Size: a a a

2019 September 13

D

Dmitriy in Codeibcommunity
Основная мысль такая - нас должны воспринимать не просто как админов, настраивающих непонятные железки, или людей, пишущих непонятные невыполнимые документы, а как людей, понимающих специфику бизнеса и этому бизнесу помогающие.
источник

D

Dmitriy in Codeibcommunity
Соответственно, грамотное управление киберрисками, эффективное расходование бюджета на ИБ сокращает недополученную прибыль и позволяет бизнесу получать больше денег.
Больше денег у бизнеса – больше денег у ИБ, выше зрелость.
источник

D

Dmitriy in Codeibcommunity
На КодИБ в Воронеже мы с коллегами эту тему мы в рамках моего доклада активно обсуждали и составили небольшой план, как процессы ИБ перевести в деньги.
источник

D

Dmitriy in Codeibcommunity
Последовательность достаточно простая. 1. Определить объект защиты(провести всестороннюю инвентаризацию) 2. Оценить угрозы 3. Определить контрмеры 4. Самое главное - оценить, насколько эти контрмеры дорогие. 5. Далее разработать стратегию внедрения контрмер 6. Наладить непрерывный процесс управления рисками
источник

D

Dmitriy in Codeibcommunity
Причем при оценке финансовой рентабельности контрмеры некоторые забывают оценить внутренние трудозатраты, а оценивают только работу подрядчиков
источник

D

Dmitriy in Codeibcommunity
И что самое важное - в одиночку мы это не сделаем. При выполнении подобных мероприятий надо обязательно привлекать бизнес-подразделения, владельцев процессов.
источник

SC

Sergio Chekrygin in Codeibcommunity
Dmitriy
Последовательность достаточно простая. 1. Определить объект защиты(провести всестороннюю инвентаризацию) 2. Оценить угрозы 3. Определить контрмеры 4. Самое главное - оценить, насколько эти контрмеры дорогие. 5. Далее разработать стратегию внедрения контрмер 6. Наладить непрерывный процесс управления рисками
Привет, а где тут эффективность? Вижу расходы и процессы.
источник

D

Dmitriy in Codeibcommunity
Система/средство/мера ИБ не является инструментом заработка, но она помогает достичь приемлемого уровня риска, который может быть выражен в деньгах. Эта последовательность поможет определать текущее состояние и текущий уровень риска, определить приемлемый и составить дорожную карту, как его достичь.
источник

IS

Ilya Smirnov in Codeibcommunity
Принцип разумной достаточности :)
источник

IS

Ilya Smirnov in Codeibcommunity
Добавляем в стройную картину требования регуляторов - и получаем в чистом виде часть "центра затрат".
источник

DD

Denis Dubtsov in Codeibcommunity
Что понимается под эффективностью, поясните, пожалуйста.
Есть ли формула подсчёта эффективности? Поделитесь, пожалуйста.
источник

D

Dmitriy in Codeibcommunity
Ilya Smirnov
Добавляем в стройную картину требования регуляторов - и получаем в чистом виде часть "центра затрат".
Оценку последствий несоответствия требованиям регуляторов, выраженную, в первую очередь, в деньгах, тоже, естественно, надо оценивать.
источник

D

Dmitriy in Codeibcommunity
Denis Dubtsov
Что понимается под эффективностью, поясните, пожалуйста.
Есть ли формула подсчёта эффективности? Поделитесь, пожалуйста.
Как родилась эта тема. На многих конференциях КодИБ возникал вопрос как обосновать руководству покупку того или иного СЗИ. И что руководство мыслит в первую очередь деньгами. Эффективность здесь - не выраженная в каком-то числе величина. Под эффективностью в данном случае мы понимаем наглядное доказательство того, сколько денег компания может потерять при реализации того или иного риск-сценария, и потери какого количества денег она может избежать использовав ту или иную контрмеру. При этом контрмера - не обязательно закупка сзи, это может быть, например, изменение бизнес-процесса без доп затрат на средства вычислительной техники или ИБ.
источник

