Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: 1 2 3 4 5 След.
RSS
Почему в России нет настоящих CISO?
 
Обсуждение статьи Почему в России нет настоящих CISO?
 
Автор молодец!
Хорошо прорекламировал "курс «Как увязать безопасность с бизнес-стратегией предприятия?»" который он смог создать "набив шишки и синяки в реальной, практической работе". ага.
 
Спасибо за правильную статью: писать их надо, даже если читатели пока не очень воспринимают.
Дествительно в российском восприятии Information security management все время выпадает ключевое management (управленческая деятельность).
Вот радио есть, а счастья нет. (с) Ильф
 
>постарайтесь показать всем сотрудникам, что безопасность не мешает, а способствует решению, стоящих перед ними задач.

Похоже, что автор - истинный теоретик. Реальная безопасность НЕ МОЖЕТ НЕ МЕШАТЬ. Даже элементарный дверной замок - уже помеха и задержка (что иногда может стоить даже жизни). Но люди осознано идут на ограничения и неудобства безопасности, когда знают ради чего.
И не надо им вешать лапшу, что безопасность якобы чему-то способствует. Надо искать оптимум функции риски-затраты и разъяснять людям ради чего они должны терпеть/привыкать к ограничениям

PS На его курс не пойду.
 
да. трава - зеленая, снег - белый, море - синее. слова - общие, конкретики никакой.
 
>Даже элементарный дверной замок - уже помеха и задержка (что иногда может стоить даже жизни). Но люди осознано идут на ограничения и неудобства безопасности, когда знают ради чего.

Насколько я понимаю, автор именно это и хотел сказать. И Вы продемонстировали именно то понимание, о котором говорит автор.

Действительно, не будь замков, а еще лучше дверей, в дом было лы входить существенно удобнее. Но, наша цель - не только комфортно входить, но и нормально жить в этом доме.
Вообще многое было бы удобно делать просто - договорись, ни каких бумаг не подписали, все быстро, удобно. Но через какое то время появляются мошенники.

Очень многое в нашей жизни было бы удобнее, если бы не угрозы. Мы даже об этом не задумывается. Просто мы знаем, что без некоторых мер мы попадем в нехорошие ситуации.

А про защиту информационной системы мы часто этого не знаем. Вот как меры по защите органично могут вписаться в бизнес и надо говорить. Я так понял статью.
 
Цитата
Атор пишет
Не безопасность, не ИТ, а именно бизнес. А значит все должно быть направлено на достижение бизнес-целей и все технологии должны способствовать росту, а не мешать ему.
Вроде все правильно.
Но руководство должно понять само зачем ему нужен еще один директор, который будет просить денег непонятно на что и не понятно зачем, причем эти затраты напрямую или косвено ничем не окупаются. Управление рисков это вроде как хорошо доказывает о необходимости вкадывания (закапывания) денег (все зависит от мировозрения начальства).  :D

Ответ на вопрос возможно кроется в том, что люди которые занимают должности CISO или им подобные, как правило бывшие военные, начальники 1 отделов, милиционеры, ФСБ. (пусть даже с не закостенелыми мозгами)
Им с трудом даются ИТ технологии. Что такое межсетевые экраны, антивирусы, VPN, TCP/IP, стек протоколов, «эксплоит», IPSec и другие они понимают только на картинках не понимая сути. Человек который не понимает с чем его люди работают не может объяснить другим не понимающим людям зачем им это надо.
Кстати яркий пример мышления этих товарищей это рук. доки и законы которые они создают. С точки зрения технического специалиста полный бред, хотя есть и разумные вещи. Могу привести пример.
А людей прошедших полный путь от администратора ИС до CISO, и прошедших соответсвующего обучение по администрированию и управлению персоналом (поработавшим на должностях) очень мало. Еще меньше комнаний в которых руководство начинает понимать зачем им это нужно.



PS: Приведите хотя бы один пример, который бы приносил деньги компании.
       Доказывать за чем это надо это прямая обязаность этого товарища.
 
Выравнивание IT и бизнеса и выравнивание ИБ и бизнеса - цели, до которых организация (ее менеджмент) должна дорости...

А если смотреть шире, то до подобного понимания должно дорости Общество. Ведь что из себя представляет эта пресловутая "russian specific" - управление "по понятиям" в широком смысле этого слова. Государство решает свои задачи по понятиям (в лице чиновнического аппарата), т.к. законы не соблюдаются (плохие/хорошие - другой вопрос). Бизнес решает свои задачи по понятиям в виду зависимости от государства (не решишь по понятием - риск потери бизнеса), т.к. опять же законы не соблюдаются. А что безопасность? Да то же самое! В большинстве случаев все решается по понятиям. Т.к. зачастую закона (политики безопасности) просто нет, а если есть, то безопасниками же нарушается. Друг админа (здесь синоним безопасника) - держи Интернет. Ведь по понятиям же! ;-) Причем тут бизнес-необходимость наличия Интернета для выполнения функциональных обязанностей? :-))

В России, с существующим уровнем развития Общества, со сложившейся практикой, менталитетом наших спецов, рассмотрение подобных вопросов пока, как мне кажется, будет мало кого интересовать, а жаль.
Но высвечивание данных проблем и донесение их до широкого круга лиц необходимо и очень важно.

