#оценка_рисков — Public Fediverse posts

«Лучше промолчу» — самая дорогая ошибка

Коллеге: «От тебя плохо пахнет». Руководителю: «Вы спрашиваете наше мнение, а потом выдаёте идеи за свои. Сколько можно?!». Так отвечали участники исследования Crucial Learning на вопрос: «Если бы вы могли сказать кому угодно всё, что думаете, без последствий, что бы вы сказали?». Если бы... В реальности эти разговоры не происходят. Люди предпочитают молчать, иногда годами. Молчание кажется безопасным выбором. Но на практике молчание не решает проблему. Напротив, оно делает её дороже — для вас, для команды и для результата. Расскажу, почему мы системно ошибаемся в выборе «промолчать», к чему это приводит и поделюсь простым инструментом, который помогает принимать осознанное решение.

https://habr.com/ru/companies/smartvalues/articles/1026946/

#молчание #замалчивание #трудные_разговоры #обсуждение_проекта #проблемы #оценка_рисков #выгорание #переработки #коммуникация #ошибки_мышления

«Лучше промолчу» — самая дорогая ошибка

Коллеге: «От тебя плохо пахнет». Руководителю: «Вы спрашиваете наше мнение, а потом выдаёте идеи за свои. Сколько можно?!». Так отвечали участники исследования Crucial Learning на вопрос: «Если бы вы могли сказать кому угодно всё, что думаете, без последствий, что бы вы сказали?». Если бы... В реальности эти разговоры не происходят. Люди предпочитают молчать, иногда годами. Молчание кажется безопасным выбором. Но на практике молчание не решает проблему. Напротив, оно делает её дороже — для вас, для команды и для результата. Расскажу, почему мы системно ошибаемся в выборе «промолчать», к чему это приводит и поделюсь простым инструментом, который помогает принимать осознанное решение.

https://habr.com/ru/companies/smartvalues/articles/1026946/

#молчание #замалчивание #трудные_разговоры #обсуждение_проекта #проблемы #оценка_рисков #выгорание #переработки #коммуникация #ошибки_мышления

«Лучше промолчу» — самая дорогая ошибка

Коллеге: «От тебя плохо пахнет». Руководителю: «Вы спрашиваете наше мнение, а потом выдаёте идеи за свои. Сколько можно?!». Так отвечали участники исследования Crucial Learning на вопрос: «Если бы вы могли сказать кому угодно всё, что думаете, без последствий, что бы вы сказали?». Если бы... В реальности эти разговоры не происходят. Люди предпочитают молчать, иногда годами. Молчание кажется безопасным выбором. Но на практике молчание не решает проблему. Напротив, оно делает её дороже — для вас, для команды и для результата. Расскажу, почему мы системно ошибаемся в выборе «промолчать», к чему это приводит и поделюсь простым инструментом, который помогает принимать осознанное решение.

https://habr.com/ru/companies/smartvalues/articles/1026946/

#молчание #замалчивание #трудные_разговоры #обсуждение_проекта #проблемы #оценка_рисков #выгорание #переработки #коммуникация #ошибки_мышления

«Лучше промолчу» — самая дорогая ошибка

Коллеге: «От тебя плохо пахнет». Руководителю: «Вы спрашиваете наше мнение, а потом выдаёте идеи за свои. Сколько можно?!». Так отвечали участники исследования Crucial Learning на вопрос: «Если бы вы могли сказать кому угодно всё, что думаете, без последствий, что бы вы сказали?». Если бы... В реальности эти разговоры не происходят. Люди предпочитают молчать, иногда годами. Молчание кажется безопасным выбором. Но на практике молчание не решает проблему. Напротив, оно делает её дороже — для вас, для команды и для результата. Расскажу, почему мы системно ошибаемся в выборе «промолчать», к чему это приводит и поделюсь простым инструментом, который помогает принимать осознанное решение.

https://habr.com/ru/companies/smartvalues/articles/1026946/

#молчание #замалчивание #трудные_разговоры #обсуждение_проекта #проблемы #оценка_рисков #выгорание #переработки #коммуникация #ошибки_мышления

