Состояние рынка труда в сфере кибербезопасности в Ирландии (State of the Cyber Security Labour Market in Ireland)
Cyber Ireland, национальная кластерная организация по кибербезопасности, была основана в 2019 году для объединения промышленности, академических кругов и правительства для представления потребностей экосистемы кибербезопасности в Ирландии.
В 2022 году в Ирландии было размещено 6707 уникальных вакансий для специалистов по кибербезу, что более чем в три раза превышает спрос в 2019 году.
↘️ Анализ основан на выборке данных по 10 832 вакансиям, предоставленной Lightcast.
Эти данные свидетельствуют о том, что почти две трети всех вакансий относились к трем основным категориям:1️⃣ инженер по безопасности (31%), 2️⃣ аналитик по безопасности (20%) или 3️⃣ менеджеры по безопасности (11%).
Детальный анализ на базе Европейской системы навыков (ECSF ENISA) показал, что1️⃣ специалист по внедрению кибербезопасности является самой востребованной должностью, включенной в 46% всех объявлений о вакансиях с 2019 года.
За ним следуют2️⃣ специалист по реагированию на киберинциденты (13%) и 3️⃣ менеджер по киберрискам (12%). В совокупности эти роли составляют 71% всех объявлений о вакансиях.
Это подчеркивает, что, хотя в целом растет спрос на сотрудников по кибербезопасности, сосредоточенные усилия по удовлетворению потребностей в навыках в рамках этих трех ролей, вероятно, окажут значительное влияние на рост сектора на национальном уровне.
PS. В представленном отчете мне понравилось, как авторы перешли от анализа вакансий к анализу ролей на основе ECSF ENISA и далее связали их с навыками🤔
#аналитика
Cyber Ireland, национальная кластерная организация по кибербезопасности, была основана в 2019 году для объединения промышленности, академических кругов и правительства для представления потребностей экосистемы кибербезопасности в Ирландии.
В 2022 году в Ирландии было размещено 6707 уникальных вакансий для специалистов по кибербезу, что более чем в три раза превышает спрос в 2019 году.
Эти данные свидетельствуют о том, что почти две трети всех вакансий относились к трем основным категориям:
Детальный анализ на базе Европейской системы навыков (ECSF ENISA) показал, что
За ним следуют
Это подчеркивает, что, хотя в целом растет спрос на сотрудников по кибербезопасности, сосредоточенные усилия по удовлетворению потребностей в навыках в рамках этих трех ролей, вероятно, окажут значительное влияние на рост сектора на национальном уровне.
PS. В представленном отчете мне понравилось, как авторы перешли от анализа вакансий к анализу ролей на основе ECSF ENISA и далее связали их с навыками
#аналитика
Please open Telegram to view this post
VIEW IN TELEGRAM
Эксперты «СёрчИнформ» собрали портрет идеального кандидата в ИБ-специалисты ✍️
Компания «СёрчИнформ» проанализировала более 100 открытых вакансий ИБ-специалистов, размещенных на платформах онлайн-рекрутинга.
Кадровый голод вынуждает работодателей снижать требования к будущим сотрудникам в ИБ-подразделениях. Государственные организации охотнее частных компаний готовы взять в штат специалистов без опыта (14%) или с минимальным опытом в ИБ от 1 года до 3 лет (57%). Эти данные показывают готовность организаций обучать сотрудников.
В 27% вакансий не указывают требуемое образование, в оставшихся 73% вакансий обозначены:
— профильное образование (ИБ) – 52%
— непрофильное образование (ИТ) – 38%
— специализированные курсы – 21%
— наличие сертификатов – 2%
Большая часть работодателей (50%) готовы предложить ИБ-специалистам зарплату от 100 000 до 200 000 рублей.
Распределение вакансий по опыту и предлагаемой зарплате показывает, что соискателям с опытом от 1 года до 3 лет организации готовы предложить от 50 до 100 тысяч рублей (43% работодателей) и от 100 до 200 тысяч (57% работодателей). ИБ-специалистам с опытом от 3 до 6 лет 63% организаций предлагают зарплату от 100 до 200 тысяч, 27% готовы предложить от 200 до 300 тысяч. Доход от 300 до 500 тысяч специалистам с опытом более 3 лет предлагают лишь в 9% компаний.
Работодатели указывают в вакансии профессиональные навыки в сфере ИТ, которыми должны владеть соискатели на должность ИБ-специалиста: знание протоколов и сетевых технологий, знание языков программирования, понимание серверных технологий виртуализации, навыки администрирования ОС.
Среди профессиональных ИБ-требований следующие.
— Управление и расследование ИБ-инцидентов – 57%
— Владение SIEM – 33%
— Навыки работы с различными СЗИ – 30%
— Знание законодательства, регулирующего вопросы защиты информации – 29%
— Аналитика DLP-системы – 22%
— Подготовка документации, подготовка к проверкам РКН, ФСТЭК, разработка документации на защиту объектов КИИ, взаимодействие с регуляторами – 16%
— Знание основных стандартов ИБ (ISO/IEC 270ХХ, CobIT, PCI DSS и др.), понимание принципов GDPR – 13%
— Понимание матрицы MITRE ATT@CK/Shield и современных TTP, знание современных угроз и атак (DDoS, XSS, SQL Injection) – 13%
— Взаимодействие с международными сертификационными органами – 4%
— Разработка обучающих курсов для повышения цифровой грамотности сотрудников – 2%
PS. Спасибо подписчику, который поделился ссылкой на исследование🤝
#аналитика
Компания «СёрчИнформ» проанализировала более 100 открытых вакансий ИБ-специалистов, размещенных на платформах онлайн-рекрутинга.
