Как сделать так, чтобы система KPI действительно работала на бизнес? Этим вопросом задаются все менеджеры, эффективные и действительно эффективные. Меня зовут Алсу Гибадуллина, и уже несколько лет я работаю в Innostage над сложными проектами управления эффективностью в госсекторе. Теперь расскажу, как наши наработки адаптировать под бизнес и работать с KPI не для галочки, а для реальных результатов.

Привет, Хабр. Я, Дамир Гибадуллин, продукт-менеджер системы «Цифровой Штаб» от Innostage.  Я поделюсь с вами ключевыми фактами и инсайтами, которые наша компания сделала в ходе исследования рынка комплексной безопасности. Но сперва пара слов о том, почему эта тема вообще появилась.

Зачастую в крупных компаниях есть три департамента, которые живут под одной крышей, но как феодальные государства, граничащие между собой и регулярно обостряющие борьбу за ресурсы.  Ресурсы эти вполне материальные и всегда фигурируют в статье «Расходы». К ним относятся: бюджеты на закупку ПО/железа/ ЗИП/сторонних услуг, также есть фонд оплаты труда, плюс ещё несколько статей за которые ведётся (пусть и незримое, но) активное соперничество. Второй характерной особенностью «феодалов» является обособленность «периметров». Начиная от изолированных сегментов ЛВС, продолжая кадровой политикой и завершая планированием и доказательством эффективности своего департамента. Речь про ИТ, ИБ и СБ.

Безусловно где-то должна существовать компания, в которой все три составляющих живут в мире и согласии, избегая конфликта интересов, используя конструктивные внутренние бизнес-процессы или в редких случаях обоюдовыгодные компромиссы. Но подобная управленческая зрелость компании в первую очередь зависит от позиции и твердой воли CEO и лишь во-вторую — от CIO/CISO/CSO.

В исследовании мы задались вопросом, ощущается ли внутри самих этих подразделений потребность в консолидации усилий для обеспечения безопасности компании в широком смысле, а именно устойчивости и развития бизнеса.

а кибербез — не только стойким к атакам, но и к ситуациям, когда атаки оказались успешными.

Уважаете ISO/IEC 27001, CIS и NIST CSF? Мы тоже. Фреймворков по кибербезу на свете лучше нет, но их недостаточно. Кибербезу, который застрял в догматической недопустимости событий и оторванном от ИТ-службы пузыре, нужен новый герой.

Рассказываем, как наша методология CyberYool делает акцент на киберустойчивости, а не кибербезопасности; помогает не только соответствовать требованиям регуляторов, но и делать так, чтобы эти меры реально защищали; и напоминает, что вообще-то ИБ и ИТ должны развиваться в компании вместе, а не играть в догонялки.

Innostage продолжают атаковать — и исследователи в рамках открытых кибериспытаний, и злоумышленники. На этот раз новый фишинг, но непростой, а с подвохом. Рассказываем, как обнаружили новую атаку и что бы было, если бы не наш доблестный SOC.

13 января пять сотрудников Innostage получили подозрительные письма от отправителя itsupport@torgservice[.]spb[.]ru. Вымышленный Иван пытался склонить наших коллег к подключению к стенду в соответствии с техническим заданием, но ничего не удалось.

Меня зовут Дамир Гибадуллин, продакт-менеджер системы «Цифровой Штаб». Мой опыт продаж ИТ-решений (hard, soft, новые вендоры или сервисы) и широкий кругозор соединились и выкристаллизовался нестандартный вариант продвижения ИТ-решений.

Главная мысль — отказаться от привычного мышления и смотреть шире. Исследователи состояния «творческого потока» обнаружили, что в моменты, когда мозг «отпускает» строгий контроль, человек становится более креативным. Это подтверждает теорию о том, что рассеянное внимание и свобода мышления играют ключевую роль в творческом процессе. А поскольку продвижение ИТ-продуктов — именно такой  процесс, специалистам важно не ограничивать себя в идеях.

Расскажу о том, как этого добиться на примерах из личного опыта. А ещё про гольф, шахматы и молотки.

Привет, я Ильдар Исмагилов, руководитель направления аналитики и прикладных исследований ИБ Innostage. В этой статье я расскажу о вопросах и проблемах, которые возникают при моделировании угроз, и как их можно решить с помощью нашего сервиса «Цифровая модель угроз».

