Правила специалиста информационной безопасности

0
2978

 

  • 364 — Меня послали раскрыть заговор, а я наблюдаю одну халатность
  • 363 — В ваших багах закладок не обнаружено
  • 362 — Не пускать — всегда проще, чем выгонять
  • 361 — Не управляй делами — управляй последствиями!
  • 360 — Настоящий ИБшник, мечтает не о том чтобы у него были СрЗИ, а о том, чтобы у него их небыло!
  • 359 — Приходите на свидание вдвоем. Пока один отвлекает девушку в баре, второй поднимается в номер и уничтожает все камеры и жучки.
  • 358 — Никогда не проси помощи в размере который можешь сделать сам.
  • 357 — Данные как девушки… Должны хоть раз быть скомпрометированы…
  • 356 — А вы замечали, что хорошая политика поИБэ исполняется так же как и плохая политика поИБэ?
  • 355 — Прежде чем решать задачу, ее необходимо упростить до состояния, не противоречащего целям решения
  • 354 — Дурак, достигший предела своего карьерного роста — для организации безопасен
  • 353 — Если руководство вызывает вас в 17.30 то это значит что или вопрос не важный, или важный, но по нему уже принято окончательное решение.
  • 352 — Чтобы руководство задумалось за ИБ, вместо пентестов можно взять на испытательный срок дол***ба с тем же результатом, но дешевле
  • 351 — Мало сделать СрЗИ к нему еще угрозы нужно придумать
  • 350 — Если нет денег сделать правильно, будут деньги сделать дважды
  • 349 — В ИБ/ИТ кадровый голод на низкооплачиваемых высококвалифицированных специалистов…
  • 348 — Как только система достигает определенного уровня сложности, она становится реализуемо уязвимой
  • 347 — Программы учений должны содержать в условиях ошибки операторов, в том числе при реакциях на ошибки операторов…
  • 346 — Данные, входящие и исходящие в/из ИС должны иметь маркеры времени.
  • 345 — Знание массы best practice, стандартов и методологий приносит пользу только через интерпретацию и адаптацию их для Компании
  • 344 — Лучший способ приблизиться на расстояние разящего удара — выглядеть беспомощным
  • 343 — Разгоняя эффективность системы не забывай про ее устойчивость
  • 342 — У нормального CISO во флэшках недостатка нет
  • 341 — Если на вас еще не напали, значит еще остались иные меры воздействия
  • 340 — Если вы сделаете защищенную инфраструктуру, на вас начнут нападать физически
  • 339 — Антивирус — высшая форма костыля для непродуманной системы
  • 338 — Реальный статус сотрудников компании можно вычислить по уровню привилегий для обхода СЗИ
  • 337 — Подготовленный к беде лезет в беду реже чем не подготовленный.
  • 336 — Для того чтобы добыть информацию не нужно взламывать никакие системы…
  • 335 — Всякий сотрудник обладает Волей к преодолению
  • 334 — Внедрение ИБ затруднительно там, где менеджмент не желает отказываться от своих привычек.
  • 333 — Если у системы два независимых админа, то системе рано или поздно придет конец
  • 332 — Всякий кризис начинается с необходимости продержаться
  • 331 — Вопросы в ИБ всегда одинаковые — ответы разные.
  • 330 — Обязательным условием развития искусственного интеллекта является уничтожение человечества.
  • 329 — Что бы скрыть антропогенный трафик люди начнут подражать машинам
  • 328 — Оценка эффективности ИБ должна включать оценку затраченных человеко-часов
  • 327 — Часто побеждает не тот, кто больше берет, а тот, кто меньше теряет
  • 326 — Всякое разумное существо стремится игнорировать Долг
  • 325 — Помните, все-таки волк ходит за стадом а не стадо за волком
  • 324 — Не забывай про дураков. Их функция — компенсировать любые попытки изменений среды.
  • 323 — Чем выше звание, тем проще должен быть пароль!
  • 322 — Развитие сильных сторон продукта/компании выгоднее чем поддержка слабых.
  • 321 — В 100% случаев службу ИБ не допускают к тем, от кого исходят максимальные риски.
  • 320 — Достоверные данные точностью не испортишь!
  • 319 — Это я к тому, что некоторые вредные процессы нельзя ломать — лучше если они сами закончатся. ПИ
  • 318 — Ответственность — как шоколадка. Её лучше разделить на всех
  • 317 — Никто не имеет права уходить в отпуск счастливым!
  • 316 — Нанятому (невовлеченному в бизнес) сотруднику — безопасность компании не интересна.
  • 315 — Запомни, иногда проще получить прощение чем разрешение 😉
  • 314 — Если тебе нужно мнение независимого эксперта, сначала найди независимого эксперта…
  • 313 — Ответственность нельзя заместить красивой Отчетностью
  • 312 — Только настоящий риск трансформируется в примету. А затем и в поговорку. Под конец в анекдот…
  • 311 — Политика ИБ — это пожелание того, как должен действовать вероятный нарушитель.
