#vciso — Public Fediverse posts
Live and recent posts from across the Fediverse tagged #vciso, aggregated by home.social.
-
Уровень зрелости ИБ (простыми словами о важном)
TL;DR: Вы покупаете дорогие security-решения, но при инциденте всё равно паника и хаос? Проблема не в инструментах, а в том, что делаете не на своём уровне зрелости. Разбираем 6 уровней развития ИБ — от «всё на общих паролях» до «безопасность как конкурентное преимущество». Типичная история: компания тратит на ИБ миллионы, покупает модные SIEM/DLP/EDR, нанимает специалистов, проводит аудиты. А потом прилетает шифровальщик — и выясняется, что бэкапы лежат на том же сервере, доступы раздавали «как у Васи, чтобы не бегать», а план реагирования существует только на бумаге. Проблема одна: делаете не на своём уровне зрелости. Зрелость ИБ — это не про стандарты ISO и не про сертификаты SOC2. Это способность не развалиться от типовых проблем и при этом не убить бизнес параноидальным контролем. Это баланс между «нас точно взломают» и «давайте проверять каждый клик сотрудника». Что внутри статьи: 5 уровней зрелости — от уровня 0 («пароли в общем чате», этот уровень вообще не считаем за уровень) до уровня 5 («ИБ как фактор выигрыша тендеров») Портреты компаний на каждом уровне — узнаете себя в первом абзаце Типичные факапы и почему они происходят именно на вашей стадии Инструменты и процессы — какие имеют смысл на каждом этапе Никаких переводов западных фреймворков. Только то, что работает в наших реалиях. Главный месседж: нормально быть на уровне 2-3, если вы там стабильны и честны с собой. Гораздо хуже притворяться зрелыми на бумаге и гореть на практике. Модель зрелости — это не экзамен на оценку. Под катом — разбор уровней с примерами, рисками и конкретными действиями. Если хоть раз ловили себя на мысли «мы вроде что-то делаем, но непонятно, достаточно ли этого» — welcome.
https://habr.com/ru/articles/1000308/
#ciso #vciso #cio #information_security #information_systems_audit #audit #информационная_безопасность #иб #зрелость #зрелость_в_it
-
Уровень зрелости ИБ (простыми словами о важном)
TL;DR: Вы покупаете дорогие security-решения, но при инциденте всё равно паника и хаос? Проблема не в инструментах, а в том, что делаете не на своём уровне зрелости. Разбираем 6 уровней развития ИБ — от «всё на общих паролях» до «безопасность как конкурентное преимущество». Типичная история: компания тратит на ИБ миллионы, покупает модные SIEM/DLP/EDR, нанимает специалистов, проводит аудиты. А потом прилетает шифровальщик — и выясняется, что бэкапы лежат на том же сервере, доступы раздавали «как у Васи, чтобы не бегать», а план реагирования существует только на бумаге. Проблема одна: делаете не на своём уровне зрелости. Зрелость ИБ — это не про стандарты ISO и не про сертификаты SOC2. Это способность не развалиться от типовых проблем и при этом не убить бизнес параноидальным контролем. Это баланс между «нас точно взломают» и «давайте проверять каждый клик сотрудника». Что внутри статьи: 5 уровней зрелости — от уровня 0 («пароли в общем чате», этот уровень вообще не считаем за уровень) до уровня 5 («ИБ как фактор выигрыша тендеров») Портреты компаний на каждом уровне — узнаете себя в первом абзаце Типичные факапы и почему они происходят именно на вашей стадии Инструменты и процессы — какие имеют смысл на каждом этапе Никаких переводов западных фреймворков. Только то, что работает в наших реалиях. Главный месседж: нормально быть на уровне 2-3, если вы там стабильны и честны с собой. Гораздо хуже притворяться зрелыми на бумаге и гореть на практике. Модель зрелости — это не экзамен на оценку. Под катом — разбор уровней с примерами, рисками и конкретными действиями. Если хоть раз ловили себя на мысли «мы вроде что-то делаем, но непонятно, достаточно ли этого» — welcome.