Кадровый голод вынуждает работодателей снижать требования к будущим сотрудникам в ИБ-подразделениях. Государственные организации охотнее частных компаний готовы взять в штат специалистов без опыта (14%) или с минимальным опытом в ИБ от 1 года до 3 лет (57%). Эти данные показывают готовность организаций обучать сотрудников.
В 27% вакансий не указывают требуемое образование, в оставшихся 73% вакансий обозначены:
— профильное образование (ИБ) – 52%
— непрофильное образование (ИТ) – 38%
— специализированные курсы – 21%
— наличие сертификатов – 2%
Большая часть работодателей (50%) готовы предложить ИБ-специалистам зарплату от 100 000 до 200 000 рублей.
Распределение вакансий по опыту и предлагаемой зарплате показывает, что соискателям с опытом от 1 года до 3 лет организации готовы предложить от 50 до 100 тысяч рублей (43% работодателей) и от 100 до 200 тысяч (57% работодателей). ИБ-специалистам с опытом от 3 до 6 лет 63% организаций предлагают зарплату от 100 до 200 тысяч, 27% готовы предложить от 200 до 300 тысяч. Доход от 300 до 500 тысяч специалистам с опытом более 3 лет предлагают лишь в 9% компаний.
Работодатели указывают в вакансии профессиональные навыки в сфере ИТ, которыми должны владеть соискатели на должность ИБ-специалиста: знание протоколов и сетевых технологий, знание языков программирования, понимание серверных технологий виртуализации, навыки администрирования ОС.
Среди профессиональных ИБ-требований следующие.
— Управление и расследование ИБ-инцидентов – 57%
— Владение SIEM – 33%
— Навыки работы с различными СЗИ – 30%
— Знание законодательства, регулирующего вопросы защиты информации – 29%
— Аналитика DLP-системы – 22%
— Подготовка документации, подготовка к проверкам РКН, ФСТЭК, разработка документации на защиту объектов КИИ, взаимодействие с регуляторами – 16%
— Знание основных стандартов ИБ (ISO/IEC 270ХХ, CobIT, PCI DSS и др.), понимание принципов GDPR – 13%
— Понимание матрицы MITRE ATT@CK/Shield и современных TTP, знание современных угроз и атак (DDoS, XSS, SQL Injection) – 13%
— Взаимодействие с международными сертификационными органами – 4%
— Разработка обучающих курсов для повышения цифровой грамотности сотрудников – 2%
PS. Спасибо подписчику, который поделился ссылкой на исследование
#аналитика
Please open Telegram to view this post
VIEW IN TELEGRAM
Media is too big
VIEW IN TELEGRAM
Беседа про кадры в кибербезе на ICEBREAKER 2024 🚀
Обсудили с Владимиром Зайцевым, заместителем тех.директора NGENIX, важность образования и подготовки кадров в кибербезе 👨🎓👨🏫
00:05 - Вступление
01:20 - Почему говорим на тему кадров в ИБ?
02:15 - Системный подход к проблеме подготовки кадров (студенты и компании)
04:38 - Введение в специальность на первом курсе вуза
05:40 - Конкуренция с разработкой
06:25 - ИТ vs Кибербез
08:30 - Мягкие навыки в кибербезе (сравнение с ИТ)
11:56 - Про стажерские кибербез программы в компаниях
14:35 - Будущее рынка труда в области ИБ
16:20 - Специалисты по безопасности облаков (требования к их знаниям и навыкам)
19:04 - Про знание средств защиты на начальной позиции в компании
21:10 - Почему стоит переходить из ИТ в кибербез? Рост в кибербезе
#интервью #кадры_в_ИБ #ICEBREAKER
Обсудили с Владимиром Зайцевым, заместителем тех.директора NGENIX, важность образования и подготовки кадров в кибербезе 👨🎓👨🏫
00:05 - Вступление
01:20 - Почему говорим на тему кадров в ИБ?
02:15 - Системный подход к проблеме подготовки кадров (студенты и компании)
04:38 - Введение в специальность на первом курсе вуза
05:40 - Конкуренция с разработкой
06:25 - ИТ vs Кибербез
08:30 - Мягкие навыки в кибербезе (сравнение с ИТ)
11:56 - Про стажерские кибербез программы в компаниях
14:35 - Будущее рынка труда в области ИБ
16:20 - Специалисты по безопасности облаков (требования к их знаниям и навыкам)
19:04 - Про знание средств защиты на начальной позиции в компании
21:10 - Почему стоит переходить из ИТ в кибербез? Рост в кибербезе
#интервью #кадры_в_ИБ #ICEBREAKER
Please open Telegram to view this post
VIEW IN TELEGRAM
Схема карьерных треков в результативной кибербезопасности 🚀
Работа над схемой продолжается✍️
↘️ Посмотрите результат на cybersecurity-roadmap.ru или PDF-версию для мобильных устройств 📞
Думаю, как упростить ее восприятие🤔
По просьбам подписчиков на схеме обновились значки. Теперь сразу (надеюсь 😄) понятно, где статья на Хабре, а где — ссылка на курсы от Positive Education👷
PS. в слоях (Layers) вы можете отключить "значки" и оставить только "чистую" схему👀
#карьера_в_ИБ
Работа над схемой продолжается
Думаю, как упростить ее восприятие
По просьбам подписчиков на схеме обновились значки. Теперь сразу (надеюсь 😄) понятно, где статья на Хабре, а где — ссылка на курсы от Positive Education
PS. в слоях (Layers) вы можете отключить "значки" и оставить только "чистую" схему
#карьера_в_ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
Media is too big
VIEW IN TELEGRAM
Как преподавать сетевые технологии после ухода Cisco? 🤔
В новом выпуске подкаста поговорили с Игорем Ушаковым, к.т.н., зав. кафедрой информационной безопасности компьютерных сетей СПбГУТ 📡
Таймкоды:
0:22 - Игорь о себе
1:39 - Перевод образовательного процесса на отечественное производителя
2:17 - Про Академию Cisco в 99 году
2:55 - Про разработку курса для Cisco
4:10 - Командировка на выставку "Связь" и знакомство с Eltex (апрель 22 года)
5:35 - Разработка УМК по аналогии с netacad
6:50 - Открытие Академии Eltex на базе СПбГУТ (ноябрь 22 года)
7:50 - Как строится образовательный процесс в Eltex
9:42 - Про создание отечественного курса и учебника по сетям
11:00 - Описание учебных материалов
14:40 - Про комплект оборудования
16:30 - Как проходит обучение студентов?
