Кибербез это часть ИБ, ИБ это часть общей системы корпоративной безопасности. Но кибербез невозможен без ИТ функции и вот тут и есть корень проблем: где проводить грань между корпоративной ИТ функцией и кибербезом? Или создавать на стыке. Но это уже совсем отдельная история
А ИБ для Вас это не СБ? Тогда что это если не безопасность?
Фишинг, это про компрометацию паролей и доступов, а не про то чтобы отдать мошенникам деньги. Вот и вопрос, при чем тут ИБ? И уж при чем тут ИБ, с вашей же точки зрения, если мошенникам отдаются личные деньги, а не корпоративные, да и самого факта технической реализации слива тут нет?
Хорошие примеры, кстати! Лично видел как вбухивалу кучу бабла в организацию кибербеза с шифрованием, защитой от дудоса и прочего, но по факту это все было как Неуловимый Джо - тем кто умеет ломать, компания нафиг не нужна была. А кому нужна, делали проще - подсаживали инсайдера, и все текло. Ущерб был, больной, но не критичный.
Ну вот , начали вроде за здравие, а потом опять началось...
Формально и содержательно в обязанности CISO входят:
Разработка и реализация стратегии кибербезопасности компании
Каждый раз, когда провожу семинары по организации ИБ, первый вопрос с которого начинаю: кто понимает разницу между информационной безопасностью и кибербезопасностью?
Слив коммерческой тайны конкурентам это ИБ или Кибербез?
А слив денег мошенникам которые твоим директором представляются это ИБ или Кибербез? И при чем тут вообще корпоративная безопасность, если это личные накопления, а не корпоративный счет?
Вот как раз кибербез и есть зона ответственности ИТ, все остальное это немного другие компетенции за рамками ИТ
ну вот, а мы не можем выкатить на рынок новое решение в рамках проекта именно потому что "техдолг" и "нет ресурсов". уже по функциональности от бесплатных конкурентов отставать начинаем... Потому и говорю, надо смотреть от задачи
и соглашусь и нет. Да слишком усложнять код не нужно, если можно упростить надо упрощать. Но это все таки зависит от конкретной задачи. Для простых элементов может и достаточно булей, но для сложных структур лучше их избегать. Насмотрелся я уже на кучу техдолга который годами правится, порождает новый и так до бесконечности, мешая развитию продукта, именно из-за того, что архитектуру решения не продумывали "на вырост".
вот когда две, имхо лучше и прописывать эти две категории в явном виде, були в перспективе могут привести к ошибкам, хотя и кажется что их использовать проще, а без них расширять перечень категорий точно проще, чем переделывать архитектуру
Давайте будем честными, проблема не столько в Boolean, сколько в попытке булями заменить бинарные категории, при том, что, как тут верно подмечено, когда вводится больше категорий, то и для анализа расширяется поле работы. Були изначально нужны для логических конструкций и ответа на вопросы да/нет, соответствует/не соответствует, а не для категорирования данных. Использовать були для категорирования это какая то костыльная упячка
Тут уже начинается тонкая грань, связанная с исполнением трудовых функций. Если не мешает, никто претензий предъявлять не будет. Хотя формально должно быть именно в свободное от работы время. Фактически на это многие закрывают глаза, так как у многих заработная плата с трудом покрывает базовые потребности и работодатели к этому относятся "с пониманием", хотя это все равно приводит к выгоранию. Но это снова совсем другая история, к посту не имеющая отношения. Но я именно вечером, после основной работы, делаю работу по ИП, часто и в выходные.
Есть определенные требования по Трудовому Кодексу к совмещению работы у разных работодателей. Причем именно по ТК. Никто, к примеру, не запрещает работать и быть ИП (сам такой) или самозанятым.
Там как раз нигде нет ни слова, что претензий к работе не было. Наоборот, во втором скрине написано, что там проблем на статью набралось, правда опять же не понятно что такое "статья": увольнение "по статье" или на "уголовную статью".
НУ вот в подобных историях чаще всего это и происходит: слив коммерческой тайны, диверсия работы и прочее, а все эти тезисы про "не болеет душой за компанию" не более чем пустой треп. По опыту под этим скрывается плохая работа с кадрами на выжигании сотрудников. Но это уже совсем другая история.
Взгляд на ситуацию, с моей стороны, как профессионального безопасника.
Конечно никто не будет увольнять за то что человек числится в каком-то сообществе и где-то что то лайкает. Да всякая, соц.активность отслеживается, но только как повод пристальнее смотреть за работой сотрудника. Довольно часто всякая политическая, социальная и прочая странная активность приводит не только к нарушению каких-то трудовых функций, но и к откровенному саботажу вплоть до хищения и слива коммерческой тайны. И не по причине денег, а именно по причине поддержки всяких активистов. Таких называют еще "идейные". И именно в таких ситуациях, как раз членство в сообществах и приводит к нарушению закона или трудовых обязанностей. Очевидно тут похожая история.