https://habr.com/ru/articles/1000308/
#ciso #vciso #cio #information_security #information_systems_audit #audit #информационная_безопасность #иб #зрелость #зрелость_в_it
-
Уровень зрелости ИБ (простыми словами о важном)
TL;DR: Вы покупаете дорогие security-решения, но при инциденте всё равно паника и хаос? Проблема не в инструментах, а в том, что делаете не на своём уровне зрелости. Разбираем 6 уровней развития ИБ — от «всё на общих паролях» до «безопасность как конкурентное преимущество». Типичная история: компания тратит на ИБ миллионы, покупает модные SIEM/DLP/EDR, нанимает специалистов, проводит аудиты. А потом прилетает шифровальщик — и выясняется, что бэкапы лежат на том же сервере, доступы раздавали «как у Васи, чтобы не бегать», а план реагирования существует только на бумаге. Проблема одна: делаете не на своём уровне зрелости. Зрелость ИБ — это не про стандарты ISO и не про сертификаты SOC2. Это способность не развалиться от типовых проблем и при этом не убить бизнес параноидальным контролем. Это баланс между «нас точно взломают» и «давайте проверять каждый клик сотрудника». Что внутри статьи: 5 уровней зрелости — от уровня 0 («пароли в общем чате», этот уровень вообще не считаем за уровень) до уровня 5 («ИБ как фактор выигрыша тендеров») Портреты компаний на каждом уровне — узнаете себя в первом абзаце Типичные факапы и почему они происходят именно на вашей стадии Инструменты и процессы — какие имеют смысл на каждом этапе Никаких переводов западных фреймворков. Только то, что работает в наших реалиях. Главный месседж: нормально быть на уровне 2-3, если вы там стабильны и честны с собой. Гораздо хуже притворяться зрелыми на бумаге и гореть на практике. Модель зрелости — это не экзамен на оценку. Под катом — разбор уровней с примерами, рисками и конкретными действиями. Если хоть раз ловили себя на мысли «мы вроде что-то делаем, но непонятно, достаточно ли этого» — welcome.
https://habr.com/ru/articles/1000308/
#ciso #vciso #cio #information_security #information_systems_audit #audit #информационная_безопасность #иб #зрелость #зрелость_в_it
-
Уровень зрелости ИБ (простыми словами о важном)
TL;DR: Вы покупаете дорогие security-решения, но при инциденте всё равно паника и хаос? Проблема не в инструментах, а в том, что делаете не на своём уровне зрелости. Разбираем 6 уровней развития ИБ — от «всё на общих паролях» до «безопасность как конкурентное преимущество». Типичная история: компания тратит на ИБ миллионы, покупает модные SIEM/DLP/EDR, нанимает специалистов, проводит аудиты. А потом прилетает шифровальщик — и выясняется, что бэкапы лежат на том же сервере, доступы раздавали «как у Васи, чтобы не бегать», а план реагирования существует только на бумаге. Проблема одна: делаете не на своём уровне зрелости. Зрелость ИБ — это не про стандарты ISO и не про сертификаты SOC2. Это способность не развалиться от типовых проблем и при этом не убить бизнес параноидальным контролем. Это баланс между «нас точно взломают» и «давайте проверять каждый клик сотрудника». Что внутри статьи: 5 уровней зрелости — от уровня 0 («пароли в общем чате», этот уровень вообще не считаем за уровень) до уровня 5 («ИБ как фактор выигрыша тендеров») Портреты компаний на каждом уровне — узнаете себя в первом абзаце Типичные факапы и почему они происходят именно на вашей стадии Инструменты и процессы — какие имеют смысл на каждом этапе Никаких переводов западных фреймворков. Только то, что работает в наших реалиях. Главный месседж: нормально быть на уровне 2-3, если вы там стабильны и честны с собой. Гораздо хуже притворяться зрелыми на бумаге и гореть на практике. Модель зрелости — это не экзамен на оценку. Под катом — разбор уровней с примерами, рисками и конкретными действиями. Если хоть раз ловили себя на мысли «мы вроде что-то делаем, но непонятно, достаточно ли этого» — welcome.
https://habr.com/ru/articles/1000308/
#ciso #vciso #cio #information_security #information_systems_audit #audit #информационная_безопасность #иб #зрелость #зрелость_в_it
-
vCISO — это сотрудник или услуга?
Виртуальный директор по информационной безопасности (vCISO) — это внешний эксперт высшего уровня, который берет на себя стратегическое руководство программой информационной безопасности организации на условиях частичной занятости или проектной работы. В отличие от штатного директора по ИБ, который работает в компании на постоянной основе с полным рабочим днем, виртуальный специалист предоставляет свои услуги гибко — это может быть несколько дней в неделю, определенное количество часов в месяц или работа над конкретными проектами. Эта модель особенно востребована среди средних и малых компаний, которым критически необходима экспертиза уровня крупных корпораций, но которые не могут позволить себе содержать полноценную должность директора по безопасности с зарплатой много млн в год плюс социальный пакет. Виртуальный директор приносит кросс-индустриальный опыт, накопленный при работе с десятками организаций в разных отраслях, что обеспечивает более широкий взгляд на угрозы и решения по сравнению со специалистом, проработавшим годы в одной компании.
https://habr.com/ru/articles/996320/
#ciso #vciso #information_security #security #security_operation_center #soc
-
vCISO — это сотрудник или услуга?
