#управление_рисками — Public Fediverse posts

SLA как инструмент, а не отчёт. Часть 1. Как подружить бизнес и инженеров через общие цифры

Наш прежний SLA формально выглядел корректно: была формула, «четыре девятки» и отчёты. Но в моменты сбоев это не помогало ответить бизнесу на вопросы: сколько времени мы были недоступны, какова потенциально недополученная прибыль и каким был вклад разных подразделений в «наши девятки». Команды по‑своему считали простои и потери, называли разные цифры, и формально все были правы, но временами договориться про общий знаменатель в расчётах становилось слишком сложно. Меня зовут Дмитрий Химион, я руководитель ML Platform в X5 Digital. В статье расскажу, как мы «жили у границы потери доверия к SLA» и что с этим сделали: от запроса руководства и пересборки инцидент-менеджмента до доверенного алгоритма расчёта потерь и разделения SLA на бизнес- и технический уровни.

https://habr.com/ru/companies/X5Tech/articles/1038772/

#инцидентменеджмент #sla #backend #управление_рисками #аналитика #мониторинг #временные_ряды #дашборды #надежность_сервисов #расчет_потерь

SLA как инструмент, а не отчёт. Часть 1. Как подружить бизнес и инженеров через общие цифры

Наш прежний SLA формально выглядел корректно: была формула, «четыре девятки» и отчёты. Но в моменты сбоев это не помогало ответить бизнесу на вопросы: сколько времени мы были недоступны, какова потенциально недополученная прибыль и каким был вклад разных подразделений в «наши девятки». Команды по‑своему считали простои и потери, называли разные цифры, и формально все были правы, но временами договориться про общий знаменатель в расчётах становилось слишком сложно. Меня зовут Дмитрий Химион, я руководитель ML Platform в X5 Digital. В статье расскажу, как мы «жили у границы потери доверия к SLA» и что с этим сделали: от запроса руководства и пересборки инцидент-менеджмента до доверенного алгоритма расчёта потерь и разделения SLA на бизнес- и технический уровни.

https://habr.com/ru/companies/X5Tech/articles/1038772/

#инцидентменеджмент #sla #backend #управление_рисками #аналитика #мониторинг #временные_ряды #дашборды #надежность_сервисов #расчет_потерь

Как CISO защищаются от прошлого, игнорируя будущее

Большинство CISO готовятся к прошлой атаке. После громкой утечки компании срочно закупают новый EDR, донастраивают SIEM и усиливают антифишинг, хотя следующая проблема почти наверняка придёт совсем с другой стороны — через подрядчика, старый API или уязвимость, про которую никто ещё не написал в отчётах. В статье разбираем, почему ИБ‑команды часто защищаются «по зеркалу заднего вида», как это ломает стратегию безопасности и что делать, чтобы бюджет ИБ работал не только против вчерашних угроз.

https://habr.com/ru/companies/otus/articles/1036948/

#CISO #информационная_безопасность #кибербезопасность #threat_intelligence #ИБинциденты #техдолг_ИБ #управление_рисками #Red_Team #SOC #бюджетирование_ИБ

Как CISO защищаются от прошлого, игнорируя будущее

Большинство CISO готовятся к прошлой атаке. После громкой утечки компании срочно закупают новый EDR, донастраивают SIEM и усиливают антифишинг, хотя следующая проблема почти наверняка придёт совсем с другой стороны — через подрядчика, старый API или уязвимость, про которую никто ещё не написал в отчётах. В статье разбираем, почему ИБ‑команды часто защищаются «по зеркалу заднего вида», как это ломает стратегию безопасности и что делать, чтобы бюджет ИБ работал не только против вчерашних угроз.

https://habr.com/ru/companies/otus/articles/1036948/

#CISO #информационная_безопасность #кибербезопасность #threat_intelligence #ИБинциденты #техдолг_ИБ #управление_рисками #Red_Team #SOC #бюджетирование_ИБ

Как CISO защищаются от прошлого, игнорируя будущее

Большинство CISO готовятся к прошлой атаке. После громкой утечки компании срочно закупают новый EDR, донастраивают SIEM и усиливают антифишинг, хотя следующая проблема почти наверняка придёт совсем с другой стороны — через подрядчика, старый API или уязвимость, про которую никто ещё не написал в отчётах. В статье разбираем, почему ИБ‑команды часто защищаются «по зеркалу заднего вида», как это ломает стратегию безопасности и что делать, чтобы бюджет ИБ работал не только против вчерашних угроз.

https://habr.com/ru/companies/otus/articles/1036948/

#CISO #информационная_безопасность #кибербезопасность #threat_intelligence #ИБинциденты #техдолг_ИБ #управление_рисками #Red_Team #SOC #бюджетирование_ИБ

