SlideShare uma empresa Scribd logo

С широко закрытыми глазами - риск-ориентированный подход к миграции в облака

Vsevolod Shabad
Vsevolod Shabad

Миграция в облака давно перестала быть хайпом - агитировать в пользу такой миграции уже незачем, почти все аргументы повторялись уже много раз. Похоже, что на фоне множества аргументов в пользу миграции почти потерялись аргументы против нее. Зачастую, миграцией в облака движет мода, а отказом от миграции движут страхи и предубеждения. Риск-ориентированный подход позволяет на основе трезвых оценок принять решение, мигрировать ли в публичное облако, строить частное и мигрировать в него, или отказаться от миграции и сосредоточиться на других задачах.

Tecnologia
1 de 9
Baixar para ler offline
С широко закрытыми глазами Риск-ориентированный подход к миграции в облака Всеволод Шабад, независимый эксперт CISSP, CCSP, AWS Certified Solutions Architect
Коротко обо мне: 37+ лет в ИТ-индустрии • Born in the USSR, live in Kazakhstan • Math high school #57 (top-5 in the USSR) • MSc in Applied Math (‘94, MIREA, Russia) • Profess. Retraining in Cybersecurity (Informzaschita, top-3 in Russia) • Law courses in the top-10 universities (US, UK) • Software Developer (1985-1996) • Network Engineer (1993-1999) • CEO of NetProject (2000-2018) • CISO, CIO, vCISO (2018-…) 🇷🇺 🇰🇿 🇷🇸 🇧🇬 🇹🇷 🇸🇬 • CISSP • CCSP • AWS Solutions Architect • Azure Fundamentals • Blockchain Certified Expert • Professional Scrum Master • Professional Scrum with Kanban • … • Skydiving (517 jumps) • Offroad rally raids • Horse riding • Ultramarathon running (9x finisher) • Long-sprint running (Silver medalist of the Russia’20 Masters Athlete Championship) • Cyber Security • IT • Risk Management • Cloud Technologies • Cultural Changes • Data Science & ML • Fraud Prevention • Agile Transformation 1. About me 2. Professional career 3. Professional certifications 4. Amateur sport career 5. Areas of interest
Миссия Ценности Риски Что направляет компанию? 1 2 3 Из NIST SP 800-39
Три роли, три сценария, три страны Роль • Корпоративный заказчик • Облачный провайдер • Регулирующий орган Сценарий • Миграция в публичное облако • Строительство частного облака • Оставить все как есть Страна • Россия • Украина • Казахстан
Риск-угроза: геополитические санкции • Вероятность: • Россия – высокая • Украина – низкая • Казахстан – низкая • Масштаб последствий: • Иностранное публичное облако – высокий • Национальное публичное облако – средний • Частное облако – средний • Собственная инфраструктура – средний • Риск-индикатор: • публичный анонс намерений ввести санкции против конкретной страны, отрасли или компании • Пример реализации риска: • банки России, попавшие под санкции G7 • Threat agent – влиятельное иностранное правительство • Threat – запрет предоставления сервисов и товаров • Asset – компоненты ИТ-ландшафта • Vulnerability – обязанность провайдеров и поставщиков следовать санкциям • Controls: • Preventive – перерегистрация юрлица в другой стране • Detective – мониторинг доступности ИТ-ландшафта • Reactive – перенос нагрузки в национальное публичное облако, в частное облако или в собственную инфраструктуру
Риск-угроза: военные действия • Вероятность: • Россия – средняя • Украина – высокая • Казахстан – низкая • Масштаб последствий: • Иностранное публичное облако – низкий • Национальное публичное облако – высокий • Частное облако – высокий • Собственная инфраструктура – высокий • Риск-индикатор: • публичное обсуждение возможных военных действий на территории страны • Пример реализации риска: • украинский Privatbank, чья собственная ИТ-инфраструктура разрушена Россией • Threat agent – враждебное иностранное государство • Threat – разрушение национальной физической инфраструктуры • Asset – компоненты ИТ-ландшафта • Vulnerability – размещение инфраструктуры в (потенциальной) зоне боевых действий • Controls: • Preventive – миграция ИТ-нагрузок в иностранное публичное облако • Detective – мониторинг доступности ИТ-ландшафта • Reactive – миграция ИТ-нагрузок в иностранное публичное облако
Риск-угроза: пандемия • Вероятность: средняя • Масштаб последствий: • Публичное облако – низкий • Частное облако – высокий • Собственная инфраструктура – высокий • Риск-индикатор: • объявление пандемии • Пример реализации риска: • пандемия COVID-19, остановившая туристический и авиационный бизнес • Threat agent – национальное правительство • Threat – обвальный спад деловой активности • Asset – компоненты ИТ-ландшафта • Vulnerability – невозможность сократить простаивающую инфраструктуру • Controls: • Preventive – миграция ИТ-нагрузок в публичное облако • Detective – мониторинг нагрузки на ИТ-инфраструктуру • Reactive – отключение неиспользуемых компонентов ИТ-ландшафта в публичном облаке
Управление рисками – постоянный процесс • Меняется организация • Люди • Процессы • Технологии • Меняется окружающий мир • Угрозы • Возможности • Место организации в этом мире Из NIST SP 800-39
Давайте вместе двигаться вперед! https://calendly.com/vshabad vshabad@vshabad.com +7 777 726 4790 (моб.) Первая консультация всегда бесплатна!

