Кибербезопасность как инвестиция: баланс технологий, автоматизации и бизнес‑логики. Интервью с Алексеем Лукацким
Вступление Привет, Хабр! Находясь на бизнес‑конференции Positive Security Day (PSD), я думал, а с кем бы поговорить на тему кибербезопасности и бизнеса, сама конференция была посвящена этим понятиям. Поэтому выбор пал на человека, кто давно и плотно продвигает и кибербез, и как информационную...
С чем CISO ходят к своему руководству? Метрики ИБ, которые говорят на языке бизнеса
На связи CISO Дмитрий Бабчук, и сегодня я хотел бы поговорить о метриках информационной безопасности — о том, какие из них действительно доносят ценность ИБ до бизнеса, а какие остаются просто техническими цифрами в отчетах. Читать далее...
Когда CISO не виноват
Инциденты в информационной безопасности чаще всего заканчиваются поиском «виновного». И почти всегда в роли жертвы оказывается CISO — удобно и привычно назначить его крайним. Но где действительно проходит граница ответственности руководителя ИБ, а где мы имеем дело с пробелами в процессах,...
Первая линия обороны: как мы используем стажировки в SOC и при чём здесь Япония
Привет! Меня зовут Кирилл, я руковожу ИБ в OZON. Уже 15 лет занимаюсь ИБ, успел поработать в телекоме, в медиабизнесах, участвовал в построении SOC, AppSec, строил ИБ с нуля. В общем, успел много повидать, а сегодня расскажу, как, будучи CISO, снова оказался на позиции специалиста первой линии SOC....
Кто на самом деле отвечает за защиту информации в организации: зона ответственности ИТ и ИБ
Когда происходит утечка, кто виноват первым? Конечно, айтишники. Сервер они настраивали, доступ они выдали, антивирус не сработал — все логично. Вот только это неправильная логика. Потому что ИТ в большинстве случаев отвечают за инфраструктуру, а информационная безопасность — совсем другая функция....
Как CEO и CFO смотрят на кибербез и как извлечь из этого пользу?
У каждого в компании свой фетиш: кто-то мечтает об очередной «железке» из правого верхнего угла квадранта Гартнера, а кто-то — о снижении издержек и росте маржи. Одни играют в «поставим DLP — и пусть будет», другие считают: «Если это не приносит доход, то зачем вообще тратить?» В этой статье...
[Перевод] Что за #*&! Vibe Coding Security?
Команда AI for Devs подготовила перевод статьи о феномене vibe coding и agentic coding. ИИ позволяет любому — от маркетолога до дизайнера — выпускать рабочие приложения за считанные часы. Но скорость имеет оборотную сторону: код без ревью и тестов становится уязвимостью, а компании сталкиваются с...
[Перевод] 7 заблуждений о ИБ-директорах
Привет, Хабр! Всего 30 лет назад появился первый CISO – директор по информационной безопасности. Из-за новизны роли существует много неверных представлений о ней. Разбирались по следам вместе с CISO профильных или крупных мировых организаций: CERT Университета Карнеги, MorganFranklin Cyber, Liberty...
7 типичных ошибок CISO
О том, кто такой Chief Information Security Officer (CISO), написано множество публикаций, поэтому мы лишь напомним, что это директор по информационной безопасности в организации. Этот руководитель отвечает за обеспечение ИБ и его ошибки могут дорого обойтись компании. В этой статье мы рассмотрим...
CISO и облачные системы
Главный специалист по информационной безопасности (CISO) — это руководитель высшего звена в организации, отвечающий за разработку и поддержание видения, стратегии и программы предприятия для обеспечения надлежащей защиты информационных активов и технологий. CISO руководит персоналом в определении,...
CISO и CIO: В чем разница?
Понятия CIO — Chief Information Officer, директор по информационным технологиям и CISO — Chief Information Security Officer, директор по информационной безопасности, часто путают из-за того, что и тот и другой во многих организациях выполняют схожий набор задач. Во многих российских компаниях ИТ...
Как реагировать на атаки шифровальщиков: рекомендации для CISO
Атаки вирусов-шифровальщиков остаются серьезной угрозой информационной безопасности компаний. От них не застрахованы даже корпорации с многоуровневыми системами защиты, целыми армиями ИБ-специалистов и арсеналами СЗИ. Если корпоративная сеть подверглась такой атаке, ИБ-службе и CISO лучше поскорее...
Метод Монте-Карло для оценки рисков в кибербезе
Руководители нуждаются в измерении рисков и выражении в денежном эквиваленте снижения рисков. Этой цели и посвящен описываемый ниже метод. Читать далее...
Как один опытный разработчик за три дня потерял аккаунт в Телеграме, а второй чуть не перевел «другу» 100 тысяч рублей
Коллеги из ИБ-отдела финансовой организации рассказали нам, как недавно атаковали их ИТ-специалистов — эту статью мы написали вместе с CISO, который активно участвовал в расследовании. Кажется, что ИТ-специалиста должны лучше разбираться в интернет-мошенничестве из-за специфики работы, но навыки...
Кто такие специалисты по безопасной разработке и где на них учиться
Привет, Хабр! В этой статье мы разберемся, кто такой специалист по безопасной разработке, какие требования к нему предъявляют работодатели, сколько специалисты этой профессии сегодня зарабатывают и куда можно пойти учиться на AppSec-специалиста. Давайте знакомиться! Меня зовут Света Газизова, и я...
Бизнес-партнёр по информационной безопасности: взгляд изнутри
В этой статье описана роль бизнес-партнёра по информационной безопасности (БП ИБ) и мой опыт работы в этой роли. Сегодня она относительно непопулярна на рынке, но её значимость начинает расти, причём как в России, так и за границей (там это называется Business Information Security Officer (BISO))....