SlideShare ist ein Scribd-Unternehmen logo

С широко закрытыми глазами - риск-ориентированный подход к миграции в облака

Vsevolod Shabad
Vsevolod Shabad

Миграция в облака давно перестала быть хайпом - агитировать в пользу такой миграции уже незачем, почти все аргументы повторялись уже много раз. Похоже, что на фоне множества аргументов в пользу миграции почти потерялись аргументы против нее. Зачастую, миграцией в облака движет мода, а отказом от миграции движут страхи и предубеждения. Риск-ориентированный подход позволяет на основе трезвых оценок принять решение, мигрировать ли в публичное облако, строить частное и мигрировать в него, или отказаться от миграции и сосредоточиться на других задачах.

Technologie
1 von 9
Downloaden Sie, um offline zu lesen
С широко закрытыми глазами Риск-ориентированный подход к миграции в облака Всеволод Шабад, независимый эксперт CISSP, CCSP, AWS Certified Solutions Architect
Коротко обо мне: 37+ лет в ИТ-индустрии • Born in the USSR, live in Kazakhstan • Math high school #57 (top-5 in the USSR) • MSc in Applied Math (‘94, MIREA, Russia) • Profess. Retraining in Cybersecurity (Informzaschita, top-3 in Russia) • Law courses in the top-10 universities (US, UK) • Software Developer (1985-1996) • Network Engineer (1993-1999) • CEO of NetProject (2000-2018) • CISO, CIO, vCISO (2018-…) 🇷🇺 🇰🇿 🇷🇸 🇧🇬 🇹🇷 🇸🇬 • CISSP • CCSP • AWS Solutions Architect • Azure Fundamentals • Blockchain Certified Expert • Professional Scrum Master • Professional Scrum with Kanban • … • Skydiving (517 jumps) • Offroad rally raids • Horse riding • Ultramarathon running (9x finisher) • Long-sprint running (Silver medalist of the Russia’20 Masters Athlete Championship) • Cyber Security • IT • Risk Management • Cloud Technologies • Cultural Changes • Data Science & ML • Fraud Prevention • Agile Transformation 1. About me 2. Professional career 3. Professional certifications 4. Amateur sport career 5. Areas of interest
Миссия Ценности Риски Что направляет компанию? 1 2 3 Из NIST SP 800-39
Три роли, три сценария, три страны Роль • Корпоративный заказчик • Облачный провайдер • Регулирующий орган Сценарий • Миграция в публичное облако • Строительство частного облака • Оставить все как есть Страна • Россия • Украина • Казахстан
Риск-угроза: геополитические санкции • Вероятность: • Россия – высокая • Украина – низкая • Казахстан – низкая • Масштаб последствий: • Иностранное публичное облако – высокий • Национальное публичное облако – средний • Частное облако – средний • Собственная инфраструктура – средний • Риск-индикатор: • публичный анонс намерений ввести санкции против конкретной страны, отрасли или компании • Пример реализации риска: • банки России, попавшие под санкции G7 • Threat agent – влиятельное иностранное правительство • Threat – запрет предоставления сервисов и товаров • Asset – компоненты ИТ-ландшафта • Vulnerability – обязанность провайдеров и поставщиков следовать санкциям • Controls: • Preventive – перерегистрация юрлица в другой стране • Detective – мониторинг доступности ИТ-ландшафта • Reactive – перенос нагрузки в национальное публичное облако, в частное облако или в собственную инфраструктуру
Риск-угроза: военные действия • Вероятность: • Россия – средняя • Украина – высокая • Казахстан – низкая • Масштаб последствий: • Иностранное публичное облако – низкий • Национальное публичное облако – высокий • Частное облако – высокий • Собственная инфраструктура – высокий • Риск-индикатор: • публичное обсуждение возможных военных действий на территории страны • Пример реализации риска: • украинский Privatbank, чья собственная ИТ-инфраструктура разрушена Россией • Threat agent – враждебное иностранное государство • Threat – разрушение национальной физической инфраструктуры • Asset – компоненты ИТ-ландшафта • Vulnerability – размещение инфраструктуры в (потенциальной) зоне боевых действий • Controls: • Preventive – миграция ИТ-нагрузок в иностранное публичное облако • Detective – мониторинг доступности ИТ-ландшафта • Reactive – миграция ИТ-нагрузок в иностранное публичное облако
Риск-угроза: пандемия • Вероятность: средняя • Масштаб последствий: • Публичное облако – низкий • Частное облако – высокий • Собственная инфраструктура – высокий • Риск-индикатор: • объявление пандемии • Пример реализации риска: • пандемия COVID-19, остановившая туристический и авиационный бизнес • Threat agent – национальное правительство • Threat – обвальный спад деловой активности • Asset – компоненты ИТ-ландшафта • Vulnerability – невозможность сократить простаивающую инфраструктуру • Controls: • Preventive – миграция ИТ-нагрузок в публичное облако • Detective – мониторинг нагрузки на ИТ-инфраструктуру • Reactive – отключение неиспользуемых компонентов ИТ-ландшафта в публичном облаке
Управление рисками – постоянный процесс • Меняется организация • Люди • Процессы • Технологии • Меняется окружающий мир • Угрозы • Возможности • Место организации в этом мире Из NIST SP 800-39
Давайте вместе двигаться вперед! https://calendly.com/vshabad vshabad@vshabad.com +7 777 726 4790 (моб.) Первая консультация всегда бесплатна!

