Anatomy of Resilience
Designed to Stand
Engineered to Withstand

ما سر نهاده‌ایم تو دانی و تیغ و تاج
تیغی که ماهروی زند تاج سر بود

ما سر نهاده ايم...
به حكم عشق، نه از ترس تيغ تيغ و تاج، هر دو ازيك دست مى آيند
جه فرق دارد؟ وقتى صاحب تيغ و تاج🙂

گاهی فقط یک جمله، یک نگاه، یا یک حرکت کوچک می‌تواند زندگی یک نفر را تغییر دهد. ما قدرت‌هایی داریم که خودمان از آن بی‌خبریم، تا وقتی که به‌درستی از آن استفاده کنیم.

وقتی احساس می‌کنی دیگر توانی برای ادامه دادن نمانده است
یادت باشد ریهٔ چپت از ریهٔ راست کوچک‌تر آفریده شده، فقط برای این‌که جایی برای قلبت باز شود ‌در بنیادی‌ترین لایهٔ وجودت، قلب اولویت داشته است همیشه.

قلبت هرگز از رشد بازنمی‌ایستد
هرگز از حمل کردن این دنیای سنگین دست نمی‌کشد، پس تلاش نکن مهارش کنی‌و بگذار بتپد، بگذار راهش را برود. یادت باشد برای برداشتن تنها یک قدم، بدنت از بیش از دویست میلیون سلول کمک می‌گیرد، هیچ حرکتی کوچک نیست، وقتی تمام وجودت درگیر آن است.

خودت را به‌خاطر مسیری که آمده‌ای سرزنش نکن، تک‌تک اجزای وجودت از استخوان تا نفس، از حافظه تا زخم دست‌به‌دست هم داده‌اند تا تو را دقیقا به همین‌جا برسانند.

یادت باشد هر بیست‌وهفت روز، پوست خسته‌ات را می‌اندازی.
تو برای نگه داشتن گذشته ساخته نشده‌ای، نه برای حمل تمام آن
نه برای زندگی در آن و بدنت به‌طور فیزیکی هر آن‌چه آزارت داده را رها می‌کند: هر شرم، هر ترس، هر ناامنی.

تو همیشه این هدیه را داری
شروعی دوباره و صفحه‌ای سفید. تو از ذرات سخت و آسمانی این جهان ساخته شده‌ای و به همین دلیل این دنیا هرگز قادر نخواهد بود تو را در هم بشکند. زبان، قوی‌ترین عضلهٔ بدن توست، تو برای سکوت‌های طولانی آفریده نشده‌ای، برای گفتن ساخته شده‌ای

بلند، شفاف و صادقانه

از آن‌چه آزارت داده بگو، از آن‌چه شکسته‌ات، از داستانت.
داستانی که اگر گفته نشود، درونت سنگین می‌شود. یادت باشد کربنی که در بدن تو جریان دارد، همان کربنی‌ست که زمین را ساخته، همان عنصری که کوه‌ها را سر پا نگه داشته است. این را به خاطر بسپار
تا بدانی تو هم می‌توانی تنها بایستی، قد بکشی و محکم بمانی.
درست مثل اورست، درست مثل دماوندمان.
تو نیرویی هستی که باید با احترام با آن روبه‌رو شد.

استخوان‌هایت
سخت‌تر از آن‌اند که با اندوه خرد شوند.
بنیانت از گرانیت است. وقتی فکر می‌کنی توان تحمل دل‌شکستگی یا رشد را نداری، یادت بیاور تو برای تاب آوردن ساخته شده‌ای.
برای ایستادن و برای دوام.

