Do security companies need their own hackers
Russian Newspaper 15 hours ago
To begin with, for security services of state and private companies, banks, having a person in the network is a great way to find out almost everything about a client: his income, social circle, habits, lifestyle. I would recommend separating real life from virtual and carefully publishing personal information. Sometimes it can be used, for example, by apartment thieves. They are also in a “trend”, and if 20 years ago, criminals collected information about the victim, talking with neighbors, watching the apartment for days, then thanks to Facebook or VKontakte for a “one or two” they calculate the lifestyle, points of travel and time of absence of apartment owners. If you can’t wait to share your vacation photos with your friends, it is best to do so upon arrival home.
Hackers vs Hackers
I am often asked the question - how to counter cyber threats. Should self-respecting hackers have to be self-respecting security staff?
In my opinion, it all depends on the level and size of the company, how much it is ready to invest in a particular issue. If we take a solid company, then almost everyone has IT specialists who are involved in information security. These are the very people who create barriers to prevent external hackers from breaking into the company’s system. In order to not be able to steal internal information, disrupt the operation of corporate servers. Inside the information security departments there are also specialists with narrow tasks who possess expert knowledge in the field of information technologies and who can probably be called “hackers” by the nature of their activities.
Another nuance that many people forget is corporate email privacy. These transcripts sometimes lead to loud revelations and scandals. But for some reason, employees forget that if the mail is corporate, then it belongs to the company, and not to the employees. People should be informed about this. It is also useful to remember that in each company there is a DLP (Data Leak Prevention) system that controls the leakage of information from the company by sending messages in the mail or transferring data through external drives. This tool monitors information flows and timely informs information security departments about the leakage of information that constitutes, for example, a trade secret.
Threats change shape
We will not hide the fact that we live in a situation of economic crisis, moreover, of a world level. In this situation, the business is not just trying to earn more. Companies are looking for added value in cutting costs. Improving the company's EBITDA and its profit margins for owners. This is where safety is helping reduce costs. By controlling the safety of the company's assets, security controls the level of losses, and the company's losses are directly related to its financial result. Another example: security is engaged in the fight against corruption in the company, thereby clearing the corruption component from the purchase prices of the goods. Which means lower purchase price per unit of goods, and, accordingly, lower retail value on the shelf. I cannot but note that security also protects business from external aggressions: be it the external criminal environment, protection against competitive intelligence, or protection against various kinds of emergency situations.
Size doesn't matter
Is there a formula - how much should a company spend on security?
What is the three-digit number? And make a mistake. This amount simply does not exist. It all depends on the industry, its size, tasks. Security should not be too much and should not be too little, it should be sufficient to solve the tasks. The task of the director of security is to determine the level of sufficiency; there is no need to make a prison out of business with closed cells and bars. It is necessary to determine the level of risk appetite in various areas of the business that the company allows, and work with deviations above this established level.
We must not forget that the desire to do everything and nullify all possible violations or deviations is an almost impossible task, which entails too much spending on security. If formulated more correctly, the task of the director of security is to determine the level of security costs relative to the company's revenue, which will allow all security costs to be recouped due to its positive effect on the financial performance of the company.
Do security companies need their own hackers
Russian Newspaper 15 hours ago
To begin with, for security services of state and private companies, banks, having a person in the network is a great way to find out almost everything about a client: his income, social circle, habits, lifestyle. I would recommend separating real life from virtual and carefully publishing personal information. Sometimes it can be used, for example, by apartment thieves. They are also in a “trend”, and if 20 years ago, criminals collected information about the victim, talking with neighbors, watching the apartment for days, then thanks to Facebook or VKontakte for a “one or two” they calculate the lifestyle, points of travel and time of absence of apartment owners. If you can’t wait to share your vacation photos with your friends, it is best to do so upon arrival home.
Hackers vs Hackers
I am often asked the question - how to counter cyber threats. Should self-respecting hackers have to be self-respecting security staff?
In my opinion, it all depends on the level and size of the company, how much it is ready to invest in a particular issue. If we take a solid company, then almost everyone has IT specialists who are involved in information security. These are the very people who create barriers to prevent external hackers from breaking into the company’s system. In order to not be able to steal internal information, disrupt the operation of corporate servers. Inside the information security departments there are also specialists with narrow tasks who possess expert knowledge in the field of information technologies and who can probably be called “hackers” by the nature of their activities.
Another nuance that many people forget is corporate email privacy. These transcripts sometimes lead to loud revelations and scandals. But for some reason, employees forget that if the mail is corporate, then it belongs to the company, and not to the employees. People should be informed about this. It is also useful to remember that in each company there is a DLP (Data Leak Prevention) system that controls the leakage of information from the company by sending messages in the mail or transferring data through external drives. This tool monitors information flows and timely informs information security departments about the leakage of information that constitutes, for example, a trade secret.