В очередной раз порадовался статье Алексея! Спасибо.
 
я прочитал заголовок как
"Почему в России нет настоящих CISCO?"
долго думал ...
 
Цитата
kutkh пишет:
эти затраты напрямую или косвено ничем не окупаются
Приведите хотя бы один пример
Приведу отвлеченный (кажется, уже где-то анонимно приводил): приобретение детского автомобильного кресла позволяет Вам показывать своего ребенка лучшим эскулапам региона, а не фельдшеру из местной санчасти. Или быстрее ехать, если Вы и прежде рисковали его к ним без кресла возить. Или меньше потом лечить, если все-таки, не дай бог, какое ДТП. Есть выгоды от затрат на безопасность? В бизнесе то же самое: он начинает позволять себе больше, его возможности расширяются. Умный бизнес это и сам понимает, в глупый надо хорошего CISO подсаживать, который объясняет.
Вот радио есть, а счастья нет. (с) Ильф
 
Цитата
Ригель пишет:
В бизнесе тоже. Умный бизнес это и сам понимает, в глупый надо хорошего CISO подсаживать, который объяснит.
Подсаживать бесполезно, до этого необходимо самому бизнесу до этого дойти.
 
Цитата
Ригель пишет:
Приведу отвлеченный (кажется, уже где-то приводил): приобретение детского автомобильного кресла позволяет Вам показывать своего ребенка лучшим эскулапам региона, а не фельдшеру из местной санчасти. Или быстрее ехать, если Вы и прежде рисковали его к ним без кресла возить. Или меньше потом лечить, если все-таки, не дай бог, какое ДТП. Есть выгоды от затрат на безопасность? В бизнесе тоже. Умный бизнес это и сам понимает, в глупый надо хорошего CISO подсаживать, который объяснит.

а не надо отвлеченных примеров. Ведь *уйню несете товарисч. другой пример давайте, из нормальной области, а то этот из разряда "видишь суслика?  -- а он есть..."

кстати и чем же кресло поможет попасть к светилу медицины? в данном примере вы сообщаете, что собираетесь нарушать с коростные режимы, несоблюдать правила и т.п. при наличии этого спецкресла. :)
 
Цитата
kutkh пишет:
Подсаживать бесполезно, до этого необходимо самому бизнесу до этого дойти.

ой далеко не всякому бизнесу это нужно в виде отдельного департамента. очень далеко не всякому. в сущности только большим конторам.
 
Главным виновником нарушения информационной безопасности как известно является микрософт виндовс и все что связано с микрософт: если посмотреть какие сети взломаны микрософт вирусами - то с удивлением можно среди них увидеть и банки и гос учереждения и даже недавно пошел вирус из кремлевской сети - меня всегда интерисовал вопрос - когда привлекут биллгейтса к ответственности за создание благоприятной среды для кибертерористов мошенников и спамеров?
 
Цитата
kutkh пишет:
Подсаживать бесполезно, до этого необходимо самому бизнесу дойти.
А это, кстати, ответ Лукацкому: в России низок уровень CISO, потому что крайне низка ступень развития у самих CEO - дикие они. Не осознается пока потребность.
Вот когда период "чисто рубим бабло по-легкому" заканчивается, то начинают искательно шарить по сторонам и извилинами шевелить на предмет "где у нас еще какие-нибудь резервы для роста" и слушать умные советы.
Вот радио есть, а счастья нет. (с) Ильф
 
Цитата
Гость пишет:
ой далеко не всякому бизнесу это нужно в виде отдельного департамента. очень далеко не всякому. в сущности только большим конторам.
Для мелких контор это абсолютно не надо. В этом случае мы спускаемся до покупки отдельного средства защиты (автомобильного кресла).
Для больших же контор нужны комплексные средства. Например детское кресло совмещенное с системой пожаротушения и катапультой.  :D
 
Цитата
Гость пишет:
другой пример давайте, из нормальной области
У меня времени мало, чтобы лучше объяснять. Ок. Некоторый бизнес не внедряет, скажем, интернет-трейдинг, потому что боится (небезосновательно, кстати). А выгоды от него обещаются отличные (значительный прирост покупателей) - скажем, $1 млн. А вложение в безопасность $0.1 млн. позволит ему ее получить. А не вложение не позволит.
+$0.9 млн. это хороший эффект от -$0.1 млн.?
Вот радио есть, а счастья нет. (с) Ильф
 
Я тоже прочел как "Почему в России нет настоящих CISCO?", думал, что речь пойдет о высококачественных подделках устройств этой конторы.
 
Цитата
Ригель пишет:
У меня времени мало, чтобы лучше объяснять. Ок. Некоторый бизнес не внедряет, скажем, интернет-трейдинг, потому что боится (небезосновательно, кстати).
Уже ближе. Боится потому, что некому подсказать как безопаснее.
Явный пример. А что-то среднее между этим примером и детским креслом можно придумать?
В этом примере компания может быть и маленькой и наличия CISO может и не быть так же как it директора. Или it директор совмещает эти две должности.
 
Ригель +1 :)
Страницы: 1 2 3 4 5 След.
Читают тему (гостей: 3)