هر آن‌چه هستم
با نیت عبور از بدترین احتمال‌ها شکل گرفته است.
من برای مقاومت آفریده شده‌ام.
و هنوز، ایستاده‌ام.✌️

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.12.29

https://www.linkedin.com/posts/alirezaghahrood_anatomy-of-resilience-designed-to-stand-engineered-activity-7411465338451742720-KMvh

The Weight You Don’t See
Invisible Battles

در این تصویر، سه نفر با خنده و آسودگی بر روی سکویی نشسته‌اند
در همان‌جا، زنی از همان سکو آویزان است و با تمام توان تلاش می‌کند خود را نگه دارد در حالی که سنگینی بارهایی که به پاهایش بسته شده او را به پایین می‌کشد.

از زاویه‌ی دید دیگران، صحنه عادی به نظر می‌رسد گویی زن به‌راحتی در حال شنا کردن است و هیچ مسئله‌ای وجود ندارد.

این تصویر استعاره‌ای دقیق از رنج‌های پنهان انسان‌هاست. بسیاری از آدم‌ها در ظاهر آرام، موفق یا شاد دیده می‌شوند، اما در واقعیت، هر روز با فشارها، ترس‌ها و بارهایی می‌جنگند که از نگاه دیگران پنهان مانده است.

پیام تصویر ساده اما عمیق است:
مهربان باش، چون هیچ‌وقت نمی‌دانی انسان مقابلت چه دردها و چه وزن سنگینی را در سکوت با خود حمل می‌کند.

در روان‌شناسی نیز به این نکته اشاره می‌شود که بخش بزرگی از بی‌تفاوتی اجتماعی، نه از بی‌رحمی، بلکه از ناآگاهی نسبت به رنج‌های پنهان دیگران سرچشمه می‌گیرد. کمی توجه، درک و مهربانی، گاهی می‌تواند همان طنابی باشد که انسانی را از سقوط نجات می‌دهد.♥️😇

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.12.30

https://www.linkedin.com/posts/alirezaghahrood_the-weight-you-dont-see-invisible-battles-activity-7411590411925934080-qpQb

#DiyakoSecureBow
————————————
CISO as a Service (vCISO)

Threat Research

According to the Elastic Global Threat Report 2025, the threat landscape is undergoing a fundamental shift.
The era of slow, patient, stealthy attacks is fading replaced by high velocity, execution driven threats.

Adversaries are increasingly weaponizing AI to generate and deploy new threats at scale, prioritizing speed and immediate impact over long term persistence. As a result, the attack lifecycle is now measured in minutes, not months.

For defenders, this means one thing:
Effective defense now depends on rapid, context rich decision making, powered by both real time telemetry and historical data. Speed, context, and adaptability are no longer optional, they are essential.

Special Thanks to 🙏♥️😇
Elastic

-Secure Business Continuity-
2025.12.30
——————————————————
#CyberSecurity #ThreatIntelligence
#AIinSecurity #SOC #DefensiveStrategy

https://www.linkedin.com/posts/diyako-secure-bow_elastic-threat-report-2025-activity-7411596579771404288-y6bv

The Cost of Being Right
We Are Still Here

مهاجرت مودبانه اما اجباری به نوعی تبعید من از جایی شروع نشد که مرز عوض می‌شود یا پاسپورت رنگ می‌گیرد از جایی شروع شد که حقیقت دیگر جای امنی برای ایستادن نداشت.

از لحظه‌ای که فهمیدم در سرزمینی که همه‌چیز مثل روز روشن است، دیدن هزینه دارد و گفتن جرم می‌شود. من نرفتم چون سخت بود، به من گفتن برو! رفتم چون نمی‌توانستم لال باشم، نمی‌توانستم وانمود کنم نمی‌بینم، نمی‌فهمم، نمی‌دانم. بعضی وقت‌ها ماندن شجاعت نیست، تسلیم است و رفتن فرار نیست، انتخاب است.