  • 310 — Спрашивая у вендора о скорости и стоимости внедрения системы, не забудь спросить за какое время система выносится и с каким ущербом.
  • 309 — Если ваш бизнес защищается не по идеологии CISCO — значит у вас неправильный бизнес…
  • 308 — Хакеры — лучшее прикрытие для инсайдера!
  • 307 — Самая устойчивая система это недоделанная система…
  • 306 — Если ваши действия автоматизируются — вас заменит автомат…
  • 305 — Минимизация воздействия человеческого фактора ведет к устранению самого фактора…
  • 304 — Всякое ИБ оплачивается конечным потребителем!
  • 303 — Комплексный подход заключается не том чтобы дергать за все ниточки, а том чтобы дергать только за нужные минимально достаточным усилием…
  • 302 — Всякий ИБ’шник должен знать! Сколько бы голов не было у гидры, жопа у неё одна!
  • 301 — Любая, даже самая сложная, проблема обязательно имеет простое, легкое для понимания, неправильное решение…
  • 300 — Работа ИБ’шника проста! Ты пишешь что необходимо, потом руководство помечает где ты не прав…
  • 299 — Всякая проблема имеет 3 сущности: 1-в которой корень проблемы 2-в которую отображается проблема -которая подпитывает корень проблемы
  • 298 — Люди не самое слабое звено в ИБ! Но определенно, самое долбанутое…
  • 297 — Получив 100% цифровых данных о предмете, вы имеете менее 50% доступной информации о предмете. Остальные 50% у людей…
  • 296 — Твоя задача: построить доверенную систему из недоверенных компонент в недоверенной среде…
  • 295 — Часто, обещание — это инструмент демонстрации лояльности, а не основа исполнения его содержания…
  • 294 — Дипломатия — это искусство добиться таких договоренностей, при нарушении которых именно вы получаете максимальную выгоду…
  • 293 — Для неограниченного обогащения достаточно манипулировать доверием.
  • 292 — Соблюдение всех норм законодательства РФ не дает гарантии потери репутации.
  • 291 — Хороший Виски можно дарить и в недопитой бутылке!
  • 290 — Рабы простят тирану все, кроме отсутствия у него чувства юмора…
  • 289 — Деревья сбрасывают листву не для того чтобы умереть, а для того, чтобы пережить зиму…
  • 288 — Мужчина плачет не за то, что на яхте с красотками мёд не пил, а за то, что большой настоящий дело не делал…
  • 287 — Издревле у человеков принято подмешивать яд во что ни будь вкусное…
  • 286 — Золотой парашют стимулирует договороспособность!
  • 285 — Любая «Задача» превращается в «Цель», если появляется компонент «Желание».
  • 284 — Нелепо звучит оправдание недееспособности низкой зарегулированностью бизнес-процессов…
  • 283 — Вокзалы для расставаний, аэропорты — для встреч…
  • 282 — Если пристально присмотреться в дырочку для ордена, то всегда можно разглядеть жопу…
  • 281 — Иногда люди верят вранью просто потому, что вранье настолько искреннее, что легче поверить вранью, чем в то, что так можно врать…
  • 280 — Думающий, болеющий душой за дело человек, не может не ворчать!
  • 279 — Вы можете делать все что захотите, но кот все равно попьет из вашей кружки!
  • 278 — Доказано: 100% коммутаторов уязвимы к атаке «человек в неадеквате».
  • 277 — Кому лучше подчинить ИБ? — если начальник дурак, то без разницы
  • 276 — В проекте столько объективности, сколько в проекте математики!
  • 275 — Наш хлеб — антропогенный трафик!
  • 274 — Интеграторы. Запоминается только плохое…
  • 273 — Жопа — это состояние системы. Как правило, самое устойчивое…
  • 272 — «ВМЕШАТЕЛЬСТВО» — ЭТО понятие, которым ИБ’шник должен вертеть на кончиках пальцев как мастер покера фишками…
  • 271 — Если установка энтерпрайза не начинается с кнопки «Call Support», то это не энтерпрайз!
  • 270 — Если сотрудника не за что наказать, то и награды он не достоин…
  • 269 — Не ищите оправдание преступлению, ибо найдёте…
  • 268 — Корпоративный дух заканчивается одновременно с туалетной бумагой!
  • 267 — Хорошие эксперты говорят: «Нельзя а лучшие знают, как можно!
  • 266 — Не так опасно ошибиться в человеке, как в уровне его осведомленности…
  • 265 — У всякого действия есть ущерб
  • 264 — Чтобы создать в колхозе 500 рабочих мест, достаточно сломать трактор!