Threats change shape
We will not hide the fact that we live in a situation of economic crisis, moreover, of a world level. In this situation, the business is not just trying to earn more. Companies are looking for added value in cutting costs. Improving the company's EBITDA and its profit margins for owners. This is where safety is helping reduce costs. By controlling the safety of the company's assets, security controls the level of losses, and the company's losses are directly related to its financial result. Another example: security is engaged in the fight against corruption in the company, thereby clearing the corruption component from the purchase prices of the goods. Which means lower purchase price per unit of goods, and, accordingly, lower retail value on the shelf. I cannot but note that security also protects business from external aggressions: be it the external criminal environment, protection against competitive intelligence, or protection against various kinds of emergency situations.
Size doesn't matter
Is there a formula - how much should a company spend on security?
What is the three-digit number? And make a mistake. This amount simply does not exist. It all depends on the industry, its size, tasks. Security should not be too much and should not be too little, it should be sufficient to solve the tasks. The task of the director of security is to determine the level of sufficiency; there is no need to make a prison out of business with closed cells and bars. It is necessary to determine the level of risk appetite in various areas of the business that the company allows, and work with deviations above this established level.
We must not forget that the desire to do everything and nullify all possible violations or deviations is an almost impossible task, which entails too much spending on security. If formulated more correctly, the task of the director of security is to determine the level of security costs relative to the company's revenue, which will allow all security costs to be recouped due to its positive effect on the financial performance of the company.
Do security companies need their own hackers
Original message
Нужны ли службам безопасности компаний собственные хакеры
Российская Газета 15 часов назад
Начнем с того, что для служб безопасности государственных и частных компаний, банков наличие человека в сети — отличный способ вполне легально узнать о клиенте практически все: его доходы, круг общения, привычки, образ жизни. Я бы рекомендовал разделять реальную жизнь от виртуальной и аккуратно заниматься публикацией личной информации. Иногда ей могут воспользоваться, например, квартирные воры. Они тоже в «тренде», и если 20 лет назад преступники собирали информацию о жертве, общаясь с соседями, наблюдая за квартирой сутками, то благодаря Facebook или ВКонтакте на «раз — два» вычисляют образ жизни, точки передвижения и время отсутствия владельцев квартир. Если не терпится поделиться с друзьями фотографиями из отпуска, то лучше это сделать по приезду домой.
Хакеры против хакеров
Мне часто задают вопрос — как можно противостоять киберугрозам. Должны ли быть в штате уважающей себя службы безопасности собственные хакеры?
На мой взгляд, все зависит от уровня и размера компании, насколько она готова инвестировать в тот или иной вопрос. Если мы берем солидную компанию, то практически в каждой есть IT-специалисты, которые занимаются информационной безопасностью. Это те самые люди, которые создают барьеры для того, чтобы внешние хакеры не пробились в систему компании. Для того, чтобы не смогли украсть внутреннюю информацию, нарушить работу корпоративных серверов. Внутри отделов информационной безопасности есть и специалисты с узкими задачами, которые обладают экспертными знаниями в области информационных технологий и которых, наверное, можно назвать «хакерами» по характеру их деятельности.
Еще один нюанс, о котором многие забывают — конфиденциальность корпоративной электронной почты. Эти расшифровки иногда приводят к громким разоблачениям и скандалам. Но почему-то служащие забывают, что если почта корпоративная, то она принадлежит компании, а не сотрудникам. Люди должны быть проинформированы об этом. Также полезно помнить, что в каждой компании существует система DLP (Data Leak Prevention), которая контролирует утечку информации из компании путем пересылки сообщений в почте или переноса данных через внешние накопители. Данный инструмент отслеживает информационные потоки и своевременно информирует отделы информационной безопасности о произошедшей утечке информации, составляющей, например, коммерческую тайну.
Угрозы меняют форму
Не будем скрывать, что мы живем в ситуации экономического кризиса, более того, мирового уровня. В этой ситуации бизнес не просто пытается больше зарабатывать. Компании ищут дополнительную эффективность в сокращении расходов. Улучшая EBITDA компании и размер ее прибыли для владельцев. Вот как раз в сокращении расходов безопасность и помогает бизнесу. Контролируя сохранность активов компании, безопасность регулирует уровень потерь, а потери компании напрямую связаны с ее финансовым результатом. Другой пример: безопасность занимается борьбой с коррупцией в компании, тем самым вычищая коррупционную составляющую из закупочных цен товара. Что означает меньшую закупочную стоимость единицы товара, и, соответственно, меньшую розничную стоимость на полке. Не могу не отметить, что безопасность защищает бизнес и от внешних агрессий: будь то внешняя преступная среда, защита от конкурентной разведки, или защита от различного рода чрезвычайных ситуаций.
Размер не имеет значения
Есть ли формула — сколько компания должна тратить на безопасность?
Назовете трехзначную цифру? И ошибетесь. Этой суммы попросту не существует. Все зависит от отрасли бизнеса, его размера, задач. Безопасности не должно быть слишком много и не должно быть слишком мало, она должна быть достаточной для решения поставленных задач. Задача директора по безопасности — определить уровень достаточности, не нужно из бизнеса делать тюрьму с закрытыми клетками и решетками. Нужно определить уровень риск-аппетита в различных направлениях бизнеса, который компания допускает, и работать с отклонениями свыше этого установленного уровня.
