Директор по информационной безопасности (CISO)

Я хотел бы выразить свою благодарность за предоставленную возможность пройти обучение на курсе. Полученные знания и навыки оказались чрезвычайно полезными и актуальными. Материал был изложен структурировано и доступно, что способствовало эффективному усвоению информации. Особо хочу отметить профессионализм преподавателей и их готовность делиться опытом. Я уверен, что полученные знания окажут значительное влияние на мою дальнейшую профессиональную деятельность.

Впечатление общее: До курса я неплохо знал техническую часть ИБ, но, когда дело доходило до бюджета, разговора с CEO или построения системы комплаенс — начинался хаос. Программа дала именно каркас, которого не хватало. При этом курс честный: никто не обещает, что после сертификата вы сразу станете CISO в «Газпроме», но стать им по мышлению — да. Чем помог курс? - Тема «Стратегия ИБ и связь с бизнесом» — поменяла всё. Я перестал предлагать «внедрить MFA везде». Вместо этого стал рисовать карту угроз → считать ожидаемый ущерб → показывать, как MFA снижает риск ровно на X млн руб. в год. - «Управление рисками» — наконец-то перестал путать риск и уязвимость. Появилась шкала «приемлемый риск», и я перестал биться за перестал тратить ресурсы на закрытие незначительных уязвимостей с низким уровнем риска, концентрируясь на критичных активах. - «Бюджетирование ИБ и защита бюджета» — дало готовые шаблоны: TCO/ROI, три сценария (минималка/норма/премиум). Теперь я не «прошу деньги», а предлагаю инвестиции с расчетом окупаемости. - «Комплаенс и регуляторы (152-ФЗ, 187-ФЗ, КИИ)» — научили не плодить документы ради бумажки, а выстраивать единую систему соответствия, которая не ломает бизнес-процессы. - «Управление инцидентами и коммуникация в кризисе» — самый живой блок. Мы гоняли кейс утечки персональных данных: от детекта до разговора с ФСТЭК, юристами и пиарщиками. Теперь алгоритм в голове есть. - «Метрики и KPI/KRI для совета директоров» — научил делать дашборд из 5–7 цифр: доля закрытых критических уязвимостей в SLA, MTTR, покрытие критичных активов мониторингом. До этого я тонул в цифрах. - Soft Skills для CISO (переговоры, продажа идей) — отдельное спасибо. Как убедить выделить бюджет, когда «и так всё работает», как сказать «нет» небезопасному проекту без конфликта. - «Security Architecture и Threat Modeling» — обзорно, но достаточно, чтобы на пальцах объяснить архитектору, почему его «микросервисы без сегментации» — это боль. - «Безопасность разработки (DevSecOps, SAST/DAST)» — не для глубинного инженера, а чтобы понимать, куда смотреть и какие метрики требовать от команды AppSec. - «Управление уязвимостями (VM) в масштабе компании» — наконец-то не «поставили сканер — получили 5000 хостов — испугались», а процесс с ранжированием, SLA и автоматизацией. Что понравилось? - Каждая тема — с практическим выходом. После модуля по рискам я переделал матрицу рисков в своей компании. После метрик — пересобрал отчет для гендира. - Преподаватели-практики — действующие CISO. Они не цитируют стандарты, а говорят «я в пятницу делал так, и вот почему прокатило, а в прошлый раз — нет». - Домашние задания — объёмные. Особенно по темам «Стратегия» и «Риски»: там нужно было посчитать реальные цифры по своей компании или выдуманной. Что вынес для себя самого важного? 1. CISO — это не самый умный инженер, а тот, кто умеет переводить технические риски на язык бизнеса. Без этого ты всегда будешь «затратным отделом». 2. Без метрик тебя не слышат. После темы по KPI/KRI я понял: цифры простоя, денег и времени закрытия инцидентов — единственный язык для CEO. 3. Комплаенс — не враг, а инструмент. Можно построить систему, которая защищает и проходит проверки, не замедляя разработку в 10 раз. 4. Важнейший документ CISO — «Отказ от внедрения мер». Если бизнес сознательно идет на риск, пусть подпишет. Это не про недоверие, а про прозрачность. Чего не хватило на курсе? - Живых ролевых игр по переговорам. Тема Soft Skills была лекционной, а хотелось: «вы CISO, совет директоров не дает бюджет на DLP — отыграйте». - Блока по управлению проектами ИБ с календарным планированием внедрений (когда людей мало, а проектов 15). - Глубины по GRC для международных компаний (GDPR, CCPA, ISO 27701) — но это не обещали в анонсе. - Чек-листов для первого месяца в роли CISO. Что сделать в день 1, неделю 1, месяц 1? Этого ждешь, а дали только общие принципы. Итог: кому стоит идти? - Действующим начальникам отделов ИБ (3+ года управления) — чтобы прыгнуть в кресло директора. - Сеньорным технарям (пентестеры, аналитики SOC, инженеры ИБ) — если устали от «кручения гаек» и готовы учиться цифрам, рискам и переговорам. - IT-директорам, которые хотят разобраться в безопасности на уровне принятия решений. Не стоит: - Новичкам (без года-двух в ИБ будет сложно). - Хардкорным технарям, которые хотят научиться взламывать или писать политики в 152-ФЗ до буквы. Если вы хотите перестать быть «мальчиком для битья» и начать влиять на бизнес, курс даст 70% нужного. Остальные 30% — ваш опыт и наглость внедрять изученное на следующий же день.

До обучения на данном курсе работал техлидом в ИБ. Данный курс выбрал из-за педагогического состава, программы и потребности развивать смежные навыки. Очень круто проходили лекции, т.к. преподаватели в большом объеме делились практическими кейсами. Итогом курса было составление стратегии ИБ, которая является основой планирования всех задач. Планирую с появлением новых знаний расширять зону своей ответственности.

Курс помог систематизировать знания и показал, на какие области знаний стоит обратить внимание и уделить время на изучение. Понравилось, что почти все преподаватели ведут занятия интерактивно. Отдельно хочу отметить Тимура Джамгаряна, очень интересно, доходчиво и понятно даёт материал, жаль мало времени на его лекции. Спасибо за курс!

Здравствуйте! Меня зовут Максим, я являюсь директором АЙТИЛЕКТ ООО. В процессе обучения я прорабатывал и примерял всё на свою зону ответственности. Когда я готовил выпускной проект, большую часть информации нашел в домашних заданиях. Каждое дз было супер уместным. Спасибо преподавателям и методистам, что так выгодно с помощью дз позволили прочувствовать материал, а главное не положить его на полку, а сразу переварить, осмыслить и отдать в работу. Главный плюс после обучения – проявляющаяся структурированность знаний к которой я всегда стремлюсь"

Пройдённый курс был для меня очень информативен. Все полученные ранее знания в ВУЗе, на различных курсах и семинарах благодаря курсу сложились в единую систему. Знания данные преподавателями на лекциях дали мне инструмент для формирования полного цикла создания системы защиты ИБ от определения целей (бизнеса, ИТ, ИБ) и до формирования задач перед инженерами о разработки конкретных решений. Практические курсы позволили не просто в голове, а на практике включиться в формирование стратегии ИБ. А проектная работы позволила окунутся, хоть и в лабораторную, но атмосферу реальной работы директора по ИБ в компании. Спасибо.