  • 263 — Спокойствие босса дает свободу как и неведенье босса…
  • 262 — Чем отличаются технари от гуманитариев? Кто полезнее? у одних есть спирт, у других бабы… вот и считай…
  • 261 — — Админская учётка дана тебе не для того чтобы ты помогал людям! — Но я ведь уже извинился…
  • 260 — — SOC — это БД плюс какая-то хрень! — а сейчас все это БД плюс какая-то хрень…
  • 259 — Мы дожили до состояния, при котором отсутствие средств защиты в инфраструктуре компании безальтернативно ведет ее к краху…
  • 258 — нас новая СЗИ «Домино»! — какие функции? — как фишка ляжет…
  • 257 — — а это наша система Неваляшка! — и что, никогда не падала? — да не… в ней конь не валялся…
  • 256 — По крайней мере, бюджетирование ИБ расширяет кругозор, подталкивает к общению с интересными людьми…
  • 255 — Только правильные действия всегда приводят к катастрофе…
  • 254 — Разум за всё время своего развития более всего преуспел в оправдании своих же пороков…
  • 253 — Кстати, это моя личная точка зрения, и она может не совпадать с моей официальной позицией…
  • 252 — Помни, доверие формируют поступки, а не клятвы!
  • 251 — Кризис — потеря Воли! первый шаг к нему — утрата самодисциплины!
  • 250 — Самая большая и самая обидная ошибка для топ-менеджеров — перепутать момент начала преобразования бизнеса с падением бизнеса…
  • 249 — Помни, бездарность часто ищет спасения в работоспособности…
  • 248 — Помни, самым известным Независимым экспертом был Павлик Морозов!
  • 247 — Всякий влиятельный эксперт должен ответить себе на вопрос: «У какой компании акции упадут хотя бы на 1% если он сдохнет»?
  • 246 — Успех — это не окончание неудач, наличие запаса на будущие неудачи.
  • 245 — Всякую работу можно сделать плохо!
  • 244 — Запомни, «Продуктовые Евангелисты» — вредители отрасли ИБ!
  • 243 — Декларация соответствия ничтожна отсутствии репутационных рисков
  • 242 — Если ты жутко накосячил, а этого никто не заметил — значит этого и не было!
  • 241 — Воистину, продукто-центричная информационная безопасность — проститутка империализма!
  • 240 — Самые эффективный метод защиты информации — её удаление!
  • 239 — Обеспечение защиты информации не должно понижать её ценность!
  • 238 — Твои проекты никто не ценит! Твои отчеты никто не читает…
  • 237 — Пишущий Политику стелет дорогу себе…
  • 236 — Соблюдение корпоративной этики между двумя топ-менеджерами компании возможно только при наличии у обоих компромата друг на друга…
  • 235 — Информационная безопасность представляется в виде графа где узлы характеризуются уровнем доверия, а ребра уровнем защищенности.
  • 234 — Чем более ценна «репутация места» тем меньше нужно фактуры для смещения сидящего в нем зада!
  • 233 — Деньги это всегда Данные, но Данные это не всегда Деньги!
  • 232 — чем вы заполняете пространство между необходимым уровнем защищенности и вашими возможностями?
  • 231 — Не так важно на чьей стороне 1000 вендоров поИБэ … Важно чтобы пользователи были на твоей!
  • 230 — Социальная инженерия нужна ИБ’шнику для внедрения системы защиты не меньше чем хакеру для ее обхода!
  • 229 — Если ты научился не ошибаться в тяжелые времена это не означает что ты научился не ошибаться, когда ты на коне!
  • 228 — Стоимость потери зашифрованной флешки равна стоимости только самой флешки!
  • 227 — Чаще всего, человек стремится защитить от других сотрудников компании именно ту информацию, которую сам не прочь стащить!
  • 226 — Если ты начинаешь разочаровываться используемых СрЗИ — не пугайся, ты на правильном пути!
  • 225 — Перед ИБ’шником всегда стоит вопрос — быть незаменимым или быть невидимым.
  • 224 — Иногда, чтобы сократить время на выбор средства защиты, достаточно подбросить монетку.
  • 223 — Не нужно браться за решение проблемы, когда стоит задача — решать вопрос!
  • 222 — Немонетизированная утечка — бесполезная утечка!
  • 221 — В результате учений по ИБ произошел крах системы. Парадокс! Результат учений является и положительным, и отрицательным одновременно!
  • 220 — Невскрываемым может считаться только такой шифр, для которого нет критериев оценки правильности расшифрованного сообщения.
  • 219 — Одна из важнейших функций CISO — управление доверием!
  • 218 — Риск пересматривается периодически, Ресурс изменяется постоянно!
  • 217 — Корректировка системы ИБ Ресурсом сильнее корректировки её Риском!