Как нанимают сказочников: разбор статьи одного рекрутера

Вы думаете, что на собеседовании выбирают лучшего? Рекрутеры пишут статьи про «снижение неопределённости», «оценку рисков» и «понятных кандидатов». А по факту сами не знают, кого ищут, нанимают сказочников и называют это оптимизацией потока. Спойлер: «понятный» кандидат обходится бизнесу дороже, чем «непонятный» профессионал. И да, Жизнь за Нер'зула!

https://habr.com/ru/articles/1019410/

#найм_персонала #рекрутинг #подбор_кандидатов #HR #размытые_требования #понятный_кандидат #отрицательный_отбор #оценка_рисков #собеседование #ошибки_найма

Почему безупречный код — это ноль, если бухгалтер не нашел кнопку «сохранить»

Вам наверняка попадался тот самый мем: «Как видит проект заказчик / как видит разработчик / как видит пользователь». Так вот, я — тот парень, который рисует четвертую картинку: «Как это должно работать на самом деле» и «как сделать продукт, который устроит всех». Меня зовут Ярослав, я data pre-sale в MWS. За долгие годы работы я совершил массу ошибок и однажды чуть не похоронил проект, потому что послушал заказчика и не поговорил с бухгалтером, которому в итоге предстояло пользоваться продуктом. Оказалось, их боли — две огромные разницы. В итоге я вывел для себя два главных правила: — Не бойся ошибаться, бойся ошибаться медленно. Чем раньше ты получишь фидбэк от реального пользователя, тем дешевле и быстрее все исправишь. — Твоя главная суперсила — не техстек, а синергия. Умение переводить с языка бизнес-хотелок на язык Python и обратно, а потом и на диалект «бухгалтера Галины Ивановны» — вот что определяет успех твоего проекта. Сегодня я расскажу, как, принимая ошибки и выстраивая коммуникацию, можно создать продукт, который будут реально использовать и рекомендовать другим.

https://habr.com/ru/companies/ru_mts/articles/972764/

#Data_Presales #Управление_проектами #Прототипирование #Коммуникация #ТЗ #Оценка_рисков #Бюджет #Пользовательский_фидбэк #B2B

Таксономия рисков в Delivery Management: от «зависимостей» до «технического долга»

Все вокруг твердят о рисках , «риски надо учитывать», «риски нужно минимизировать», но мало кто системно объясняет, какие вообще риски бывают и как их классифицировать именно применительно к Delivery Management.

https://habr.com/ru/companies/otus/articles/968564/

#деливерименеджмент #рискменеджмент #проектная_доставка #технический_долг #управление_командой #оценка_рисков #управление_качеством

Устарело за секунду: Ваша система оценки уязвимостей больше не соответствует ФСТЭК. Что делать?

Этим летом ФСТЭК России ввел в действие новую редакцию «Методики оценки уровня критичности уязвимостей программных, программно-аппаратных средств». В результате принятия данного документа прекратила свое действие прежняя методика, которая была утверждена ФСТЭК России еще в 2022 году. Узнать про изменения

https://habr.com/ru/companies/securitm/articles/947652/

#Методика_ФСТЭК #Приказ_117 #Модуль_VM #уязвимости #фстэк_россии #информационная_безопасность #оценка_рисков #государственные_учреждения #информационные_системы

Инструмент оценки рисков безопасности: что нужно учесть при выборе

Привет, Хабр! Меня зовут Ирина Созинова, я эксперт по информационной безопасности в Авито . Моя прошлая публикация была о том, как мы выстраиваем в Авито процесс оценки рисков безопасности . В этой же статье рассказываю, на какой функционал стоит обратить внимание при выборе инструмента в целом и что было важно конкретно для нас. А еще — разбираю плюсы и минусы системы класса GRC для управления рисками.

https://habr.com/ru/companies/avito/articles/924176/

#риск #рискменеджмент #риски #grc #управление_рисками #управление_рисками_иб #инструменты_аналитика #безопасность #оценка_рисков #infotmation_security