Empfohlen

Social engineering: A Human Hacking Framework
Social engineering: A Human Hacking FrameworkSocial engineering: A Human Hacking Framework
Social engineering: A Human Hacking Framework
Jahangirnagar University
 
Social Engineering - Are You Protecting Your Data Enough?
Social Engineering - Are You Protecting Your Data Enough?Social Engineering - Are You Protecting Your Data Enough?
Social Engineering - Are You Protecting Your Data Enough?
JamRivera1
 
Security Awareness Training by Fortinet
Security Awareness Training by FortinetSecurity Awareness Training by Fortinet
Security Awareness Training by Fortinet
Atlantic Training, LLC.
 
Threat Intelligence
Threat IntelligenceThreat Intelligence
Threat Intelligence
Deepak Kumar (D3)
 
Anatomy of a cyber attack
Anatomy of a cyber attackAnatomy of a cyber attack
Anatomy of a cyber attack
Mark Silver
 
The Basics of Cyber Insurance
The Basics of Cyber InsuranceThe Basics of Cyber Insurance
The Basics of Cyber Insurance
HB Litigation Conferences
 
Cybersecurity Awareness Training
Cybersecurity Awareness TrainingCybersecurity Awareness Training
Cybersecurity Awareness Training
Dave Monahan
 
Cyber crime and cyber security
Cyber crime and cyber securityCyber crime and cyber security
Cyber crime and cyber security
jyoti_lakhani
 

Empfohlen

Social engineering: A Human Hacking Framework
Social engineering: A Human Hacking FrameworkSocial engineering: A Human Hacking Framework
Social engineering: A Human Hacking Framework
Jahangirnagar University
 
Social Engineering - Are You Protecting Your Data Enough?
Social Engineering - Are You Protecting Your Data Enough?Social Engineering - Are You Protecting Your Data Enough?
Social Engineering - Are You Protecting Your Data Enough?
JamRivera1
 
Security Awareness Training by Fortinet
Security Awareness Training by FortinetSecurity Awareness Training by Fortinet
Security Awareness Training by Fortinet
Atlantic Training, LLC.
 
Threat Intelligence
Threat IntelligenceThreat Intelligence
Threat Intelligence
Deepak Kumar (D3)
 
Anatomy of a cyber attack
Anatomy of a cyber attackAnatomy of a cyber attack
Anatomy of a cyber attack
Mark Silver
 
The Basics of Cyber Insurance
The Basics of Cyber InsuranceThe Basics of Cyber Insurance
The Basics of Cyber Insurance
HB Litigation Conferences
 
Cybersecurity Awareness Training
Cybersecurity Awareness TrainingCybersecurity Awareness Training
Cybersecurity Awareness Training
Dave Monahan
 
Cyber crime and cyber security
Cyber crime and cyber securityCyber crime and cyber security
Cyber crime and cyber security
jyoti_lakhani
 
Social engineering
Social engineeringSocial engineering
Social engineering
Vishal Kumar
 
Cyber Security: Threat and Prevention
Cyber Security: Threat and PreventionCyber Security: Threat and Prevention
Cyber Security: Threat and Prevention
fmi_igf
 
CNIT 140: Perimeter Security
CNIT 140: Perimeter SecurityCNIT 140: Perimeter Security
CNIT 140: Perimeter Security
Sam Bowne
 
Social engineering
Social engineeringSocial engineering
Social engineering
Robert Hood
 
Social Engineering Basics
Social Engineering BasicsSocial Engineering Basics
Social Engineering Basics
Luke Rusten
 
Attack-driven defense
Attack-driven defenseAttack-driven defense
Attack-driven defense
Zane Lackey
 