  • 216 — Парадокс. Доверие является и результатом, и причиной нарушения политики ИБ.
  • 215 — При увольнении топ-менеджеры уносят бизнес, менеджеры среднего звена — бизнес-процессы, а информацию уносят ВСЕ!
  • 214 — Всякий мошенник требует, чтобы с ним обращались строго по закону и с соблюдением этических норм.
  • 213 — Если тест можно пройти на 100%, то это плохой тест…
  • 212 — Услуги по знакомству — самые дорогие…
  • 211 — Людям свойственно скрывать свои истинные намерения…
  • 210 — На переговорах добивайся только таких договоренностей, при нарушении которых ни одна из сторон не получит непоправимое преимущество…
  • 209 — Научись бояться. Уметь правильно бояться — одно из важнейших качеств ИБ’шника.
  • 208 — При рассмотрении крайних форм взаимодействия помни, что порядочность — тоже крайняя форма.
  • 207 — Проверь, какие пароли помнит сисадмин и смени те, которые он вспомнил!
  • 206 — Роль информационной безопасности компании именно такая как её воспринимает бизнес!
  • 205 — Высокая дезинтеграция информационных систем — большая проблема как для ИБ, так и для хакеров.
  • 204 — Демонстрация договороспособности на порядок ценнее демонстрации правоты!
  • 203 — Гонка с хакерами комплексно, с учётом расширения инфосферы, отражается в тенденции удорожания средств взлома и удешевления средств защиты…
  • 202 — Однажды тебе станет грустно из-за отсутствия в ИТ-инфраструктуре устойчивой Системы Единого Времени.
  • 201 — Зрелое ИБ — это участие в формировании безопасных процессов по всем направлениям, имеющим отношение к инфосфере бизнеса.
  • 200 — Любое коробочное решение со временем становится ландшафтным…
  • 199 — ИБ’шник в компании нужен не для того чтобы ограничивать бизнес, а для того чтобы бизнес развивался безопасно.
  • 198 — Комплексная цель CISO — составить из букв «А» «П» «О» «Ж» слово «С Ч А С Т Ь Е»
  • 197 — Самый близкий к ИБ вид спорта — кёрлинг! Или тетрис?
  • 196 — Цель управления рисками не понижение рисков, а уточнение возможного в процессах принятия решений.
  • 195 — Мне ваша формула эффективности ИБ не интересна, вы мне покажите где тут корректирующий коэффициент!
  • 194 — Никогда еще показатели ROI, ТСО, ROSI, AS, ALE не побеждали показатель NAH-UA!
  • 193 — Информационная безопасность — наука, изучающая процесс применения рациональных технологий ради достижения иррациональных целей.
  • 192 — Если у метода обеспечения информационной безопасности есть общепризнанное название, он скорее всего уже неэффективен.
  • 191 — Обнаружить потерю доступа к системе, провести расследование и обнаружить, что сам случайно изменил себе права — бесценный опыт ИБ’шника!
  • 190 — Не обязательно быть целью, чтобы стать жертвой!
  • 189 — Чаще всего проблема решается не в той плоскости, где она проявляется
  • 188 — Не так важен EVENT, как его «монетизация»!
  • 187 — Некоторые системы позволяют компенсировать коммуникации, но ни одна система не способна их заменить
  • 186 — Один недоученный сисадмин может за ночь сделать для вашей компании больше чем Microsoft, CISCO, INTEL и IBM за десятилетие вместе взятые!
  • 185 — Неконтролируемые действия по понижению или повышению защищенности могут привести к лавинообразной цепной реакции и краху СЗИ…
  • 184 — На аудите постарайся докопаться до такого уровня абстракции, который позволит предлагать решения на уровне архитектуры.
  • 183 — Одна из целей твоей деятельности — понижение цены ошибок!
  • 182 — Если пользователи не соблюдают правила ИБ, то они не идиоты… Они просто не мотивированы соблюдать правила ИБ!
  • 181 — Никогда не применяй шифрование как компенсацию недостатков системы защиты информации!
  • 180 — Кризис есть ни что иное как потеря воли!
  • 179 — Остерегайся хакеров, особенно непьющих и еще больше остерегайся ИБ’шников увлеченных персональными данными, особенно пьющих…
  • 178 — Старайся приводить ущерб от угроз к потере невосполнимых ресурсов. Например, времени…
  • 177 — Обеспечил правильный состав рабочей группы — сэкономил миллион!
  • 176 — Запомни, архитектурные решения всегда эффективнее!
  • 175 — Термин «коллективная безопасность» подразумевает не только защиту периметра!
  • 174 — Неадекватная оценка угрозы — это тоже угроза!
  • 173 — Ты должен быть информирован настолько, чтобы твои решения были очевидными.
  • 172 — Иногда лучшая победа — это ничья!