Как CISO защищаются от прошлого, игнорируя будущее

Большинство CISO готовятся к прошлой атаке. После громкой утечки компании срочно закупают новый EDR, донастраивают SIEM и усиливают антифишинг, хотя следующая проблема почти наверняка придёт совсем с другой стороны — через подрядчика, старый API или уязвимость, про которую никто ещё не написал в отчётах. В статье разбираем, почему ИБ‑команды часто защищаются «по зеркалу заднего вида», как это ломает стратегию безопасности и что делать, чтобы бюджет ИБ работал не только против вчерашних угроз.

https://habr.com/ru/companies/otus/articles/1036948/

#CISO #информационная_безопасность #кибербезопасность #threat_intelligence #ИБинциденты #техдолг_ИБ #управление_рисками #Red_Team #SOC #бюджетирование_ИБ

Bus factor = 1: 22 критичные для индустрии библиотеки, которые держатся на одном человеке

Где-то прямо сейчас один программист не спит и патчит баг в библиотеке, от которой зависит половина интернета. Он делает это бесплатно. Его никто не знает. Если он уйдёт — никто не придёт. Это история про структурную уязвимость, которую мы все создали вместе и продолжаем игнорировать.

https://habr.com/ru/articles/1037090/

#open_source #bus_factor #xz_utils #информационная_безопасность #выгорание #зависимости #supply_chain_attack #бэкдор #разработка_по #управление_рисками

Bus factor = 1: 22 критичные для индустрии библиотеки, которые держатся на одном человеке

Где-то прямо сейчас один программист не спит и патчит баг в библиотеке, от которой зависит половина интернета. Он делает это бесплатно. Его никто не знает. Если он уйдёт — никто не придёт. Это история про структурную уязвимость, которую мы все создали вместе и продолжаем игнорировать.

https://habr.com/ru/articles/1037090/

#open_source #bus_factor #xz_utils #информационная_безопасность #выгорание #зависимости #supply_chain_attack #бэкдор #разработка_по #управление_рисками

Bus factor = 1: 22 критичные для индустрии библиотеки, которые держатся на одном человеке

Где-то прямо сейчас один программист не спит и патчит баг в библиотеке, от которой зависит половина интернета. Он делает это бесплатно. Его никто не знает. Если он уйдёт — никто не придёт. Это история про структурную уязвимость, которую мы все создали вместе и продолжаем игнорировать.

https://habr.com/ru/articles/1037090/

#open_source #bus_factor #xz_utils #информационная_безопасность #выгорание #зависимости #supply_chain_attack #бэкдор #разработка_по #управление_рисками

Bus factor = 1: 22 критичные для индустрии библиотеки, которые держатся на одном человеке

Где-то прямо сейчас один программист не спит и патчит баг в библиотеке, от которой зависит половина интернета. Он делает это бесплатно. Его никто не знает. Если он уйдёт — никто не придёт. Это история про структурную уязвимость, которую мы все создали вместе и продолжаем игнорировать.

https://habr.com/ru/articles/1037090/

#open_source #bus_factor #xz_utils #информационная_безопасность #выгорание #зависимости #supply_chain_attack #бэкдор #разработка_по #управление_рисками

«Мы же предупреждали!» Почему реестр рисков не спасет проект, если команда не умеет принимать решения

Почти в каждом проекте есть момент, когда кто-то говорит: «Ну мы же предупреждали». И это, пожалуй, самая неприятная фраза в проектном управлении. Так как она означает, что проблема была не в том, что команда не знала о рисках. Проблема была в том, что знание о рисках никак не повлияло на решения. Реестр рисков в таком случае превращается не в инструмент управления проектом, а в кладбище тревожных мыслей. А что вообще такое Риск?

https://habr.com/ru/companies/viju/articles/1035034/

#проектное_управление #управление_рисками #реестр_рисков #ITпроекты #управление_разработкой #релизы #принятие_решений #project_management

«Мы же предупреждали!» Почему реестр рисков не спасет проект, если команда не умеет принимать решения

Почти в каждом проекте есть момент, когда кто-то говорит: «Ну мы же предупреждали». И это, пожалуй, самая неприятная фраза в проектном управлении. Так как она означает, что проблема была не в том, что команда не знала о рисках. Проблема была в том, что знание о рисках никак не повлияло на решения. Реестр рисков в таком случае превращается не в инструмент управления проектом, а в кладбище тревожных мыслей. А что вообще такое Риск?

https://habr.com/ru/companies/viju/articles/1035034/

#проектное_управление #управление_рисками #реестр_рисков #ITпроекты #управление_разработкой #релизы #принятие_решений #project_management

«Мы же предупреждали!» Почему реестр рисков не спасет проект, если команда не умеет принимать решения

Почти в каждом проекте есть момент, когда кто-то говорит: «Ну мы же предупреждали». И это, пожалуй, самая неприятная фраза в проектном управлении. Так как она означает, что проблема была не в том, что команда не знала о рисках. Проблема была в том, что знание о рисках никак не повлияло на решения. Реестр рисков в таком случае превращается не в инструмент управления проектом, а в кладбище тревожных мыслей. А что вообще такое Риск?