Recomendados

Cybersecurity
CybersecurityCybersecurity
CybersecurityA. Shamel
 
Cyber Security in the Manufacturing Industry: New challenges in the informati...
Cyber Security in the Manufacturing Industry: New challenges in the informati...Cyber Security in the Manufacturing Industry: New challenges in the informati...
Cyber Security in the Manufacturing Industry: New challenges in the informati...Ekonomikas ministrija
 
What is the UK Cyber Essentials scheme?
What is the UK Cyber Essentials scheme?What is the UK Cyber Essentials scheme?
What is the UK Cyber Essentials scheme?IT Governance Ltd
 
Awareness Security Session 2023 v1.0.pptx.pdf
Awareness Security Session 2023 v1.0.pptx.pdfAwareness Security Session 2023 v1.0.pptx.pdf
Awareness Security Session 2023 v1.0.pptx.pdfAbdullahKanash
 
SOC Lessons from DevOps and SRE by Anton Chuvakin
SOC Lessons from DevOps and SRE by Anton ChuvakinSOC Lessons from DevOps and SRE by Anton Chuvakin
SOC Lessons from DevOps and SRE by Anton ChuvakinAnton Chuvakin
 
Nozomi Networks Q1_2018 Company Introduction
Nozomi Networks Q1_2018 Company IntroductionNozomi Networks Q1_2018 Company Introduction
Nozomi Networks Q1_2018 Company IntroductionNozomi Networks
 
Building an effective Information Security Roadmap
Building an effective Information Security RoadmapBuilding an effective Information Security Roadmap
Building an effective Information Security RoadmapElliott Franklin
 
Cybersecurity - Overview
Cybersecurity - OverviewCybersecurity - Overview
Cybersecurity - OverviewThanuja Seneviratne
 

Recomendados

Cybersecurity
CybersecurityCybersecurity
CybersecurityA. Shamel
 
Cyber Security in the Manufacturing Industry: New challenges in the informati...
Cyber Security in the Manufacturing Industry: New challenges in the informati...Cyber Security in the Manufacturing Industry: New challenges in the informati...
Cyber Security in the Manufacturing Industry: New challenges in the informati...Ekonomikas ministrija
 
What is the UK Cyber Essentials scheme?
What is the UK Cyber Essentials scheme?What is the UK Cyber Essentials scheme?
What is the UK Cyber Essentials scheme?IT Governance Ltd
 
Awareness Security Session 2023 v1.0.pptx.pdf
Awareness Security Session 2023 v1.0.pptx.pdfAwareness Security Session 2023 v1.0.pptx.pdf
Awareness Security Session 2023 v1.0.pptx.pdfAbdullahKanash
 
SOC Lessons from DevOps and SRE by Anton Chuvakin
SOC Lessons from DevOps and SRE by Anton ChuvakinSOC Lessons from DevOps and SRE by Anton Chuvakin
SOC Lessons from DevOps and SRE by Anton ChuvakinAnton Chuvakin
 
Nozomi Networks Q1_2018 Company Introduction
Nozomi Networks Q1_2018 Company IntroductionNozomi Networks Q1_2018 Company Introduction
Nozomi Networks Q1_2018 Company IntroductionNozomi Networks
 
Building an effective Information Security Roadmap
Building an effective Information Security RoadmapBuilding an effective Information Security Roadmap
Building an effective Information Security RoadmapElliott Franklin
 
Cybersecurity - Overview
Cybersecurity - OverviewCybersecurity - Overview
Cybersecurity - OverviewThanuja Seneviratne
 
Physical Penetration Testing (RootedCON 2015)
Physical Penetration Testing (RootedCON 2015)Physical Penetration Testing (RootedCON 2015)
Physical Penetration Testing (RootedCON 2015)Eduardo Arriols Nuñez
 
Blue Team
Blue TeamBlue Team
Blue TeamNull Bhubaneswar
 
Materi Pelatihan analisa malware
Materi Pelatihan analisa malwareMateri Pelatihan analisa malware
Materi Pelatihan analisa malwareSetia Juli Irzal Ismail
 
Malware Analysis
Malware AnalysisMalware Analysis
Malware AnalysisDigit Oktavianto
 
BSidesAugusta 2022 - The Power of the OT Security Playbook
BSidesAugusta 2022 - The Power of the OT Security PlaybookBSidesAugusta 2022 - The Power of the OT Security Playbook
BSidesAugusta 2022 - The Power of the OT Security PlaybookChris Sistrunk
 
Tổng quan về DoS - DDoS - DRDoS
Tổng quan về DoS - DDoS - DRDoSTổng quan về DoS - DDoS - DRDoS
Tổng quan về DoS - DDoS - DRDoSThieu Mao
 
Software quality assurance and cyber security
Software quality assurance and cyber securitySoftware quality assurance and cyber security
Software quality assurance and cyber securityNascenia IT
 
06. security concept
06. security concept06. security concept
06. security conceptMuhammad Ahad
 
Cyber Resilience
Cyber ResilienceCyber Resilience
Cyber ResilienceIan-Edward Stafrace
 
Cybersecurity Roadmap Development for Executives
Cybersecurity Roadmap Development for ExecutivesCybersecurity Roadmap Development for Executives
Cybersecurity Roadmap Development for ExecutivesKrist Davood - Principal - CIO
 
Cyber Security Threats in the Financial Sector
Cyber Security Threats in the Financial SectorCyber Security Threats in the Financial Sector
Cyber Security Threats in the Financial SectorFarook Al-Jibouri
 
10X SOC - SANS Blue Summit Keynote 2021 - Anton Chuvakin
10X SOC - SANS Blue Summit Keynote 2021 - Anton Chuvakin10X SOC - SANS Blue Summit Keynote 2021 - Anton Chuvakin
10X SOC - SANS Blue Summit Keynote 2021 - Anton ChuvakinAnton Chuvakin
 