18:30 - Про итоговый тест по курсу и студенческую сертификацию от Eltex
20:40 - Образовательный процесс в вузе
25:00 - Про разработку курса по безопасности сетей
32:50 - Про обучение преподавателей для открытия Академии Eltex
👉 Запись также будет доступна в VK, RuTube и Яндекс.Музыке 🎶
#подкаст #cisco #eltex #сети
В новом выпуске подкаста поговорили с Игорем Ушаковым, к.т.н., зав. кафедрой информационной безопасности компьютерных сетей СПбГУТ 📡
Таймкоды:
0:22 - Игорь о себе
1:39 - Перевод образовательного процесса на отечественное производителя
2:17 - Про Академию Cisco в 99 году
2:55 - Про разработку курса для Cisco
4:10 - Командировка на выставку "Связь" и знакомство с Eltex (апрель 22 года)
5:35 - Разработка УМК по аналогии с netacad
6:50 - Открытие Академии Eltex на базе СПбГУТ (ноябрь 22 года)
7:50 - Как строится образовательный процесс в Eltex
9:42 - Про создание отечественного курса и учебника по сетям
11:00 - Описание учебных материалов
14:40 - Про комплект оборудования
16:30 - Как проходит обучение студентов?
18:30 - Про итоговый тест по курсу и студенческую сертификацию от Eltex
20:40 - Образовательный процесс в вузе
25:00 - Про разработку курса по безопасности сетей
32:50 - Про обучение преподавателей для открытия Академии Eltex
👉 Запись также будет доступна в VK, RuTube и Яндекс.Музыке 🎶
#подкаст #cisco #eltex #сети
Please open Telegram to view this post
VIEW IN TELEGRAM
Media is too big
VIEW IN TELEGRAM
Карьерные траектории в кибербезе (SOCForum 2024) 🚀
Делюсь записью своего выступления на SOCForum про схему карьерных треков cybersecurity-roadmap.ru👨🏫
Тайминг:
1:07 - Вступление
2:31 - План выступления
3:00 - Про свой карьерный путь
4:55 - Чем занимается специалист по кибербезу?
5:51 - NICE Framework и роли
8:24 - Профстандарты по ИБ в РФ
11:51 - Схема карьерных треков в кибербезе
16:16 - Области компетенций в кибербезе
17:06 - Роль сообщества в развитии схемы карьерных треков
20:04 - Итоги доклада
20:40 - Вопрос про профстандарты
22:12 - Вопрос про наиболее важные навыки для успешного карьерного роста в кибербезе
26:28 - Вопрос про самообразование
29:10 - Комментарий про роль преподавателя в кибербезе
PS. Видео также можно посмотреть в VK по ссылке💙
#SOCForum #кадры_в_ИБ #карьера_в_ИБ #PositiveEducation
Делюсь записью своего выступления на SOCForum про схему карьерных треков cybersecurity-roadmap.ru
Тайминг:
1:07 - Вступление
2:31 - План выступления
3:00 - Про свой карьерный путь
4:55 - Чем занимается специалист по кибербезу?
5:51 - NICE Framework и роли
8:24 - Профстандарты по ИБ в РФ
11:51 - Схема карьерных треков в кибербезе
16:16 - Области компетенций в кибербезе
17:06 - Роль сообщества в развитии схемы карьерных треков
20:04 - Итоги доклада
20:40 - Вопрос про профстандарты
22:12 - Вопрос про наиболее важные навыки для успешного карьерного роста в кибербезе
26:28 - Вопрос про самообразование
29:10 - Комментарий про роль преподавателя в кибербезе
PS. Видео также можно посмотреть в VK по ссылке
#SOCForum #кадры_в_ИБ #карьера_в_ИБ #PositiveEducation
Please open Telegram to view this post
VIEW IN TELEGRAM
Media is too big
VIEW IN TELEGRAM
Методология обеспечения информационной безопасности 👨🎓
Предновогодняя🎄 беседа с к.филос.н. Атамановым Г.А. 👨🏫
Таймкоды:
0:00 - Про методологию (краткое содержание предыдущей беседы)
2:21 - Использование ИИ для определения методологии ИБ
6:00 - Как методологию ИБ трактует отечественная наука?
