🔳 Онлайн-интенсив по управлению информационной безопасностью Код ИБ ПРОФИ
Секция ПЛАНИРОВАНИЕ

Итоги мастер-класса Александра Кондратенко, Росбанк

Как сделать стратегию ИБ полезной и рабочей

Что сейчас актуально:
👉Кризис-менеджмент >> обычные процессы уже не работают, решения нужны быстрые и кардинальные
👉Использование уже сделанных наработок
👉Минимизация потерь >>  сохранить работу функции ИБ

Цель стратегии:
- Анализ текущего состояния
- Анализ внешних и внутренних факторов влияния
- Понимание состояния функции

👆 Стратегия должна быть нужна:
- вам
- спонсору
- ключевым членам команды

Процессы >> как основа всей стратегии
Люди >> выполняют и развивают процесс
Технологии >> неотъемлемая часть процесса

📌 После кризиса построение стратегии станет очень актуальным - надо к этому подготовиться.

Но не все можно назвать стратегией. Проекты никто не отменял.

Как ваша ИБ-стратегия в текущей ситуации?
anonymous poll

🙁, придется теперь пересматривать – 7
👍👍👍👍👍👍👍 44%

🤔 а что такое ИБ-стратегия? – 5
👍👍👍👍👍 31%

👌, учитывала даже цунами – 4
👍👍👍👍 25%

👥 16 people voted so far.

Дополнительные материалы из нашей Код ИБ АКАДЕМИЯ по теме сегодняшнего дня интенсива - ПЛАНИРОВАНИЕ:

💬 КАК найти экономически эффективные проекты по ИБ?
Дмитрий Мананников
Бизнес-консультант по ИБ

Как быстро определить потребность в проектах информационной безопасности. И не просто проектах, а тех самых инициативах, которые принесут ощутимый и измеряемый эффект в операционной деятельности. Будут максимально прозрачны для бизнеса и принесут измеряемую оценку из вклада в единый бизнес-показатель компании

💬 КАК управлять ИБ по ISO 27001
Андрей Прозоров
Менеджер по методологии ИБ

Основные положения ISO 27001 | Как сделать самооценку СУИБ по ISO 27001
О заинтересованных сторонах по ISO 27001 |Что такое “управление ожиданиями”
Цели ИБ по ISO 27001 | Пример оценки эффективности инструментов ИБ
О процессах СУИБ и их регулярности | Главная ошибка в автоматизации процессов

💬 КАК выбирать и использовать ИБ фреймворки?
Илья Борисов
Менеджер по ИБ регионального кластера СНГ в ThyssenKrupp Industrial Solutions

Какие фреймворки в области ИБ существуют (ISO 27001, NIST CSF, CIS Top 20), как правильно выбрать фреймворк и выстроить процесс внедрения, как интегрировать разнородные требования (включая регуляторные) в единую модель, как приоритезировать ИБ проекты в компании.

Те, у кого есть доступ ко всему интенсиву, получают бонусом полугодовой доступ к Код ИБ АКАДЕМИЯ и могут посмотреть эти мастер-классы.

Ольга. Как видеозаписи выступлений еще раз посмотреть?

@mihaleon С понедельника начнем отдавать, так как Webinar их не быстро конвертирует в связи с большой нагрузкой на сервер, плюс мы еще все записи монтируем, убирая лишнее.

Коллеги, #естьвопрос:

Для оценки сильных и слабых сторон по текущей деятельности компании берут:
Продажи
Оборот
Развитие продуктов
Сервис
Управление издержками
Маркетинг

А какие секторы вы бы выделили для ИБ-отдела?

Может быть кто-то готовил для своего отдела такой анализ сильных и слабых сторон. Поделитесь мыслями, пожалуйста 🙏 Готовлю конспект по технологии стратегирования, по которой стоит проходиться не менее одного раза в год вместе со своими сотрудниками, чтобы задавать вектор движения.

Потом этим конспектом с удовольствием с вами поделюсь.