[Round table] zeroing in on zero trust architecture
[Round table] zeroing in on zero trust architecture[Round table] zeroing in on zero trust architecture
[Round table] zeroing in on zero trust architectureDenise Bailey
 
The adversary playbook - the tools, techniques and procedures used by threat ...
The adversary playbook - the tools, techniques and procedures used by threat ...The adversary playbook - the tools, techniques and procedures used by threat ...
The adversary playbook - the tools, techniques and procedures used by threat ...Jisc
 
Threat Modeling In 2021
Threat Modeling In 2021Threat Modeling In 2021
Threat Modeling In 2021Adam Shostack
 
SOC Architecture - Building the NextGen SOC
SOC Architecture - Building the NextGen SOCSOC Architecture - Building the NextGen SOC
SOC Architecture - Building the NextGen SOCPriyanka Aash
 
SOCstock 2021 The Cloud-native SOC
SOCstock 2021 The Cloud-native SOC SOCstock 2021 The Cloud-native SOC
SOCstock 2021 The Cloud-native SOC Anton Chuvakin
 
Building an InfoSec RedTeam
Building an InfoSec RedTeamBuilding an InfoSec RedTeam
Building an InfoSec RedTeamDan Vasile
 
The Cyber Threat Intelligence Matrix
The Cyber Threat Intelligence MatrixThe Cyber Threat Intelligence Matrix
The Cyber Threat Intelligence MatrixFrode Hommedal
 
Cybersecurity
CybersecurityCybersecurity
CybersecurityANGIEPAEZ304
 
DDoS Defence 101
DDoS Defence 101DDoS Defence 101
DDoS Defence 101Qrator Labs
 
PlexGrid. Распределенные вычислительные системы
PlexGrid. Распределенные вычислительные системыPlexGrid. Распределенные вычислительные системы
PlexGrid. Распределенные вычислительные системыstartuptour
 

Mais conteúdo relacionado

Mais procurados

Physical Penetration Testing (RootedCON 2015)
Physical Penetration Testing (RootedCON 2015)Physical Penetration Testing (RootedCON 2015)
Physical Penetration Testing (RootedCON 2015)Eduardo Arriols Nuñez
 
BSidesAugusta 2022 - The Power of the OT Security Playbook
BSidesAugusta 2022 - The Power of the OT Security PlaybookBSidesAugusta 2022 - The Power of the OT Security Playbook
BSidesAugusta 2022 - The Power of the OT Security PlaybookChris Sistrunk
 
Tổng quan về DoS - DDoS - DRDoS
Tổng quan về DoS - DDoS - DRDoSTổng quan về DoS - DDoS - DRDoS
Tổng quan về DoS - DDoS - DRDoSThieu Mao
 
Software quality assurance and cyber security
Software quality assurance and cyber securitySoftware quality assurance and cyber security
Software quality assurance and cyber securityNascenia IT
 
06. security concept
06. security concept06. security concept
06. security conceptMuhammad Ahad
 
Cyber Security Threats in the Financial Sector
Cyber Security Threats in the Financial SectorCyber Security Threats in the Financial Sector
Cyber Security Threats in the Financial SectorFarook Al-Jibouri
 
10X SOC - SANS Blue Summit Keynote 2021 - Anton Chuvakin
10X SOC - SANS Blue Summit Keynote 2021 - Anton Chuvakin10X SOC - SANS Blue Summit Keynote 2021 - Anton Chuvakin
10X SOC - SANS Blue Summit Keynote 2021 - Anton ChuvakinAnton Chuvakin
 
[Round table] zeroing in on zero trust architecture
[Round table] zeroing in on zero trust architecture[Round table] zeroing in on zero trust architecture
[Round table] zeroing in on zero trust architectureDenise Bailey
 
The adversary playbook - the tools, techniques and procedures used by threat ...
The adversary playbook - the tools, techniques and procedures used by threat ...The adversary playbook - the tools, techniques and procedures used by threat ...
The adversary playbook - the tools, techniques and procedures used by threat ...Jisc
 
Threat Modeling In 2021
Threat Modeling In 2021Threat Modeling In 2021
Threat Modeling In 2021Adam Shostack
 
SOC Architecture - Building the NextGen SOC
SOC Architecture - Building the NextGen SOCSOC Architecture - Building the NextGen SOC
SOC Architecture - Building the NextGen SOCPriyanka Aash
 
SOCstock 2021 The Cloud-native SOC
SOCstock 2021 The Cloud-native SOC SOCstock 2021 The Cloud-native SOC
SOCstock 2021 The Cloud-native SOC Anton Chuvakin
 
Building an InfoSec RedTeam
Building an InfoSec RedTeamBuilding an InfoSec RedTeam
Building an InfoSec RedTeamDan Vasile
 
The Cyber Threat Intelligence Matrix
The Cyber Threat Intelligence MatrixThe Cyber Threat Intelligence Matrix
The Cyber Threat Intelligence MatrixFrode Hommedal
 

Mais procurados (20)

Physical Penetration Testing (RootedCON 2015)
Physical Penetration Testing (RootedCON 2015)Physical Penetration Testing (RootedCON 2015)
Physical Penetration Testing (RootedCON 2015)
 
Blue Team
Blue TeamBlue Team
Blue Team
 
Materi Pelatihan analisa malware
Materi Pelatihan analisa malwareMateri Pelatihan analisa malware
Materi Pelatihan analisa malware
 