Виртуальный директор по информационной безопасности (vCISO) — это внешний эксперт высшего уровня, который берет на себя стратегическое руководство программой информационной безопасности организации на условиях частичной занятости или проектной работы. В отличие от штатного директора по ИБ, который работает в компании на постоянной основе с полным рабочим днем, виртуальный специалист предоставляет свои услуги гибко — это может быть несколько дней в неделю, определенное количество часов в месяц или работа над конкретными проектами. Эта модель особенно востребована среди средних и малых компаний, которым критически необходима экспертиза уровня крупных корпораций, но которые не могут позволить себе содержать полноценную должность директора по безопасности с зарплатой много млн в год плюс социальный пакет. Виртуальный директор приносит кросс-индустриальный опыт, накопленный при работе с десятками организаций в разных отраслях, что обеспечивает более широкий взгляд на угрозы и решения по сравнению со специалистом, проработавшим годы в одной компании.
https://habr.com/ru/articles/996320/
#ciso #vciso #information_security #security #security_operation_center #soc
-
vCISO — это сотрудник или услуга?
Виртуальный директор по информационной безопасности (vCISO) — это внешний эксперт высшего уровня, который берет на себя стратегическое руководство программой информационной безопасности организации на условиях частичной занятости или проектной работы. В отличие от штатного директора по ИБ, который работает в компании на постоянной основе с полным рабочим днем, виртуальный специалист предоставляет свои услуги гибко — это может быть несколько дней в неделю, определенное количество часов в месяц или работа над конкретными проектами. Эта модель особенно востребована среди средних и малых компаний, которым критически необходима экспертиза уровня крупных корпораций, но которые не могут позволить себе содержать полноценную должность директора по безопасности с зарплатой много млн в год плюс социальный пакет. Виртуальный директор приносит кросс-индустриальный опыт, накопленный при работе с десятками организаций в разных отраслях, что обеспечивает более широкий взгляд на угрозы и решения по сравнению со специалистом, проработавшим годы в одной компании.
https://habr.com/ru/articles/996320/
#ciso #vciso #information_security #security #security_operation_center #soc
-
vCISO — это сотрудник или услуга?
Виртуальный директор по информационной безопасности (vCISO) — это внешний эксперт высшего уровня, который берет на себя стратегическое руководство программой информационной безопасности организации на условиях частичной занятости или проектной работы. В отличие от штатного директора по ИБ, который работает в компании на постоянной основе с полным рабочим днем, виртуальный специалист предоставляет свои услуги гибко — это может быть несколько дней в неделю, определенное количество часов в месяц или работа над конкретными проектами. Эта модель особенно востребована среди средних и малых компаний, которым критически необходима экспертиза уровня крупных корпораций, но которые не могут позволить себе содержать полноценную должность директора по безопасности с зарплатой много млн в год плюс социальный пакет. Виртуальный директор приносит кросс-индустриальный опыт, накопленный при работе с десятками организаций в разных отраслях, что обеспечивает более широкий взгляд на угрозы и решения по сравнению со специалистом, проработавшим годы в одной компании.
https://habr.com/ru/articles/996320/
#ciso #vciso #information_security #security #security_operation_center #soc
-
Ya think, there, Thomas?
(Not to rip on Thomas. He is sharper than hell. I've been on a number of calls with him, and he really knows his shit.)
-
CISO or vCISO? In a world moving fast and remote, the virtual ghost might be your best defense. No fluff, just execution. #vCISO #OpSec #DeadSwitch
http://tomsitcafe.com/2025/05/13/what-is-a-ciso-is-a-virtual-ciso-a-real-solution/
-
Cynomi Raises $37 Million Series B to Expand Its vCISO Platform https://www.securityweek.com/cynomi-raises-37-million-series-b-to-expand-its-vciso-platform/ #CybersecurityFunding #CISOStrategy #funding #vCISO #CISO
-
Cynomi Raises $37 Million Series B to Expand Its vCISO Platform https://www.securityweek.com/cynomi-raises-37-million-series-b-to-expand-its-vciso-platform/ #CybersecurityFunding #CISOStrategy #funding #vCISO #CISO
-
vCISO Program Leadership and Organizational Change Management as a Service: HITRUST CSF Implementation – Source:levelblue.com https://ciso2ciso.com/vciso-program-leadership-and-organizational-change-management-as-a-service-hitrust-csf-implementation-sourcelevelblue-com/ #rssfeedpostgeneratorecho #1CyberSecurityNewsPost #AT&TCybersecurityBlog #rssfeedsAutogenerated #AT&TCybersecurity #CyberSecurityNews #'Cyber #vCISO
-
In addition to the software development work I do for fun and profit, I am also actively #jobhunting for strategic & tactical #leadership, advisory, and hands-on roles in #cybersecurity, #infosec, #grc, #privacy, #compliance, #devsecops, and more. Help me find my next adventure!