https://habr.com/ru/companies/viju/articles/1035034/

#проектное_управление #управление_рисками #реестр_рисков #ITпроекты #управление_разработкой #релизы #принятие_решений #project_management

«Мы же предупреждали!» Почему реестр рисков не спасет проект, если команда не умеет принимать решения

Почти в каждом проекте есть момент, когда кто-то говорит: «Ну мы же предупреждали». И это, пожалуй, самая неприятная фраза в проектном управлении. Так как она означает, что проблема была не в том, что команда не знала о рисках. Проблема была в том, что знание о рисках никак не повлияло на решения. Реестр рисков в таком случае превращается не в инструмент управления проектом, а в кладбище тревожных мыслей. А что вообще такое Риск?

https://habr.com/ru/companies/viju/articles/1035034/

#проектное_управление #управление_рисками #реестр_рисков #ITпроекты #управление_разработкой #релизы #принятие_решений #project_management

Риски в IT-продукте: как бизнес-аналитик спасает проект

Как бизнес-аналитик может предотвратить катастрофу в проекте? В статье разбираем, чем риск отличается от «что-то пошло не так», как категоризировать угрозы и с помощью pre-mortem анализа находить слабые места до старта разработки. Если хотите превратить неопределённость в управляемый план — welcome под кат. Разобрать риски

https://habr.com/ru/companies/otus/articles/1022182/

#аналитика #управление_рисками #бизнесанализ #системный_аналитик #митигация_рисков #best_practices #ITпроекты #FinTech

Потратил на безопасность 10 зарплат и попал в странную петлю

Вы когда-нибудь тратили деньги на то чтобы чувствовать себя спокойнее, а после этого начинали тревожиться еще сильнее? Поставили сигнализацию на машину и начали дергаться от каждого писка на парковке. Купили страховку и вдруг осознали сколько всего еще не застраховано. Сделали резервную копию рабочих файлов и тут же подумали, а что если и облако упадет. Я создаю наборы еды для чрезвычайных ситуаций. И вижу эту штуку в концентрированном виде. Человек покупает набор. Потом еще один. Потом спрашивает про генераторы, фильтры для воды, сроки хранения топлива. Потом пишет что смотрит участок за городом. Каждый следующий шаг логичен. А последнего шага не существует.

https://habr.com/ru/articles/1019402/

#безопасность #странная_петля #автономность #финансовая_грамотность #управление_рисками #когнитивные_искажения #лайфхак #личный_опыт

Потратил на безопасность 10 зарплат и попал в странную петлю

Вы когда-нибудь тратили деньги на то чтобы чувствовать себя спокойнее, а после этого начинали тревожиться еще сильнее? Поставили сигнализацию на машину и начали дергаться от каждого писка на парковке. Купили страховку и вдруг осознали сколько всего еще не застраховано. Сделали резервную копию рабочих файлов и тут же подумали, а что если и облако упадет. Я создаю наборы еды для чрезвычайных ситуаций. И вижу эту штуку в концентрированном виде. Человек покупает набор. Потом еще один. Потом спрашивает про генераторы, фильтры для воды, сроки хранения топлива. Потом пишет что смотрит участок за городом. Каждый следующий шаг логичен. А последнего шага не существует.

https://habr.com/ru/articles/1019402/

#безопасность #странная_петля #автономность #финансовая_грамотность #управление_рисками #когнитивные_искажения #лайфхак #личный_опыт

Потратил на безопасность 10 зарплат и попал в странную петлю

Вы когда-нибудь тратили деньги на то чтобы чувствовать себя спокойнее, а после этого начинали тревожиться еще сильнее? Поставили сигнализацию на машину и начали дергаться от каждого писка на парковке. Купили страховку и вдруг осознали сколько всего еще не застраховано. Сделали резервную копию рабочих файлов и тут же подумали, а что если и облако упадет. Я создаю наборы еды для чрезвычайных ситуаций. И вижу эту штуку в концентрированном виде. Человек покупает набор. Потом еще один. Потом спрашивает про генераторы, фильтры для воды, сроки хранения топлива. Потом пишет что смотрит участок за городом. Каждый следующий шаг логичен. А последнего шага не существует.

https://habr.com/ru/articles/1019402/

#безопасность #странная_петля #автономность #финансовая_грамотность #управление_рисками #когнитивные_искажения #лайфхак #личный_опыт

Потратил на безопасность 10 зарплат и попал в странную петлю

Вы когда-нибудь тратили деньги на то чтобы чувствовать себя спокойнее, а после этого начинали тревожиться еще сильнее? Поставили сигнализацию на машину и начали дергаться от каждого писка на парковке. Купили страховку и вдруг осознали сколько всего еще не застраховано. Сделали резервную копию рабочих файлов и тут же подумали, а что если и облако упадет. Я создаю наборы еды для чрезвычайных ситуаций. И вижу эту штуку в концентрированном виде. Человек покупает набор. Потом еще один. Потом спрашивает про генераторы, фильтры для воды, сроки хранения топлива. Потом пишет что смотрит участок за городом. Каждый следующий шаг логичен. А последнего шага не существует.