Malware Analysis
Malware AnalysisMalware Analysis
Malware Analysis
 
BSidesAugusta 2022 - The Power of the OT Security Playbook
BSidesAugusta 2022 - The Power of the OT Security PlaybookBSidesAugusta 2022 - The Power of the OT Security Playbook
BSidesAugusta 2022 - The Power of the OT Security Playbook
 
Tổng quan về DoS - DDoS - DRDoS
Tổng quan về DoS - DDoS - DRDoSTổng quan về DoS - DDoS - DRDoS
Tổng quan về DoS - DDoS - DRDoS
 
Software quality assurance and cyber security
Software quality assurance and cyber securitySoftware quality assurance and cyber security
Software quality assurance and cyber security
 
06. security concept
06. security concept06. security concept
06. security concept
 
Cyber Resilience
Cyber ResilienceCyber Resilience
Cyber Resilience
 
Cybersecurity Roadmap Development for Executives
Cybersecurity Roadmap Development for ExecutivesCybersecurity Roadmap Development for Executives
Cybersecurity Roadmap Development for Executives
 
Cyber Security Threats in the Financial Sector
Cyber Security Threats in the Financial SectorCyber Security Threats in the Financial Sector
Cyber Security Threats in the Financial Sector
 
10X SOC - SANS Blue Summit Keynote 2021 - Anton Chuvakin
10X SOC - SANS Blue Summit Keynote 2021 - Anton Chuvakin10X SOC - SANS Blue Summit Keynote 2021 - Anton Chuvakin
10X SOC - SANS Blue Summit Keynote 2021 - Anton Chuvakin
 
[Round table] zeroing in on zero trust architecture
[Round table] zeroing in on zero trust architecture[Round table] zeroing in on zero trust architecture
[Round table] zeroing in on zero trust architecture
 
The adversary playbook - the tools, techniques and procedures used by threat ...
The adversary playbook - the tools, techniques and procedures used by threat ...The adversary playbook - the tools, techniques and procedures used by threat ...
The adversary playbook - the tools, techniques and procedures used by threat ...
 
Threat Modeling In 2021
Threat Modeling In 2021Threat Modeling In 2021
Threat Modeling In 2021
 
SOC Architecture - Building the NextGen SOC
SOC Architecture - Building the NextGen SOCSOC Architecture - Building the NextGen SOC
SOC Architecture - Building the NextGen SOC
 
SOCstock 2021 The Cloud-native SOC
SOCstock 2021 The Cloud-native SOC SOCstock 2021 The Cloud-native SOC
SOCstock 2021 The Cloud-native SOC
 
Building an InfoSec RedTeam
Building an InfoSec RedTeamBuilding an InfoSec RedTeam
Building an InfoSec RedTeam
 
The Cyber Threat Intelligence Matrix
The Cyber Threat Intelligence MatrixThe Cyber Threat Intelligence Matrix
The Cyber Threat Intelligence Matrix
 
Cybersecurity
CybersecurityCybersecurity
Cybersecurity
 

Semelhante a С широко закрытыми глазами - риск-ориентированный подход к миграции в облака

DDoS Defence 101
DDoS Defence 101DDoS Defence 101
DDoS Defence 101Qrator Labs
 
PlexGrid. Распределенные вычислительные системы
PlexGrid. Распределенные вычислительные системыPlexGrid. Распределенные вычислительные системы
PlexGrid. Распределенные вычислительные системыstartuptour
 
Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалии
Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалииКибербезопасность Industrial IoT: мировые тенденции и российскиие реалии
Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалииAleksey Lukatskiy
 
Обеспечение безопасности при использовании облачных вычислений
Обеспечение безопасности при использовании облачных вычисленийОбеспечение безопасности при использовании облачных вычислений
Обеспечение безопасности при использовании облачных вычисленийAleksei Goldbergs
 
Доклад С-Терра на InfoSecurity Russia-2016
Доклад С-Терра на InfoSecurity Russia-2016Доклад С-Терра на InfoSecurity Russia-2016
Доклад С-Терра на InfoSecurity Russia-2016S-Terra CSP
 
Обзор решений по борьбе с DDoS-атаками
Обзор решений по борьбе с DDoS-атакамиОбзор решений по борьбе с DDoS-атаками
Обзор решений по борьбе с DDoS-атакамиCisco Russia
 
Микросервисная архитектура на базе CoreOS и Kubernetes
Микросервисная архитектура на базе CoreOS и KubernetesМикросервисная архитектура на базе CoreOS и Kubernetes
Микросервисная архитектура на базе CoreOS и KubernetesDenis Izmaylov
 
Опыт повышения доступности ключевых банковских ИТ-систем
Опыт повышения доступности ключевых банковских ИТ-системОпыт повышения доступности ключевых банковских ИТ-систем
Опыт повышения доступности ключевых банковских ИТ-системVsevolod Shabad
 
Clouds NN 2012 Игорь Гормидоров "Организация защиты облачных сервисов и инфра...
Clouds NN 2012 Игорь Гормидоров "Организация защиты облачных сервисов и инфра...Clouds NN 2012 Игорь Гормидоров "Организация защиты облачных сервисов и инфра...
Clouds NN 2012 Игорь Гормидоров "Организация защиты облачных сервисов и инфра...Clouds NN
 
облачные технологии от лаборатории касперского
облачные технологии от лаборатории касперскогооблачные технологии от лаборатории касперского
облачные технологии от лаборатории касперскогоExpolink
 