Любое служебное расследование ставит одной из целей - установить причины нарушения, чтобы их профилактировать и предупреждать. В качестве причин исследуется и мотив совершения. И когда все ниточки мотива ведут к сообществу людей и "идейности" совершения проступка, получается то самое "одна из ключевых причин". Только человек явно не правильно выразился, так как не членство в сообществе причина увольнения, а членство в сообществе причина совершения нарушений, ставших причиной увольнения.
Сам был свидетелем похожей истории, когда молодой разраб, работая в другой компании, устроился в другую, взял там учетный отпуск, получил за это N денег и вернулся дальше работать на первом месте. Причина увольнения после этой ситуации - нарушение кучи трудовых и не только правил. Причина совершения нарушений - кто то "умный" наболтал такую схему. Увы но многие не задумываются, над последствиями своих действий, порождая вот таких "мамкиных лайфхакеров"
Ну на деле, если речь идёт об MVP, то конечно, можно пренебречь событием с низкой вероятностью наступления. Правда, почему-то к низко вероятным событиям относят, все что ниже 100% по общей массе, полностью игнорируя:
Отраслевые сценарии, где именно по отрасли вероятность события выше 80%.
Сезонные события, где, опять же, в определенный сезон вероятность события резко возрастает.
Увы, на практике это приводит к логическим ошибкам в коде, которые всплывают лишь со временем, а по итогу разработка погрязает в куче задач по их исправлению
И грустно и смешно (истерически) я не разраб, я эксперт, но каждое слово отзывается болью:
- Ребята вот в законе есть вот такой сценарий, его уже много лет руками делают давайте оцифруем, он легко нам принесёт деньги.
- исследованием гипотеза не подтверждена, сценарий не подтверждён.
Facepalm
Именно, спасибо за адекватный коммент!
Кибербез это часть ИБ, ИБ это часть общей системы корпоративной безопасности. Но кибербез невозможен без ИТ функции и вот тут и есть корень проблем: где проводить грань между корпоративной ИТ функцией и кибербезом? Или создавать на стыке. Но это уже совсем отдельная история
А ИБ для Вас это не СБ? Тогда что это если не безопасность?
Фишинг, это про компрометацию паролей и доступов, а не про то чтобы отдать мошенникам деньги. Вот и вопрос, при чем тут ИБ? И уж при чем тут ИБ, с вашей же точки зрения, если мошенникам отдаются личные деньги, а не корпоративные, да и самого факта технической реализации слива тут нет?
Хорошие примеры, кстати! Лично видел как вбухивалу кучу бабла в организацию кибербеза с шифрованием, защитой от дудоса и прочего, но по факту это все было как Неуловимый Джо - тем кто умеет ломать, компания нафиг не нужна была. А кому нужна, делали проще - подсаживали инсайдера, и все текло. Ущерб был, больной, но не критичный.
Ну вот , начали вроде за здравие, а потом опять началось...
Каждый раз, когда провожу семинары по организации ИБ, первый вопрос с которого начинаю: кто понимает разницу между информационной безопасностью и кибербезопасностью?
Слив коммерческой тайны конкурентам это ИБ или Кибербез?
А слив денег мошенникам которые твоим директором представляются это ИБ или Кибербез? И при чем тут вообще корпоративная безопасность, если это личные накопления, а не корпоративный счет?
Вот как раз кибербез и есть зона ответственности ИТ, все остальное это немного другие компетенции за рамками ИТ
ну вот, а мы не можем выкатить на рынок новое решение в рамках проекта именно потому что "техдолг" и "нет ресурсов". уже по функциональности от бесплатных конкурентов отставать начинаем... Потому и говорю, надо смотреть от задачи
и соглашусь и нет. Да слишком усложнять код не нужно, если можно упростить надо упрощать. Но это все таки зависит от конкретной задачи. Для простых элементов может и достаточно булей, но для сложных структур лучше их избегать. Насмотрелся я уже на кучу техдолга который годами правится, порождает новый и так до бесконечности, мешая развитию продукта, именно из-за того, что архитектуру решения не продумывали "на вырост".
вот когда две, имхо лучше и прописывать эти две категории в явном виде, були в перспективе могут привести к ошибкам, хотя и кажется что их использовать проще, а без них расширять перечень категорий точно проще, чем переделывать архитектуру
Как бы самому не запить, в попытке разобрать чего там ваши ИТ накодили 😁
Попробовал недавно вайб кодинг, хотя изначально "тракторист" старой школы и привык все ручками разгребать:
Прикольно, но только как скелет. Даже при грамотном промте, все равно надо "напильником дорабатывать".