8:12 - Средства обеспечения ИБ с позиции отечественной науки
14:12 - Про продовольственную безопасность
22:08 - Как трактуется ИБ с позиции отечественной науки
26:30 - Про информационную войну
29:44 - Доктрина ИБ РФ
35:03 - Информационная опасность / безопасность объекта
39:32 - Объекты обеспечения ИБ
44:10 - Опасность для человека
47:26 - Цель обеспечения ИБ субъекта информационных отношений
51:40 - Содержание работ по обеспечению ИБ субъекта
59:45 - Структура деятельности по обеспечению ИБ субъекта
1:00:13 - Удовлетворение информационных потребностей
1:04:07 - Защита от деструктивных информационных воздействий
1:08:24 - Защита информационных ресурсов
1:12:00 - Про достоверность, доступность и достаточность информации
1:24:45 - Методы и средства реализации угроз субъектам информационных отношений в информационной сфере
1:28:00 - Субъекты обеспечения ИБ
👉 Запись доступна в VK, RuTube и Яндекс.Музыке 🎶
Презентация по ссылке 📕
Архив всех бесед в VK 🍿
1. Знакомство
2. Кризис теории информационной безопасности
3. Что такое теория и зачем нужна теория ИБ?
4. Что такое опасность и безопасность?
5. Основные понятия теории безопасности
6. О природе информации
7. Социальная информация
8. Что такое информационная безопасность?
9. Что такое методология?
10. Методология обеспечения ИБ
👉 Визуальное представление основных терминов в ИБ (терминосистемы) собираю отдельно на сайте cybersecurity-glossary.ru и в PDF-файле.
#подкаст #атаманов
Предновогодняя
Таймкоды:
0:00 - Про методологию (краткое содержание предыдущей беседы)
2:21 - Использование ИИ для определения методологии ИБ
6:00 - Как методологию ИБ трактует отечественная наука?
8:12 - Средства обеспечения ИБ с позиции отечественной науки
14:12 - Про продовольственную безопасность
22:08 - Как трактуется ИБ с позиции отечественной науки
26:30 - Про информационную войну
29:44 - Доктрина ИБ РФ
35:03 - Информационная опасность / безопасность объекта
39:32 - Объекты обеспечения ИБ
44:10 - Опасность для человека
47:26 - Цель обеспечения ИБ субъекта информационных отношений
51:40 - Содержание работ по обеспечению ИБ субъекта
59:45 - Структура деятельности по обеспечению ИБ субъекта
1:00:13 - Удовлетворение информационных потребностей
1:04:07 - Защита от деструктивных информационных воздействий
1:08:24 - Защита информационных ресурсов
1:12:00 - Про достоверность, доступность и достаточность информации
1:24:45 - Методы и средства реализации угроз субъектам информационных отношений в информационной сфере
1:28:00 - Субъекты обеспечения ИБ
👉 Запись доступна в VK, RuTube и Яндекс.Музыке 🎶
Презентация по ссылке 📕
Архив всех бесед в VK 🍿
1. Знакомство
2. Кризис теории информационной безопасности
3. Что такое теория и зачем нужна теория ИБ?
4. Что такое опасность и безопасность?
5. Основные понятия теории безопасности
6. О природе информации
7. Социальная информация
8. Что такое информационная безопасность?
9. Что такое методология?
10. Методология обеспечения ИБ
👉 Визуальное представление основных терминов в ИБ (терминосистемы) собираю отдельно на сайте cybersecurity-glossary.ru и в PDF-файле.
#подкаст #атаманов
Please open Telegram to view this post
VIEW IN TELEGRAM
Киберпсихология или психология безопасного поведения человека👨🏫
Одних технологических навыков в кибербезе недостаточно. Человек до сих пор остается самым слабым звеном🔗
В учебных заведениях, которые готовят специалистов по ИБ, следует ввести курс по киберпсихологии. Руководители и специалисты по кибербезу должны изучать поведенческую психологию.
Некоторые руководители до сих пор считают, что написание многостраничной политики по ИБ сформирует культуру кибербеза в компании. Однако наука о принятии решений и поведенческая психология говорит об обратном.
Дополнительно по теме рекомендую:
1️⃣ вебинар Сергея Солдатова про Социальную инженерию (на рисунке скриншот из вебинара)
2️⃣ открытую встречу в институте Иматон Тревожный звоночек. Немного о телефонных мошенниках
3️⃣ страницу Psychology and Security Resource Page
4️⃣ Security and Human Behavior (SHB) 2024 из блога Брюса Шнайера
5️⃣ Брюс Шнайер: Психология безопасности (ЧАСТЬ 1, ЧАСТЬ 2, ЧАСТЬ 3)
#киберпсихология
Одних технологических навыков в кибербезе недостаточно. Человек до сих пор остается самым слабым звеном
В учебных заведениях, которые готовят специалистов по ИБ, следует ввести курс по киберпсихологии. Руководители и специалисты по кибербезу должны изучать поведенческую психологию.
Некоторые руководители до сих пор считают, что написание многостраничной политики по ИБ сформирует культуру кибербеза в компании. Однако наука о принятии решений и поведенческая психология говорит об обратном.