Кибербезопасность Industrial IoT: мировые тенденции
Кибербезопасность Industrial IoT: мировые тенденцииКибербезопасность Industrial IoT: мировые тенденции
Кибербезопасность Industrial IoT: мировые тенденцииCisco Russia
 
С-Терра СиЭсПи. Максим Евремов, Сергей Слепков. "Комплексные решения для безо...
С-Терра СиЭсПи. Максим Евремов, Сергей Слепков. "Комплексные решения для безо...С-Терра СиЭсПи. Максим Евремов, Сергей Слепков. "Комплексные решения для безо...
С-Терра СиЭсПи. Максим Евремов, Сергей Слепков. "Комплексные решения для безо...Expolink
 
История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...Dmitry Evteev
 
Обеспечение безопасности данных в облаке КРОК
Обеспечение безопасности данных в облаке КРОКОбеспечение безопасности данных в облаке КРОК
Обеспечение безопасности данных в облаке КРОККРОК
 
Точка кипения: проектирование крупных веб-систем
Точка кипения: проектирование крупных веб-системТочка кипения: проектирование крупных веб-систем
Точка кипения: проектирование крупных веб-системRoman Ivliev
 
Проектирование архитектуры крупных веб-систем
Проектирование архитектуры крупных веб-системПроектирование архитектуры крупных веб-систем
Проектирование архитектуры крупных веб-системTKConf
 
Cisco TALOS – интеллектуальная платформа для анализа угроз
Cisco TALOS – интеллектуальная платформа для анализа угрозCisco TALOS – интеллектуальная платформа для анализа угроз
Cisco TALOS – интеллектуальная платформа для анализа угрозCisco Russia
 
Защита корпоративной среды от «С-Терра СиЭсПи»
Защита корпоративной среды от «С-Терра СиЭсПи»Защита корпоративной среды от «С-Терра СиЭсПи»
Защита корпоративной среды от «С-Терра СиЭсПи»S-Terra CSP
 
Все решения Cisco по информационной безопасности за 1 час
Все решения Cisco по информационной безопасности за 1 часВсе решения Cisco по информационной безопасности за 1 час
Все решения Cisco по информационной безопасности за 1 часCisco Russia
 

Semelhante a С широко закрытыми глазами - риск-ориентированный подход к миграции в облака (20)

DDoS Defence 101
DDoS Defence 101DDoS Defence 101
DDoS Defence 101
 
PlexGrid. Распределенные вычислительные системы
PlexGrid. Распределенные вычислительные системыPlexGrid. Распределенные вычислительные системы
PlexGrid. Распределенные вычислительные системы
 
Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалии
Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалииКибербезопасность Industrial IoT: мировые тенденции и российскиие реалии
Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалии
 
Обеспечение безопасности при использовании облачных вычислений
Обеспечение безопасности при использовании облачных вычисленийОбеспечение безопасности при использовании облачных вычислений
Обеспечение безопасности при использовании облачных вычислений
 
Доклад С-Терра на InfoSecurity Russia-2016
Доклад С-Терра на InfoSecurity Russia-2016Доклад С-Терра на InfoSecurity Russia-2016
Доклад С-Терра на InfoSecurity Russia-2016
 
Обзор решений по борьбе с DDoS-атаками
Обзор решений по борьбе с DDoS-атакамиОбзор решений по борьбе с DDoS-атаками
Обзор решений по борьбе с DDoS-атаками
 
Микросервисная архитектура на базе CoreOS и Kubernetes
Микросервисная архитектура на базе CoreOS и KubernetesМикросервисная архитектура на базе CoreOS и Kubernetes
Микросервисная архитектура на базе CoreOS и Kubernetes
 
Опыт повышения доступности ключевых банковских ИТ-систем
Опыт повышения доступности ключевых банковских ИТ-системОпыт повышения доступности ключевых банковских ИТ-систем
Опыт повышения доступности ключевых банковских ИТ-систем
 
Clouds NN 2012 Игорь Гормидоров "Организация защиты облачных сервисов и инфра...
Clouds NN 2012 Игорь Гормидоров "Организация защиты облачных сервисов и инфра...Clouds NN 2012 Игорь Гормидоров "Организация защиты облачных сервисов и инфра...
Clouds NN 2012 Игорь Гормидоров "Организация защиты облачных сервисов и инфра...
 
VMware NSX и интеграция с продуктами Juniper
VMware NSX и интеграция с продуктами JuniperVMware NSX и интеграция с продуктами Juniper
VMware NSX и интеграция с продуктами Juniper
 
облачные технологии от лаборатории касперского
облачные технологии от лаборатории касперскогооблачные технологии от лаборатории касперского
облачные технологии от лаборатории касперского
 
Кибербезопасность Industrial IoT: мировые тенденции
Кибербезопасность Industrial IoT: мировые тенденцииКибербезопасность Industrial IoT: мировые тенденции
Кибербезопасность Industrial IoT: мировые тенденции
 
С-Терра СиЭсПи. Максим Евремов, Сергей Слепков. "Комплексные решения для безо...
С-Терра СиЭсПи. Максим Евремов, Сергей Слепков. "Комплексные решения для безо...С-Терра СиЭсПи. Максим Евремов, Сергей Слепков. "Комплексные решения для безо...
С-Терра СиЭсПи. Максим Евремов, Сергей Слепков. "Комплексные решения для безо...
 
История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...
 