Using ATTACK to Create Cyber DBTS for Nuclear Power Plants
Using ATTACK to Create Cyber DBTS for Nuclear Power PlantsUsing ATTACK to Create Cyber DBTS for Nuclear Power Plants
Using ATTACK to Create Cyber DBTS for Nuclear Power Plants
MITRE - ATT&CKcon
 
Social engineering hacking attack
Social engineering hacking attackSocial engineering hacking attack
Social engineering hacking attack
Pankaj Dubey
 
Security Awareness Training
Security Awareness TrainingSecurity Awareness Training
Security Awareness Training
William Mann
 
14 tips to increase cybersecurity awareness
14 tips to increase cybersecurity awareness14 tips to increase cybersecurity awareness
14 tips to increase cybersecurity awareness
Michel Bitter
 
Presentation of Social Engineering - The Art of Human Hacking
Presentation of Social Engineering - The Art of Human HackingPresentation of Social Engineering - The Art of Human Hacking
Presentation of Social Engineering - The Art of Human Hacking
msaksida
 
Cyber crime final report
Cyber crime final report Cyber crime final report
Cyber crime final report
Shishupal Nagar
 
Social Engineering,social engeineering techniques,social engineering protecti...
Social Engineering,social engeineering techniques,social engineering protecti...Social Engineering,social engeineering techniques,social engineering protecti...
Social Engineering,social engeineering techniques,social engineering protecti...
ABHAY PATHAK
 
Social engineering presentation
Social engineering presentationSocial engineering presentation
Social engineering presentation
pooja_doshi
 
Cybersecurity trends - What to expect in 2023
Cybersecurity trends - What to expect in 2023Cybersecurity trends - What to expect in 2023
Cybersecurity trends - What to expect in 2023
PECB
 
Physical security.ppt
Physical security.pptPhysical security.ppt
Physical security.ppt
Faheem Ul Hasan
 
Network Security Fundamentals
Network Security FundamentalsNetwork Security Fundamentals
Network Security Fundamentals
Rahmat Suhatman
 
Proactive Defense: Understanding the 4 Main Threat Actor Types
Proactive Defense: Understanding the 4 Main Threat Actor TypesProactive Defense: Understanding the 4 Main Threat Actor Types
Proactive Defense: Understanding the 4 Main Threat Actor Types
Recorded Future
 
Cyber Threat Intelligence.pptx
Cyber Threat Intelligence.pptxCyber Threat Intelligence.pptx
Cyber Threat Intelligence.pptx
AbimbolaFisher1
 
Cyber Security 101: Training, awareness, strategies for small to medium sized...
Cyber Security 101: Training, awareness, strategies for small to medium sized...Cyber Security 101: Training, awareness, strategies for small to medium sized...
Cyber Security 101: Training, awareness, strategies for small to medium sized...
Stephen Cobb
 
DDoS Defence 101
DDoS Defence 101DDoS Defence 101
DDoS Defence 101
Qrator Labs
 
PlexGrid. Распределенные вычислительные системы
PlexGrid. Распределенные вычислительные системыPlexGrid. Распределенные вычислительные системы
PlexGrid. Распределенные вычислительные системы
startuptour
 

Weitere ähnliche Inhalte

Was ist angesagt?

Attack-driven defense
Attack-driven defenseAttack-driven defense
Attack-driven defense
Zane Lackey
 
Using ATTACK to Create Cyber DBTS for Nuclear Power Plants
Using ATTACK to Create Cyber DBTS for Nuclear Power PlantsUsing ATTACK to Create Cyber DBTS for Nuclear Power Plants
Using ATTACK to Create Cyber DBTS for Nuclear Power Plants
MITRE - ATT&CKcon
 
Cyber crime final report
Cyber crime final report Cyber crime final report
Cyber crime final report
Shishupal Nagar
 
Social engineering presentation
Social engineering presentationSocial engineering presentation
Social engineering presentation
pooja_doshi
 
Cybersecurity trends - What to expect in 2023
Cybersecurity trends - What to expect in 2023Cybersecurity trends - What to expect in 2023
Cybersecurity trends - What to expect in 2023
PECB
 

Was ist angesagt? (20)

Social engineering
Social engineeringSocial engineering
Social engineering
 
Cyber Security: Threat and Prevention
Cyber Security: Threat and PreventionCyber Security: Threat and Prevention
Cyber Security: Threat and Prevention
 
CNIT 140: Perimeter Security
CNIT 140: Perimeter SecurityCNIT 140: Perimeter Security
CNIT 140: Perimeter Security
 
Social engineering
Social engineeringSocial engineering
Social engineering
 
Social Engineering Basics
Social Engineering BasicsSocial Engineering Basics
Social Engineering Basics
 
