Разок можно покреативить! Фейковый #ShitHappens сгенерил, пока в туалете сидел: Звонок в 3 утра в субботу (ночь с пятницы на субботу), ты только закинулся очередным "шотом". Звонит  Набиуллина - нельзя не снять. Между счетами клиентов по всей России происходят хаотичные транзакции,  броуновское движение какое-то... Отклонение от нормы для этого времени суток значительное. Отделить легитимные от фейковых невозможно. Ты отвечаешь за безопасность в НСПК, через которую все это безобразие происходит. И, Да! ОНА узнала об этом первой)) сколько баллов?!

И, например, ты бухаешь с Грефом, он с Курпатовым 100 баксовые купюры распихивает по трусам стриптизершь в 10 метрах от тебя. Сколько баллов в таком случае?! ))

Госпади

Мне сейчас предложили откат на за баг баунти...

Даже там откаты....

Т.е., ты нашел "баг", должен получить "баунти" и те, кто этот Баунти дают просят кусочек ?

Тот кто нашёл, говорит что поделится. Потому что баг не совсем и баг

Ааааа !!! Тоже вариант

Нет бюджета на ИБ

Это вообще не проблема )

Его всегда нет пока не стукнет

Коллеги, добрый день! Не окажете помощь? Как правильно ответить руководству на вопрос: что является целевым конечным продуктом службы кибербезопасности?

Отличный вопрос! Сниженные риски взлома и потери контроля над IT-инфраструктурой, слива и публикации всей информации, а так же изменения данных в it-системах.

Аналогия. Что является целевым конечным продуктом пожарной безопасности – отсутствие пожара, и непривлечение к ответственности за халатность руководства.

А что остальные коллеги об этом думают? Только у меня 30% ресурсов уходит на убеждение руководства в тех или иных мерах в формате "торговли страхом"?

не только

Только "торговля страхом". Репутационные риски и снижение прибыли за счет публикации утечек. Остановка производства после вирусной атаки.  До Compliance еще далеко.

+ контроль за сотрудниками (сюда же можно про снижение разных "левых" перерывов/откатов/подработок)
некоторым руководителям важна мысль, что они могут контролировать что-то

Зависит от бизнеса. Торговля страхом уже не сильно работает.

А что работает? Касперский говорит, что и риск-менеджмент в ИБ не работает.

Смотря что основной бизнес. Но говорить стоит цифрами. Не теми которые «много штрафов по gdpr”