Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: Пред. 1 2 3 4 5 След.
RSS
Почему в России нет настоящих CISO?
 
Цитата
Ригель пишет:
Есть, блин, два банка. База вкладчиков одного периодически всплывает на рынке, второго нет. Очевидно, что первый теряет деньги. Примечательно, что второй их приобретает.

Кстати, после первой утечки базы из МТС, их представитель выступал на конференции и заявил, что после этого у них число абонентов даже выросло. Хотя "после этого" еще не значит "вследствие этого".
Luka
 
У меня есть знакомый, работающий в фирме по ремонту и настройке компов. Бывает он устанавливает клиенту (частному лицу) пиратские Виндовс + офис + архиваторы за 25 тыс. руб., а бывает - и за 1 тыс., если клиент его пошлет сильно-сильно.
Он умеет обосновывать бюджет, но клиент иногда бывает сильнее.

Вот этому знакомому и уподоблю CISO в понимании А.Лукацкого (а на самом деле, его понимание - калька с многочисленных иностранных публикаций).

Совершенно не нужны никакие курсы для обучения выбиванию бюджета. Тут уж или есть способности или их нет. Опять же многое зависит от начальника. А вероятные убытки от нарушения ИБ - риски там всякие - полный бред и дело даже не десятое, но где-то сотое.
 
Цитата
Гость пишет:
банкам выгоднее обслуживать юридические лица

Банки разные бывают. Одни ориентированы на физиков, другие на юриков. ЦБ и Сбер - яркие примеры. Все зависит от модели бизнеса. Но в целом все правильно.
Luka
 
Цитата
EvK пишет:
Ждем у нас аналога SOX'а. Только тогда появятся адекватные аргументы для обоснования выделения бюджета

У нас и без SOX полно законов. Вопрос в их исполнении и наказании за их неисполнение.
Luka
 
Цитата
Гость пишет:
Только и он, уповая на технические меры, забывает о "черной дыре" в защите - Инсайдера.

Я вообще-то про технические меры вообще ничего не говорил ;-) Как собственно и про модель нарушителя.
Luka
 
Цитата
Вадим пишет:
Совершенно не нужны никакие курсы для обучения выбиванию бюджета. Тут уж или есть способности или их нет.

Опять обратимся к аналогии. Чтобы ездить на машине мне нужны были курсы. А способности помогают развивать полученные на курсах знания. Вот и все ;-) К тому же курсы дают концентрированное знание, которое можно же найти в статьях, книгах, Интернете и т.д. Но долго ;-(
Luka
 
Цитата
kutkh пишет:
Подсаживать бесполезно, до этого необходимо самому бизнесу до этого дойти.

А что такое бизнес? Это конкретные люди, которые могут "доходить" до этого сами в течение десятилетий, а могут быть подтолкнуты и "дойти" до этого за несколько месяцев. Задача CISO именно подтолкнуть и объяснить.

Цитата
Гость пишет:
далеко не всякому бизнесу это нужно в виде отдельного департамента. очень далеко не всякому

Я писал не о департаменте, а о CISO - лидере и драйвере направления. Он может возглавлять департамент, отдел, группу и даже быть одиночкой. Лишь бы дело делал.


Цитата
Ригель пишет:
в России низок уровень CISO, потому что крайне низка ступень развития у самих CEO - дикие они

Не совсем так. У CEO есть свои приоритеты - слияния и поглощения, compliance, снижение издержек, рост доходов, customer care и т.д. И безопасность может быть увязана с ними. В этом и состоит задача CISO. Донести до CEO проблему безопасности в терминах и описаниях, понятных CEO.

Цитата
Ригель пишет:
период "чисто рубим бабло по-легкому" заканчивается

Так закончился уже ;-)
Luka
 
>>> Учитесь бизнесу. :о)

Увы, господа, CISO вместе со способностью понимать бизнес процессы приобретает понимание низкооплачиваемости работы в области ИБ. Человек научившийся говорить с бизнесменами на их языке выбирает себе карьерный путь (как правило) финансово более выгодный, нежели тот который финансируется по "остаточному от остаточного принципу".

Наблюдаются логичные тенденции не только прихода в отрасль профессионалов, но и ухода из нее. Отрадно безусловно что отрасль развивается, это ясно не только из статьи уважаемого автора, но развивается все же по остаточному принципу :о)

PS Достаточно сказать, что отрасль прибывает все же в плачевном состоянии, развиваясь уже 2 десятилетия.
 