سال‌ها به ما یاد دادند که سکوت فضیلت است و تحمل نشانه‌ی بلوغ اما هیچ‌وقت نگفتند وقتی ظلم عادی می‌شود، سکوت همدستی است. من به همان «حق‌گرا» بودن تاوان دادم که اسمش را عدم مصلحت اندیشی یا سیاست گذاشتند، به همان پرسیدن‌هایی که گفتند به صلاح نیست، به همان نه گفتن‌هایی که گفتند زمانش نیست. در حالی که همه‌چیز شفاف بود

ما را به تاریکی عادت دادند به کم‌دیدن، کم‌خواستن، کم‌گفتن.

بترسید
نه از صدای معترض، بلکه از مالی که به زور ستانده می‌شود و اسمش را قانون می‌گذارند. بترسید از خونی که به ناحق ریخته می‌شود و با توجیه شسته می‌شود. بترسید از آهی که از ته دل برمی‌آید، بی‌صدا، بی‌جمع، اما سنگین که آه، دیر می‌آید، اما خطا نمی‌کند. هیچ سرزمینی با فریاد ویران نمی‌شود، با انباشته شدن این آه‌ها فرو می‌ریزد.

من رفتم، اما بریده نشدم. ریشه‌ها را نمی‌شود با چیزی قطع کرد.
ما هنوز هستیم در یاد، در درد
در امیدی لجوج که نمی‌گذارد فراموش کنیم چه می‌خواستیم باشیم.

دعا می‌کنم جهان هستی در حال بزرگ شدن اعجاب انگیز
خالق متصور شده، یا هو‌ و !
این سرزمین را از ظلم و ستم، از جهل و فریبکاری
و از خرافاتی که لباس ایمان پوشیده‌اند محفوظ بدارد
و ما را انسان نسل نوین آزاده و آگاه✌️

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.12.31

https://www.linkedin.com/posts/alirezaghahrood_the-cost-of-being-right-we-are-still-here-activity-7411883111938023424-bxYD

Cybersecurity Failures Are Often Management Failures
So🤓
Stop Blaming Hackers. Start Fixing Organizations

بحران‌هایی که از درون شکل می‌گیرند، نه از بیرون

در بسیاری از تحلیل‌ها، وقتی صحبت از حوادث و حملات سایبری می‌شود، نگاه‌ها فورا به سمت مهاجم خارجی، ابزارهای پیچیده یا ضعف‌های فنی می‌رود. اما تجربه‌ی میدانی من نشان می‌دهد ریشه‌ی بخش قابل توجهی از این بحران‌ها، درون خود سازمان‌هاست.

ضعف در درک مدیریتی از امنیت، نگاه تزئینی به استانداردها، نبود نظارت مؤثر، فقدان تفکیک وظایف، تصمیم‌گیری‌های سلیقه‌ای و بی‌توجهی به سرمایه انسانی، زمینه‌ای می‌سازد که حتی ساده‌ترین خطاها به بحران‌های جدی تبدیل شوند.

امنیت سایبری نه یک محصول است، نه یک گزارش و نه یک گواهی روی دیوار. امنیت، یک تعهد مدیریتی، رفتاری و ساختاری است که اگر به‌درستی در DNA سازمان نهادینه نشود، هرچقدر هم ابزار داشته باشیم، نتیجه متفاوت نخواهد بود.

این گفت‌وگو خلاصه تلاشی است برای باز کردن همین زاویه‌ی پنهان
جایی که ریشه‌ی بسیاری از تهدیدها نه بیرون، بلکه درون سازمان شکل می‌گیرد.

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.12.31

#CyberSecurity
#Leadership
#Governance
#RiskManagement
#SecurityCulture
#امنیت_سایبری
#حکمرانی_سایبری
#مدیریت_ریسک

Peivast | پیوست
🙏😇

https://peivast.com/magazine/%d8%b4%d9%85%d8%a7%d8%b1%d9%87-%db%b1%db%b4%db%b1

#DiyakoSecureBow
————————————
CISO as a Service (vCISO)

As we step into 2026,
we wish you a year filled with security, resilience, and meaningful success.

