дома » 2015 » Сентябрь

Продумані покупці і продумані продавці.

Закон про захист прав споживачів відіграє свою роль у розвиток дрібного шахрайства та шахрайства на території України. Так не які дівчата і хлопці хочуть похвалитися...

4 функции директора по информационной безопасности

В предыдущем посте я уже писал об исследовании компании Deloitte:  


в ходе проведения которого была предложена следующая функциональная модель современного директора по информационной безопасности:
  • Стратег. Адаптация стратегии обеспечения безопасности потребностям бизнеса, инициирование инновационных трансформаций с целью эффективного управления рисками и инвестициями в безопасность.
  • Советник. Взаимодействие с бизнесом с целью обучения, консультирования и оказания влияния на реализацию бизнес-проектов в контексте имеющихся рисков. 
  • Защитник. Защита бизнес-активов за счет понимания текущего профиля угроз и управления эффективностью текущей программы по безопасности.
  • Технарь.  Оценка и внедрение новых технологий и стандартов с целью поддержания необходимого уровня безопасности.
Согласно исследованию Deloitte бОльшую часть времени директора тратят на активности из области Защитник и Технарь, оставляя на 2 другие стратегические области совсем немного. Бизнес-руководители же ожидают от директоров по ИБ совсем иного, они ждут что они будут больше времени уделять стратегии и меньше технике. 

Думаю что со временем эта тенденция и дальше будет усиливаться, примеров компаний с большими департаментами ИБ не так много, очень часто директору по информационной безопасности приходится заниматься решительно всем. А это в свою очередь будет обуславливать то, что решение чисто технических задач будет занимать все больше и больше времени. 

С другой стороны, с ростом количества и технологической сложности решений по безопасности возможности по обслуживанию всех необходимых средств защиты будут сокращаться и единственно возможным решением будет передача данных функций на аутсорсинг, что в свою очередь приведет к разгрузке директора по безопасности, но неизменно поставит вопрос о его необходимости в компании. 

Обосновать необходимость можно будет только за счет стратегических функций, для выполнения которых необходимо уже сейчас осваивать новые для себя инструменты: управление рисками, бизнес-планирование, финансовый менеджмент и др. 

4 функции директора по информационной безопасности

В предыдущем посте я уже писал об исследовании компании Deloitte:  


в ходе проведения которого была предложена следующая функциональная модель современного директора по информационной безопасности:
  • Стратег. Адаптация стратегии обеспечения безопасности потребностям бизнеса, инициирование инновационных трансформаций с целью эффективного управления рисками и инвестициями в безопасность.
  • Советник. Взаимодействие с бизнесом с целью обучения, консультирования и оказания влияния на реализацию бизнес-проектов в контексте имеющихся рисков. 
  • Защитник. Защита бизнес-активов за счет понимания текущего профиля угроз и управления эффективностью текущей программы по безопасности.
  • Технарь.  Оценка и внедрение новых технологий и стандартов с целью поддержания необходимого уровня безопасности.
Согласно исследованию Deloitte бОльшую часть времени директора тратят на активности из области Защитник и Технарь, оставляя на 2 другие стратегические области совсем немного. Бизнес-руководители же ожидают от директоров по ИБ совсем иного, они ждут что они будут больше времени уделять стратегии и меньше технике. 

Думаю что со временем эта тенденция и дальше будет усиливаться, примеров компаний с большими департаментами ИБ не так много, очень часто директору по информационной безопасности приходится заниматься решительно всем. А это в свою очередь будет обуславливать то, что решение чисто технических задач будет занимать все больше и больше времени. 

С другой стороны, с ростом количества и технологической сложности решений по безопасности возможности по обслуживанию всех необходимых средств защиты будут сокращаться и единственно возможным решением будет передача данных функций на аутсорсинг, что в свою очередь приведет к разгрузке директора по безопасности, но неизменно поставит вопрос о его необходимости в компании. 

Обосновать необходимость можно будет только за счет стратегических функций, для выполнения которых необходимо уже сейчас осваивать новые для себя инструменты: управление рисками, бизнес-планирование, финансовый менеджмент и др. 