https://habr.com/ru/articles/1019402/

#безопасность #странная_петля #автономность #финансовая_грамотность #управление_рисками #когнитивные_искажения #лайфхак #личный_опыт

Простые хлопоты: когда проекту действительно нужно управление

В управлении проектами есть странная особенность: многие действия считаются полезными почти по умолчанию, хотя момент их проведения чаще всего выбирается либо по ритуалу, либо по накопленному раздражению команды. Совещания, сверки, проверки, уточнения, ретроспективы давно стали привычной частью работы, но сама необходимость таких событий редко выводится из логики проекта как таковой. Между тем любое подобное вмешательство имеет цену. Оно требует времени, отвлекает людей от основной работы, увеличивает организационные издержки и нередко замедляет движение проекта. Значит, для него должно существовать содержательное основание: почему оно нужно именно здесь, именно сейчас и именно в таком объёме.

https://habr.com/ru/articles/1012074/

#управление_проектами #управление_рисками #agile #scrum #организация_работы #организация_процессов #менеджмент_проектов

Простые хлопоты: когда проекту действительно нужно управление

В управлении проектами есть странная особенность: многие действия считаются полезными почти по умолчанию, хотя момент их проведения чаще всего выбирается либо по ритуалу, либо по накопленному раздражению команды. Совещания, сверки, проверки, уточнения, ретроспективы давно стали привычной частью работы, но сама необходимость таких событий редко выводится из логики проекта как таковой. Между тем любое подобное вмешательство имеет цену. Оно требует времени, отвлекает людей от основной работы, увеличивает организационные издержки и нередко замедляет движение проекта. Значит, для него должно существовать содержательное основание: почему оно нужно именно здесь, именно сейчас и именно в таком объёме.

https://habr.com/ru/articles/1012074/

#управление_проектами #управление_рисками #agile #scrum #организация_работы #организация_процессов #менеджмент_проектов

Простые хлопоты: когда проекту действительно нужно управление

В управлении проектами есть странная особенность: многие действия считаются полезными почти по умолчанию, хотя момент их проведения чаще всего выбирается либо по ритуалу, либо по накопленному раздражению команды. Совещания, сверки, проверки, уточнения, ретроспективы давно стали привычной частью работы, но сама необходимость таких событий редко выводится из логики проекта как таковой. Между тем любое подобное вмешательство имеет цену. Оно требует времени, отвлекает людей от основной работы, увеличивает организационные издержки и нередко замедляет движение проекта. Значит, для него должно существовать содержательное основание: почему оно нужно именно здесь, именно сейчас и именно в таком объёме.

https://habr.com/ru/articles/1012074/

#управление_проектами #управление_рисками #agile #scrum #организация_работы #организация_процессов #менеджмент_проектов

Простые хлопоты: когда проекту действительно нужно управление

В управлении проектами есть странная особенность: многие действия считаются полезными почти по умолчанию, хотя момент их проведения чаще всего выбирается либо по ритуалу, либо по накопленному раздражению команды. Совещания, сверки, проверки, уточнения, ретроспективы давно стали привычной частью работы, но сама необходимость таких событий редко выводится из логики проекта как таковой. Между тем любое подобное вмешательство имеет цену. Оно требует времени, отвлекает людей от основной работы, увеличивает организационные издержки и нередко замедляет движение проекта. Значит, для него должно существовать содержательное основание: почему оно нужно именно здесь, именно сейчас и именно в таком объёме.

https://habr.com/ru/articles/1012074/

#управление_проектами #управление_рисками #agile #scrum #организация_работы #организация_процессов #менеджмент_проектов

Слепая зона бизнеса: почему в компаниях отсутствует безопасный канал обращения в службу безопасности

В большинстве средних компаний существует служба экономической или собственной безопасности: определены зоны ответственности, выстроены регламенты, выделены средства и силы для контроля. На практике часто отсутствует базовый элемент в виде безопасного и понятного канала обращения к этим подразделениям. Данное упущение является системной уязвимостью, способной нанести ущерб бизнесу. Эта проблема стала очевидной для меня в ходе работы с корпоративным сегментом.

https://habr.com/ru/articles/1006320/

#экономическая_безопасность #служба_безопасности #внутренние_угрозы #управление_рисками #комплаенс #корпоративная_безопасность #внутренний_контроль #governance #risk_managment #compliance

Слепая зона бизнеса: почему в компаниях отсутствует безопасный канал обращения в службу безопасности

В большинстве средних компаний существует служба экономической или собственной безопасности: определены зоны ответственности, выстроены регламенты, выделены средства и силы для контроля. На практике часто отсутствует базовый элемент в виде безопасного и понятного канала обращения к этим подразделениям. Данное упущение является системной уязвимостью, способной нанести ущерб бизнесу. Эта проблема стала очевидной для меня в ходе работы с корпоративным сегментом.