May the year ahead bring clarity in decisions,
strength in challenges, and trust in every partnership.

Happy New Year 2026 ✨🎇

-Secure Business Continuity-
2026.01.01
————————————————
#HappyNewYear202 #NewYear2026
#SeasonGreetings #NewBeginnings

https://www.linkedin.com/posts/diyako-secure-bow_diyakosecurebow-happynewyear202-newyear2026-activity-7412180044044816384-9vKl

Greetings to the conservatives,
always one step away from the truth,
yet perfectly safe.

سلام بر محافظه‌کاران، همیشه یک قدم عقب‌تر از حقیقت،
اما درست وسط منطقه‌ی امن!

در هر بحران اخلاقی، سه نقش وجود دارد:
کسی که آسیب می‌زند، کسی که آسیب می‌بیند‌ و کسانی که تماشا می‌کنند. بی‌طرفی معمولا انتخاب گروه سوم است. این انتخاب در ظاهر آرام و عقلانی به نظر می‌رسد، اما در عمل خنثی نیست. وقتی نابرابری، ظلم، دروغ یا سوءاستفاده روشن است، سکوت و کنار ایستادن باعث می‌شود توازن قدرت به نفع عامل خطا حفظ شود و هزینه‌ی وضعیت موجود بر دوش فرد یا گروه آسیب‌دیده باقی بماند. به همین دلیل، در اخلاق، بی‌طرفی در چنین شرایطی اغلب به‌عنوان مشارکت غیرمستقیم در تداوم خطا فهمیده می‌شود، نه به‌عنوان بی‌گناهی!

بسیاری از افراد نه از روی بدخواهی، بلکه به دلیل ترس از هزینه‌ها، از دست دادن موقعیت، یا عادی شدن خطا بی‌طرف می‌مانند. اما اخلاق نیت را به‌تنهایی کافی نمی‌داند، پیامد رفتار یا سکوت را هم می‌سنجد. اگر سکوت تو به ادامه‌ی آسیب کمک کند، اخلاق تو را خارج از صحنه حساب نمی‌کند. در عین حال، اخلاق واقع‌گراست و از همه انتظار قهرمانی ندارد. ناتوانی واقعی با بی‌طرفی آگاهانه فرق دارد. اما از کسی که مسئله را می‌فهمد، انتظار دارد دست‌کم مرز خود را مشخص کند، خطا را عادی جلوه ندهد، نام درست آن را به زبان بیاورد و کنار قدرت ناحق نایستد.

در نهایت، بحران اخلاقی لحظه‌ی انتخاب است، نه لحظه‌ی تماشا.

انتخاب میان راحتی سکوت و مسئولیت موضع‌داشتن. تاریخ معمولا کسانی را که ظلم کرده‌اند محکوم می‌کند، اما سکوت آگاهانه را هم فراموش نمی‌کند، چون بسیاری از نابرابری‌ها نه فقط با شرارت، بلکه با همین سکوت‌ها دوام آورده‌اند.

چرا آدم‌ها بی‌طرف می‌مانند؟
اخلاق و روان‌شناسی اجتماعی چند دلیل پرتکرار را نشان می‌دهند:
• ترس از هزینه (جایگاه، شغل، امنیت)
• عادی‌سازی شر (همه همین کار را می‌کنند)
• تفویض مسئولیت (یکی دیگر واکنش نشان می‌دهد)
• پنهان شدن پشت عقلانیت ظاهری (من احساسی نیستم، منطقی‌ام)

اما نکته‌ی تلخ اینجاست:
بیشتر بی‌طرفی‌ها، شجاعانه نیستند، محافظه‌کارانه‌اند.