  • 171 — Первое шифрование как правило заканчивается потерей информации.
  • 170 — ИБ’шник как диетолог: если не контролировать вход, то нечего жаловаться на выход!
  • 169 — Принцип: при наличии взаимодействующих систем, о безопасности команд управления должна заботиться принимающая сторона.
  • 168 — Одна из характеристик незрелого рынка — отсутствие репутационных рисков!
  • 167 — Если кто-то утверждает, что в его профессии нет этики, я в ответ утверждаю, что нет такой профессии!
  • 166 — ИБ’шник должен: -Знать, 2-Контролировать, З-Защищать, 4-Влиять.
  • 165 — Откат — это не только вознаграждение за выбор поставщика услуг, но и компенсация за низкое качество предоставленных услуг!
  • 164 — Чем полнее и достовернее информация по вопросу, тем очевиднее ответ.
  • 163 — Воистину, восхищение незнанием и восхищение знанием — суть отличия мнимого и истинного счастья!
  • 162 — Сотрудник с темным прошлым обладает только одним преимуществом — темным прошлым!
  • 161 — Не всякая уязвимость компонента системы ведет к уязвимости самой системы!
  • 160 — Давать доступ можно только тому, у кого ты сможешь его забрать!
  • 159 — Негоже Заказчику выглядеть компетентнее Интегратора.
  • 158 — Потребителя не интересует, какое количество сертификаций прошло сплошь уязвимое приложение.
  • 157 — Часто DLP нужна не для того, чтобы обвинить, а для того, чтобы снять подозрения!
  • 156 — Руководство не хочет принимать меры по защите той информации, для монетизации которой отсутствует очевидная «дорожная карта».
  • 155 — Докладывать об инциденте или найденной уязвимости следует только тому, кто сможет правильно среагировать на эту информацию.
  • 154 — Внедрение технических средств защиты не должно опережать развитие Культуры информационной безопасности.
  • 153 — Сотрудник службы безопасности! Ставь DLP — береги печень!
  • 152 — Недооценка рисков ведет к принятию рисков. Переоценка рисков ведет к порождению новых рисков.
  • 151 — Безопасность самой защищенной системы ничтожна, если вы используете тот же пароль в незащищенной системе.
  • 150 — Тебя учили обеспечивать конфиденциальность информации, а придется обеспечивать устойчивость информационных систем.
  • 149 — Несложно влить информацию в ИС, когда она собирается. Сложно её не расплескать, когда ИС разбирается!
  • 148 — Если аудитор начал с инвентаризации — у него есть бизнес. Если с оценки рисков — у него есть время.
  • 147 — Иногда кофе-машина, установленная в отдел IT, делает для ИБ больше чем антивирус, установленный в сети.
  • 146 — При попытке взлома криптосистемы, взломом криптоалгоритма занимаются последнюю очередь!
  • 145 — ИБ’шники как шахтеры. И те, и другие знают, что горизонтальные каналы (штольни) куда опаснее вертикальных каналов (шахты).
  • 144 — Защищенный канал и контролируемый канал это две большие разницы!
  • 143 — кого не хватает сил противостоять, тот не высовывается и смешивается с толпой…
  • 142 — Программный код всегда имеет меньшее влияние на обработку данных чем среда его функционирования.
  • 141 — Запомни, система с четким периметром всегда защищённее системы с размытым периметром…
  • 140 — Подумай, сколько ты сделал для компании, партнеров, страны! Теперь подели на 1000 и иди работать!
  • 139 — Зрелая ИБ возможна только если лежит на «плече» рычага, качающего деньги…
  • 138 — Широта и активность применения пользовательских СрЗИ пропорционально юзабилити интерфейсов данного СрЗИ.
  • 137 — Безопасная разработка приложений — это когда бюджет проплачен без учета результатов… Ничего более!
  • 136 — Стоит насторожиться, если вероятный партнер упорно не использует для переписки корпоративную почту.
  • 135 — Говорите по телефону без «жучка» так же как по телефону с жучком!
  • 134 — Для всякого субъекта существует свой уровень угрозы, после которого он пытается действовать рационально…
  • 133 — Если перед тобой стоит выбор, использовать простое или более сложное средство защиты, выбирай простое.
  • 132 — Самый ценный хакер не тот, кто лучше ломает системы, а тот, кто может сдать больше друзей-хакеров…
  • 131 — Используй не слабости, а силу партнеров!
  • 130 — Во всем ищи человека.
  • 129 — Используй встроенные механизмы защиты, а средства контроля защищенности внешние.
  • 128 — Недостаточность правовых мер защиты информации не может быть компенсирована техническими мерами
  • 127 — Постигая искусство ИБ, уделяй 50% времени совершенствованию методов и средств защиты и 50% совершенствованию себя!