https://habr.com/ru/articles/1006320/

#экономическая_безопасность #служба_безопасности #внутренние_угрозы #управление_рисками #комплаенс #корпоративная_безопасность #внутренний_контроль #governance #risk_managment #compliance

Слепая зона бизнеса: почему в компаниях отсутствует безопасный канал обращения в службу безопасности

В большинстве средних компаний существует служба экономической или собственной безопасности: определены зоны ответственности, выстроены регламенты, выделены средства и силы для контроля. На практике часто отсутствует базовый элемент в виде безопасного и понятного канала обращения к этим подразделениям. Данное упущение является системной уязвимостью, способной нанести ущерб бизнесу. Эта проблема стала очевидной для меня в ходе работы с корпоративным сегментом.

https://habr.com/ru/articles/1006320/

#экономическая_безопасность #служба_безопасности #внутренние_угрозы #управление_рисками #комплаенс #корпоративная_безопасность #внутренний_контроль #governance #risk_managment #compliance

Слепая зона бизнеса: почему в компаниях отсутствует безопасный канал обращения в службу безопасности

В большинстве средних компаний существует служба экономической или собственной безопасности: определены зоны ответственности, выстроены регламенты, выделены средства и силы для контроля. На практике часто отсутствует базовый элемент в виде безопасного и понятного канала обращения к этим подразделениям. Данное упущение является системной уязвимостью, способной нанести ущерб бизнесу. Эта проблема стала очевидной для меня в ходе работы с корпоративным сегментом.

https://habr.com/ru/articles/1006320/

#экономическая_безопасность #служба_безопасности #внутренние_угрозы #управление_рисками #комплаенс #корпоративная_безопасность #внутренний_контроль #governance #risk_managment #compliance

Как я оптимизировал 14 февраля с помощью карт: гайд по управлению рисками в условиях неопределенности

У меня, как у многих из вас, есть одна ежегодная "критическая уязвимость" в календаре — 14 февраля. Коротко обо мне: работаю в айти, 26 лет, есть девушка. В этом году ситуация заиграла новыми красками. Моя девушка за неделю до праздника заявила...

https://habr.com/ru/articles/996338/

#управление_рисками #неопределённость #дерево_решений #теория_вероятностей #сценарное_планирование #анализ_данных #суммаризация_отзывов #ИИассистент #Яндекс_Карты #поведенческие_ожидания

Как я оптимизировал 14 февраля с помощью карт: гайд по управлению рисками в условиях неопределенности

У меня, как у многих из вас, есть одна ежегодная "критическая уязвимость" в календаре — 14 февраля. Коротко обо мне: работаю в айти, 26 лет, есть девушка. В этом году ситуация заиграла новыми красками. Моя девушка за неделю до праздника заявила...

https://habr.com/ru/articles/996338/

#управление_рисками #неопределённость #дерево_решений #теория_вероятностей #сценарное_планирование #анализ_данных #суммаризация_отзывов #ИИассистент #Яндекс_Карты #поведенческие_ожидания

Как я оптимизировал 14 февраля с помощью карт: гайд по управлению рисками в условиях неопределенности

У меня, как у многих из вас, есть одна ежегодная "критическая уязвимость" в календаре — 14 февраля. Коротко обо мне: работаю в айти, 26 лет, есть девушка. В этом году ситуация заиграла новыми красками. Моя девушка за неделю до праздника заявила...

https://habr.com/ru/articles/996338/

#управление_рисками #неопределённость #дерево_решений #теория_вероятностей #сценарное_планирование #анализ_данных #суммаризация_отзывов #ИИассистент #Яндекс_Карты #поведенческие_ожидания

Как я оптимизировал 14 февраля с помощью карт: гайд по управлению рисками в условиях неопределенности

У меня, как у многих из вас, есть одна ежегодная "критическая уязвимость" в календаре — 14 февраля. Коротко обо мне: работаю в айти, 26 лет, есть девушка. В этом году ситуация заиграла новыми красками. Моя девушка за неделю до праздника заявила...

https://habr.com/ru/articles/996338/

#управление_рисками #неопределённость #дерево_решений #теория_вероятностей #сценарное_планирование #анализ_данных #суммаризация_отзывов #ИИассистент #Яндекс_Карты #поведенческие_ожидания

Метрики технического долга в ИБ

Представьте ситуацию: директор спрашивает про состояние информационной безопасности, а вы отвечаете — «Мы закрыли 100 уязвимостей за квартал». Звучит солидно. Для бизнеса же это почти ничего не значит. Руководству важнее понимать, насколько снизился риск и работает ли вообще то, на что компания тратит деньги. Поговорим о метриках технического долга в ИБ, которые помогают ответить на эти вопросы и перевести ценность безопасности на язык, понятный бизнесу.