#CIO, #CISO, or #vCISO roles are ideal, but VP, Director, "Head of...", Architect, or Principle Engineer roles can also be great fits based on the organization and sector. The important thing is having a chance to do something new and exciting, and opportunities to learn & grow.
I also have a lot of experience with #boardofdirectors work, #nonprofit & #NGO operations, #publicspeaking, #writing, and #startup culture. With such a broad background, don't hesitate to reach out about something outside my current wheelhouse.
My main goal is to open a new chapter in my life. Let me surprise you by saying "yes" to something you thought was too far outside the box for me!
-
The vCISO Academy: Transforming MSPs and MSSPs into Cybersecurity Powerhouses – Source:thehackernews.com https://ciso2ciso.com/the-vciso-academy-transforming-msps-and-mssps-into-cybersecurity-powerhouses-sourcethehackernews-com/ #rssfeedpostgeneratorecho #CyberSecurityNews #TheHackerNews #vCISO
-
Damnit my own post got me again 🤣
If you like small business tech stuff or know someone who is, please pass it along!
If you need managed services, let me know! I know a guy!
#shamelessselfpromo #msp #securityconsulting #vCISO #smallbusiness https://jetcity.tech/wp/2024/09/05/streamlining-success-a-guide-to-task-automation-for-small-enterprises/ -
Unlocking SMB Cybersecurity: The Rise of Virtual CISOs in 2024 and Beyond – Source: securityboulevard.com https://ciso2ciso.com/unlocking-smb-cybersecurity-the-rise-of-virtual-cisos-in-2024-and-beyond-source-securityboulevard-com/ #rssfeedpostgeneratorecho #SecurityBloggersNetwork #CyberSecurityNews #SecurityBoulevard #Cybersecurity #business #vCISO #risk #SMB
-
Don't Miss This: Essential Strategies to Shield Underserved Communities
Mark Arnold, Lares' VP of Advisory Services, is sharing his vital insights on protecting communities caught in the "grey zone" during the Springfield Cybersecurity Conference 2024.
Join the conversation about proactive cybersecurity, social threat intelligence, and building a resilient community.
#GreyZone #CybersecurityConference #SocialThreatIntelligence #vCISO
-
Don't Miss This: Essential Strategies to Shield Underserved Communities
Mark Arnold, Lares' VP of Advisory Services, is sharing his vital insights on protecting communities caught in the "grey zone" during the Springfield Cybersecurity Conference 2024.
Join the conversation about proactive cybersecurity, social threat intelligence, and building a resilient community.
#GreyZone #CybersecurityConference #SocialThreatIntelligence #vCISO
-
Don't Miss This: Essential Strategies to Shield Underserved Communities
Mark Arnold, Lares' VP of Advisory Services, is sharing his vital insights on protecting communities caught in the "grey zone" during the Springfield Cybersecurity Conference 2024.
Join the conversation about proactive cybersecurity, social threat intelligence, and building a resilient community.
#GreyZone #CybersecurityConference #SocialThreatIntelligence #vCISO
-
I spoke with a prospect the other day who was looking for a #vciso to help implement the NIST CSF for his startup. Apparently I was the 3rd company he spoke with, but shared some feedback.
Apparently I was the only one who made sense, and had a good explanation on what the process would look like, how the plan would be implemented, and some other details on how we would move forward.
One of the other companies he contacted wanted to shift away from the CSF and go to the CIS controls instead. The problem is that the CSF was selected by his board, so that was not up for discussion. The vCISO's sin? Not listening to the client since they were only pushing the CIS controls.
The other VCISO did not explain things very clearly and the client ended up having more questions that when he started. Poor communication led to uncertainty and distrust from the customer, another mortal sin in consulting.
While I did appreciate his honesty and sharing this with me, it also made me sad. We're a small industry, and poor service like this is going to harm us all, not just a select few. If you don't support NIST, just say so! If you're making stuff up, just stop and say that you're not likely a good fit. I've turned away more than a few customers in the past because they were asking me for things I simply to not do. But I will refer them to folks I know that can do what they are looking for. Some of these leads turned into clients for services I do actually offer, so they're not all lost causes.
Be honest, because when you're not you end up hurting a lot more than your own reputation, you're hurting our industry.