Не нужно забывать, что желание заниматься всем и свести к нулю все возможные нарушения или отклонения — задача практически невыполнимая, которая влечет за собой слишком большие траты на безопасность. Если сформулировать более правильно, то задача директора по безопасности — определить уровень затрат на безопасность относительно выручки компании, который позволит все затраты на безопасность окупать за счет ее положительного эффекта на финансовые показатели компании.
Нужны ли службам безопасности компаний собственные хакеры
Российская Газета 15 часов назад
Начнем с того, что для служб безопасности государственных и частных компаний, банков наличие человека в сети — отличный способ вполне легально узнать о клиенте практически все: его доходы, круг общения, привычки, образ жизни. Я бы рекомендовал разделять реальную жизнь от виртуальной и аккуратно заниматься публикацией личной информации. Иногда ей могут воспользоваться, например, квартирные воры. Они тоже в «тренде», и если 20 лет назад преступники собирали информацию о жертве, общаясь с соседями, наблюдая за квартирой сутками, то благодаря Facebook или ВКонтакте на «раз — два» вычисляют образ жизни, точки передвижения и время отсутствия владельцев квартир. Если не терпится поделиться с друзьями фотографиями из отпуска, то лучше это сделать по приезду домой.
Хакеры против хакеров
Мне часто задают вопрос — как можно противостоять киберугрозам. Должны ли быть в штате уважающей себя службы безопасности собственные хакеры?
На мой взгляд, все зависит от уровня и размера компании, насколько она готова инвестировать в тот или иной вопрос. Если мы берем солидную компанию, то практически в каждой есть IT-специалисты, которые занимаются информационной безопасностью. Это те самые люди, которые создают барьеры для того, чтобы внешние хакеры не пробились в систему компании. Для того, чтобы не смогли украсть внутреннюю информацию, нарушить работу корпоративных серверов. Внутри отделов информационной безопасности есть и специалисты с узкими задачами, которые обладают экспертными знаниями в области информационных технологий и которых, наверное, можно назвать «хакерами» по характеру их деятельности.
Еще один нюанс, о котором многие забывают — конфиденциальность корпоративной электронной почты. Эти расшифровки иногда приводят к громким разоблачениям и скандалам. Но почему-то служащие забывают, что если почта корпоративная, то она принадлежит компании, а не сотрудникам. Люди должны быть проинформированы об этом. Также полезно помнить, что в каждой компании существует система DLP (Data Leak Prevention), которая контролирует утечку информации из компании путем пересылки сообщений в почте или переноса данных через внешние накопители. Данный инструмент отслеживает информационные потоки и своевременно информирует отделы информационной безопасности о произошедшей утечке информации, составляющей, например, коммерческую тайну.
Угрозы меняют форму
Не будем скрывать, что мы живем в ситуации экономического кризиса, более того, мирового уровня. В этой ситуации бизнес не просто пытается больше зарабатывать. Компании ищут дополнительную эффективность в сокращении расходов. Улучшая EBITDA компании и размер ее прибыли для владельцев. Вот как раз в сокращении расходов безопасность и помогает бизнесу. Контролируя сохранность активов компании, безопасность регулирует уровень потерь, а потери компании напрямую связаны с ее финансовым результатом. Другой пример: безопасность занимается борьбой с коррупцией в компании, тем самым вычищая коррупционную составляющую из закупочных цен товара. Что означает меньшую закупочную стоимость единицы товара, и, соответственно, меньшую розничную стоимость на полке. Не могу не отметить, что безопасность защищает бизнес и от внешних агрессий: будь то внешняя преступная среда, защита от конкурентной разведки, или защита от различного рода чрезвычайных ситуаций.
Размер не имеет значения
Есть ли формула — сколько компания должна тратить на безопасность?
Назовете трехзначную цифру? И ошибетесь. Этой суммы попросту не существует. Все зависит от отрасли бизнеса, его размера, задач. Безопасности не должно быть слишком много и не должно быть слишком мало, она должна быть достаточной для решения поставленных задач. Задача директора по безопасности — определить уровень достаточности, не нужно из бизнеса делать тюрьму с закрытыми клетками и решетками. Нужно определить уровень риск-аппетита в различных направлениях бизнеса, который компания допускает, и работать с отклонениями свыше этого установленного уровня.
Не нужно забывать, что желание заниматься всем и свести к нулю все возможные нарушения или отклонения — задача практически невыполнимая, которая влечет за собой слишком большие траты на безопасность. Если сформулировать более правильно, то задача директора по безопасности — определить уровень затрат на безопасность относительно выручки компании, который позволит все затраты на безопасность окупать за счет ее положительного эффекта на финансовые показатели компании.
Нужны ли службам безопасности компаний собственные хакеры