Attack-driven defense
Attack-driven defenseAttack-driven defense
Attack-driven defense
 
Using ATTACK to Create Cyber DBTS for Nuclear Power Plants
Using ATTACK to Create Cyber DBTS for Nuclear Power PlantsUsing ATTACK to Create Cyber DBTS for Nuclear Power Plants
Using ATTACK to Create Cyber DBTS for Nuclear Power Plants
 
Social engineering hacking attack
Social engineering hacking attackSocial engineering hacking attack
Social engineering hacking attack
 
Security Awareness Training
Security Awareness TrainingSecurity Awareness Training
Security Awareness Training
 
14 tips to increase cybersecurity awareness
14 tips to increase cybersecurity awareness14 tips to increase cybersecurity awareness
14 tips to increase cybersecurity awareness
 
Presentation of Social Engineering - The Art of Human Hacking
Presentation of Social Engineering - The Art of Human HackingPresentation of Social Engineering - The Art of Human Hacking
Presentation of Social Engineering - The Art of Human Hacking
 
Cyber crime final report
Cyber crime final report Cyber crime final report
Cyber crime final report
 
Social Engineering,social engeineering techniques,social engineering protecti...
Social Engineering,social engeineering techniques,social engineering protecti...Social Engineering,social engeineering techniques,social engineering protecti...
Social Engineering,social engeineering techniques,social engineering protecti...
 
Social engineering presentation
Social engineering presentationSocial engineering presentation
Social engineering presentation
 
Cybersecurity trends - What to expect in 2023
Cybersecurity trends - What to expect in 2023Cybersecurity trends - What to expect in 2023
Cybersecurity trends - What to expect in 2023
 
Physical security.ppt
Physical security.pptPhysical security.ppt
Physical security.ppt
 
Network Security Fundamentals
Network Security FundamentalsNetwork Security Fundamentals
Network Security Fundamentals
 
Proactive Defense: Understanding the 4 Main Threat Actor Types
Proactive Defense: Understanding the 4 Main Threat Actor TypesProactive Defense: Understanding the 4 Main Threat Actor Types
Proactive Defense: Understanding the 4 Main Threat Actor Types
 
Cyber Threat Intelligence.pptx
Cyber Threat Intelligence.pptxCyber Threat Intelligence.pptx
Cyber Threat Intelligence.pptx
 
Cyber Security 101: Training, awareness, strategies for small to medium sized...
Cyber Security 101: Training, awareness, strategies for small to medium sized...Cyber Security 101: Training, awareness, strategies for small to medium sized...
Cyber Security 101: Training, awareness, strategies for small to medium sized...
 

Ähnlich wie С широко закрытыми глазами - риск-ориентированный подход к миграции в облака

Clouds NN 2012 Игорь Гормидоров "Организация защиты облачных сервисов и инфра...
Clouds NN 2012 Игорь Гормидоров "Организация защиты облачных сервисов и инфра...Clouds NN 2012 Игорь Гормидоров "Организация защиты облачных сервисов и инфра...
Clouds NN 2012 Игорь Гормидоров "Организация защиты облачных сервисов и инфра...
Clouds NN
 
облачные технологии от лаборатории касперского
облачные технологии от лаборатории касперскогооблачные технологии от лаборатории касперского
облачные технологии от лаборатории касперского
Expolink
 
С-Терра СиЭсПи. Максим Евремов, Сергей Слепков. "Комплексные решения для безо...
С-Терра СиЭсПи. Максим Евремов, Сергей Слепков. "Комплексные решения для безо...С-Терра СиЭсПи. Максим Евремов, Сергей Слепков. "Комплексные решения для безо...
С-Терра СиЭсПи. Максим Евремов, Сергей Слепков. "Комплексные решения для безо...
Expolink
 
История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...
Dmitry Evteev
 
Проектирование архитектуры крупных веб-систем
Проектирование архитектуры крупных веб-системПроектирование архитектуры крупных веб-систем
Проектирование архитектуры крупных веб-систем
TKConf
 

Ähnlich wie С широко закрытыми глазами - риск-ориентированный подход к миграции в облака (20)

DDoS Defence 101
DDoS Defence 101DDoS Defence 101
DDoS Defence 101
 
PlexGrid. Распределенные вычислительные системы
PlexGrid. Распределенные вычислительные системыPlexGrid. Распределенные вычислительные системы
PlexGrid. Распределенные вычислительные системы
 
Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалии
Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалииКибербезопасность Industrial IoT: мировые тенденции и российскиие реалии
Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалии
 