Инструмент оценки рисков безопасности: что нужно учесть при выборе

Привет, Хабр! Меня зовут Ирина Созинова, я эксперт по информационной безопасности в Авито . Моя прошлая публикация была о том, как мы выстраиваем в Авито процесс оценки рисков безопасности . В этой же статье рассказываю, на какой функционал стоит обратить внимание при выборе инструмента в целом и что было важно конкретно для нас. А еще — разбираю плюсы и минусы системы класса GRC для управления рисками.

https://habr.com/ru/companies/avito/articles/924176/

#риск #рискменеджмент #риски #grc #управление_рисками #управление_рисками_иб #инструменты_аналитика #безопасность #оценка_рисков #infotmation_security

Инструмент оценки рисков безопасности: что нужно учесть при выборе

Привет, Хабр! Меня зовут Ирина Созинова, я эксперт по информационной безопасности в Авито . Моя прошлая публикация была о том, как мы выстраиваем в Авито процесс оценки рисков безопасности . В этой же статье рассказываю, на какой функционал стоит обратить внимание при выборе инструмента в целом и что было важно конкретно для нас. А еще — разбираю плюсы и минусы системы класса GRC для управления рисками.

https://habr.com/ru/companies/avito/articles/924176/

#риск #рискменеджмент #риски #grc #управление_рисками #управление_рисками_иб #инструменты_аналитика #безопасность #оценка_рисков #infotmation_security

Инструмент оценки рисков безопасности: что нужно учесть при выборе

Привет, Хабр! Меня зовут Ирина Созинова, я эксперт по информационной безопасности в Авито . Моя прошлая публикация была о том, как мы выстраиваем в Авито процесс оценки рисков безопасности . В этой же статье рассказываю, на какой функционал стоит обратить внимание при выборе инструмента в целом и что было важно конкретно для нас. А еще — разбираю плюсы и минусы системы класса GRC для управления рисками.

https://habr.com/ru/companies/avito/articles/924176/

#риск #рискменеджмент #риски #grc #управление_рисками #управление_рисками_иб #инструменты_аналитика #безопасность #оценка_рисков #infotmation_security

Как связать сервисы предприятия с его процессами и ИТ-инфраструктурой

Весной 2024 года в нашу компанию «ЛАНИТ-Интеграция» обратился заказчик - один из крупнейших отечественных промышленных автопроизводителей. Предприятие с оставшейся в наследие с советских времён заводской конгломерацией, множеством дочерних обществ, поставщиков материалов и комплектующих изделий. Специфика взаимоотношений внутри этой группы компаний такова, что за работоспособность ИТ-инфраструктуры и предоставление ресурсов отвечает головной офис по формату провайдера облачных услуг, а за развитие и работоспособность непосредственно бизнес-сервисов – подразделение, их эксплуатирующее. Но, как вы понимаете, что-то пошло не так. Как мы помогли заказчику разобраться со сложившейся ситуацией, читайте в этой статье.

https://habr.com/ru/companies/lanit/articles/918876/

#ланит #itsm #каталог_услуг #ресурсносервисная_модель #оценка_рисков

Подготовка к ССК (2). Менеджмент информационной безопасности. Оценка рисков информационной безопасности

В этой статье мы рассмотрим оценку рисков информационной безопасности, которая является ядром системы менеджмента информационной безопасности. Понимание процесса оценки рисков необходимо Сертифицированному Специалисту по Кибербезопасности для грамотного выстраивания СМИБ.

https://habr.com/ru/articles/896500/

#СМИБ #оценка_рисков #ССК

Как за 4 шага улучшить процесс оценки рисков безопасности

Привет, Хабр! Меня зовут Ирина, я аналитик по информационной безопасности в Авито . В этой статье я делюсь нашим опытом и моими личными впечатлениями о выстраивании процесса оценки и управлении рисками информационной безопасности в Авито. Рассказываю, что понадобилось для запуска и поддержки процесса оценки рисков, в чем польза такой оценки и как здесь не отставать от трендов. Мой рассказ будет интересен не только ИБ-аналитикам, риск-менеджерам, но и всем, кто интересуется темой оценки рисков.

