Показ дописів із міткою управление риском. Показати всі дописи
Показ дописів із міткою управление риском. Показати всі дописи

понеділок, 14 липня 2014 р.

В поисках взаимопонимания: Считаем эффективность ИБ правильно

Один из распространенных подходов, что-то продать - это показать потенциальному покупателю, что покупаемое, выгодно. Более того, большинство твердо уверенно, что самый действенный способ доказательства выгоды, это, как говорится, показать "в деньгах".

Ну, че ту сказать, в принципе, правильно, просто хочется добавить, что вычисляя вот эту самую "выгоду в деньгах", надо быть ... очень аккуратным, потому как, Покупатель возьмет и рявкнет: "Не верю!!!"

середу, 29 січня 2014 р.

В поисках взаимопонимания: Первый шаг: анализ Конфликтов

Вы хотите быть услышанным? Вы хотите получить поддержку?
Для этого необходимо будет многое сделать, но любой путь начинается с первого шага...

середу, 20 листопада 2013 р.

Уроки Сноудэна: Персональные данные

Какой прок в этих всех Законах о защите Приватности, если "заинтересованные органы ... вполне могут получать всю необходимую информацию..."? (из дискуссии о рисках и проблемах, возникающих в связи с созданием централизованной базы пассажиров в России )

четвер, 18 липня 2013 р.

Промахи CISO: Метрики

Чем нужно вооружиться, что бы двигаться к цели и достичь ее? Что нужно иметь, что бы оценить эффективность работы? Без чего невозможно принять решение?

вівторок, 28 травня 2013 р.

(не) Опасно о Безопасности

«— Люди забыли эту истину, — сказал Лис. — Но ты не должен ее забывать. Мы всегда будем в ответе за тех, кого приручили. И ты отвечаешь за свою розу...
— Я отвечаю за свою розу... — повторил Маленький принц, чтобы хорошенько это запомнить.»
Антуан де Сент-Экзюпери, "Маленький Принц" 

Мы иногда так торопимся помочь людям, что забываем посмотреть в зеркало "заднего вида"…
В течении буквально последних двух недель столкнулся с двумя событиями, которые, с одной стороны, кажутся абсолютно безобидными, с другой, вызывают неприятные мысли.

И так, две маленькие истории…

вівторок, 5 лютого 2013 р.

Такая опасная профессия: риск-менеджер


Известный украинский эксперт в области ИБ, Аудита и Управления Владимир Матвийчук в своем блоге затронул тему, которая меня очень сильно интересует и к которой я не раз обращался:  почему риск-ориентированный подход часто оказывается не эффективным, а «управление риском» попросту на работает.

вівторок, 16 жовтня 2012 р.

Управление Риском: почему не работает? Проблема периметра - Часть ІІ


Когда я писал пост Управление Риском: почему не работает? Проблема периметра
я еще не знал, что буду удостоен чести выступить с докладом на UISGCON8.

Теперь, когда Конференция состоялась и обработаны все презентационные материалы (огромное спасибо коллегам за их прекрасную работу), я хочу продолжить начатую тему анализа типовых ошибок, допускаемых в ходе процесса управления рисками, и возможных путей их предотвращения и предложить ознакомится с материалами моего доклада на 8-ой Конференции по Информационной Безопасности UISGCON8:

вівторок, 25 вересня 2012 р.

Управление Риском: почему не работает? Проблема периметра


Есть очень много причин, почему все наши потуги в управлении риском не работают.
Одну из таких причин я назвал проблемой периметра.

середу, 8 серпня 2012 р.

RA: Единицы Измерения


Энтузиастам ISRA посвящается

Почему-то чаще всего сталкиваюсь с людьми, которые убеждены, что правильным ответом на вопрос: «В каких единицах измеряется Риск?» - является ответ  «в деньгах» (ведь для Бизнеса считаем).
Всегда ли данное утверждение справедливо?

пʼятницю, 13 січня 2012 р.

RA: В поисках "формулы": часть I-я


Ее строгость, наглядность, простота 
настолько очевидна, что не просто радует глаз
но и затуманивает разум


Что может быть прекрасней формулы расчета ИТ рисков

R = T x V x A, или более подробно Risk = Threat * Vulnerability * Asset Value

Очень красиво и наглядно. Не правда ли? Дело осталось за малым: понять, как ее использовать на практике.

середу, 19 жовтня 2011 р.

В поисках взаимопонимания: Фальш-позитив или таки негатив?


На прошлой неделе произошел любопытный случай: при посещении одного из сайтов мой «браузер по умолчанию» выдал предупреждение, что страница сайта содержит опасное содержание и пользователь должен самостоятельно принять решение посещать данную страницу или нет.

Когда я попытался попасть на сайт при помощи других браузеров, то никаких предупреждений не получил.

В силу различных обстоятельств, я решил немного больше времени уделить данному событию.

Первое, что я сделал, это информировал владельцев сайта об обнаруженной проблеме, затем решил обратиться к людям непосредственно связанных с отраслью ИБ в поисках ответов на вопросы «Кто виноват?» и «Что делать?».

Эксперты сразу разделились на две группы:
- первая приступила к исследованию кода и выяснения, что же могло не понравится конкретному браузеру,
- вторая призвала принять одну из сторон (имеется ввиду, доверится какому-то конкретному браузеру),  ругая противоположную в одном случае «за параноидальность», во втором за «недоделанность».

Во всей этой истории огорчает два момента:
1. Вторая группа продемонстрировала наличие когнитивных искажений, которые оказывают плохое влияние на профессиональную деятельность.
2. Никто ни первая группа, ни вторая даже не попытались  взглянуть на проблему глазами рядового пользователя. Какой выбор должен он сделать: посещать сайт или нет? Лучше, конечно «не посещать», но если этот ресурс интересен не только ему, но и его друзьям, и часть друзей (имеющих «другой браузер»)  будут готовы к дискуссии, а вторая нет, что произойдет?

Чья репутация пострадает:
- производителя браузера сообщившего о ошибке?
- производителя браузера не сообщившего о ошибке?
- компании-владельца ресурса?
- мероприятий по повышению осведомленности (awareness)?

А вас предусмотрен план реагирования в таких ситуациях?