Обеспечение безопасности при использовании облачных вычислений
Обеспечение безопасности при использовании облачных вычисленийОбеспечение безопасности при использовании облачных вычислений
Обеспечение безопасности при использовании облачных вычислений
 
Доклад С-Терра на InfoSecurity Russia-2016
Доклад С-Терра на InfoSecurity Russia-2016Доклад С-Терра на InfoSecurity Russia-2016
Доклад С-Терра на InfoSecurity Russia-2016
 
Обзор решений по борьбе с DDoS-атаками
Обзор решений по борьбе с DDoS-атакамиОбзор решений по борьбе с DDoS-атаками
Обзор решений по борьбе с DDoS-атаками
 
Микросервисная архитектура на базе CoreOS и Kubernetes
Микросервисная архитектура на базе CoreOS и KubernetesМикросервисная архитектура на базе CoreOS и Kubernetes
Микросервисная архитектура на базе CoreOS и Kubernetes
 
Опыт повышения доступности ключевых банковских ИТ-систем
Опыт повышения доступности ключевых банковских ИТ-системОпыт повышения доступности ключевых банковских ИТ-систем
Опыт повышения доступности ключевых банковских ИТ-систем
 
Clouds NN 2012 Игорь Гормидоров "Организация защиты облачных сервисов и инфра...
Clouds NN 2012 Игорь Гормидоров "Организация защиты облачных сервисов и инфра...Clouds NN 2012 Игорь Гормидоров "Организация защиты облачных сервисов и инфра...
Clouds NN 2012 Игорь Гормидоров "Организация защиты облачных сервисов и инфра...
 
VMware NSX и интеграция с продуктами Juniper
VMware NSX и интеграция с продуктами JuniperVMware NSX и интеграция с продуктами Juniper
VMware NSX и интеграция с продуктами Juniper
 
облачные технологии от лаборатории касперского
облачные технологии от лаборатории касперскогооблачные технологии от лаборатории касперского
облачные технологии от лаборатории касперского
 
Кибербезопасность Industrial IoT: мировые тенденции
Кибербезопасность Industrial IoT: мировые тенденцииКибербезопасность Industrial IoT: мировые тенденции
Кибербезопасность Industrial IoT: мировые тенденции
 
С-Терра СиЭсПи. Максим Евремов, Сергей Слепков. "Комплексные решения для безо...
С-Терра СиЭсПи. Максим Евремов, Сергей Слепков. "Комплексные решения для безо...С-Терра СиЭсПи. Максим Евремов, Сергей Слепков. "Комплексные решения для безо...
С-Терра СиЭсПи. Максим Евремов, Сергей Слепков. "Комплексные решения для безо...
 
История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...
 
Обеспечение безопасности данных в облаке КРОК
Обеспечение безопасности данных в облаке КРОКОбеспечение безопасности данных в облаке КРОК
Обеспечение безопасности данных в облаке КРОК
 
Точка кипения: проектирование крупных веб-систем
Точка кипения: проектирование крупных веб-системТочка кипения: проектирование крупных веб-систем
Точка кипения: проектирование крупных веб-систем
 
Проектирование архитектуры крупных веб-систем
Проектирование архитектуры крупных веб-системПроектирование архитектуры крупных веб-систем
Проектирование архитектуры крупных веб-систем
 
Cisco TALOS – интеллектуальная платформа для анализа угроз
Cisco TALOS – интеллектуальная платформа для анализа угрозCisco TALOS – интеллектуальная платформа для анализа угроз
Cisco TALOS – интеллектуальная платформа для анализа угроз
 
Защита корпоративной среды от «С-Терра СиЭсПи»
Защита корпоративной среды от «С-Терра СиЭсПи»Защита корпоративной среды от «С-Терра СиЭсПи»
Защита корпоративной среды от «С-Терра СиЭсПи»
 
Все решения Cisco по информационной безопасности за 1 час
Все решения Cisco по информационной безопасности за 1 часВсе решения Cisco по информационной безопасности за 1 час
Все решения Cisco по информационной безопасности за 1 час
 

Mehr von Vsevolod Shabad

Проекты по обеспечению непрерывности бизнеса: ЧТО, ЗАЧЕМ, КАК и ПОЧЕМУ ТАК ДО...
Проекты по обеспечению непрерывности бизнеса: ЧТО, ЗАЧЕМ, КАК и ПОЧЕМУ ТАК ДО...Проекты по обеспечению непрерывности бизнеса: ЧТО, ЗАЧЕМ, КАК и ПОЧЕМУ ТАК ДО...
Проекты по обеспечению непрерывности бизнеса: ЧТО, ЗАЧЕМ, КАК и ПОЧЕМУ ТАК ДО...
Vsevolod Shabad
 