Дополнительно по теме рекомендую:
#киберпсихология
Please open Telegram to view this post
VIEW IN TELEGRAM
Почему кибербезопасность сложна для понимания? ❔
Мне нравится сравнение кибербезопасности с защитой замка (на рисунке), но метод аналогий порой уводит в сторону. В таком случае трудно объяснить, как работает антивирус и зачем устанавливать обновления🧑💻
В замке есть разные уровни защиты, которые не дают посторонним пройти внутрь (на рисунке). А в компьютерной сети трудно увидеть и проследить, как работают средства защиты информации👣
Кибербезопасность сложно понять, потому что технологии (в отличие от защиты замка), которые её обеспечивают, совсем не очевидны❄️
#концепции #модель
Мне нравится сравнение кибербезопасности с защитой замка (на рисунке), но метод аналогий порой уводит в сторону. В таком случае трудно объяснить, как работает антивирус и зачем устанавливать обновления
В замке есть разные уровни защиты, которые не дают посторонним пройти внутрь (на рисунке). А в компьютерной сети трудно увидеть и проследить, как работают средства защиты информации
Кибербезопасность сложно понять, потому что технологии (в отличие от защиты замка), которые её обеспечивают, совсем не очевидны
#концепции #модель
Please open Telegram to view this post
VIEW IN TELEGRAM
Что общего между кибербезопасностью и Великой Китайской стеной? ❔
Великая Китайская стена🧱 — проект длинной около 21 000 километров 😳 👷
Во времена династии Мин стена долго держалась, но в конце концов её прорвали маньчжуры, потому что им открыли ворота ⛩
Чтобы стена выполняла свою функцию, её нужно было обслуживать по всей длине: во времена династии Мин для охраны поставили миллион солдат🫡
Варвары могли выбирать, когда и где атаковать стену. Они искали слабое звено и атаковали там. Так сделали монголы в 1550 году. Они прорвались через слабо защищённый участок стены в Губэйкоу, подошли к Пекину и разграбили его пригороды😱
Кибербезопасность похожа на Великую Китайскую стену. Злоумышленникам легче атаковать, чем защитникам защищаться🧑💻
В кибербезопасности трудно понять, где находится линия фронта. Злоумышленнику достаточно найти одну уязвимость и проникнуть внутрь. Защитнику приходится учитывать все уязвимости в коде и оборудовании😱
Обнаружить успешную атаку сложно🔍 Древние китайцы знали, когда была взломана стена, потому что это невозможно было скрыть 🫥
#аналогии #модель
Великая Китайская стена
Во времена династии Мин стена долго держалась, но в конце концов её прорвали маньчжуры, потому что им открыли ворота ⛩
Чтобы стена выполняла свою функцию, её нужно было обслуживать по всей длине: во времена династии Мин для охраны поставили миллион солдат
Варвары могли выбирать, когда и где атаковать стену. Они искали слабое звено и атаковали там. Так сделали монголы в 1550 году. Они прорвались через слабо защищённый участок стены в Губэйкоу, подошли к Пекину и разграбили его пригороды
Кибербезопасность похожа на Великую Китайскую стену. Злоумышленникам легче атаковать, чем защитникам защищаться
В кибербезопасности трудно понять, где находится линия фронта. Злоумышленнику достаточно найти одну уязвимость и проникнуть внутрь. Защитнику приходится учитывать все уязвимости в коде и оборудовании
Обнаружить успешную атаку сложно
#аналогии #модель
Please open Telegram to view this post
VIEW IN TELEGRAM
Цель обеспечения кибербезопасности в компании
Цель обеспечения кибербезопасности в любой компании — защитить бизнес от атак, которые происходят с помощью технологий. Это нужно, чтобы компания могла продолжать работать и получать прибыль🤔
Специалисты по кибербезу часто смотрят только на технологии. Чтобы защитить бизнес, нужно понять, как он работает. Нужно узнать, как компания зарабатывает деньги, как она общается с клиентами, поставщиками и партнёрами. Нужно понять, как работают люди в компании 👨🚀🦸♀️
Специалисты по кибербезу должны понять компанию, в которой они работают. Для этого нужно общаться с людьми из разных отделов. Нужно знать, что происходит в компании каждый день🕕
На современных рынках компаниям нужно быстро действовать и быстро выпускать продукт, поэтому кибербез часто оказывается не таким важным, как хотелось бы😔
Дополнительно по теме рекомендую:
0️⃣ Зачем безопаснику нужно знание бизнес-моделей? (Алексей Лукацкий)
1️⃣ Шаблон бизнес-модели Александра Остервальдера и Ива Пинье по ссылке
2️⃣ Курс Cyber Security Economics
3️⃣ Security Economics Knowledge Guide (PDF)
4️⃣ Economics and Security Resource Page по ссылке
5️⃣ Дмитрий Гадарь про кибербез в банке
#экономика
Цель обеспечения кибербезопасности в любой компании — защитить бизнес от атак, которые происходят с помощью технологий. Это нужно, чтобы компания могла продолжать работать и получать прибыль
Специалисты по кибербезу часто смотрят только на технологии. Чтобы защитить бизнес, нужно понять, как он работает. Нужно узнать, как компания зарабатывает деньги, как она общается с клиентами, поставщиками и партнёрами. Нужно понять, как работают люди в компании 👨🚀🦸♀️
Специалисты по кибербезу должны понять компанию, в которой они работают. Для этого нужно общаться с людьми из разных отделов. Нужно знать, что происходит в компании каждый день
На современных рынках компаниям нужно быстро действовать и быстро выпускать продукт, поэтому кибербез часто оказывается не таким важным, как хотелось бы
Дополнительно по теме рекомендую:
#экономика
Please open Telegram to view this post
VIEW IN TELEGRAM
Какую тему диплома по кибербезу выбрать в 2025 году? 🤔
Посмотрим для начала на мировые тренды 👨🎓
В 2005 году в США была проведена комплексная работа, в результате которой группа исследователей опубликовала Список сложных проблем в области кибербеза, куда вошли Global-Scale Identity Managemenе, Insider Threat, Availability of Time-Critical Systems, Building Scalable Secure Systems, Situational, Understanding and Attack Attribution, Information Provenance, Security with Privacy, Enterprise-Level Security Metrics.