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2026.01.01

https://www.linkedin.com/posts/alirezaghahrood_greetings-to-the-conservatives-always-one-activity-7412383837554511873-ENNG

Determinism: The Line Between Control and Chaos in OT Security

متاسفانه در حوزه امنیت OT
سال‌هاست با یک خطای تکرارشونده روبه‌رو هستیم این‌که امنیت IT را بدون درک عمیق از فرآیند، عملیات و واقعیت‌های صنعت بر تن زیرساخت‌های OT و SCADA می‌پوشانند و نامش را تخصص می‌گذارند.

کلاس‌هایی برگزار می‌شود که از امنیت صنعتی فقط نامی دارند، بی‌آن‌که کسی بداند Availability در OT یعنی چه، رفتار سیستم باید قابل پیش‌بینی، تکرارپذیر و زمان‌مند دقیق باشد چرا خط قرمز است!؟ و کوچک‌ترین اختلال چگونه می‌تواند زنجیره تولید، ایمنی و اعتماد را فرو بریزد.

مشاوره‌هایی ارائه می‌شود که ISO/IEC 27001 را کنار Audit شبکه SCADA می‌گذارند، بی‌آن‌که تفاوت ماهوی IT و OT، یا نسبت امنیت با Safety و فرآیند صنعتی را فهم کرده باشند.

امنیت OT اما چک‌لیست نیست، اسلاید نیست و با چند ابزار و استاندارد حل نمی‌شود.‌امنیت OT فهم عمیق فرآیند است، حضور میدانی است،
شناخت ریسک‌هایی است که فقط در کتاب‌ها نوشته نشده‌اند‌ و مسئولیتی است که مستقیما با جان انسان‌ها و پایداری صنعت گره خورده.

در تعاملات اخیر با چند سازمان نفت، گاز و پتروشیمی گفت‌وگوهایی شکل گرفت که واقعا لذت‌بخش بود و شرایط انتقال تجربه در امنیت صنعت با تجارب اخذ شده در امارات، عربستان و سایر کشور ها نه از جنس شعار و مدرک بلکه مبتنی بر تجربه، پرسش‌های واقعی، چالش‌های عملیاتی و نگاهی که OT را همان‌طور می‌بیند که هست، نه آن‌طور که در پاورپوینت‌ها نمایش داده می‌شود.‌ این گفت‌وگوهای عمیق و حرفه‌ای نشان داد که هنوز هم در این سرزمین، بدنه‌ای آگاه، مسئول و دغدغه‌مند وجود دارد اما و اگر بماند!

امیدوارم روزی برسد که نظارت جدی‌تری بر متخصص‌نماها اعمال شود، کامیونیتی امنیت آگاه‌تر و مطالبه‌گرتر باشد🥸و تشخیص تخصص نه بر اساس عنوان، رابطه یا مدرک، بلکه بر پایه دانش واقعی، تجربه میدانی و مسئولیت‌پذیری انجام شود.

در شرایطی که زیرساخت‌های حیاتی کشور با ریسک‌های واقعی مواجه‌اند، جای آزمون و خطا نیست، جای مسئول‌نماها نیست، جای متخصصان واقعی است. امنیت OT شوخی‌بردار نیست نه برای صنعت، نه برای اقتصاد و نه برای جان انسان‌ها.

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2026.01.02

If You Haven’t Done It, What Are You Teaching?

در بسیاری از کشورها، از جمله همین امارات، مشاوره امنیت یک مسیر روشن و قابل ردگیری دارد، از کارشناس شروع می‌شود، در میدان اجرا بالغ می‌شود و بعد فقط به سطح مشاوره و راهبری می‌رسد. اما در کشور من، ایران، مدت هاست پدیده‌ای نگران‌کننده رواج پیدا کرده است. کافی‌ست نگاهی به لینکدین بیندازیم، تقریبا هیچ‌کس کارشناس نیست. همه از ابتدا مدیر بوده‌اند، مشاور ارشد، استراتژیست یا CISO. سؤال ساده است: همه مدیر یک کلاس چند کلاس کردند!؟

