🔤با توجه به پرسش های دوستان در مورد مقاله قبل ، لازم دیدم در مورد محیط کوبرنتیر و کانتینر ابتدا آموزش هایی داشته باشم تا بتوانم مراحل پیشرفته در این محیط‌ها رو بیشتر بحث کنم و از تجربیات بگویم

بعنوان مقدمه این ویدئوی کوتاه رو ببینید

https://www.aparat.com/v/h71z6cb

🔤بررسی چهار قلم مهم در محیط کوبرنتیز


در یک نگاه معماری، کوبرنتیس روی چهار ستون اصلی تکیه دارد: Pod، Node، Service و Namespace.

هرکدام یک نقش کاملاً متفاوت دارند و هیچ‌کدام جای دیگری را نمی‌گیرد. این چهار عنصر در کنار هم ساختار اجرایی، شبکه‌ای، امنیتی و سازمانی کلاستر را می‌سازند.

و اما Pod : کوچک‌ترین واحد اجرایی است؛ جایی که کانتینرها واقعاً اجرا می‌شوند. از دید معماری، پاد «محل اجرای سرویس» است و مسئولیت آن محدود به اجرای فرآیندها، اشتراک شبکه و ذخیره‌سازی موقت بین کانتینرهای داخل خود است. پاد یک واحد کاملاً زودگذر است و به‌صورت پویا توسط کنترلرها ایجاد یا نابود می‌شود؛ بنابراین معماری کوبر ( K8s) هیچ‌گاه روی پاد به‌عنوان یک آدرس یا موجودیت پایدار حساب نمی‌کند.

و Node: بستر فیزیکی/مجازی اجرای پادهاست. در معماری، نود حکم «ماشین کارگر» را دارد و مسئول اجرای کانتینرها، مدیریت منابع، ارتباط با API Server و اجرای شبکه داخلی است. هر نود مجموعه‌ای از مؤلفه‌های حیاتی مانند kubelet و kube‑proxy را دارد که نقش سیستم‌عامل کلاستر را ایفا می‌کنند. از دید Capacity Planning، نود همان لایه زیرساخت است.

و Service نقش «هویت پایدار شبکه‌ای» را بازی می‌کند. چون پادها دائماً ایجاد و حذف می‌شوند، Service یک آدرس ثابت برای مجموعه‌ای از پادهای متغیر ارائه می‌دهد. این مفهوم در معماری توزیع‌شده حیاتی است؛ بدون Service امکان Load Balancing، Service Discovery و ارتباط پایدار بین سرویس‌ها وجود ندارد. سرویس در حقیقت Network Abstraction لایه Application است.

و Namespace: لایهٔ سازمان‌دهی و مرزبندی منطقی است. از نگاه معماری، Namespace ساختار «تقسیم دامنه» را فراهم می‌کند: جداکردن تیم‌ها، محیط‌ها، سیاست‌ها، RBAC، ResourceQuota و NetworkPolicy. این مفهوم امنیت، مدیریت، توسعه مستقل و جلوگیری از تداخل سرویس‌ها را ممکن می‌سازد. اگر پاد واحد اجراست، Namespace واحد حاکمیت و کنترل است.

در کنار هم، این چهار عنصر چارچوب کامل اجرای برنامه‌های توزیع‌شده در کوبرنتیس را شکل می‌دهند.

#آکادمی_روزبه

🔤مقوله DevOps شامل مجموعه‌ای از مراحل پیوسته است:
Plan، Code، Build، Test، Release، Deploy، Operate و Monitor.

کنترل XDR فقط محدود به CI/CD نیست. حضورش در DevOps سه سطح دارد:

سطح ۱: Pre‑runtime (Build, Test, Release)
سطح ۲: Admission & Deploy
سطح ۳: Runtime & Monitor (قلب XDR)


۱) عملکرد XDR در سطح Pre‑runtime
(Build, Scan, Release)

وXDR در این مرحله نقش Image Security Platform را دارد:

• اسکن کامل Image قبل از Push به Registry (CVE، بدافزار، Library Attack)
• شناسایی ضعف‌های Dockerfile (مثل اجرای با user root)
• بررسی Base Image ها و وابستگی‌ها
• ارتباط مستقیم با Pipeline (GitLab, GitHub, Jenkins, Azure DevOps)
• اعمال Policy: اگر Image خلاف Rule باشد بلاک
• امضای Image (Content Trust) و تولید Evidence برای مرحله Deploy

خروجی این مرحله:
این Image «تأیید شده» وارد Registry می‌شود و XDR یک SBOM و Risk Score به آن اختصاص می‌دهد.
این Score در مراحل بعدی استفاده می‌شود.