Ви успадкували 16 000000 доларів США.

Такі листи часто приходять на електронні поштові адреси користувачів мережі інтернет. У ньому коротко сказано ламаною російською (відправник листа нібито погано розмовляє російською мовою) або...

Медицинские кровати

Медицинские кровати для лежачих больных от «MedMet.ru» – качество, надежность, функциональность. Самые низкие цены в Москве! Звоните сейчас +7 495 249-33-38, +7 985 740-61-83. У...

47-ой выпуск журнала (IN)SECURE

Содержание номера: 
  • Redefining security visualization with Hollywood UI design
  • Best practices for ensuring compliance in the age of cloud computing
  • The evolution of DDoS and how ISPs can respond
  • NowSecure Lab cloud: Mobile app assessment environment
  • Why vulnerability disclosure shouldn't be a marketing tool
  • Report: Black Hat USA 2015
  • We don't know what we don't know
  • Outdated protocols put IoT revolution at risk
  • The challenges of implementing tokenization in a medium-sized enterprise
  • Automated threat management: No signature required
  • Re-thinking security to detect active data breaches
  • How to prevent insider threats in your organization
  • ISO/IEC 27001 scoping and beyond
  • Combatting human error in cybersecurity
  • Threat intelligence matters to everyone

Качаем тут

Радіо, яке приносить мільярди.

У багатьох будинках і квартирах стоять стаціонарні радіоприймачі, так звана, радіоточка або те радіомовлення, яке надає «Укртелеком». Оплата за нього коштує копійки, але рідкість, щоб...

Свіжий товар.

У кожну торгову точку торгуючу продуктами харчування щодня надходить товар, частина з цього товару продається, а частина як зазвичай зависає (не продається до результату терміну...

Увага АКЦІЯ!

Магазини часто проводять акції! Вивіски сл словами «акція» призначені для залучення покупця. Менталітет нашого людини звик до того, що якщо слова акція значить вже дешевше,...

Проверка сертификатов специалистов и компаний

Сколько уже было поломано копий вокруг темы сертификации. Хорошо это или плохо каждый решает для себя сам, я отношусь к теме сертификации как специалистов, так и компаний положительно, хотя сам уже давно никаких новых сертификатов не получал, лично я решил на CISA и CISSP пока остановиться. 

Что среди прочего мне нравится в этих сертификациях (о чем я собственно и хотел поговорить) это то, что вы всегда можете проверить спеца по номеру сертификата. 

У ISACA форма проверки находится прям на главной странице справа (форма Verify a Certification), достаточно знать только номер сертификата и фамилию. 

У ISC форма находится тут, аналогично для проверки достаточно знать номер и фамилию. 

Я считаю это правильно, приходит к тебе наниматься на работу эдакий спец весь бумажками увешанный, а подтвердить что он действительно проходил указанные курсы, получил сертификаты можно только взяв у него бумажный сертификат.  А как говаривал Остап Бендер: "при современном развитии печатного дела изготовить советский паспорт это пара пустяков". Так что слепить в фотошопе сертификат это вообще не проблема, я даже знаю когда подобные вещи делались для конкурсов, в которых было требование о наличии специалистов с сертификатами.   

Проблема понятна, решение очевидно, если какая-то организация выдает человеку или другой организации бумажку, которая будет предъявляться третьим лицам всегда тем, кто выдал бумажку, должен быть обеспечен простой и прозрачный механизм проверки достоверности этой бумаги. 

Вот, к примеру, если вы хотите проверить организацию на наличие у нее сертификата ISO 27001, выданного компанией BSI, то вам сюда: 


А если хотите проверить подрядчика на предмет того, что у него есть необходимые статусы для проведения аудита на соответствие требованиям PCI DSS, то сюда:


Я правда не смог найти какого-то единого реестра для проверки компаний, на наличие самих сертификатов PCI DSS, но это видимо обусловлено тем, что аудиторов очень много и это задача каждой такой компании вести реестр и все предпочитают хранить это в тайне, не уверен что это правильно.