Обеспечение безопасности данных в облаке КРОК
Обеспечение безопасности данных в облаке КРОКОбеспечение безопасности данных в облаке КРОК
Обеспечение безопасности данных в облаке КРОК
 
Точка кипения: проектирование крупных веб-систем
Точка кипения: проектирование крупных веб-системТочка кипения: проектирование крупных веб-систем
Точка кипения: проектирование крупных веб-систем
 
Проектирование архитектуры крупных веб-систем
Проектирование архитектуры крупных веб-системПроектирование архитектуры крупных веб-систем
Проектирование архитектуры крупных веб-систем
 
Cisco TALOS – интеллектуальная платформа для анализа угроз
Cisco TALOS – интеллектуальная платформа для анализа угрозCisco TALOS – интеллектуальная платформа для анализа угроз
Cisco TALOS – интеллектуальная платформа для анализа угроз
 
Защита корпоративной среды от «С-Терра СиЭсПи»
Защита корпоративной среды от «С-Терра СиЭсПи»Защита корпоративной среды от «С-Терра СиЭсПи»
Защита корпоративной среды от «С-Терра СиЭсПи»
 
Все решения Cisco по информационной безопасности за 1 час
Все решения Cisco по информационной безопасности за 1 часВсе решения Cisco по информационной безопасности за 1 час
Все решения Cisco по информационной безопасности за 1 час
 

Mais de Vsevolod Shabad

Опыт разработки стратегии ИБ и киберзащиты производственной инфраструктуры в...
Опыт разработки стратегии ИБ и киберзащиты производственной инфраструктуры в...Опыт разработки стратегии ИБ и киберзащиты производственной инфраструктуры в...
Опыт разработки стратегии ИБ и киберзащиты производственной инфраструктуры в...Vsevolod Shabad
 
Agile-подходы в ИБ
Agile-подходы в ИБAgile-подходы в ИБ
Agile-подходы в ИБVsevolod Shabad
 
State regulation of information protection in the cloud - international and K...
State regulation of information protection in the cloud - international and K...State regulation of information protection in the cloud - international and K...
State regulation of information protection in the cloud - international and K...Vsevolod Shabad
 
How can a successful SOC2-compliant ISMS be built without power, money and a...
How can a successful SOC2-compliant ISMS be built without power, money and a...How can a successful SOC2-compliant ISMS be built without power, money and a...
How can a successful SOC2-compliant ISMS be built without power, money and a...Vsevolod Shabad
 
Государственное регулирование защиты данных в облаках - международный и каза...
Государственное регулирование защиты данных в облаках - международный и каза...Государственное регулирование защиты данных в облаках - международный и каза...
Государственное регулирование защиты данных в облаках - международный и каза...Vsevolod Shabad
 
Первые шаги нового CISO
Первые шаги нового CISOПервые шаги нового CISO
Первые шаги нового CISOVsevolod Shabad
 
Public clouds - tasty but scary
Public clouds - tasty but scaryPublic clouds - tasty but scary
Public clouds - tasty but scaryVsevolod Shabad
 
Building a cybersecurity strategy for growing companies (IDC Day 2022 - Tashk...
Building a cybersecurity strategy for growing companies (IDC Day 2022 - Tashk...Building a cybersecurity strategy for growing companies (IDC Day 2022 - Tashk...
Building a cybersecurity strategy for growing companies (IDC Day 2022 - Tashk...Vsevolod Shabad
 
Public clouds: to love passionately, to be afraid, or to hate (IDC Security D...
Public clouds: to love passionately, to be afraid, or to hate (IDC Security D...Public clouds: to love passionately, to be afraid, or to hate (IDC Security D...
Public clouds: to love passionately, to be afraid, or to hate (IDC Security D...Vsevolod Shabad
 
Как повысить результативность борьбы с фродом: опыт "Халык Банка"
Как повысить результативность борьбы с фродом: опыт "Халык Банка"Как повысить результативность борьбы с фродом: опыт "Халык Банка"
Как повысить результативность борьбы с фродом: опыт "Халык Банка"Vsevolod Shabad
 
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасность
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасностьКак оценить пользу от ИБ и увязать с нею инвестиции в безопасность
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасностьVsevolod Shabad
 
Проекты по обеспечению непрерывности бизнеса: ЧТО, ЗАЧЕМ, КАК и ПОЧЕМУ ТАК ДО...
Проекты по обеспечению непрерывности бизнеса: ЧТО, ЗАЧЕМ, КАК и ПОЧЕМУ ТАК ДО...Проекты по обеспечению непрерывности бизнеса: ЧТО, ЗАЧЕМ, КАК и ПОЧЕМУ ТАК ДО...
Проекты по обеспечению непрерывности бизнеса: ЧТО, ЗАЧЕМ, КАК и ПОЧЕМУ ТАК ДО...Vsevolod Shabad
 
ITIL, SCRUM, Kanban in Cybersecurity
ITIL, SCRUM, Kanban in CybersecurityITIL, SCRUM, Kanban in Cybersecurity
ITIL, SCRUM, Kanban in CybersecurityVsevolod Shabad
 
Обработка спйсмоданных: возможности оптимизации ИТ-инфраструктуры
Обработка спйсмоданных: возможности оптимизации ИТ-инфраструктурыОбработка спйсмоданных: возможности оптимизации ИТ-инфраструктуры
Обработка спйсмоданных: возможности оптимизации ИТ-инфраструктурыVsevolod Shabad
 
Гидродинамическое моделирование: возможности оптимизации ИТ-инфраструктуры
Гидродинамическое моделирование: возможности оптимизации ИТ-инфраструктурыГидродинамическое моделирование: возможности оптимизации ИТ-инфраструктуры
Гидродинамическое моделирование: возможности оптимизации ИТ-инфраструктурыVsevolod Shabad
 