۲) عملکرد XDR در Admission & Deploy
(در ورودی Kubernetes)

اینجا XDR در این سطح در کنار Admission Controller قرار می‌گیرد:

• بررسی اینکه ایمیج امضا شده و در مرحله Build تأیید شده باشد
• تطبیق Manifest با Policyهای امنیتی:
– privileged: false
– hostPath ممنوع
– Limitها تعریف شده
– Image Pull از Registry معتبر
• جلوگیری از Deploy پادهای ناسازگار
• ارتباط با Kubernetes API Server برای Block/Allow
• وابسته بودن تصمیم‌گیری به همان SBOM و Risk Score
• هماهنگی با Kyverno/Opa Gatekeeper (اگر باشند)

نتیجه:
پادهایی که در مرحله Build «پاک» شده‌اند، فقط در صورتی وارد کلاستر می‌شوند که Manifest آن‌ها هم امن باشد.
این همان لایه دوم XDR است.


۳) عملکرد XDR در Runtime & Monitor
(قلب XDR در K8s)

این‌جاست که XDRقدرت اصلی‌اش را نشان می‌دهد:

• سنسور eBPF روی Node برای نظارت Syscall
• رفتارشناسی Runtime برای تشخیص حملات واقعی:
– Lateral Movement
– Container Escape
– Reverse Shell
– Cryptomining
– مشکوک شدن Process Tree
• Drift Detection:
– نوشتن فایل غیرمجاز
– اجرای باینری ناشناخته
– تغییر Config در Container
– اتصال شبکه غیرعادی
• تحلیل Telemetry از کل کلاستر:
– ترافیک شبکه
– Process Behavior
– File Integrity
– API Server Events
• XDR Analytics:
– ارتباط‌دهی بین رویدادها (Correlation)
– جست‌وجوی حملات End-to-End (Kill Chain View)
• Response خودکار:
– توقف پاد
– quarantine container
– block outbound connection
– scale down سرویس آلوده
– Ticket به SIEM/SOAR

نتیجه:
اینXDRتبدیل می‌شود به چشم سازمان روی کلاستر ؛ جایی که حمله واقعی در Runtime اتفاق می افتد

#آکادمی_روزبه

🔤بخشهای مختلف XDR کجا نصب می‌شوند

اسکنر ایمیج (در CI/CD یا Registry)
کجا نصب می‌شود؟
روی هیچ سروری نصب نمی‌شود. 
با CI/CD یا Registry «ادغام» می‌شود.

مدل کار به جای نصب، این‌هاست:

• یک API Key از XDR می‌گیرید 
• داخل GitLab/GitHub/Jenkins قرار می‌دهید 
وXDR مرحله Build را اسکن می‌کند

اگر Registry مثل Harbor داشته باشید، XDR به آن وصل می‌شود و ایمیج را اسکن می‌کند.

پس بخش اسکن ایمیج هم Agent ندارد ؛ فقط یک Integration است.

۳) بخش سوم: Runtime Sensor (Agent روی Node)

این «تنها بخشی است که واقعاً روی سرور نصب می‌شود». 
روی Nodeهای Kubernetes نصب می‌شود، نه روی پادها.

نصبش شبیه این است:

• از داخل XDR یک فایل YAML می‌گیرید 
• آن را روی کلاستر apply می‌کنید

این YAML چه کار می‌کند؟

• یک Agent روی هر Node نصب می‌کند 
• این Agent با eBPF رفتار پادها را پایش می‌کند 
• داده‌ها را به XDR گزارش می‌دهد

این بخش قلب Runtime Protection است.

#آکادمی_روزبه

شرکت هامون برگزار میکند

یک دوره با چهار منبع جهانی

✔️دوره مدیر ارشد امنیت CISO


www.haumoun.com
09902857290 مرکز تماس آموزش

سالهاست که در مصاحبه های فارنزیک حضور داشته ام . هر مصاحبه برایم اندوخته ای داشته است و هرسال با مطالعات بیشتر ، خودم رو به واقعیتی که باید باشم نزدیک کرده ام. در هر سازمان و شرکت بالاخره انجام مصاحبه فارنزیک و جرم شناسی لازم خواهد شد پس بهتر است برای آن لحظه آمده باشید.