  • 126 — Чем точнее описана уязвимость или угроза безопасности, тем легче сформировать для нее контрмеры.
  • 125 — При необходимости используй два SAST разных производителей. Один из них обязательно должен интегрироваться в среду разработки.
  • 124 — Разработай для персонала правила безопасного использования информации и активов.
  • 123 — Если ты не перевариваешь ложь, высказанную тебе в спину, то как ты переваришь правду, высказанную тебе в лицо?
  • 122 — Чаще всего мы ошибаемся в людях…
  • 121 — Учи английский язык. Большинство отраслевых новшеств появляется на английском языке…
  • 120 — Две совершенные системы защиты, установленные в одну информационную\ систему, блокируют друг друга.
  • 119 — Система защиты, состоящая из абсолютно надежных элементов, может оказаться абсолютно ненадежной в целом.
  • 118 — На переговорах с заказчиками — принято увеличивать цену контракта на 15% из которых потом: 5%-подарить менеджеру, 10%-генеральному директору.
  • 117 — Вредоносный код — это любой код, который попал в базу Касперского
  • 116 — Сдается мне, что если встретятся два великих ИБ`шника, то им будет что вспомнить, но совершенно не о чем поговорить…
  • 115 — Считаете себя зрелым человеком на основании того, что не позволяете себе совершить глупую выходку?! Трепещите несчастные, ибо ОН может
  • 114 — Чем отличается управляющий от кризисного управляющего? Управляющий — управляет, кризисный сначала доводит до кризиса — потом управляет!
  • 113 — Если вендор утверждает, что через месяц у него будет новый продукт «А», то это означает одно — у вендора нет продукта «А»!
  • 112 — Если информационная безопасность не начинается с инвентаризации — она не начинается!
  • 111 — Развитие ИБ приводит к специализации…
  • 110 — Единственный способ бороться с Алексеем Лукацким — устраивать совещания и конференции в одно время, но в разных местах!
  • 109 — У любого продукта есть жизненный цикл… Некоторые технологии не приживаются потому что не их время.
  • 108 — Есть такой порог, за которым специалист начинает верить своей интуиции и предположениям, переставая их самокритично проверять…
  • 107 — А Политика ИБ вашей компании предусматривает ежегодную тренировку паники?
  • 106 — Инсайдер! Требуй у руководства компании внедрения DLP! В случае чего тебя посадят, а не закопают!
  • 105 — Иногда, чтобы продать новый продукт, производители искусственно принижают эффективность других своих продуктов.
  • 104 — Управление информационными потоками важнее управления информацией!
  • 103 — Необнаруженная утечка с нулевым ущербом обходится для компании дешевле обнаруженной утечки с нулевым ущербом..
  • 102 — В момент, когда Аудитор кроме описания уязвимостей начинает давать рекомендации по их устранению, он становится немного Интегратором.
  • 101 — Поддельные антивирусы работают на слепом доверии пользователей к антивирусам! Неподдельные тоже.
  • 100 — Сколько же нас погибло в этой войне добра со справедливостью…
  • 099 — Безопасность системы определяется не числом пользователей и точек входа, а полнотой и корректностью функций защиты.
  • 098 — Немедленно выполняй мелкие задачи!
  • 097 — Разработчик стремится сделать продукт для широкого круга пользователей. Тебе всегда придется адаптировать средства защиты под себя.
  • 096 — В какой-то момент ты поймешь, что ведение двусторонних переговоров — это роскошь!
  • 095 — Сотня уязвимостей конкретного продукта может быть бесполезна для злоумышленника в системе в которой они компенсированы или не критичны.
  • 094 — «Играя в шахматы», будь готов играть не только за противоположную сторону, но и за обе стороны одновременно и на нескольких столах…
  • 093 — Отраслевые правила приличия требуют, чтобы предъявление требований к ИБ сопровождалось четким их обоснованием…
  • 092 — Отсутствие сигнализации об инциденте сводит на нет эффективность применения системы защиты информации.
  • 091 — Это у дилетанта СЗИ всегда в порядке У профессионала всегда: «тут нужно доделать, там нужно поправить».
  • 090 — Избегай авторитарного мышления, используй авторитарное мышление других…
  • 089 — Если антивирус сообщает, что система проверена на 90%, то вероятность наличия вируса в оставшихся 10% и в уже проверенных 90% одинакова!
  • 088 — Система, проверенная антивирусом на 99% должна считаться не проверенной антивирусом!
  • 087 — Сначала ты ограничиваешь условия выбора средств защиты, затем средства защиты ограничивают тебе условия обработки и защиты информации…
  • 086 — Обоснование необходимости использования СрЗИ является неполным без соотношения его возможностей к актуальным угрозам…
  • 085 — При разработке документов не используй неустоявшиеся термины, не выдумывай новые.
  • 084 — Ценность средств защиты заключается в их использовании, а не во владении ими.