Моделирование угроз — это этап, на котором определяются актуальные угрозы ИБ для обоснованного выбора мер защиты информации для защищаемых систем. Этот процесс активно автоматизируется, и на это есть предпосылки.

Киберустойчивость — неотъемлемое качество бизнеса в современных реалиях. Чтобы её достичь необходимо не только внедрять современные технологии, новые продукты и решения, но и грамотно управлять внутренними и внешними процессами. В этом помогают ИТ-методологии — в частности, ITIL и COBIT.

Меня зовут Ольга Агешина, я ИТ-консультант Innostage, и я расскажу о том, как популярные ИТ-методологии могут применяться в ИБ, а также на примере разберу их внедрение в конкретные процессы. В этой статье остановимся на ITIL, а в следующей — разберу COBIT.

Сейчас в программе открытых кибериспытаний Innostage есть одно главное недопустимое событие и три промежуточных с меньшим вознаграждением. И вот 19 июля этичный хакер prorok забрал положенные 100 тысяч рублей за компрометацию учётной записи. Как ему удалось это сделать? Рассказываем подробнее.

Чтобы забраться к нам в инфраструктуру, prorok использовал старый добрый фишинг.

Всероссийская студенческая кибербитва (для своих ВСКБ) — это крутое киберсоревнование, которое мы проводим для студентов направлений информационная безопасность. Всё почти как у взрослых: киберполигон на базе корпорации N, на котором команды атакующих реализуют киберугрозы, а защитники мониторят инфраструктуру и реагируют на инциденты.

Innostage уже провела две кибербитвы — в Казани на Kazan Digital Week и в Москве на Positive Hack Days 2. Сегодня мы, команда менторов синих — Даниил Романовский и Ислам Гиззатуллин, — расскажем, что нужно студентам, чтобы пройти отбор, подготовиться к кибербитве и сразиться за победу.

На Positive Hack Days 2 команды Positive Technologies и Innostage совместно организовали одно из крутейших ИБ-соревнований сейчас — Всероссийскую студенческую кибербитву (для своих — ВСКБ). В этом материале расскажем, как готовились атакующие и защитники, как проходила сама кибербитва и с чем из неё вышли все причастные.

Привет Хабр!

Меня зовут Альмира Фатихова, в Innostage я работаю техническим писателем и занимаюсь проектированием СЗИ. Как вы поняли, я та самая девушка в IT, которая смогла. Своей историей я не хочу в 100 500 раз поднимать вечные вопросы мужских и женских профессий. Но буду рада, если она вдохновит девчонок без лишних опасений и предубеждений пойти работать в IT‑сферу.

Привет, Хабр!

Меня зовут Ксения Рысаева, я руковожу группой аналитиков в Центре противодействия киберугрозам Innostage CyberART. Мы с командой решили пофантазировать, а что может случиться, если хакер пробьет защиту регистратора доменов. Фантазии быстро улетучились, когда цепочка привела нас к неутешительным выводам — если положить регистратора, пострадают абсолютно все.

Давайте вместе разберемся, что будет, если злоумышленник получит доступ к регистратору домена.

Привет Хабр!

Расширения браузеров – очень удобная штука, они могут решать довольно широкий спектр задач: от банальной блокировки рекламы на веб-ресурсах до планирования задач и организации видео-встреч. Однако ценой удобства может стать безопасность пользовательских данных.

Разумеется, вектор атак с использованием вредоносных браузерных расширений сложно назвать новым, поскольку данная проблема известна более 10 лет. Однако если рассматривать её с точки зрения безопасности корпоративной инфраструктуры, а не отдельного пользователя, то здесь есть над чем задуматься.

Команда Центра противодействия киберугрозам Innostage CyberART, которая занимается мониторингом, предотвращением и расследованием атак, поделилась, какие меры можно предпринять для защиты данных организации.

Искусственный интеллект (ИИ) и машинное обучение (МО) становятся очень популярными. Технология ИИ уже во всю используется в самых разных сферах - от беспилотных автомобилей до здравоохранения, финансов и обслуживания клиентов.

Но по мере того, как все больше и больше компаний внедряют эти технологии в массовом порядке и начинают переплетать их с критически важными бизнес-операциями, они создают новые риски кибербезопасности. Так что, если вы занимаетесь ИБ, и ваша компания начала внедрять машинное обучение, вам точно стоит почитать этот пост.