SC

Sergio Chekrygin in Codeibcommunity
Dmitriy
Как родилась эта тема. На многих конференциях КодИБ возникал вопрос как обосновать руководству покупку того или иного СЗИ. И что руководство мыслит в первую очередь деньгами. Эффективность здесь - не выраженная в каком-то числе величина. Под эффективностью в данном случае мы понимаем наглядное доказательство того, сколько денег компания может потерять при реализации того или иного риск-сценария, и потери какого количества денег она может избежать использовав ту или иную контрмеру. При этом контрмера - не обязательно закупка сзи, это может быть, например, изменение бизнес-процесса без доп затрат на средства вычислительной техники или ИБ.
Вот и расскажи, как это считается
источник

DD

Denis Dubtsov in Codeibcommunity
Dmitriy
Как родилась эта тема. На многих конференциях КодИБ возникал вопрос как обосновать руководству покупку того или иного СЗИ. И что руководство мыслит в первую очередь деньгами. Эффективность здесь - не выраженная в каком-то числе величина. Под эффективностью в данном случае мы понимаем наглядное доказательство того, сколько денег компания может потерять при реализации того или иного риск-сценария, и потери какого количества денег она может избежать использовав ту или иную контрмеру. При этом контрмера - не обязательно закупка сзи, это может быть, например, изменение бизнес-процесса без доп затрат на средства вычислительной техники или ИБ.
А проблема какая решается? Как продать проект ИБ руководству? То, что после более точных подсчетов стоимость проекта снизится — это хорошо, это сделает проект более конкурентным среди ему подобных, но не более того. Доказательств наглядных никаких не будет, они будут такими же гипотетическими, как и гипотетические потери бизнеса, которые, как вы правильно заметили, он может понести (ключевое слово может). Напоминает старую добрую продажу страха, хотя почему напоминает... Но вернёмся к эффективности, про неё что-нибудь будет или можно расходиться?
источник

D

Dmitriy in Codeibcommunity
Denis Dubtsov
А проблема какая решается? Как продать проект ИБ руководству? То, что после более точных подсчетов стоимость проекта снизится — это хорошо, это сделает проект более конкурентным среди ему подобных, но не более того. Доказательств наглядных никаких не будет, они будут такими же гипотетическими, как и гипотетические потери бизнеса, которые, как вы правильно заметили, он может понести (ключевое слово может). Напоминает старую добрую продажу страха, хотя почему напоминает... Но вернёмся к эффективности, про неё что-нибудь будет или можно расходиться?
"Может" измеряется вероятностью, так что страх вполне себе измерим. А что, кстати, в вашем понимании эффективность?
источник

DD

Denis Dubtsov in Codeibcommunity
Dmitriy
"Может" измеряется вероятностью, так что страх вполне себе измерим. А что, кстати, в вашем понимании эффективность?
Сегодня ваш звёздный час, не мой.
источник

AD

Art Dudnik in Codeibcommunity
Здравствуйте!
Как ИБ может приносить реальную прибыль, когда денег на ИБ нет ?
источник

М

Максим in Codeibcommunity
По-хорошему, в расчетах долна быть учтена средняя вероятность наступления инцидента, взять ее можно из статистики инцидентов. По-хорошему они должны быть разделены по тяжести последствий. Но это чуть меньше, чем невозможно. Или нецелесообразно для закупки систем.
источник

IB

Ilya Borisov in Codeibcommunity
Dmitriy
Последовательность достаточно простая. 1. Определить объект защиты(провести всестороннюю инвентаризацию) 2. Оценить угрозы 3. Определить контрмеры 4. Самое главное - оценить, насколько эти контрмеры дорогие. 5. Далее разработать стратегию внедрения контрмер 6. Наладить непрерывный процесс управления рисками
"Самое главное - оценить, насколько эти контрмеры дорогие" - что значит дорогие? 100 000 рублей - это дорогие? А 100 000 $ - это дорогие или ещё нет?
источник