Может быть у @Ilytchs, @Ab0_rigen, @Alexander_Kondratenko есть, что ответить?

Мы делаем swot-анализ, но он не публичный. Есть также метрики отчётные, их могу выложить, но они, по сути, привязаны к 27001.

@Ilytchs да, поделись, если можешь

📢 Всем привет 🙂

Внезапные выходные - повод заняться тем, до чего давно не доходили руки. В том числе и своим самообразованием 😉.

Присоединяйтесь к мастер-классам нашего онлайн-интенсива Код ИБ ПРОФИ.

Сегодня, 30 марта, состоится секция «Повышение осведомленности», которая всегда в топе по актуальностм, а в условиях перевода пользователей на удаленку вдвойне актуальна.

Зарегистрироваться можно на один или несколько мастер-классов на сайте интенсива.
 
📅 СЕГОДНЯ 30.03.2020 ПН
⏰ 10:00-15:30 по МСК

📌 10:00  Как повышать осведомленность пользователей с помощью OpenSourсe-решений?
👤 Спикер: Юрий Другач, Независимый эксперт по социальной инженерии и ИБ
💬 Научимся тестировать сотрудников, создавать учебные атаки и организовать обучение на базе OpenSourсe-решений.
 
📌 11:30  Как формировать группы риска для обучения и тренировки сотрудников.
👤 Спикер: Сергей Волдохин, Директор, Антифишинг
👤 Спикер: Ольга Лимонова, Психолог, Антифишинг
💬 Научимся формировать группы риска и выбирать приоритеты в процессах обучения и тренировки навыков по безопасности для разных категорий сотрудников.

📌 13:00  Как повышение осведомленности сделать частью культуры компании?
👤 Спикер: Сергей Демидов, Директор деп-та операционных рисков, ИБ и непрерывности бизнеса, Московская Биржа
💬 Научимся формировать у сотрудников правильное отношение к ИБ и делать это отношение частью культуры компании.

📌 14:30  Как сделать ИБ другом сотрудников?
👤 Спикер: Артём Воробьев, Управляющий Информационной безопасностью, Байер СНГ
💬 Научимся вовлекать сотрудников в соблюдение требований ИБ через игры, учения и фильмы, получая в итоге 3х-кратное снижение инцидентов.
⠀
☝🏼 Ссылка на регистрацию: https://profi.codeib.ru

Очень буду рада увидеться с вами в эфире.

👆 Партнер сегодняшней трансляции - компания Электронное облако.

Центр компетенций Электронное Облако, созданный командой профессиональных пентестеров, оказывает услуги
👉по защите корпоративной информации,
👉аудиту IT безопасности,
👉внедрению решений по защите информации,
👉непрерывному повышению квалификации сотрудников компаний в области ИБ.

Чем заняться ИБшнику во время длинных выходных: виртуальные стенды ИБ

https://sborisov.blogspot.com/2020/03/blog-post_30.html

Спасибо, буду смотреть )

👍

🔳 Онлайн-интенсив по управлению информационной безопасностью Код ИБ ПРОФИ
Секция ВЗАИМОДЕЙСТВИЕ С БИЗНЕСОМ

Итоги мастер-класса Дениса Горчакова, OKS Group

💬Как интегрировать ИБ в процессы компании

Сервисная деятельность – создание для компании возможностей по достижению её целей.
Сервисный процесс осуществляется в интересах потребителя, внутреннего по отношению к организации.

Заказчики не заинтересованы в услугах, они заинтересованы в решении задач и удовлетворении своих потребностей

Ценность услуг для заказчика трудноизмерима и субъективна, зависит от:
👉свидетельства ценности услуги
👉опыта и предпочтений
👉внешних факторов

Поставщик должен:
👉демонстрировать ценность
👉влиять на восприятие
👉отвечать на предпочтения

👆 Нужно стремиться привести деятельность к такому состоянию, когда внутренний потребитель будет платить за сервис своими деньгами, т.е. осознанно бюджетировать услуги

В вашей компании ИБ оказывается внутренним заказчикам как сервис?
anonymous poll

❌ Нет – 14
👍👍👍👍👍👍👍 78%

✅ Да – 4
👍👍 22%

👥 18 people voted so far.