Мощнее или умнее? Возможности оптимизации ИТ-инфраструктуры для сейсмики
Мощнее или умнее? Возможности оптимизации ИТ-инфраструктуры для сейсмикиМощнее или умнее? Возможности оптимизации ИТ-инфраструктуры для сейсмики
Мощнее или умнее? Возможности оптимизации ИТ-инфраструктуры для сейсмикиVsevolod Shabad
 
СХД для обработки сейсмики: сравнительный обзор
СХД для обработки сейсмики: сравнительный обзорСХД для обработки сейсмики: сравнительный обзор
СХД для обработки сейсмики: сравнительный обзорVsevolod Shabad
 
Возможности повышения производительности вычислительных кластеров
Возможности повышения производительности вычислительных кластеровВозможности повышения производительности вычислительных кластеров
Возможности повышения производительности вычислительных кластеровVsevolod Shabad
 
Infrastructure optimization for seismic processing (eng)
Infrastructure optimization for seismic processing (eng)Infrastructure optimization for seismic processing (eng)
Infrastructure optimization for seismic processing (eng)Vsevolod Shabad
 
About NetProject (brief profile)
About NetProject (brief profile)About NetProject (brief profile)
About NetProject (brief profile)Vsevolod Shabad
 

Mais de Vsevolod Shabad (20)

Опыт разработки стратегии ИБ и киберзащиты производственной инфраструктуры в...
Опыт разработки стратегии ИБ и киберзащиты производственной инфраструктуры в...Опыт разработки стратегии ИБ и киберзащиты производственной инфраструктуры в...
Опыт разработки стратегии ИБ и киберзащиты производственной инфраструктуры в...
 
Agile-подходы в ИБ
Agile-подходы в ИБAgile-подходы в ИБ
Agile-подходы в ИБ
 
State regulation of information protection in the cloud - international and K...
State regulation of information protection in the cloud - international and K...State regulation of information protection in the cloud - international and K...
State regulation of information protection in the cloud - international and K...
 
How can a successful SOC2-compliant ISMS be built without power, money and a...
How can a successful SOC2-compliant ISMS be built without power, money and a...How can a successful SOC2-compliant ISMS be built without power, money and a...
How can a successful SOC2-compliant ISMS be built without power, money and a...
 
Государственное регулирование защиты данных в облаках - международный и каза...
Государственное регулирование защиты данных в облаках - международный и каза...Государственное регулирование защиты данных в облаках - международный и каза...
Государственное регулирование защиты данных в облаках - международный и каза...
 
Первые шаги нового CISO
Первые шаги нового CISOПервые шаги нового CISO
Первые шаги нового CISO
 
Public clouds - tasty but scary
Public clouds - tasty but scaryPublic clouds - tasty but scary
Public clouds - tasty but scary
 
Building a cybersecurity strategy for growing companies (IDC Day 2022 - Tashk...
Building a cybersecurity strategy for growing companies (IDC Day 2022 - Tashk...Building a cybersecurity strategy for growing companies (IDC Day 2022 - Tashk...
Building a cybersecurity strategy for growing companies (IDC Day 2022 - Tashk...
 
Public clouds: to love passionately, to be afraid, or to hate (IDC Security D...
Public clouds: to love passionately, to be afraid, or to hate (IDC Security D...Public clouds: to love passionately, to be afraid, or to hate (IDC Security D...
Public clouds: to love passionately, to be afraid, or to hate (IDC Security D...
 
Как повысить результативность борьбы с фродом: опыт "Халык Банка"
Как повысить результативность борьбы с фродом: опыт "Халык Банка"Как повысить результативность борьбы с фродом: опыт "Халык Банка"
Как повысить результативность борьбы с фродом: опыт "Халык Банка"
 
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасность
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасностьКак оценить пользу от ИБ и увязать с нею инвестиции в безопасность
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасность
 
Проекты по обеспечению непрерывности бизнеса: ЧТО, ЗАЧЕМ, КАК и ПОЧЕМУ ТАК ДО...
Проекты по обеспечению непрерывности бизнеса: ЧТО, ЗАЧЕМ, КАК и ПОЧЕМУ ТАК ДО...Проекты по обеспечению непрерывности бизнеса: ЧТО, ЗАЧЕМ, КАК и ПОЧЕМУ ТАК ДО...
Проекты по обеспечению непрерывности бизнеса: ЧТО, ЗАЧЕМ, КАК и ПОЧЕМУ ТАК ДО...
 
ITIL, SCRUM, Kanban in Cybersecurity
ITIL, SCRUM, Kanban in CybersecurityITIL, SCRUM, Kanban in Cybersecurity
ITIL, SCRUM, Kanban in Cybersecurity
 
Обработка спйсмоданных: возможности оптимизации ИТ-инфраструктуры
Обработка спйсмоданных: возможности оптимизации ИТ-инфраструктурыОбработка спйсмоданных: возможности оптимизации ИТ-инфраструктуры
Обработка спйсмоданных: возможности оптимизации ИТ-инфраструктуры
 
Гидродинамическое моделирование: возможности оптимизации ИТ-инфраструктуры
Гидродинамическое моделирование: возможности оптимизации ИТ-инфраструктурыГидродинамическое моделирование: возможности оптимизации ИТ-инфраструктуры
Гидродинамическое моделирование: возможности оптимизации ИТ-инфраструктуры
 
Мощнее или умнее? Возможности оптимизации ИТ-инфраструктуры для сейсмики
Мощнее или умнее? Возможности оптимизации ИТ-инфраструктуры для сейсмикиМощнее или умнее? Возможности оптимизации ИТ-инфраструктуры для сейсмики
Мощнее или умнее? Возможности оптимизации ИТ-инфраструктуры для сейсмики
 