Респект автору, за отличные статьи и мотивированные ответы умникам. Не перевелись ещё мудрые люди у нас :) Есть у кого учиться :)
 
Тогда тут не клуб CISO нужен, а мощное лобби в правительстве:) Хотя, думаю, всему свое время.
 
Цитата
Алексей Лукацкий пишет:

Ригель пишет:
в России низок уровень CISO, потому что крайне низка ступень развития у самих CEO - дикие они

Не совсем так. У CEO есть свои приоритеты - слияния и поглощения, compliance, снижение издержек, рост доходов, customer care и т.д. И безопасность может быть увязана с ними. В этом и состоит задача CISO. Донести до CEO проблему безопасности в терминах и описаниях, понятных CEO.

Ригель пишет:
период "чисто рубим бабло по-легкому" заканчивается

Так закончился уже
Заметьте: тот СЕО, которого Вы сейчас обрисовали, это третий level зрелости бизнесов. Не исключаю, что среди Ваших clients и partners он наиболее или весьма распространен. Тем не менее, для российского бизнеса в-целом или хотя бы для работодателей аудитории секюритилаба реально актуальны второй и даже первый (который "рубим по-легкому"). CISO третьего уровня мало от малости бизнесов третьего уровня of maturity.
Вот радио есть, а счастья нет. (с) Ильф
 
1.
Цитата
Алексей Лукацкий пишет:
Вот как раз задача CISO просить так, чтобы было понятно на что и зачем. А в ряде случаев окупаемость этих инвестиций еще и можно оценить. Хотя конечно, далеко не всегда. Но любой руководитель понимает, что не все меряется в финансах. У компании и ее руководства есть задачи, которые не всегда напрямую связаны с деньгами. И часто решение этих задач непосредственно связано с безопасностью. Именно эту связь надо показывать.

2.
Цитата
Алексей Лукацкий пишет:
Я кстати, не такой уж и большой сторонник такого подхода. Это очень похоже на страхование. "А вот представьте, что завтра вас взломают..." "А вдруг не сломают". "Да, сломают. Статистика об этом говорит". "А вдруг к нам эта статистика не применима". И т.д.

Чтобы прийти к первому нужно пройти через второе.  :D  Эволюционным путем. (кому как).
 
Цитата
sadglass@ngs.ru пишет:
приобретает понимание низкооплачиваемости работы в области ИБ

Все зависит от места работы ;-)


Цитата
sadglass@ngs.ru пишет:
финансируется по "остаточному от остаточного принципу"

В ряже компаний это все равно миллионы ;-)
Luka
 
Цитата
EvK пишет:
Тогда тут не клуб CISO нужен, а мощное лобби в правительстве:)

Вот этого не надо. Если хочешь, чтобы задача была провалена - глобализируй ее.
Luka
 
Цитата
kutkh пишет:
Чтобы прийти к первому нужно пройти через второе

Не всегда ;-) Я как-то второе вообще пропустил. Лженаука-с ;-) А может было лень изучать риски и я сразу к бизнесу перешел. А может место работы повлияло - скачок-то был качественный... даже более чем.
Luka
 
Спасибо! Статья очень хорошая и понятна тем кто дорос....
 
Спасибо Алексей!
Более грамотного объяснения на тему роли CISO я еще не встречал. Согласен буквально со всем. Надеюсь общественность прислушается.
 
Может быть пример с пользой от видеонаблюдения будет более нагляден?
Закупка системы видеонаблюдения может стоить намного меньше, чем уже полученный (это важно  - именно не потенциальный а уже полученный) ущерб понесеный от действий инсайдеров, или  от проникновения сторонних лиц. Было такое, проходили. И это только один пример.
Но заметим, что каждое руководство выслушивает предложения и дает деньги как правило себе подобным. Если руководство работает по понятиям, то и бюджет будет выделяться по понятиям. Если же руководство умеет работать с учетом рисков, прогнозирования, скажем "по-новому" - то и бюджет будет формироваться с этим же учетом.
 
Статья в целом правильная, но теоретическая (
цель курса? научить вытягивать больше денег на ИБ? ;)
Руководство интересует возможность СОКРАТИТЬ накладные расходы, а не увеличить.

ИМХО если у сотрудника хватит способностей объяснить своему руководству необходимость затрат на такой курс, то курсы ему не нужны, т.к. остальные статьи расходов он обоснует с большей лёгкостью.
:)
 
Цитата
Дмитрий Мананников CISO "СДМ-БАНК"  

А вы настоящий CISO или нет?
Страницы: Пред. 1 2 3 4 5 След.
Читают тему