این تناقض وقتی جدی‌تر می‌شود که خروجی بسیاری از پروژه‌های امنیتی را می‌بینیم، چند جلسه حرف، نهایتا دو یا سه سند مرتب و تمام. اما اجرا کجاست؟ پیاده‌سازی کجاست؟ امنیت قرار نیست فقط روی کاغذ درست باشد. مشاوره امنیت یعنی تصمیم‌گیری در شرایط ابهام، فشار و ریسک یعنی وقتی سیاست‌ها جواب نمی‌دهند، بدانی در شبکه، در SOC، در OT و در بحران واقعی چه باید کرد. نه اینکه صرفا کتاب‌ها را ترجمه کنیم، اسلایدها را زیبا بچینیم و اسمش را Best Practice بگذاریم واقعا نام باید برد با فکت!؟

سازمان‌ها هزینه می‌کنند برای دانش همراه با تجربه، نه برای بازگویی محفوظات. نه برای مشاوره‌ای که خودش هیچ‌وقت مجبور به اجرا نبوده. اگر کسی هیچ‌وقت incident واقعی را مدیریت نکرده، پای سیستم عملیاتی نایستاده و هزینه‌ی یک تصمیم اشتباه را نداده، سؤال روشن است: تجربه‌ات دقیقا کجاست؟

و این مشکل فقط به مشاوره ختم نمی‌شود‌ آموزش هم دقیقا‌به همین درد دچار شده است. آموزش بدون تجربه یعنی چه؟ تدریس امنیت‌بدون اینکه مدرس حتی یک‌بار درگیر بحران واقعی شده باشد؟ اگر آموزش فقط خواندن کتاب است، خب کتاب را همه می‌توانند بخوانند. اگر صرفا تفسیر اسلاید و ترجمه محتواست، پس کلاس چه معنایی دارد؟

کلاس وقتی معنا پیدا می‌کند که مدرس از شکست بگوید، از تصمیم غلط، از جایی که اجرا جواب نداده و از چیزی که اگر برگردد، دیگر انجامش نمی‌دهد‌ وگرنه آموزش تبدیل می‌شود به تفسیر کتاب و تولید کارشناس‌های اسلایدی پر از اصطلاح، خالی از میدان. دانش بدون تجربه، در بهترین حالت ناقص است و در بدترین حالت، گمراه‌کننده.

در دنیای امروز، رزومه واقعی آدم‌ها فقط روی کاغذ نیست. لینکدین، اگر بلد باشی بخوانی، روان‌شناسی عریان مسیر حرفه‌ای آدم‌هاست. ببین چه نوشته، چه ننوشته، از کجا شروع کرده، چطور جلو آمده، کجا ایستاده و کجا فقط ایستاده‌نمایی کرده است. یاد بگیریم بررسی کنیم، احراز کنیم و سؤال بپرسیم.

صرف چند سال بیمه، چند نام سازمانی یا چند مدرک رنگی، معیار تجربه نیست. این‌ها مهم‌اند، اما تعیین‌کننده نیستند. آن‌چه وزن دارد، تجربه واقعی است، اینکه چه چیزی را واقعا انجام داده‌ای، نه اینکه فقط کجا اسمت ثبت شده باشد.

آموزش امنیت بدون لمس سیستم، بدون خطا، بدون فشار و بدون مسئولیت، می‌شود کلاس تئوری نه تربیت متخصص. با همین نگاه، اگر بخواهم صادقانه بگویم، تعداد جاهایی که بتوان با خیال راحت توصیه‌شان کرد زیاد نیست.

اگر امروز سخت‌گیری نکنیم، فردا باید هزینه‌اش را در پروژه، در بحران و در اعتماد از دست‌رفته بدهیم. در امنیت،‌ نه آموزش بدون تجربه معنا دارد، نه مشاوره بدون اجرا اعتبار.

