Warning: mkdir(): No space left on device in /var/www/hottg/post.php on line 59

Warning: file_put_contents(aCache/aDaily/2025-07-22/post/sec_devops/--): Failed to open stream: No such file or directory in /var/www/hottg/post.php on line 72
🤝 На Территории безопасности в секции Алексея Лукацкого обсуждаем "вечный вопрос" - как оценить результативность ИБ и как нашему брату коммуницировать с лицами принимающими решения 🖋 @Security Wine (бывший - DevSecOps Wine)
TG Telegram Group & Channel
Security Wine (бывший - DevSecOps Wine) | United States America (US)
Create: Update:

🤝 На Территории безопасности в секции Алексея Лукацкого обсуждаем "вечный вопрос" - как оценить результативность ИБ и как нашему брату коммуницировать с лицами принимающими решения 🖋

Вариант 1.
Смотреть как это устроено у других (сюда же отнесем стандарты и бенчмарки), похожих на тебя, и выделять такой же бюджет, людей, средства защиты, и делать по аналогии

Вариант 2.
Использовать риск-ориентированный подход, рисовать карты рисков, создавать перечни недопустимых событий, мониторить индикаторы и математизироваьь принятие решений

Вариант 3.
Осваивать техники публичных выступлений и эффективно убеждать собственников и топ-руководство в своей полезности для получения карт-бланша

И как обычно опытные, сильные, крутые профессионалы с кучей хороших идей уходят в частности и полумеры.

В ответ на реплику Лукацкого про то, что по статистике CISO нужно 3 года для наведения порядка в своей организации, а в нашей реальности они меняют работу каждые 2 года, кто-то по-стахановски заявляет: значит надо ускориться и успевать все делать за 2 года! Вспоминаю историю про 9 женщин и перевыполнение плана рождения ребёнка в 9 раз.
🕵‍♂️ А моё имхо очень простое: из-за того, что безопасность встроена в какое-то дело, в какой-то бизнес, то к ней нужно относиться так же, как мы относимся к сквозным бизнес-процессам. Выстраивать ее от А до Я в привязке не к комплаенсу или инженерно-техническим представлениям о прекрасном, а в привязке к измеримому импакту на бизнес, как это делается в маркетинге с CJM (Customer Journey Map).

И помнить, что люди-процессы-технологии - это не красивые слова, а суровая реальность. И в этой реальности из-за того, что в формуле есть ЛЮДИ, определённая доля хаоса и неопределенности - неизбежны. И система, или процессы, чтобы они работали должны быть ВНЕДРЕНЫ, т.е. прежде всего приняты ответственными ЛЮДЬМИ. А это уже вопросы психологии, социологии и мотивации труда всего коллектива организации, равно далёкие как от технических штуковин, так и от решений принятых в высоких кабинетах топами и собственниками.

Ближе всех в отечественной практике подошли стандарты семейства 57580 от Центрального Банка, которые включают и акценты на человеческий фактор, и на внедрение, и поддержку, и баланс техники и организации. За сложностью формулировок 57580 скрывается здравая установка на синтез целей организации (бизнеса/дела), её безопасности (пресловутый КЦД) и удовлетворённости клиентов (через непрерывность и качество услуги). А это и есть признак результативности и полезности ИБ.

Приходится ли вам доказывать свою полезность коллегам, топам и собственникам? Каким образом это делаете вы? 🎙

#Мудрота #Мероприятие #ТерриторияБезопасности2025 #PDCA #Процессы #Люди #Технологии #Риски

Security Wine (бывший - DevSecOps Wine)
🤝 На Территории безопасности в секции Алексея Лукацкого обсуждаем "вечный вопрос" - как оценить результативность ИБ и как нашему брату коммуницировать с лицами принимающими решения 🖋

Вариант 1.
Смотреть как это устроено у других (сюда же отнесем стандарты и бенчмарки), похожих на тебя, и выделять такой же бюджет, людей, средства защиты, и делать по аналогии

Вариант 2.
Использовать риск-ориентированный подход, рисовать карты рисков, создавать перечни недопустимых событий, мониторить индикаторы и математизироваьь принятие решений

Вариант 3.
Осваивать техники публичных выступлений и эффективно убеждать собственников и топ-руководство в своей полезности для получения карт-бланша

И как обычно опытные, сильные, крутые профессионалы с кучей хороших идей уходят в частности и полумеры.