Обработка спйсмоданных: возможности оптимизации ИТ-инфраструктуры
Обработка спйсмоданных: возможности оптимизации ИТ-инфраструктурыОбработка спйсмоданных: возможности оптимизации ИТ-инфраструктуры
Обработка спйсмоданных: возможности оптимизации ИТ-инфраструктуры
Vsevolod Shabad
 
Гидродинамическое моделирование: возможности оптимизации ИТ-инфраструктуры
Гидродинамическое моделирование: возможности оптимизации ИТ-инфраструктурыГидродинамическое моделирование: возможности оптимизации ИТ-инфраструктуры
Гидродинамическое моделирование: возможности оптимизации ИТ-инфраструктуры
Vsevolod Shabad
 

Mehr von Vsevolod Shabad (20)

Опыт разработки стратегии ИБ и киберзащиты производственной инфраструктуры в...
Опыт разработки стратегии ИБ и киберзащиты производственной инфраструктуры в...Опыт разработки стратегии ИБ и киберзащиты производственной инфраструктуры в...
Опыт разработки стратегии ИБ и киберзащиты производственной инфраструктуры в...
 
Agile-подходы в ИБ
Agile-подходы в ИБAgile-подходы в ИБ
Agile-подходы в ИБ
 
State regulation of information protection in the cloud - international and K...
State regulation of information protection in the cloud - international and K...State regulation of information protection in the cloud - international and K...
State regulation of information protection in the cloud - international and K...
 
How can a successful SOC2-compliant ISMS be built without power, money and a...
How can a successful SOC2-compliant ISMS be built without power, money and a...How can a successful SOC2-compliant ISMS be built without power, money and a...
How can a successful SOC2-compliant ISMS be built without power, money and a...
 
Государственное регулирование защиты данных в облаках - международный и каза...
Государственное регулирование защиты данных в облаках - международный и каза...Государственное регулирование защиты данных в облаках - международный и каза...
Государственное регулирование защиты данных в облаках - международный и каза...
 
Первые шаги нового CISO
Первые шаги нового CISOПервые шаги нового CISO
Первые шаги нового CISO
 
Public clouds - tasty but scary
Public clouds - tasty but scaryPublic clouds - tasty but scary
Public clouds - tasty but scary
 
Building a cybersecurity strategy for growing companies (IDC Day 2022 - Tashk...
Building a cybersecurity strategy for growing companies (IDC Day 2022 - Tashk...Building a cybersecurity strategy for growing companies (IDC Day 2022 - Tashk...
Building a cybersecurity strategy for growing companies (IDC Day 2022 - Tashk...
 
Public clouds: to love passionately, to be afraid, or to hate (IDC Security D...
Public clouds: to love passionately, to be afraid, or to hate (IDC Security D...Public clouds: to love passionately, to be afraid, or to hate (IDC Security D...
Public clouds: to love passionately, to be afraid, or to hate (IDC Security D...
 
Как повысить результативность борьбы с фродом: опыт "Халык Банка"
Как повысить результативность борьбы с фродом: опыт "Халык Банка"Как повысить результативность борьбы с фродом: опыт "Халык Банка"
Как повысить результативность борьбы с фродом: опыт "Халык Банка"
 
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасность
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасностьКак оценить пользу от ИБ и увязать с нею инвестиции в безопасность
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасность
 
Проекты по обеспечению непрерывности бизнеса: ЧТО, ЗАЧЕМ, КАК и ПОЧЕМУ ТАК ДО...
Проекты по обеспечению непрерывности бизнеса: ЧТО, ЗАЧЕМ, КАК и ПОЧЕМУ ТАК ДО...Проекты по обеспечению непрерывности бизнеса: ЧТО, ЗАЧЕМ, КАК и ПОЧЕМУ ТАК ДО...
Проекты по обеспечению непрерывности бизнеса: ЧТО, ЗАЧЕМ, КАК и ПОЧЕМУ ТАК ДО...
 