https://habr.com/ru/companies/otus/articles/991090/

#метрики #технический_долг #метрики_ИБ #управление_рисками #уязвимости #MTTR

Метрики технического долга в ИБ

Представьте ситуацию: директор спрашивает про состояние информационной безопасности, а вы отвечаете — «Мы закрыли 100 уязвимостей за квартал». Звучит солидно. Для бизнеса же это почти ничего не значит. Руководству важнее понимать, насколько снизился риск и работает ли вообще то, на что компания тратит деньги. Поговорим о метриках технического долга в ИБ, которые помогают ответить на эти вопросы и перевести ценность безопасности на язык, понятный бизнесу.

https://habr.com/ru/companies/otus/articles/991090/

#метрики #технический_долг #метрики_ИБ #управление_рисками #уязвимости #MTTR

Метрики технического долга в ИБ

Представьте ситуацию: директор спрашивает про состояние информационной безопасности, а вы отвечаете — «Мы закрыли 100 уязвимостей за квартал». Звучит солидно. Для бизнеса же это почти ничего не значит. Руководству важнее понимать, насколько снизился риск и работает ли вообще то, на что компания тратит деньги. Поговорим о метриках технического долга в ИБ, которые помогают ответить на эти вопросы и перевести ценность безопасности на язык, понятный бизнесу.

https://habr.com/ru/companies/otus/articles/991090/

#метрики #технический_долг #метрики_ИБ #управление_рисками #уязвимости #MTTR

Метрики технического долга в ИБ

Представьте ситуацию: директор спрашивает про состояние информационной безопасности, а вы отвечаете — «Мы закрыли 100 уязвимостей за квартал». Звучит солидно. Для бизнеса же это почти ничего не значит. Руководству важнее понимать, насколько снизился риск и работает ли вообще то, на что компания тратит деньги. Поговорим о метриках технического долга в ИБ, которые помогают ответить на эти вопросы и перевести ценность безопасности на язык, понятный бизнесу.

https://habr.com/ru/companies/otus/articles/991090/

#метрики #технический_долг #метрики_ИБ #управление_рисками #уязвимости #MTTR

Как купец из деревни создал первый российский общественный банк

Конец 18-го века. Вы — купец из провинциального городка. Торгуете пшеницей и кожей. Всё хорошо, но, чтобы развернуться по-настоящему, нужны деньги. Желательно в обозримом будущем, а не когда-нибудь там, после продажи товара. Вы идёте за кредитом, и тут начинается самое интересное. Дворянину, как правило, выдавали деньги из государственного фонда. Купцу — нет, отправляли к ростовщикам, те возьмут 10–12%, а то и все 20. При такой ставке значительная часть прибыли уходит на обслуживание долга, а не на развитие бизнеса. Так выглядела финансовая реальность для большинства торговцев и ремесленников. Формально торговля поощрялась, но доступных кредитов не существовало. Альтернатива появилась не сразу. Её создал парень из семьи государственных крестьян. Правда, сначала ему пришлось заработать миллионы.

https://habr.com/ru/companies/gazprombank/articles/986566/

#история #экономика #финансы #управление_рисками #банк

Почему большинство российских компаний не умеют разбирать инциденты?

Инциденты есть всегда, а разборов почти не бывает! Если честно, в России мало компаний, которые действительно умеют разбирать инциденты так, как это делают зрелые ИБ-команды. Формально разбор проводится почти везде — есть акты, журналы, протоколы, отчёты, ссылки на регламенты. Но если посмотреть на содержание этих документов и на то, что происходит после каждого инцидента, картинка становится совсем другой. Чаще всего разбор — это формальность, а не инструмент повышения устойчивости. Узнать больше

https://habr.com/ru/companies/securitm/articles/986954/

#Информационная_безопасность #Кибербезопасность #Управление_ИБпроцессами #Анализ_инцидентов #ITинфраструктура #Мониторинг #Управление_рисками #Risk_Management #SOС

«Методика Ванги» и распределение Пуассона: как рассчитать ЗИП, когда производитель немного перестал работать в РФ

Недавно пришлось вспоминать, как считать необходимый размер ЗИП-склада. Казалось бы – чего там считать? А результат оказался не совсем интуитивным.

https://habr.com/ru/articles/979900/

#Сетевое_оборудование #Математическая_статистика #Управление_рисками #SLA #ЗИП

«Методика Ванги» и распределение Пуассона: как рассчитать ЗИП, когда производитель немного перестал работать в РФ

Недавно пришлось вспоминать, как считать необходимый размер ЗИП-склада. Казалось бы – чего там считать? А результат оказался не совсем интуитивным.

https://habr.com/ru/articles/979900/

#Сетевое_оборудование #Математическая_статистика #Управление_рисками #SLA #ЗИП

Как оценивать разработку в условиях высокой неопределенности: PERT, декомпозиция и уровни уверенности

Оценить проект «на берегу», когда требований почти нет, команды ещё нет, а ответ нужен к завтрашнему совещанию, — это не инженерия, а гадание с серьёзными последствиями. В статье разбирается практичный способ превратить туман неопределённости в расчёт: как декомпозировать работу по пользовательским функциям, считать оценки через PERT и показывать стейкхолдерам не «одну цифру», а диапазон с уровнем уверенности. Понять PERT

https://habr.com/ru/companies/otus/articles/976928/

#оценка_разработки #PERT #неопределённость_требований #планирование_проекта #управление_рисками #оценка_трудозатрат