  • 083 — Любую проблему рассматривай с крайних точек зрения. Например, «самый удачный» и «самый неудачный» вариант развития событий.
  • 082 — Не выноси на аутсорсинг ключевые процессы — целей будешь. Вообще с работы ничего не выноси!
  • 081 — Если бюджета не хватает на приобретение нужного тебе средства защиты, сделай так, чтобы оно стало необходимым кому-то ещё.
  • 080 — Не в том искусство, чтобы быстро войти в проект. Искусство в том, чтобы правильно и вовремя из проекта выйти!
  • 079 — Ключевым элементом информационной безопасности является Доверие.
  • 078 — Учитывай планы развития компании Средства защиты не должны ограничивать развитие!
  • 077 — Веди историю важных событий ИТ/ИБ, происходящих в компании. Пригодится.
  • 076 — «Быстро/Качественно/Дешево». Выбери только два свойства. Еще лучше, сфокусируйся на одном главном для достижения цели.
  • 075 — Защищая систему, мысленно ставь себя на место нарушителя, но помни — нарушитель делает тоже самое.
  • 074 — Выполнимая инструкция лучше, чем невыполнимая политика!
  • 073 — ITSM, BCM, SAST, DAST, ASA, PM, CISO, PCI DSS, RFID, BDSM, RTFM, ISO, CRC. Изучай непонятные аббревиатуры.
  • 072 — Связи, связи, связи! Расширяй и укрепляй свой круг общения.
  • 071 — Команда обычно сильнее одиночки. Однако, не забывай, что «сила» и «эффективность» — это разные понятия!
  • 070 — Если ты в чем-то абсолютно уверен, остановись и осмотрись — скорее всего, ты что-то упускаешь из виду.
  • 069 — Делись опытом с коллегами. Удачный опыт вернется к тебе сторицей, а неудачный будет легче понять… и простить…
  • 068 — Тебе, возможно, удастся избежать «войны». Но избежать предательства — никогда!
  • 067 — Когда ты привлекаешь пользователя к борьбе с угрозами, убедись, что он не увлекся еще и борьбой с введенными тобой ограничениями.
  • 066 — Пришел к директору с бюджетом — Мол, помоги купить SIEM! А он мне тихо отвечает: — Зачем?
  • 065 — Очень серьезно прорабатывай текст для публикации вакансий. Помни, что характер нанимаемого сотрудника ценнее многих компетенций!
  • 064 — Любое средство, позволяющее собирать сведения о состоянии системы, бесполезно при отсутствии методологии определения критических состояний системы.
  • 063 — Не злоупотребляй конфиденциальностью! Избыточная конфиденциальность наносит больше вреда, чем пользы.
  • 062 — При выборе средств защиты выбирай не лучшее на сей момент, а то, которое долго держится среди лучших и будет стабильно развиваться!
  • 061 — Уязвимости всегда конкретны по отношению к средствам, а угрозы всегда относительны по отношению к целевой системе.
  • 060 — Отрасль информационной безопасности следует за деньгами!
  • 059 — Активная работа безопасников на объекте больше путает сотрудников объекта, чем хакеров и инсайдеров.
  • 058 — Информационная безопасность в компании должна быть как нижнее бельё — не видно, удобно, и выполняет важную функцию!
  • 057 — Изучай смежные области знаний!
  • 056 — Не утони в работе! Помни, ты человек — с присущими людям недостатками и проблемами.
  • 055 — Самые дорогие средства защиты делают специально для тех, кто покупает самые дорогие средства защиты!
  • 054 — Люди обладают непреодолимой потребностью делиться информацией!
  • 053 — Хорошая информационная безопасность работает прежде всего с людьми!
  • 052 — Формируй в коллективе ПРАВО НА ОШИБКУ! Это позволит тебе самому им воспользоваться в нужный момент.
  • 051 — Разрабатывая анализатор помни, что отчеты, которые он формирует, должны восприниматься легче, чем исходные данные, которые он анализирует!
  • 050 — Старайся внедрять свои решения и средства защиты раньше других. При возникновении конфликтов «всех собак» вешают на крайнего.
  • 049 — Проработай перечень направлений своей деятельности и ответственность. Дружи, прежде всего, с юристом, а уже потом — с ИТ’шником.
  • 048 — Разработчик функциональной системы никогда не будет встраивать в неё функции защиты без принуждения!
  • 047 — Начинающему ИБ’шнику полезно первые два-три года поработать под руководителем ИТ-направления!
  • 046 — Жалуешься, что тебе тяжело обслуживать неработающие средства защиты? Поверь, куда тяжелее тебе придется обслуживать работающие средства защиты.
  • 045 — Серьезные закладки, чаще всего находят не применением дорогих сканеров, а умной головой и «палкой-ковырялкой»!