ITIL, SCRUM, Kanban in Cybersecurity
ITIL, SCRUM, Kanban in CybersecurityITIL, SCRUM, Kanban in Cybersecurity
ITIL, SCRUM, Kanban in Cybersecurity
 
Обработка спйсмоданных: возможности оптимизации ИТ-инфраструктуры
Обработка спйсмоданных: возможности оптимизации ИТ-инфраструктурыОбработка спйсмоданных: возможности оптимизации ИТ-инфраструктуры
Обработка спйсмоданных: возможности оптимизации ИТ-инфраструктуры
 
Гидродинамическое моделирование: возможности оптимизации ИТ-инфраструктуры
Гидродинамическое моделирование: возможности оптимизации ИТ-инфраструктурыГидродинамическое моделирование: возможности оптимизации ИТ-инфраструктуры
Гидродинамическое моделирование: возможности оптимизации ИТ-инфраструктуры
 
Мощнее или умнее? Возможности оптимизации ИТ-инфраструктуры для сейсмики
Мощнее или умнее? Возможности оптимизации ИТ-инфраструктуры для сейсмикиМощнее или умнее? Возможности оптимизации ИТ-инфраструктуры для сейсмики
Мощнее или умнее? Возможности оптимизации ИТ-инфраструктуры для сейсмики
 
СХД для обработки сейсмики: сравнительный обзор
СХД для обработки сейсмики: сравнительный обзорСХД для обработки сейсмики: сравнительный обзор
СХД для обработки сейсмики: сравнительный обзор
 
Возможности повышения производительности вычислительных кластеров
Возможности повышения производительности вычислительных кластеровВозможности повышения производительности вычислительных кластеров
Возможности повышения производительности вычислительных кластеров
 
Infrastructure optimization for seismic processing (eng)
Infrastructure optimization for seismic processing (eng)Infrastructure optimization for seismic processing (eng)
Infrastructure optimization for seismic processing (eng)
 
About NetProject (brief profile)
About NetProject (brief profile)About NetProject (brief profile)
About NetProject (brief profile)
 

Kürzlich hochgeladen

CVE. The Fortra's GoAnywhere MFT [RU].pdf
CVE. The Fortra's GoAnywhere MFT [RU].pdfCVE. The Fortra's GoAnywhere MFT [RU].pdf
CVE. The Fortra's GoAnywhere MFT [RU].pdf
Хроники кибер-безопасника
 
Ransomware_Q3 2023. The report [RU].pdf
Ransomware_Q3 2023. The report [RU].pdfRansomware_Q3 2023. The report [RU].pdf
Ransomware_Q3 2023. The report [RU].pdf
Хроники кибер-безопасника
 
2023 Q4. The Ransomware report. [RU].pdf
2023 Q4. The Ransomware report. [RU].pdf2023 Q4. The Ransomware report. [RU].pdf
2023 Q4. The Ransomware report. [RU].pdf
Хроники кибер-безопасника
 
Cyberprint. Dark Pink Apt Group [RU].pdf
Cyberprint. Dark Pink Apt Group [RU].pdfCyberprint. Dark Pink Apt Group [RU].pdf
Cyberprint. Dark Pink Apt Group [RU].pdf
Хроники кибер-безопасника
 
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdfСИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
Хроники кибер-безопасника
 
MS Navigating Incident Response [RU].pdf
MS Navigating Incident Response [RU].pdfMS Navigating Incident Response [RU].pdf
MS Navigating Incident Response [RU].pdf
Ирония безопасности
 
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
Ирония безопасности
 
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Ирония безопасности
 
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdfMalware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Хроники кибер-безопасника
 

Kürzlich hochgeladen (9)

CVE. The Fortra's GoAnywhere MFT [RU].pdf
CVE. The Fortra's GoAnywhere MFT [RU].pdfCVE. The Fortra's GoAnywhere MFT [RU].pdf
CVE. The Fortra's GoAnywhere MFT [RU].pdf
 
Ransomware_Q3 2023. The report [RU].pdf
Ransomware_Q3 2023. The report [RU].pdfRansomware_Q3 2023. The report [RU].pdf
Ransomware_Q3 2023. The report [RU].pdf
 
2023 Q4. The Ransomware report. [RU].pdf
2023 Q4. The Ransomware report. [RU].pdf2023 Q4. The Ransomware report. [RU].pdf
2023 Q4. The Ransomware report. [RU].pdf
 
Cyberprint. Dark Pink Apt Group [RU].pdf
Cyberprint. Dark Pink Apt Group [RU].pdfCyberprint. Dark Pink Apt Group [RU].pdf
Cyberprint. Dark Pink Apt Group [RU].pdf
 
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdfСИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
 
MS Navigating Incident Response [RU].pdf
MS Navigating Incident Response [RU].pdfMS Navigating Incident Response [RU].pdf
MS Navigating Incident Response [RU].pdf
 
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
 
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
 
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdfMalware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
 