Видим, что за 20 прошедших лет проблемы не сильно изменились🤷
В 2023 году был представлен стратегический план США, который координирует проблемы в области кибербеза следующим образом.
1️⃣ Кибербезопасность, ориентированная на человека (Human-centered cybersecurity)
2️⃣ Благонадежность (Trustworthiness)
3️⃣ Киберустойчивость (Cyber resilience)
4️⃣ Метрики, измерения и оценка кибербезопасности (Cybersecurity metrics, measurements, and evaluation)
5️⃣ Инфраструктура исследований, разработок и экспериментов в области кибербезопасности (Cybersecurity research, development, and experimentation infrastructure)
У Национального центра кибербезопасности Великобритании есть Cybersecurity Research Problem Book, он включает 5 сквозных проблем, 4 проблемы безопасности оборудования и 6 киберфизических проблем.
В отчете 2024 года по стратегии киберфизической устойчивости США перечислены задачи для исследования.
1️⃣ Изучение основополагающих принципов устойчивости сложных систем
2️⃣ Хаос-инжиниринг в применении к кибербезу
3️⃣ Механизмы применения сегментации, микровиртуализации и технологий нулевого доверия
4️⃣ Технологии криптогибкости, которые могут обеспечить надежный, устойчивый и своевременный переход к постквантовым стандартам криптографии
5️⃣ Изучение использования методов ИИ для обнаружения аномалий
6️⃣ Разработка инструментов моделирования цифровых двойников для критически важных систем и использование прогностических методов для моделирования слабых мест
7️⃣ Исследования, направленные на содействие переходу на безопасные языки программирования
Отечественный перечень тем представлен в паспортах научных специальностей 1.2.4. Кибербезопасность и 2.3.6. Методы и системы защиты информации, информационная безопасность👨🏫
#наука #исследования
Посмотрим для начала на мировые тренды 👨🎓
В 2005 году в США была проведена комплексная работа, в результате которой группа исследователей опубликовала Список сложных проблем в области кибербеза, куда вошли Global-Scale Identity Managemenе, Insider Threat, Availability of Time-Critical Systems, Building Scalable Secure Systems, Situational, Understanding and Attack Attribution, Information Provenance, Security with Privacy, Enterprise-Level Security Metrics.
Видим, что за 20 прошедших лет проблемы не сильно изменились
В 2023 году был представлен стратегический план США, который координирует проблемы в области кибербеза следующим образом.
У Национального центра кибербезопасности Великобритании есть Cybersecurity Research Problem Book, он включает 5 сквозных проблем, 4 проблемы безопасности оборудования и 6 киберфизических проблем.
В отчете 2024 года по стратегии киберфизической устойчивости США перечислены задачи для исследования.
Отечественный перечень тем представлен в паспортах научных специальностей 1.2.4. Кибербезопасность и 2.3.6. Методы и системы защиты информации, информационная безопасность
#наука #исследования
Please open Telegram to view this post
VIEW IN TELEGRAM
Media is too big
VIEW IN TELEGRAM
Методология обеспечения кибербезопасности организации (ч.1) 👨🎓
Новогодняя🎄 беседа с к.филос.н. Атамановым Г.А. 👨🏫
Таймкоды:
0:00 - Вступление к беседе Методология защиты информационных ресурсов субъектов информационных отношений (ч.1)
0:32 - Зачем нужна корректная картина мира?
4:07 - Почему значения и смыслы передать нельзя?
6:12 - Методология защиты информации по "мнению" ИИ
12:14 - Законность как принцип обеспечения ИБ по законодательству РФ
13:16 - Про 17 Приказ ФСТЭК РФ
14:41 - Методология защиты информации по ГОСТ Р 50922-2006
21:41 - ГОСТ Р 53144-2008
24:48 - Типы возможного деструктивного воздействия
29:09 - Цикл Деминга и миф о Сизифе
35:23 - Как правильно взаимодействовать ИТ и ИБ?
45:34 - Методология защиты информационных ресурсов организации
49:45 - Объекты защиты в информационной сфере
51:36 - Могут ли процессы быть объектами защиты информации?
53:46 - Целеполагание
1:01:29 - Цель обеспечения ИБ субъекта
1:02:16 - Цель обеспечения кибербезопасности (защиты информационных ресурсов)
1:04:19 - Что такое информационный объект и информационный ресурс?
1:10:52 - Что такое система?
1:18:42 - Что такое информационная система?
1:26:31 - Классификация информационных ресурсов по признаку конфиденциальности
1:38:04 - Виды и подвиды тайн
1:45:19 - Про угрозу несанкционированного доступа
1:51:21 - Виды угроз информационным ресурсам предприятия и способы их реализации
👉 Запись доступна в VK, RuTube и Яндекс.Музыке 🎶
Презентация по ссылке 📕
Архив всех бесед в VK 🍿
1. Знакомство
2. Кризис теории информационной безопасности
3. Что такое теория и зачем нужна теория ИБ?
4. Что такое опасность и безопасность?
5. Основные понятия теории безопасности
6. О природе информации
7. Социальная информация
8. Что такое информационная безопасность?
9. Что такое методология?