Искусство оптимизации: сокращаем затраты, не жертвуя будущим компании

Привет, я Андрей Иванов, исполнительный директор в IT-компании и автор медиа « вАЙТИ ». Мы занимаемся разработкой веб- и мобильных сервисов, автоматизацией бизнес-процессов и внедрением AI. Кроме того, помогаем стартапам в разработке MVP продуктов. В моей сфере ответственности лежит работа по управлению бюджетом компании и операционными расходами. В статье расскажу о своем опыте и видении, какие ошибки чаще всего допускают IT-директора при урезании бюджета.

https://habr.com/ru/companies/beeline_cloud/articles/965616/

#оптимизация_затрат #itдиректор #руководство_компанией #software_asset_management #корпоративная_культура #управление_рисками #бизнеспроцессы #мотивация_сотрудников

Искусство оптимизации: сокращаем затраты, не жертвуя будущим компании

Привет, я Андрей Иванов, исполнительный директор в IT-компании и автор медиа « вАЙТИ ». Мы занимаемся разработкой веб- и мобильных сервисов, автоматизацией бизнес-процессов и внедрением AI. Кроме того, помогаем стартапам в разработке MVP продуктов. В моей сфере ответственности лежит работа по управлению бюджетом компании и операционными расходами. В статье расскажу о своем опыте и видении, какие ошибки чаще всего допускают IT-директора при урезании бюджета.

https://habr.com/ru/companies/beeline_cloud/articles/965616/

#оптимизация_затрат #itдиректор #руководство_компанией #software_asset_management #корпоративная_культура #управление_рисками #бизнеспроцессы #мотивация_сотрудников

Искусство оптимизации: сокращаем затраты, не жертвуя будущим компании

Привет, я Андрей Иванов, исполнительный директор в IT-компании и автор медиа « вАЙТИ ». Мы занимаемся разработкой веб- и мобильных сервисов, автоматизацией бизнес-процессов и внедрением AI. Кроме того, помогаем стартапам в разработке MVP продуктов. В моей сфере ответственности лежит работа по управлению бюджетом компании и операционными расходами. В статье расскажу о своем опыте и видении, какие ошибки чаще всего допускают IT-директора при урезании бюджета.

https://habr.com/ru/companies/beeline_cloud/articles/965616/

#оптимизация_затрат #itдиректор #руководство_компанией #software_asset_management #корпоративная_культура #управление_рисками #бизнеспроцессы #мотивация_сотрудников

Искусство оптимизации: сокращаем затраты, не жертвуя будущим компании

Привет, я Андрей Иванов, исполнительный директор в IT-компании и автор медиа « вАЙТИ ». Мы занимаемся разработкой веб- и мобильных сервисов, автоматизацией бизнес-процессов и внедрением AI. Кроме того, помогаем стартапам в разработке MVP продуктов. В моей сфере ответственности лежит работа по управлению бюджетом компании и операционными расходами. В статье расскажу о своем опыте и видении, какие ошибки чаще всего допускают IT-директора при урезании бюджета.

https://habr.com/ru/companies/beeline_cloud/articles/965616/

#оптимизация_затрат #itдиректор #руководство_компанией #software_asset_management #корпоративная_культура #управление_рисками #бизнеспроцессы #мотивация_сотрудников

Хватит тестировать вполсилы: Фреймворк RES-ATTACK для симуляции комплексных угроз и его метрика R-score

Привет, Хабр. С вами AdminFuture. Давайте представим себе худший кошмар любого SRE-инженера или CISO. Пятница, вторая половина дня. Нагрузка на систему достигает пика, и в этот самый момент основной узел кластера вашей критически важной СУБД начинает сбоить. Автоматика запускает процедуру failover. Системы напряжены, инженеры наготове, но в целом ситуация под контролем — к такому вы готовились. Но именно в этот момент, в окне уязвимости, когда внутренние сервисы перестраивают сетевые маршруты, а часть проверок безопасности временно ослаблена, ваша система мониторинга безопасности взрывается алертами. На один из внутренних API, который стал доступен во время переключения, началась целенаправленная атака. Это не голливудский сценарий. Это «идеальный шторм» — комбинация инфраструктурного сбоя и кибератаки, которая становится все более реальной угрозой для современных сложных систем. 1 И самое опасное здесь то, что мы почти никогда не готовимся к таким комбинированным событиям. Наши подходы к обеспечению отказоустойчивости и безопасности работают в параллельных вселенных. С одной стороны, у нас есть Chaos Engineering — дисциплина, которая учит нас готовиться к отказам инфраструктуры. Мы научились виртуозно «убивать» поды, вносить сетевые задержки и перегружать CPU, чтобы убедиться, что система выстоит. 3 С другой стороны, есть Red Teaming — практика эмуляции действий злоумышленников, которая проверяет наши защитные бастионы на прочность с помощью таких фреймворков, как Atomic Red Team

https://habr.com/ru/articles/960320/

#chaos_engineering #red_teaming #sre #devsecops #кибербезопасность #управление_рисками #argo_workflows #chaos_mesh