В ответ на реплику Лукацкого про то, что по статистике CISO нужно 3 года для наведения порядка в своей организации, а в нашей реальности они меняют работу каждые 2 года, кто-то по-стахановски заявляет: значит надо ускориться и успевать все делать за 2 года! Вспоминаю историю про 9 женщин и перевыполнение плана рождения ребёнка в 9 раз.
🕵‍♂️ А моё имхо очень простое: из-за того, что безопасность встроена в какое-то дело, в какой-то бизнес, то к ней нужно относиться так же, как мы относимся к сквозным бизнес-процессам. Выстраивать ее от А до Я в привязке не к комплаенсу или инженерно-техническим представлениям о прекрасном, а в привязке к измеримому импакту на бизнес, как это делается в маркетинге с CJM (Customer Journey Map).

И помнить, что люди-процессы-технологии - это не красивые слова, а суровая реальность. И в этой реальности из-за того, что в формуле есть ЛЮДИ, определённая доля хаоса и неопределенности - неизбежны. И система, или процессы, чтобы они работали должны быть ВНЕДРЕНЫ, т.е. прежде всего приняты ответственными ЛЮДЬМИ. А это уже вопросы психологии, социологии и мотивации труда всего коллектива организации, равно далёкие как от технических штуковин, так и от решений принятых в высоких кабинетах топами и собственниками.

Ближе всех в отечественной практике подошли стандарты семейства 57580 от Центрального Банка, которые включают и акценты на человеческий фактор, и на внедрение, и поддержку, и баланс техники и организации. За сложностью формулировок 57580 скрывается здравая установка на синтез целей организации (бизнеса/дела), её безопасности (пресловутый КЦД) и удовлетворённости клиентов (через непрерывность и качество услуги). А это и есть признак результативности и полезности ИБ.

Приходится ли вам доказывать свою полезность коллегам, топам и собственникам? Каким образом это делаете вы? 🎙

#Мудрота #Мероприятие #ТерриторияБезопасности2025 #PDCA #Процессы #Люди #Технологии #Риски
Please open Telegram to view this post
VIEW IN TELEGRAM
YouTube
Ситуационные модели управления ИБ | Рустам Гусейнов
4 апреля в Москве прошла конференция "Финтех-2024. Направления развития", которая была организована Kommersant events. В рамках мероприятия с докладом выступил председатель кооператива RAD COP Рустам Гусейнов. В своём выступлении он рассказал об инновационном…
👍133👏2😁1
hottg.com/sec_devops/644
5.79K viewsedited  


>>Click here to continue<<

Security Wine (бывший - DevSecOps Wine)





Share with your best friend
VIEW MORE

Newly uncovered hack campaign in Telegram

The campaign, which security firm Check Point has named Rampant Kitten, comprises two main components, one for Windows and the other for Android. Rampant Kitten’s objective is to steal Telegram messages, passwords, and two-factor authentication codes sent by SMS and then also take screenshots and record sounds within earshot of an infected phone, the researchers said in a post published on Friday.

🤝 На Территории безопасности в секции Алексея Лукацкого обсуждаем "вечный вопрос" - как оценить результативность ИБ и как нашему брату коммуницировать с лицами принимающими решения 🖋

Security Wine (бывший - DevSecOps Wine) TG
Webview: 644
Telegram TG Webview: hottg.com/sec_devops/webview
Telegram TG Channel: Security Wine (бывший - DevSecOps Wine)
Telegram Updated:

United States America Popular Telegram Group (US)


Warning: Undefined array key 3 in /var/www/hottg/function.php on line 115

Fatal error: Uncaught mysqli_sql_exception: Too many connections in /var/www/db.php:16 Stack trace: #0 /var/www/db.php(16): mysqli_connect() #1 /var/www/hottg/function.php(212): db() #2 /var/www/hottg/function.php(115): select() #3 /var/www/hottg/post.php(351): daCache() #4 /var/www/hottg/route.php(63): include_once('...') #5 {main} thrown in /var/www/db.php on line 16