CISO не скажет"

Сегодня мы делимся довольно провокационным постом, основанным на материалах доклада "Hard Truths Your CISO Won’t Tell You"🌶.

Автор рассматривает множество "темных сторон" ИБ, с которыми в некоторых случаях можно согласиться, а в некоторых — нет. Предлагаем вам ознакомиться с основными тезисами:

- Бизнес всегда будет важнее безопасности, независимо от того, какие приоритеты компании декларируют в своих публичных заявлениях о защите данных клиентов.
- Compliance поддерживает бизнес. Соответствие требованиям регуляторов всегда в приоритете, поскольку без этого бизнес часто не может функционировать (оставим в стороне мнение CISM, который рассматривает compliance как еще один вид риска).
- Опросники безопасности, используемые в B2B отношениях (TPRM), нередко основаны на вранье и предоставления ложной информации, чтобы вновь поддержать бизнес.
- Людям по своей природе сложно предсказывать и оценивать риски. Люди часто ошибочно полагают, что акулы опаснее бассейнов, хотя статистически больше людей погибает именно в бассейнах. Почему тогда мы берем риск-ориентированный подход за основу? Соответственно, так как безопасность строится на оценке абстрактных рисков, её можно скорее отнести к творчеству, а не к точным наукам.
- В информационной безопасности многое построено на светофоре - приоритизации по категориям критичности (critical, medium и т.д.). Но до сих пор нет однозначного понимания, как правильно работать с этими категориями. Два «желтых» риска — это лучше или хуже, чем один «красный»?
- Безопасность поглощает бюджеты под предлогом "минимизации рисков", но насколько это эффективно, никто не может точно оценить.
- Нет гарантии, что безопасность действительно сработает там где надо и поможет избежать серьезных последствий. Стоит ли компании ожидать утечки? (непонятно). Достаточно ли количество людей в безопасности или нужно больше/меньше? Все ли мы делаем правильно? Как оценить изменение в безопасности, если мы оставим только 1/5 команды ИБ?
- Влияние инцидентов на акции компаний минимально. Статистика показывает, что большинство компаний восстанавливаются через 2-6 месяцев после утечек данных.
- Защита данных потеряла свою значимость. Рынок дата-брокеров, торгующих информацией о людях, продолжает расти, а стоимость персональных данных составляет в среднем 0.00005$ на человека.
- Безопасность часто опирается на менеджеров среднего звена, которых не воспринимают всерьез. Аналогично руководство компании и разработчики предпочитают не уделять этому внимание, поскольку ROI от вложений в безопасность остается невысоким.
- Закупки решений ИБ часто базируются на личных связях CISO с основателями компаний, инвесторами и других неформальных факторах, далёких от рациональных обоснований.
- Большинство моделирований угроз неэффективны. Разработчики ненавидят этот процесс, а архитектура может измениться на следующий день после проведения моделирования — и вы об этом даже не узнаете.


Положительные моменты в ИБ:

- Сообщество специалистов по информационной безопасности выделяется своей сплоченностью на фоне общей борьбы против "них" - групп преступности.
- Все больше профессионалов ИБ понимают бизнес и начинают менять устаревшие парадигмы.
- Информационная безопасность медленно, но верно развивается и начинает напоминать точную науку.
- Разработчики также стремятся делать все правильно, и в условиях дефицита кадров волей-неволей "перехватывают на себя" все больше функций и задач ИБ.


А что вы думаете по этим тезисам? С каким согласны, а с какими нет? 🙃

#имхо
💯23👍82🤡2👨‍💻1


>>Click here to continue<<

Security Wine (бывший - DevSecOps Wine)




Share with your best friend
VIEW MORE

United States America Popular Telegram Group (US)


Warning: Undefined array key 3 in /var/www/hottg/function.php on line 115

Fatal error: Uncaught mysqli_sql_exception: Too many connections in /var/www/db.php:16 Stack trace: #0 /var/www/db.php(16): mysqli_connect() #1 /var/www/hottg/function.php(212): db() #2 /var/www/hottg/function.php(115): select() #3 /var/www/hottg/post.php(351): daCache() #4 /var/www/hottg/route.php(63): include_once('...') #5 {main} thrown in /var/www/db.php on line 16