Реально экономит время, но смотрим выше.
Для правильного и хорошего кода нужен правильный и хороший промт. А для хорошего прмта, нужны хорошие базовые знания.
Итог:
восторга не испытал, но вещь удобная.
говорить что ИИ с ноги заменит грограммистов глупо, не заменит, иначе код будет сыпаться
без элементарной базы заниматься вайб кодингом не советую, как и работать с такими кодерами, по причине выше: код будет сыпаться приумножая техдолг
Давайте будем честными, проблема не столько в Boolean, сколько в попытке булями заменить бинарные категории, при том, что, как тут верно подмечено, когда вводится больше категорий, то и для анализа расширяется поле работы. Були изначально нужны для логических конструкций и ответа на вопросы да/нет, соответствует/не соответствует, а не для категорирования данных. Использовать були для категорирования это какая то костыльная упячка
Тут уже начинается тонкая грань, связанная с исполнением трудовых функций. Если не мешает, никто претензий предъявлять не будет. Хотя формально должно быть именно в свободное от работы время. Фактически на это многие закрывают глаза, так как у многих заработная плата с трудом покрывает базовые потребности и работодатели к этому относятся "с пониманием", хотя это все равно приводит к выгоранию. Но это снова совсем другая история, к посту не имеющая отношения.
Но я именно вечером, после основной работы, делаю работу по ИП, часто и в выходные.
есть такой афоризм: Никто, кроме русских, не делает так много, чтобы ничего не делать.
главное чтобы все оформлено было правильно, без юридических косяков )))
загляни в стафф в Лепру Автуховича, там эту историю активно обсуждали. На публику выносить не буду
Есть определенные требования по Трудовому Кодексу к совмещению работы у разных работодателей. Причем именно по ТК. Никто, к примеру, не запрещает работать и быть ИП (сам такой) или самозанятым.
Там как раз нигде нет ни слова, что претензий к работе не было. Наоборот, во втором скрине написано, что там проблем на статью набралось, правда опять же не понятно что такое "статья": увольнение "по статье" или на "уголовную статью".
НУ вот в подобных историях чаще всего это и происходит: слив коммерческой тайны, диверсия работы и прочее, а все эти тезисы про "не болеет душой за компанию" не более чем пустой треп. По опыту под этим скрывается плохая работа с кадрами на выжигании сотрудников. Но это уже совсем другая история.
Взгляд на ситуацию, с моей стороны, как профессионального безопасника.
Конечно никто не будет увольнять за то что человек числится в каком-то сообществе и где-то что то лайкает. Да всякая, соц.активность отслеживается, но только как повод пристальнее смотреть за работой сотрудника. Довольно часто всякая политическая, социальная и прочая странная активность приводит не только к нарушению каких-то трудовых функций, но и к откровенному саботажу вплоть до хищения и слива коммерческой тайны. И не по причине денег, а именно по причине поддержки всяких активистов. Таких называют еще "идейные". И именно в таких ситуациях, как раз членство в сообществах и приводит к нарушению закона или трудовых обязанностей. Очевидно тут похожая история.
Любое служебное расследование ставит одной из целей - установить причины нарушения, чтобы их профилактировать и предупреждать. В качестве причин исследуется и мотив совершения. И когда все ниточки мотива ведут к сообществу людей и "идейности" совершения проступка, получается то самое "одна из ключевых причин". Только человек явно не правильно выразился, так как не членство в сообществе причина увольнения, а членство в сообществе причина совершения нарушений, ставших причиной увольнения.
Сам был свидетелем похожей истории, когда молодой разраб, работая в другой компании, устроился в другую, взял там учетный отпуск, получил за это N денег и вернулся дальше работать на первом месте. Причина увольнения после этой ситуации - нарушение кучи трудовых и не только правил. Причина совершения нарушений - кто то "умный" наболтал такую схему. Увы но многие не задумываются, над последствиями своих действий, порождая вот таких "мамкиных лайфхакеров"
Ну на деле, если речь идёт об MVP, то конечно, можно пренебречь событием с низкой вероятностью наступления. Правда, почему-то к низко вероятным событиям относят, все что ниже 100% по общей массе, полностью игнорируя:
Отраслевые сценарии, где именно по отрасли вероятность события выше 80%.
Сезонные события, где, опять же, в определенный сезон вероятность события резко возрастает.
Территориальную специфику.
Ну и т.п.
Вот тут то дьявол и закапывается чаще всего.
Увы, на практике это приводит к логическим ошибкам в коде, которые всплывают лишь со временем, а по итогу разработка погрязает в куче задач по их исправлению
Я лучше останусь Не_модным