Додаємо інженерії до GRC
Accountable чи Responsible: чому в українській цій різниці бракує слова
Коли ми розробляємо політики чи інструкції, у розділі про ролі й комунікацію зі стейкхолдерами майже завжди зʼявляється класична RACI-матриця. Англійською все чітко: Responsible, Accountable, Consulted, Informed — чотири різні слова, чотири різні ролі. А тепер спробуйте перекласти перші дві українською. Responsible і Accountable обидва природно тягнуться до одного й того самого слова — “відповідальний”. Google Translate чесно пропонує для Accountable варіант “підзвітний”, але в контексті матриці ролей це звучить дивно і незрозуміло (принаймні мені 😃). І ось тут і починається проблема, яка потім спливає в кожній політиці, посадовій інструкції та розмові з аудитором. ...
SOPS — секрети в git, які не соромно закомітити
Що ви подумаєте, якщо я вам скажу, що зберігати паролі, токени та іншу чутливу інформацію в репозиторії — нормально? Звичайно, є одне “але”: нормально — коли значення зашифровані, а не лежать у відкритому вигляді. І це доволі легко зробити за допомогою SOPS. Проблема, яку вирішує SOPS Класична дилема з секретами виглядає так. Або секрети лежать у репозиторії в чистому вигляді — і тоді будь-хто з доступом до репо (а після першого ж витоку — будь-хто взагалі) читає ваші паролі від продакшн-бази. Або секрети живуть окремо від коду — у Vault, AWS Secrets Manager чи ще якомусь сховищі — і тоді починаються незручності: ...
CISO Assistant — огляд
Я підтримую думку, що в GRC-процеси потрібно додавати більше інжинірингу і поступово відходити від кілометрів екселю та мільйонів кубокілометрів документів для кожного аудиту. Тому коли в компанії постало питання вибору інструменту для управління ризиками, активами та аудитами, я витратив трохи часу на пошук саме такого рішення - і зупинився на CISO Assistant 🐙 (порівняння з іншими інструментами, які я розглядав, зроблю окремою статтею). Що це за інструмент CISO Assistant - це open-source GRC-платформа від французької команди intuitem. Community-версія поширюється під AGPLv3, а компанія додатково пропонує платні Pro/Enterprise редакції (SaaS або onprem) з розширеними можливостями. ...
Штучноінтелектуалізація
ШІ не врятує ваш хаос. Він його “штучноінтелектуалізує.” Зараз всі хочуть “інтегрувати AI” - і одразу злетіти. Але AI це інструмент, не чарівна паличка. Якщо сісти за кермо боліда Формули-1 і поїхати по бруківці Львова (привіт, Городоцька!) або вбитому центру Києва (привіт, Прорізна!) - швидкість боліда вам не допоможе. Те саме з AI. Якщо заяви на нові акаунти досі йдуть через Teams (прости господи) без жодного трекінгу прогресу, а бухгалтер шле звіти фотографією у Viber - ШІ не врятує проєкт. Буде лише ілюзія швидкості, технічний борг і красиве нове слово для старого хаосу: “штучноінтелектуалізація”. ...
Якісний, напівкількісний, кількісний: як CISO Assistant рахує ризики
В огляді CISO Assistant я вже казав, що інструмент подобається мені саме інженерним підходом до GRC. Найкраще це видно на прикладі оцінки ризиків: замість одного “правильного” способу порахувати ризик, платформа з коробки дає три різні методологічні рівні - і це не маркетингова фіча, а різні математичні моделі під різні задачі. Якісний підхід: категоріальна матриця Найпростіший і найпоширеніший спосіб - матриця ризиків, лукап-таблиця “ймовірність × вплив → рівень ризику”. У бандлі є більше десятка готових матриць: базові 3x3/4x4/5x5/6x6, галузеві (PGSSI-S для охорони здоров’я, DORA ICT RTS для фінсектору), і що цікаво - матриця, побудована прямо на основі EBIOS RM (4x4). ...