https://habr.com/ru/companies/avito/articles/844856/

#риск #рискменеджмент #недопустимое_событие #практическая_безопасность #результативная_кибербезопасность #sgrc #grc #оценка_рисков

Метод Монте-Карло для оценки рисков в кибербезе

Руководители нуждаются в измерении рисков и выражении в денежном эквиваленте снижения рисков. Этой цели и посвящен описываемый ниже метод.

https://habr.com/ru/articles/822719/

#оценка_рисков #ciso

Безопасность DevOps. Автоматизация и новые инструменты

Цикл популярности понятий из безопасности приложений, 2022 год. Из одноимённого отчёта Gartner . См. также обновление за 2023 год В процессе внедрения системы безопасности в DevOps можно использовать многие инструменты, которые уже применяются в компании. Какие-то будут плотно интегрированы в процесс, а другие использоваться периодически. Кроме старых, внедряются новые инструменты, чтобы устранить пробелы в инструментарии и дополнить возможности для автоматизации. Ключевые инструменты и процессы безопасности показаны на схеме вверху (из доклада Gartner ). Рассмотрим подробнее каждый этап автоматизации и внедрения новых инструментов в существующий рабочий процесс.

https://habr.com/ru/companies/globalsign/articles/782732/

#DevSecOps #оценка_рисков #обучение_сотрудников #внедрение_DevDecOps #модель_угроз #технический_долг #тестирование_безопасности #Software_Composition_Analysis #SCA #Application_Security_Testing #AST #SAST #DAST #IAST #MAST #недетерминированные_тесты #автоматизация #IDPS #безопасность_DevOps

Безопасность DevOps. Автоматизация и новые инструменты

Цикл популярности понятий из безопасности приложений, 2022 год. Из одноимённого отчёта Gartner . См. также обновление за 2023 год В процессе внедрения системы безопасности в DevOps можно использовать многие инструменты, которые уже применяются в компании. Какие-то будут плотно интегрированы в процесс, а другие использоваться периодически. Кроме старых, внедряются новые инструменты, чтобы устранить пробелы в инструментарии и дополнить возможности для автоматизации. Ключевые инструменты и процессы безопасности показаны на схеме вверху (из доклада Gartner ). Рассмотрим подробнее каждый этап автоматизации и внедрения новых инструментов в существующий рабочий процесс.

https://habr.com/ru/companies/globalsign/articles/782732/

#DevSecOps #оценка_рисков #обучение_сотрудников #внедрение_DevDecOps #модель_угроз #технический_долг #тестирование_безопасности #Software_Composition_Analysis #SCA #Application_Security_Testing #AST #SAST #DAST #IAST #MAST #недетерминированные_тесты #автоматизация #IDPS #безопасность_DevOps

Безопасность DevOps. Автоматизация и новые инструменты

Цикл популярности понятий из безопасности приложений, 2022 год. Из одноимённого отчёта Gartner . См. также обновление за 2023 год В процессе внедрения системы безопасности в DevOps можно использовать многие инструменты, которые уже применяются в компании. Какие-то будут плотно интегрированы в процесс, а другие использоваться периодически. Кроме старых, внедряются новые инструменты, чтобы устранить пробелы в инструментарии и дополнить возможности для автоматизации. Ключевые инструменты и процессы безопасности показаны на схеме вверху (из доклада Gartner ). Рассмотрим подробнее каждый этап автоматизации и внедрения новых инструментов в существующий рабочий процесс.

https://habr.com/ru/companies/globalsign/articles/782732/

#DevSecOps #оценка_рисков #обучение_сотрудников #внедрение_DevDecOps #модель_угроз #технический_долг #тестирование_безопасности #Software_Composition_Analysis #SCA #Application_Security_Testing #AST #SAST #DAST #IAST #MAST #недетерминированные_тесты #автоматизация #IDPS #безопасность_DevOps