10. Методология обеспечения ИБ
11. Методология обеспечения кибербезопасности (часть 1)
👉 Визуальное представление основных терминов в ИБ (терминосистемы) собираю отдельно на сайте cybersecurity-glossary.ru и в PDF-файле.
#подкаст #атаманов
Новогодняя
Таймкоды:
0:00 - Вступление к беседе Методология защиты информационных ресурсов субъектов информационных отношений (ч.1)
0:32 - Зачем нужна корректная картина мира?
4:07 - Почему значения и смыслы передать нельзя?
6:12 - Методология защиты информации по "мнению" ИИ
12:14 - Законность как принцип обеспечения ИБ по законодательству РФ
13:16 - Про 17 Приказ ФСТЭК РФ
14:41 - Методология защиты информации по ГОСТ Р 50922-2006
21:41 - ГОСТ Р 53144-2008
24:48 - Типы возможного деструктивного воздействия
29:09 - Цикл Деминга и миф о Сизифе
35:23 - Как правильно взаимодействовать ИТ и ИБ?
45:34 - Методология защиты информационных ресурсов организации
49:45 - Объекты защиты в информационной сфере
51:36 - Могут ли процессы быть объектами защиты информации?
53:46 - Целеполагание
1:01:29 - Цель обеспечения ИБ субъекта
1:02:16 - Цель обеспечения кибербезопасности (защиты информационных ресурсов)
1:04:19 - Что такое информационный объект и информационный ресурс?
1:10:52 - Что такое система?
1:18:42 - Что такое информационная система?
1:26:31 - Классификация информационных ресурсов по признаку конфиденциальности
1:38:04 - Виды и подвиды тайн
1:45:19 - Про угрозу несанкционированного доступа
1:51:21 - Виды угроз информационным ресурсам предприятия и способы их реализации
👉 Запись доступна в VK, RuTube и Яндекс.Музыке 🎶
Презентация по ссылке 📕
Архив всех бесед в VK 🍿
1. Знакомство
2. Кризис теории информационной безопасности
3. Что такое теория и зачем нужна теория ИБ?
4. Что такое опасность и безопасность?
5. Основные понятия теории безопасности
6. О природе информации
7. Социальная информация
8. Что такое информационная безопасность?
9. Что такое методология?
10. Методология обеспечения ИБ
11. Методология обеспечения кибербезопасности (часть 1)
👉 Визуальное представление основных терминов в ИБ (терминосистемы) собираю отдельно на сайте cybersecurity-glossary.ru и в PDF-файле.
#подкаст #атаманов
Please open Telegram to view this post
VIEW IN TELEGRAM
Обучение кибербезу на основе ментальных моделей 👨🏫
Образование в области кибербеза находится в состоянии глубокого когнитивного кризиса из-за возросшего потока информации💦 , связанного с безопасным внедрением ИТ👷
Справиться с этой проблемой позволяют ментальные модели, т.е. специальные инструменты, применимые в профессиональной деятельности. Популярные и полезные модели: кривая нормального распределения, модель OSI итд
Мы постоянно используем всевозможные ментальные модели в течение дня. Каждый из нас воспринимает мир через свои собственные уникальные "очки"😎 , которые являются продуктом эволюции и индивидуального социального опыта. Я, например, часто применяю бритву Оккама в своей работе ✂️
Использование ментальных моделей в преподавании позволяет выстраивать в головах студентов представление (знание) о сложных системах. Вспомните, к примеру, как модель TCP/IP упрощает изучение сетевых протоколов🕸
При решении сложных задач ментальные модели в голове дополняют и соревнуются друг с другом, при этом каждая модель должна иметь четкие критерии использования👨🎓
Какие ментальные модели помогают в изучении кибербеза?
— The Diamond Model of Intrusion Analysis
— Cyber Kill Chain
— MITRE ATT&CK
— Pyramid of Pain
— STRIDE
Дополнительные материалы:
— Модели в информационной безопасности
#модель #ментальная_модель
Образование в области кибербеза находится в состоянии глубокого когнитивного кризиса из-за возросшего потока информации
Справиться с этой проблемой позволяют ментальные модели, т.е. специальные инструменты, применимые в профессиональной деятельности. Популярные и полезные модели: кривая нормального распределения, модель OSI итд
Мы постоянно используем всевозможные ментальные модели в течение дня. Каждый из нас воспринимает мир через свои собственные уникальные "очки"
Использование ментальных моделей в преподавании позволяет выстраивать в головах студентов представление (знание) о сложных системах. Вспомните, к примеру, как модель TCP/IP упрощает изучение сетевых протоколов
При решении сложных задач ментальные модели в голове дополняют и соревнуются друг с другом, при этом каждая модель должна иметь четкие критерии использования
Какие ментальные модели помогают в изучении кибербеза?