مصاحبهٔ فارنزیک یکی از مهم‌ترین مراحل تحقیقات جرم‌شناسی دیجیتال است و نقش کلیدی در کشف حقیقت، بازسازی رویداد و استخراج شواهد معتبر دارد. پیش از آغاز هر تحقیق، سازمان باید سیاست‌ها، رویه‌های استاندارد و چارچوب حفظ حریم خصوصی را تدوین کند تا فرآیند مصاحبه مشروع، سازگار با قوانین و قابل استناد باشد. مصاحبه معمولاً در پنج مرحله انجام می‌شود: معرفی، ایجاد رابطهٔ اعتماد، پرسش‌گری، جمع‌بندی و خاتمه. پرسش‌ها باید ترکیبی از سؤالات باز و بسته باشند و فضایی برای گفت‌وگوی آزاد فراهم کنند. CISO و تیم فارنزیک باید با دقت کامل پاسخ‌ها را ثبت، راستی‌آزمایی، و بدون قضاوت تحلیل کنند. علاوه بر فرد اصلی، مصاحبه با شاهدان و افراد مرتبط ضروری است. هنگامی که مصاحبه توسط افراد متخصص درون سازمانی انجام میشود، رعایت حقوق مصاحبه‌شونده، محرمانگی داده‌ها و مستندسازی بی‌طرفانه الزامی است. خروجی معتبر این فرآیند، بنیان تحلیل فنی، تصمیم‌گیری مدیریتی و مستندسازی حقوقی تحقیقات سایبری خواهد بود.


📡بخشی از درس مدیر ارشد امنیت CISO

متن کامل را در ویرگول نوشته ام .

https://vrgl.ir/HxtmL

چرا تشخیص ترافیک TLS جعلی برای امنیت سازمان حیاتی است

در سال‌های اخیر، ترافیک رمز‌شده به ستون فقرات ارتباطات سازمانی تبدیل شده است. اما همین نقطه‌قوت، به‌سرعت به یک سطح حمله مؤثر برای مهاجمان پیشرفته بدل شده است؛ زیرا بسیاری از فعالیت‌های مخرب اکنون در قالب «TLS جعلی» مخفی می‌شوند. TLS جعلی یعنی ارتباطی که از بیرون شبیه یک ارتباط امن و استاندارد TLS دیده می‌شود، اما در واقع توسط ابزارهای خودکار، Reverse Tunnelها، C2 Frameworkها یا اسکریپت‌های ساده Go/Python ایجاد شده و هیچ‌گونه انطباقی با الگوهای کلاینت‌های معتبر ندارد.

تشخیص چنین ترافیکی برای تیم‌های SOC و CISO‌ها حیاتی است؛ زیرا مهاجمان از این روش برای دور زدن فایروال، پنهان‌سازی Beaconing، استخراج داده و حرکت عرضی استفاده می‌کنند. اولین شاخص مهم، TLS Fingerprintهای غیرطبیعی مانند JA3/JA3S است که اغلب با مرورگرها همخوانی ندارند. نبود SNI، تعداد کم Cipher Suiteها، ALPN ناسازگار و Session Ticketهای غیرمعمول نیز همگی نشانه‌های واضحی از جعلی بودن ارتباط هستند.

در کنار تحلیل ساختاری، رفتار ترافیک نیز اهمیت دارد: ارتباطات کوتاه و مکرر، تبادل داده بسیار کم، و الگوهای زمانی ثابت،‌ همگی نشان‌دهنده یک کانال C2 پنهان‌شده داخل TLS است.

سازمان‌هایی که این نشانه‌ها را پایش نمی‌کنند، عملاً Blind Spot بزرگی ایجاد می‌کنند؛ جایی که مهاجم می‌تواند آزادانه تعامل کند، بدون اینکه توسط فایروال یا IDS دیده شود.