مرز را باید دوباره تمیز کرد. این مرزبندی درد دارد، اما لازم است. چون در نهایت، عنوان‌ها کمکی نمی‌کنند فقط واقعیت اجراست که باقی می‌ماند و شرافت یعنی جلوی آینه قدی گربه نباشی اما توهم ببر بنگال داشته باشی!

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2026.01.02

https://www.linkedin.com/posts/alirezaghahrood_if-you-havent-done-it-what-are-you-teaching-activity-7412894003664412672-o4SI

From Threat Intelligence 2 Threat Decoration
Designed to Impress, Not to Decide🥸
So Pretty Models Don’t Stop Real Threats

حدود ١/۵سال را در امارات می‌گذرانم. جایی که سرمایه هست، ابزار هست و بازار پر از نام‌ها و راهکارهاست. اما تفاوت واقعی نه در حجم پول است و نه در تعداد Vendorها بلکه تفاوت در ضریب فرهنگ سازمانی، در بلوغ زیرساخت‌های IT و در فهم تحول دیجیتال و امنیت به‌عنوان یک فرآیند زنده و در حال تکامل است، نه یک پروژه‌ی مقطعی یا یک بسته‌ی آماده.

مشکل ما در بسیاری از سازمان‌ها کمبود استاندارد نیست بلکه مسئله این است که استاندارد را می‌خریم، نه اینکه آن را بفهمیم. ISMS، ITIL، COBIT یا ISO 27001 اغلب به فایل‌هایی تبدیل می‌شوند که از جایی دیگر کپی شده‌اند، کمی تغییر نام داده‌اند و با این تصور که پیاده‌سازی انجام شد سپس بایگانی می‌شوند. بعد از آن هم انتظار می‌رود همه‌چیز در عمل درست کار کند.

جمله‌ی آشنای آستین بالا بزنید و اجرا کنید دقیقا از همین‌جا شروع می‌شود جایی که خروجی‌ها هنوز روی کاغذند، نه در رفتار سازمان، نه در تصمیم‌سازی‌ها و نه در فرآیندهای واقعی. استاندارد در این حالت تبدیل می‌شود به مجسمه‌ای زیبا که دورش می‌چرخیم، تحسینش می‌کنیم، حتی برایش هزینه می‌دهیم، اما جان ندارد و حرکتی از آن برنمی‌آید.
اگر ظرفیت هست خروجی شرکت ها در داخل ایران رو با فکت صحبت کنیم!؟تا فاجعه را لمس کنیم.😀

استاندارد قرار نیست نقطه‌ی شروع باشد، استاندارد باید خروجی بلوغ باشد. ابزار هم قرار نیست جای فهم را بگیرد ابزار فقط سرعت‌دهنده‌ی فهم است. وقتی امنیت به‌جای اینکه یک قابلیت درونی‌شده در سازمان باشد به شکل یک پروژه‌ی تحمیلی دیده می‌شود، نتیجه همیشه یکسان است: خروجی‌های مشابه برای همه، بدون بومی‌سازی، بدون پایداری و بدون امکان دفاع در زمان بحران.

این تصویر خلاصه‌ی تمام همین درد است. برای مثال مسئله، کمبود ابزار یا سرمایه نیست. مسئله، نداشتن درک عمیق از Threat Intelligence به‌عنوان یک چرخه‌ی تصمیم‌سازی واقعی است چرخه‌ای که باید در فرهنگ، ساختار و رفتار سازمان نفس بکشد، نه اینکه فقط در گزارش‌ها دیده شود🤓

این تصویر در پست من دقیقا پس همین واقعیت را نشان می‌دهد دایره‌ای پر از واژه‌ها، ابزارها، تهدیدها و اصطلاحات سنگین که اگرچه روی کاغذ کامل به‌نظر می‌رسند، اما بدون درک و بلوغ واقعی، فقط یک نمودار زیبا باقی می‌مانند. مسئله، کمبود دیتا یا ابزار Threat Intelligence نیست مسئله این است که این چرخه در تصمیم‌سازی زنده نمی‌شود. وقتی تحلیل تهدید به رفتار، اولویت و اقدام تبدیل نشود نتیجه‌اش فقط گزارش است، نه امنیت. اینجاست که Threat Intelligence از قابلیت سازمانی به تزئین مستندات سقوط می‌کند، دقیقا همان چیزی که این تصویر، بی‌رحمانه و صادقانه فریاد می‌زند.با قیل و قال برای کوتاه قامتان از منظر تجربه و‌تخصص!