🔳 Онлайн-интенсив по управлению информационной безопасностью Код ИБ ПРОФИ
Секция ВЗАИМОДЕЙСТВИЕ С БИЗНЕСОМ

Итоги мастер-класса Моны Архиповой, Операционного директора МИРЦ
💬 Как не допустить выгорания ИБ-отдела

Потребность >> Желание удовлетворить свою потребность
Поведение >> Действие, направленные на удовлетворение потребности
Обратная связь >> Восприятие поведения как нормы
Вознаграждение >> Удовлетворение потребности, получение вознаграждения

Пирамида Маслоу:
Физические потребности 👉 Безопасность 👉 Социальные потребности 👉 Потребности признания 👉 Духовные потребности

Теория ERG Альдерфера:
Существование 👉 Связи 👉 Рост

Двухфакторная теория Герцберга:
Гигиенические факторы:
👉 Политика компании
👉 Руководство и контроль
👉 ЗП
👉 Межличностные отношения
👉 Условия труда

Факторы удовлетворения
👉 Достижение
👉 Признание
👉 Работа сама по себе
👉 Ответственность
👉 Карьера

Попросить сотрудников оценить все факторы по шкале от  -5 до +5

Модели мотивации:
Рационально-экономическая >> Личный экономический интерес
Социальная >> Социальные потребности и взаимоотношения
Самоактуализации >> Люди изначально настроены на самоконтроль и самомотивацию, контроль воспринимается негативно

Формальный контракт (Трудовой договор) VS Неформалный контракт (Наши неформальные договоренности с сотрудником)

Теория X и Y МакГрегора
Х - теория запугивания, исходящая из того, что сотрудник - "ленивая скотина"
Y - теория поддержки, которая строится на том, что выполнение рабочих функций - это тоже приятное времяпровождение, как отдых или игры; сотрудник готов брать на себя ответсвенность

Как вы управляете своими сотрудниками?
anonymous poll

🙆‍♂️ По теории Y – 5
👍👍👍👍👍👍👍 56%

🙅‍♂️ По теории Х – 4
👍👍👍👍👍👍 44%

👥 9 people voted so far.

🔳 Онлайн-интенсив по управлению информационной безопасностью Код ИБ ПРОФИ
Секция ВЗАИМОДЕЙСТВИЕ С БИЗНЕСОМ

Итоги мастер-класса Ильи Борисова (@Ilytchs), Менеджера по ИБ регионального кластера СНГ, ThyssenKrupp

💬 Как использовать игры для популяризации ИБ?

Элементы игры:
👉 Победы
👉 Решение проблем
👉 Изучение
👉 Расслабление
👉 Социализация
👉 Признание

✅ Внешняя мотивация
- Повышение ЗП (дает краткосрочный эффект, так как расходы возрастают соразмерно росту ЗП и выросшая ЗП уже не так мотивирует)
- Повышение должности (невозможно часто повышать)

✅ Внутренняя мотивация
- Развитие
- Удовлетворение
- Свобода

Вызов >> Достижение >> Радость (дофаминовый цикл)
Повторение дофаминового цикла формирует привычки

👆Геймификация - это не самоцель, это способ достижения изменений в корпоративной культуре

[НЕ]правильная геймификация:
Бейджи
Уровни
Лидеры
Прогресс
Награда
Валюта
Соревнование

Правильная геймификация >> вовлекающие игры.

Примеры игр:
1. KIPS от Лаборатории Касперского
2. CYBER THREAT DEFENDER
3. Backdoors&breaches
4. Elevation of privilege (EOP)
5. Decisions & Disruptions

А вы используете игры для повышения культуры ИБ внутри компании?

@Ilytchs , если я ничего не путаю, обещал полным списком игр поделиться

Нет. Часть о которых рассказывал - есть в презентации. Остальное дооформлю описанием и выложу.