  • 044 — Основной пищей для бизнеса являются деньги. Голодному бизнесу информационная безопасность не нужна.
  • 043 — Уязвимости бывают трех типов 1) еще не выявленные, 2) уже выявленные и… еще бывают бесполезные.
  • 042 — Проработай с функциональными подразделениями компании план реакции на неблагоприятные ситуации.
  • 041 — Не спеши внедрять только что появившееся на рынке средства защиты. Ты же не хочешь работать еще и их бесплатным тестером?
  • 040 — На рынке ИБ хорошо продаются не лучшие, а наиболее дорогие средства защиты.
  • 039 — Если вы считаете поведение партнера ошибочным, то вы, вероятнее всего, просто неверно понимаете его цели!
  • 038 — Стоит раз и навсегда разобраться, в чем разница между «угрозами», «уязвимостями» и «характеристиками»
  • 037 — Оценивая модель угроз, удели особое внимание разделу «Предположения безопасности». Дьявол часто прячется в константах!
  • 036 — Ни при каких условиях не бери на работу хакера!
  • 035 — Каждые полгода обновляй свое резюме
  • 034 — Пытаясь разобраться в мотивации человека, не стоит исключать вероятность того, что он просто идиот.
  • 033 — Никогда не отказывай в консультациях!
  • 032 — Организационные меры в компании должны быть такими, как будто технических средств защиты нет вовсе!
  • 031 — Тренируйся в умении обосновать необходимость наличия средств защиты И в равной степени будь готов обосновать их отсутствие.
  • 030 — Не хвались своей компетенцией в коллективе — всегда найдутся сотрудники, желающие и способные доказать обратное!
  • 029 — Большинство руководителей компаний охотнее платят за ощущение безопасности, нежели чем за саму безопасность!
  • 028 — Создавая крепость, не преврати её тюрьму. От проблем не прячутся — их решают!
  • 027 — Контроль каналов-источников информации не менее важен чем контроль каналов утечки!
  • 026 — Не концентрируйся только на конфиденциальности! Уделяй внимание достоверности!
  • 025 — Если ты закупил и установил в систему антивирус, то спать спокойно можно не тебе, а производителю антивируса!
  • 024 — В любой системе есть избыточные функции. Часть из них вредна или не контролируется, а часть неизвестна даже её разработчику!
  • 023 — Утверждение: «чем больше в системе разных типов СВТ, тем ниже ее уровень защищенности» — не является истиной!
  • 022 — Одна из целей информационной безопасности — обеспечить отсутствие у нарушителя возможности нелегально ей воспользоваться!
  • 021 — Пользователь никогда не получает доступ к информации непосредственно
  • 020 — К требованиям руководящих документов относись критически… Научись использовать их в интересах компании и про свои интересы не забывай…
  • 019 — Сформируй границы личного и корпоративного пространства для пользователей в ИТ-инфраструктуре компании!
  • 018 — Сформируй карту субъективных рисков!
  • 017 — При выборе средств защиты узнай все ограничения и условия их применения. Не доверяй рекламе производителей — расспроси коллег!
  • 016 — На совещаниях никогда не выступай первым. Чем ниже ты в списке, тем лучше!
  • 015 — При наличии конфликтов требований и задач — выполняйте те, которые ближе на пути к окончательной цели!
  • 014 — Используй простые методы. Банальное архивирование спасает от большинства возможных проблем!
  • 013 — Твое законное или незаконное отсутствие на рабочем месте не должно влиять на уровень защищенности!
  • 012 — Если у тебя нет времени на обед или на семью, или на пообщаться с друзьями, значит ты неправильно построил свою работу!
  • 011 — В 50% случаев попытки улучшить СЗИ приводят к ее ухудшению. В остальных 50% к ее краху!
  • 010 — Уделяй внимание документированию своих действий и выполняемых работ.
  • 009 — Помни, руководству не нравится увеличение бюджета на информационную безопасность. Уменьшение бюджета вызывает еще больше вопросов!
  • 008 — Будь дипломатом, но помни, недоброжелатели у тебя все равно появятся.
  • 007 — Будь информирован! Постарайся быть в курсе всех событий и проектов в компании.
  • 006 — Займись классификацией и оценкой активов! Постоянно уточняй их состояние.
  • 005 — Иногда технические средства защиты могут оказаться не только бесполезными, но и нанести вред!
  • 004 — Большинство вопросов можно решить организационными мерами. Люди — главный актив!
  • 003 — Разберись и всегда помни, в чьих интересах осуществляется твоя деятельность.
  • 002 — Не спеши немедленно что-то предпринимать! Оцени: возможно, твое бездействие принесет больше пользы, чем немедленная реакция!
  • 001 — Не суетись! Твоя суета никому не принесет уверенности и делу не поможет.

 

 

источник