Риск — это не страшно: как команде проектного офиса превратить угрозы в точки роста

Пока гром не грянет, мужик не перекрестится. Пока не уволится тимлид, никто и не подумает, что его знания надо было как-то сохранить. Управление рисками в бизнесе и проектах — это база, но её часто пропускают. А зря.

https://habr.com/ru/companies/teamly/articles/959952/

#проектный_офис #управление_рисками #инструменты #база_знаний

Управление рисками: как культура съедает вашу стратегию на завтрак?

Небоскребы - это величайшие символы амбиций человека, олицетворяющие его стремление к величию. Но знаете что? Небоскребы падают. Падают в прямом и в переносном смысле. Первая четверть XXI века подарила нам способность смотреть на этих исполинов с ракурса истории, социологии, психологии и даже антропологии. Теперь, глядя вниз из окна на 60-м этаже ты по прежнему видишь вместо людей - точки, ресурсы, показатели. Но вместе с этим, ты видишь свое тусклое отражение в стекле и все чаще вспоминаешь десятки историй крушений и падений. Историй, которых накопились сотни и все они... Велика вероятность, что вы уделили гораздо больше внимания красивой девушке на картинке, чем невзрачной надписи рядом с ней и уж тем более введению к этой статье. Если так (но в особенности ели это не так), то эта статья точно окажется для вас полезной.

https://habr.com/ru/articles/958196/

#управление_рисками #оценка_вероятностей #метод_рулетки #теорема_байеса #байесовские_сети

Управление рисками: как культура съедает вашу стратегию на завтрак?

Небоскребы - это величайшие символы амбиций человека, олицетворяющие его стремление к величию. Но знаете что? Небоскребы падают. Падают в прямом и в переносном смысле. Первая четверть XXI века подарила нам способность смотреть на этих исполинов с ракурса истории, социологии, психологии и даже антропологии. Теперь, глядя вниз из окна на 60-м этаже ты по прежнему видишь вместо людей - точки, ресурсы, показатели. Но вместе с этим, ты видишь свое тусклое отражение в стекле и все чаще вспоминаешь десятки историй крушений и падений. Историй, которых накопились сотни и все они... Велика вероятность, что вы уделили гораздо больше внимания красивой девушке на картинке, чем невзрачной надписи рядом с ней и уж тем более введению к этой статье. Если так (но в особенности ели это не так), то эта статья точно окажется для вас полезной.

https://habr.com/ru/articles/958196/

#управление_рисками #оценка_вероятностей #метод_рулетки #теорема_байеса #байесовские_сети

Управление рисками: как культура съедает вашу стратегию на завтрак?

Небоскребы - это величайшие символы амбиций человека, олицетворяющие его стремление к величию. Но знаете что? Небоскребы падают. Падают в прямом и в переносном смысле. Первая четверть XXI века подарила нам способность смотреть на этих исполинов с ракурса истории, социологии, психологии и даже антропологии. Теперь, глядя вниз из окна на 60-м этаже ты по прежнему видишь вместо людей - точки, ресурсы, показатели. Но вместе с этим, ты видишь свое тусклое отражение в стекле и все чаще вспоминаешь десятки историй крушений и падений. Историй, которых накопились сотни и все они... Велика вероятность, что вы уделили гораздо больше внимания красивой девушке на картинке, чем невзрачной надписи рядом с ней и уж тем более введению к этой статье. Если так (но в особенности ели это не так), то эта статья точно окажется для вас полезной.

https://habr.com/ru/articles/958196/

#управление_рисками #оценка_вероятностей #метод_рулетки #теорема_байеса #байесовские_сети

Управление рисками: как культура съедает вашу стратегию на завтрак?

Небоскребы - это величайшие символы амбиций человека, олицетворяющие его стремление к величию. Но знаете что? Небоскребы падают. Падают в прямом и в переносном смысле. Первая четверть XXI века подарила нам способность смотреть на этих исполинов с ракурса истории, социологии, психологии и даже антропологии. Теперь, глядя вниз из окна на 60-м этаже ты по прежнему видишь вместо людей - точки, ресурсы, показатели. Но вместе с этим, ты видишь свое тусклое отражение в стекле и все чаще вспоминаешь десятки историй крушений и падений. Историй, которых накопились сотни и все они... Велика вероятность, что вы уделили гораздо больше внимания красивой девушке на картинке, чем невзрачной надписи рядом с ней и уж тем более введению к этой статье. Если так (но в особенности ели это не так), то эта статья точно окажется для вас полезной.

https://habr.com/ru/articles/958196/

#управление_рисками #оценка_вероятностей #метод_рулетки #теорема_байеса #байесовские_сети