Безопасность DevOps. Обучение сотрудников

В предыдущей статье мы упомянули основную проблему современных практик DevOps и конвейера CI/CD (Continuous Integration/Continuous Delivery). Основная проблема с точки зрения безопасности в том, что проверка уязвимостей и мониторинг безопасности стоят в конце цикла разработки, перед развёртыванием продукта. Более грамотный подход заключается в том, чтобы интегрировать практики по безопасности DevSecOps на раннем этапе (проактивный подход на КДПВ), а не постфактум. Первым делом программисты проходят обучение на предмет информационной безопасности, см. примерный план программы обучения для разработчиков . После этого инструменты безопасности интегрируются непосредственно в рабочий процесс.

https://habr.com/ru/companies/globalsign/articles/780964/

#DevSecOps #стратегическое_планирование #оценка_рисков #ShiftLeft #ShiftRight #обучение_сотрудников

Безопасность DevOps. Обучение сотрудников

В предыдущей статье мы упомянули основную проблему современных практик DevOps и конвейера CI/CD (Continuous Integration/Continuous Delivery). Основная проблема с точки зрения безопасности в том, что проверка уязвимостей и мониторинг безопасности стоят в конце цикла разработки, перед развёртыванием продукта. Более грамотный подход заключается в том, чтобы интегрировать практики по безопасности DevSecOps на раннем этапе (проактивный подход на КДПВ), а не постфактум. Первым делом программисты проходят обучение на предмет информационной безопасности, см. примерный план программы обучения для разработчиков . После этого инструменты безопасности интегрируются непосредственно в рабочий процесс.

https://habr.com/ru/companies/globalsign/articles/780964/

#DevSecOps #стратегическое_планирование #оценка_рисков #ShiftLeft #ShiftRight #обучение_сотрудников

Безопасность DevOps. Стратегическое планирование

Интеграция инструментов оценки рисков в рабочий процесс DevOps. Источник: Gartner Почти двадцать лет индустрия IT всё активнее переходит к внедрению практик DevOps . Автоматизация технологических процессов сборки, настройки и развёртывания ПО со взаимной интеграцией этих процессов — всё это помогает в разработке высококачественных приложений на высокой скорости и с большей эффективностью благодаря использованию конвейеров CI/CD (Continuous Integration/Continuous Delivery). Хотя внедрение практик DevOps повышает эффективность и скорость выпуска приложений, оно не лишено недостатков. Сам конвейер работает на непрерывной основе, включая тестирование и исправление багов. Но когда речь заходит о безопасности, то проверка уязвимостей и мониторинг безопасности, как правило, стоят в конце цикла, перед развёртыванием продукта. Это не самый лучший подход, считают специалисты по безопасноcти.

https://habr.com/ru/companies/globalsign/articles/779308/

#DevSecOps #стратегическое_планирование #оценка_рисков #ShiftLeft #ShiftRight

Безопасность DevOps. Стратегическое планирование

Интеграция инструментов оценки рисков в рабочий процесс DevOps. Источник: Gartner Почти двадцать лет индустрия IT всё активнее переходит к внедрению практик DevOps . Автоматизация технологических процессов сборки, настройки и развёртывания ПО со взаимной интеграцией этих процессов — всё это помогает в разработке высококачественных приложений на высокой скорости и с большей эффективностью благодаря использованию конвейеров CI/CD (Continuous Integration/Continuous Delivery). Хотя внедрение практик DevOps повышает эффективность и скорость выпуска приложений, оно не лишено недостатков. Сам конвейер работает на непрерывной основе, включая тестирование и исправление багов. Но когда речь заходит о безопасности, то проверка уязвимостей и мониторинг безопасности, как правило, стоят в конце цикла, перед развёртыванием продукта. Это не самый лучший подход, считают специалисты по безопасноcти.

https://habr.com/ru/companies/globalsign/articles/779308/

#DevSecOps #стратегическое_планирование #оценка_рисков #ShiftLeft #ShiftRight