СХД для обработки сейсмики: сравнительный обзор
СХД для обработки сейсмики: сравнительный обзорСХД для обработки сейсмики: сравнительный обзор
СХД для обработки сейсмики: сравнительный обзор
 
Возможности повышения производительности вычислительных кластеров
Возможности повышения производительности вычислительных кластеровВозможности повышения производительности вычислительных кластеров
Возможности повышения производительности вычислительных кластеров
 
Infrastructure optimization for seismic processing (eng)
Infrastructure optimization for seismic processing (eng)Infrastructure optimization for seismic processing (eng)
Infrastructure optimization for seismic processing (eng)
 
About NetProject (brief profile)
About NetProject (brief profile)About NetProject (brief profile)
About NetProject (brief profile)
 

С широко закрытыми глазами - риск-ориентированный подход к миграции в облака

  • 1. С широко закрытыми глазами Риск-ориентированный подход к миграции в облака Всеволод Шабад, независимый эксперт CISSP, CCSP, AWS Certified Solutions Architect
  • 2. Коротко обо мне: 37+ лет в ИТ-индустрии • Born in the USSR, live in Kazakhstan • Math high school #57 (top-5 in the USSR) • MSc in Applied Math (‘94, MIREA, Russia) • Profess. Retraining in Cybersecurity (Informzaschita, top-3 in Russia) • Law courses in the top-10 universities (US, UK) • Software Developer (1985-1996) • Network Engineer (1993-1999) • CEO of NetProject (2000-2018) • CISO, CIO, vCISO (2018-…) 🇷🇺 🇰🇿 🇷🇸 🇧🇬 🇹🇷 🇸🇬 • CISSP • CCSP • AWS Solutions Architect • Azure Fundamentals • Blockchain Certified Expert • Professional Scrum Master • Professional Scrum with Kanban • … • Skydiving (517 jumps) • Offroad rally raids • Horse riding • Ultramarathon running (9x finisher) • Long-sprint running (Silver medalist of the Russia’20 Masters Athlete Championship) • Cyber Security • IT • Risk Management • Cloud Technologies • Cultural Changes • Data Science & ML • Fraud Prevention • Agile Transformation 1. About me 2. Professional career 3. Professional certifications 4. Amateur sport career 5. Areas of interest
  • 4. Три роли, три сценария, три страны Роль • Корпоративный заказчик • Облачный провайдер • Регулирующий орган Сценарий • Миграция в публичное облако • Строительство частного облака • Оставить все как есть Страна • Россия • Украина • Казахстан
  • 5. Риск-угроза: геополитические санкции • Вероятность: • Россия – высокая • Украина – низкая • Казахстан – низкая • Масштаб последствий: • Иностранное публичное облако – высокий • Национальное публичное облако – средний • Частное облако – средний • Собственная инфраструктура – средний • Риск-индикатор: • публичный анонс намерений ввести санкции против конкретной страны, отрасли или компании • Пример реализации риска: • банки России, попавшие под санкции G7 • Threat agent – влиятельное иностранное правительство • Threat – запрет предоставления сервисов и товаров • Asset – компоненты ИТ-ландшафта • Vulnerability – обязанность провайдеров и поставщиков следовать санкциям • Controls: • Preventive – перерегистрация юрлица в другой стране • Detective – мониторинг доступности ИТ-ландшафта • Reactive – перенос нагрузки в национальное публичное облако, в частное облако или в собственную инфраструктуру
  • 6. Риск-угроза: военные действия • Вероятность: • Россия – средняя • Украина – высокая • Казахстан – низкая • Масштаб последствий: • Иностранное публичное облако – низкий • Национальное публичное облако – высокий • Частное облако – высокий • Собственная инфраструктура – высокий • Риск-индикатор: • публичное обсуждение возможных военных действий на территории страны • Пример реализации риска: • украинский Privatbank, чья собственная ИТ-инфраструктура разрушена Россией • Threat agent – враждебное иностранное государство • Threat – разрушение национальной физической инфраструктуры • Asset – компоненты ИТ-ландшафта • Vulnerability – размещение инфраструктуры в (потенциальной) зоне боевых действий • Controls: • Preventive – миграция ИТ-нагрузок в иностранное публичное облако • Detective – мониторинг доступности ИТ-ландшафта • Reactive – миграция ИТ-нагрузок в иностранное публичное облако
  • 7. Риск-угроза: пандемия • Вероятность: средняя • Масштаб последствий: • Публичное облако – низкий • Частное облако – высокий • Собственная инфраструктура – высокий • Риск-индикатор: • объявление пандемии • Пример реализации риска: • пандемия COVID-19, остановившая туристический и авиационный бизнес • Threat agent – национальное правительство • Threat – обвальный спад деловой активности • Asset – компоненты ИТ-ландшафта • Vulnerability – невозможность сократить простаивающую инфраструктуру • Controls: • Preventive – миграция ИТ-нагрузок в публичное облако • Detective – мониторинг нагрузки на ИТ-инфраструктуру • Reactive – отключение неиспользуемых компонентов ИТ-ландшафта в публичном облаке
  • 8. Управление рисками – постоянный процесс • Меняется организация • Люди • Процессы • Технологии • Меняется окружающий мир • Угрозы • Возможности • Место организации в этом мире Из NIST SP 800-39
  • 9. Давайте вместе двигаться вперед! https://calendly.com/vshabad vshabad@vshabad.com +7 777 726 4790 (моб.) Первая консультация всегда бесплатна!