— The Diamond Model of Intrusion Analysis
— Cyber Kill Chain
— MITRE ATT&CK
— Pyramid of Pain
— STRIDE
Дополнительные материалы:
— Модели в информационной безопасности
#модель #ментальная_модель
Please open Telegram to view this post
VIEW IN TELEGRAM
Образовательная экосистема как инструмент для решения кадрового вопроса в кибербезе 👨🎓
Снова я погрузился в анализ зарубежного опыта в подготовке кибербез кадров на уровне страны. Дальше всех в этом вопросе шагнули американцы, которые в июле прошлого года утвердили национальную стратегию в области кибербез образования в рамках национальной стратегии по кибербезу. В отдельном документе перечислены начальные шаги по внедрению образовательной стратегии✍️
Образовательная экосистема по кибербезу
Одним из пунктов реализации образовательной стратегии является создание экосистем. В декабре прошлого года был опубликован набор инструментов (toolkit) для создания подобных экосистем в кибербезе, то есть предлагается "удочка вместо готовой рыбы"🤔
Цель состоит в формировании и выстраивании локальных (в зависимости от географии или отрасли), устойчивых сообществ, заинтересованных в подготовке кибербез кадров. Элементы экосистемы: вузы, работодатели, родители, студенты итд (см. рисунок)
Алгоритм выстраивания образовательной экосистемы
1️⃣ Взаимодействуйте с местным сообществом, найдите организаторов мероприятий в области кибербеза
2️⃣ Общайтесь с заинтересованными сторонами на уровне города, региона
3️⃣ Разработайте план с желаемыми целями, результатами и необходимыми ресурсами
4️⃣ Найдите ресурсы
5️⃣ Реализуйте свой план, держите в курсе заинтересованные стороны
6️⃣ Поделитесь своими результатами в блоге, на локальном форуме, конференции
7️⃣ Расширьте экосистему через привлечение новых участников
Наблюдаю, что подобные сообщества у нас формируются вокруг активных ИБ-вузов🤔
#кадры_в_ИБ
Снова я погрузился в анализ зарубежного опыта в подготовке кибербез кадров на уровне страны. Дальше всех в этом вопросе шагнули американцы, которые в июле прошлого года утвердили национальную стратегию в области кибербез образования в рамках национальной стратегии по кибербезу. В отдельном документе перечислены начальные шаги по внедрению образовательной стратегии
Образовательная экосистема по кибербезу
Одним из пунктов реализации образовательной стратегии является создание экосистем. В декабре прошлого года был опубликован набор инструментов (toolkit) для создания подобных экосистем в кибербезе, то есть предлагается "удочка вместо готовой рыбы"
Цель состоит в формировании и выстраивании локальных (в зависимости от географии или отрасли), устойчивых сообществ, заинтересованных в подготовке кибербез кадров. Элементы экосистемы: вузы, работодатели, родители, студенты итд (см. рисунок)
Алгоритм выстраивания образовательной экосистемы
Наблюдаю, что подобные сообщества у нас формируются вокруг активных ИБ-вузов
#кадры_в_ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
Карточная игра Cyber Threat Defender 🎲
Продолжим разбираться в популярных карточных играх по кибербезу 🥷
В этот раз посмотрим на игру Cyber Threat Defende для детей от 11 лет и старше, созданную по образцу Magic:_The_Gathering🧙♀️
Игра была разработана Центром обеспечения и безопасности инфраструктуры (CIAS) Техасского университета в Сан-Антонио
Игроки создают сеть активов (Assets) и строят оборону (Defenses), чтобы предотвратить атаки (Attacks) со стороны противников, события (Events) — это различные вещи, которые могут произойти. Чтобы игрок успешно победил своего противника, он должен разработать и реализовать стратегию расширения и защиты своей сети. Средняя продолжительность игры составляет 20 минут⏳
Подробные правила тут и презентация
Дополнительно:
— Стартовая колода (54 карты)
— Список карточек тут
— Конкурс по дизайну новых карточек
— Шаблон карточки
— Формат турнира
— Cyber Threat Guardian — многопользовательская карточная игра для детей от пяти лет
— Cyber Threat Protector — многопользовательская карточная игра, рассчитанная на учащихся 3–5 классов
#игра
Продолжим разбираться в популярных карточных играх по кибербезу 🥷
В этот раз посмотрим на игру Cyber Threat Defende для детей от 11 лет и старше, созданную по образцу Magic:_The_Gathering
Игра была разработана Центром обеспечения и безопасности инфраструктуры (CIAS) Техасского университета в Сан-Антонио
Игроки создают сеть активов (Assets) и строят оборону (Defenses), чтобы предотвратить атаки (Attacks) со стороны противников, события (Events) — это различные вещи, которые могут произойти. Чтобы игрок успешно победил своего противника, он должен разработать и реализовать стратегию расширения и защиты своей сети. Средняя продолжительность игры составляет 20 минут
Подробные правила тут и презентация
Дополнительно:
— Стартовая колода (54 карты)
— Список карточек тут
— Конкурс по дизайну новых карточек
— Шаблон карточки
— Формат турнира
— Cyber Threat Guardian — многопользовательская карточная игра для детей от пяти лет
— Cyber Threat Protector — многопользовательская карточная игра, рассчитанная на учащихся 3–5 классов
#игра
Please open Telegram to view this post
VIEW IN TELEGRAM
Схема карьерных треков для обеспечения результативной кибербезопасности 👷
Поделюсь текущими результатами✈️
Убрал на схеме визуальный шум: из явных элементов остались только статьи на Хабр и ссылки на курсы👨🎓
↘️ Схема доступна на cybersecurity-roadmap.ru или в PDF-версии для мобильных устройств 📞
Подробно о схеме я также рассказывал на CyberCamp (видео) и SOCForum (видео) 📺
#карьера_в_ИБ
Поделюсь текущими результатами
Убрал на схеме визуальный шум: из явных элементов остались только статьи на Хабр и ссылки на курсы
Подробно о схеме я также рассказывал на CyberCamp (видео) и SOCForum (видео) 📺
#карьера_в_ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
Как вы оцениваете качество современной системы высшего образования в ИБ? 🤔
Anonymous Poll
3%
Высокое 😊
34%
Среднее 😐
34%
Низкое ☹️
30%
Хочу посмотреть ответы 👀