С широко закрытыми глазами - риск-ориентированный подход к миграции в облака

  • 1. С широко закрытыми глазами Риск-ориентированный подход к миграции в облака Всеволод Шабад, независимый эксперт CISSP, CCSP, AWS Certified Solutions Architect
  • 2. Коротко обо мне: 37+ лет в ИТ-индустрии • Born in the USSR, live in Kazakhstan • Math high school #57 (top-5 in the USSR) • MSc in Applied Math (‘94, MIREA, Russia) • Profess. Retraining in Cybersecurity (Informzaschita, top-3 in Russia) • Law courses in the top-10 universities (US, UK) • Software Developer (1985-1996) • Network Engineer (1993-1999) • CEO of NetProject (2000-2018) • CISO, CIO, vCISO (2018-…) 🇷🇺 🇰🇿 🇷🇸 🇧🇬 🇹🇷 🇸🇬 • CISSP • CCSP • AWS Solutions Architect • Azure Fundamentals • Blockchain Certified Expert • Professional Scrum Master • Professional Scrum with Kanban • … • Skydiving (517 jumps) • Offroad rally raids • Horse riding • Ultramarathon running (9x finisher) • Long-sprint running (Silver medalist of the Russia’20 Masters Athlete Championship) • Cyber Security • IT • Risk Management • Cloud Technologies • Cultural Changes • Data Science & ML • Fraud Prevention • Agile Transformation 1. About me 2. Professional career 3. Professional certifications 4. Amateur sport career 5. Areas of interest
  • 4. Три роли, три сценария, три страны Роль • Корпоративный заказчик • Облачный провайдер • Регулирующий орган Сценарий • Миграция в публичное облако • Строительство частного облака • Оставить все как есть Страна • Россия • Украина • Казахстан
  • 5. Риск-угроза: геополитические санкции • Вероятность: • Россия – высокая • Украина – низкая • Казахстан – низкая • Масштаб последствий: • Иностранное публичное облако – высокий • Национальное публичное облако – средний • Частное облако – средний • Собственная инфраструктура – средний • Риск-индикатор: • публичный анонс намерений ввести санкции против конкретной страны, отрасли или компании • Пример реализации риска: • банки России, попавшие под санкции G7 • Threat agent – влиятельное иностранное правительство • Threat – запрет предоставления сервисов и товаров • Asset – компоненты ИТ-ландшафта • Vulnerability – обязанность провайдеров и поставщиков следовать санкциям • Controls: • Preventive – перерегистрация юрлица в другой стране • Detective – мониторинг доступности ИТ-ландшафта • Reactive – перенос нагрузки в национальное публичное облако, в частное облако или в собственную инфраструктуру
  • 6. Риск-угроза: военные действия • Вероятность: • Россия – средняя • Украина – высокая • Казахстан – низкая • Масштаб последствий: • Иностранное публичное облако – низкий • Национальное публичное облако – высокий • Частное облако – высокий • Собственная инфраструктура – высокий • Риск-индикатор: • публичное обсуждение возможных военных действий на территории страны • Пример реализации риска: • украинский Privatbank, чья собственная ИТ-инфраструктура разрушена Россией • Threat agent – враждебное иностранное государство • Threat – разрушение национальной физической инфраструктуры • Asset – компоненты ИТ-ландшафта • Vulnerability – размещение инфраструктуры в (потенциальной) зоне боевых действий • Controls: • Preventive – миграция ИТ-нагрузок в иностранное публичное облако • Detective – мониторинг доступности ИТ-ландшафта • Reactive – миграция ИТ-нагрузок в иностранное публичное облако
  • 7. Риск-угроза: пандемия • Вероятность: средняя • Масштаб последствий: • Публичное облако – низкий • Частное облако – высокий • Собственная инфраструктура – высокий • Риск-индикатор: • объявление пандемии • Пример реализации риска: • пандемия COVID-19, остановившая туристический и авиационный бизнес • Threat agent – национальное правительство • Threat – обвальный спад деловой активности • Asset – компоненты ИТ-ландшафта • Vulnerability – невозможность сократить простаивающую инфраструктуру • Controls: • Preventive – миграция ИТ-нагрузок в публичное облако • Detective – мониторинг нагрузки на ИТ-инфраструктуру • Reactive – отключение неиспользуемых компонентов ИТ-ландшафта в публичном облаке
  • 8. Управление рисками – постоянный процесс • Меняется организация • Люди • Процессы • Технологии • Меняется окружающий мир • Угрозы • Возможности • Место организации в этом мире Из NIST SP 800-39
  • 9. Давайте вместе двигаться вперед! https://calendly.com/vshabad vshabad@vshabad.com +7 777 726 4790 (моб.) Первая консультация всегда бесплатна!