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2026.01.03

https://www.linkedin.com/posts/alirezaghahrood_from-threat-intelligence-2-threat-decoration-activity-7412978460803080192-pQRV

Being present in a security working group is not the same as being effective. Silence, unread documents, and coffe break participation don’t build security expertise, accountability, and real engagement do👍🏽

از همه جا ۱/۵ ساله لفت دادم عضو یک کارگروه امنیتی هستم به دعوت نهاد حکمران و به توصیه، کارگروهی که قرار است محل تصمیم‌سازی، تحلیل تخصصی و مسئولیت‌پذیری باشد. اما واقعیت این است که در بسیاری از این کارگروه‌ها، عضویت‌بیشتر یک عنوان است ان هم برای لینکدین😂دوستان تا یک نقش واقعی. اسناد فنی‌ای که ساعت‌ها برایشان زمان صرف شده مطرح می‌شوند، موضوعات جدی روی میز می‌آیند، اما اغلب واکنش‌ها فقط نگاه‌کردن است🥸نه سؤال، نه نقد، نه حتی یک نظر حداقلی. به‌جز دبیر کارگروه، بقیه یا ساکت‌اند یا کاملا بی‌تفاوت.شما رو‌میگم دقیقا شما ها😌

جالب‌تر اینجاست که همان سکوت‌ها در جمع، بعدتر تبدیل می‌شود به پیام‌های خصوصی. نه درباره محتوا، نه درباره تصمیم‌ها، بلکه درباره حاشیه این‌که چرا قهرود در گروه استیکر کارتونی ارسال می کند و این را بی‌احترامی تلقی کرده‌اند. در حالی که بی‌احترامی واقعی چیز دیگری است. بی‌احترامی یعنی در جلسه آنلاین یا حضوری حاضر باشی اما حتی زحمت ندهی مستنداتی را که حاصل ساعت‌ها کار فکری و تخصصی است بخوانی. بی‌احترامی یعنی نه بلد باشی، نه نظر بدهی، نه مسئولیت بپذیری، اما همچنان صندلی عضویت را اشغال کنی.🥹تازه برای عضویت لابی هم کرده باشی ای خدا قلبم!

این کارگروه‌ها کم هم نیستند پر از جلسه، پر از عنوان، پر از تصمیم‌های روی کاغذ. اما در جلسات حضوری، بعضی حضورها بیشتر شبیه دورهمی است ‌قهوه و نسکافه و کیک و میوه هست، اما فکر، تحلیل و مسئولیت کمتر دیده می‌شود. امنیت با پذیرایی جلو نمی‌رود و تصمیم با سکوت ساخته نمی‌شود.

عضویت اگر با مشارکت همراه نباشد، اگر خروجی نداشته باشد و اگر مسئولیت نیاورد، اسمش هر چه باشد کار کارشناسی نیست. کارگروه امنیتی جای ادا نیست، جای نمایش نیست، جای بودن بی‌اثر نیست. خدایم ما را از شر این مدل عضویت‌های نمایشی و آدم‌هایی که فقط هستند اما هیچ نقشی ندارند، دور نگه دارد.

+Yashar Esmaildokht
دوست‌دارم با چت های خصوصی 😍😂خودمون مشابه تصویر

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2026.01.03

https://www.linkedin.com/posts/alirezaghahrood_being-present-in-a-security-working-group-activity-7412986204272631808-capV