👍در دوره CISO به اندازه نیاز CISO به این مقولات خواهیم پرداخت

چالش‌های هاردنینگ ویندوز: بحث LSA و Credential Guard در جلوگیری از سرقت اعتبار بدون ایجاد ناسازگاری

هاردنینگ LSA و فعال‌سازی Credential Guard از مهم‌ترین لایه‌های دفاعی در ویندوز برای جلوگیری از Credential Theft هستند؛ اما اجرای درست آن‌ها بدون ایجاد اختلال در سرویس‌های عملیاتی، یکی از چالش‌های اصلی تیم‌های امنیتی و حتی مدیران دارای تجربه‌هایی مانند CISSP است.

مقوله LSA Protection با اجرای فرآیند LSASS در حالت محافظت‌شده (RunAsPPL)، مانع دسترسی ابزارهایی مانند Mimikatz به حافظه می‌شود؛ اما اگر سیستم دارای درایورها یا Agentهای قدیمی باشد، این فعال‌سازی می‌تواند موجب خطا در احراز هویت، VPN، SmartCard و حتی خدمات Domain Join شود. به همین دلیل، تست سازگاری پیش از اعمال سیاست روی محیط Production ضروری است.

این Credential Guard نیز با جداسازی اطلاعات حساس احراز هویت در محیط Virtualization-Based Security، حملات Pass-the-Hash و Pass-the-Ticket را به‌شدت محدود می‌کند. با این حال، برخی سرویس‌های Legacy یا ابزارهای قدیمی مایکروسافت با آن کاملاً سازگار نیستند و ممکن است رفتار غیرمنتظره داشته باشند.

چالش اصلی اینجاست: حداکثر امنیت بدون قربانی کردن Availability. راه‌حل عملی شامل ارزیابی وابستگی‌ها، تست مرحله‌ای، استفاده از Telemetry برای پایش رفتار پس از فعال‌سازی و مستندسازی کامل تغییرات است. فقط در این حالت می‌توان به بالاترین سطح امنیت دست یافت بدون آنکه سرویس‌های حیاتی سازمان دچار اختلال شوند.


⭐دوره مدیر امنیت CISO
ترکیبی از چهار دوره مهم جهانی

مهندسی امنیت و بانکداری دیجیتال:مدلسازی تهدید
نفوذ در تراکنش

در مثالی در مقاله زیر ضعف در درک صحیح «عملکرد مورد انتظار سیستم» و «جریان کاری کاربران» در سیستم بانکداری اینترنتی را بررسی کرده ام که باعث میشود مهاجم با سوءاستفاده از نقاط کور در منطق اعتبارسنجی و مدیریت نشست، فرآیندهای تراکنش بانکی را دور بزند.
مهاجم با ترکیب ضعف‌های workflow، تزریق رفتارهای خارج از مسیر طراحی‌شده، و دستکاری توالی درخواست‌ها، یک تراکنش جعلی ایجاد کرد که در کنترل‌های امنیتی تشخیص داده نشد. از دید CISSP، ریشه حمله در نقص Threat Modeling و Security-by-Design ،اعتبارسنجی ناکامل state، سوءمدیریت session، و فقدان کنترل‌های توالی رویدادها امکان بهره‌برداری را فراهم کردند.
امنیت سایبری در بانکداری فراتر از خرید WAF و پیاده‌سازی SSL است. این سناریو نشان می‌دهد که خطرناک‌ترین حملات، آن‌هایی هستند که «طبق قوانین سیستم» رفتار می‌کنند اما آخر سر سیستم را دور می‌زنند.


https://vrgl.ir/y9plN


🎉متن کامل را در ویرگول بخوانید
تبصره: بنا به ضروریات محرمانگی و قانونی ، بخشهایی ساده سازی شده اند.

نقش Actionable Intelligence در تصمیم‌سازی امنیتی و مدیریت تداوم کسب‌وکار

مقوله Actionable Intelligence به معنای اطلاعات پردازش‌شده، معتبر و قابل‌اتکا است که می‌تواند مستقیماً یک تصمیم، اقدام عملی یا بهبود اجرایی را هدایت کند. برخلاف داده خام یا گزارش‌های کلی، این نوع هوش شامل تحلیل، بافت زمینه‌ای (Context)، اولویت‌بندی و پیشنهادهای عملیاتی است؛ به همین دلیل در امنیت سایبری، مدیریت ریسک و برنامه‌ریزی تداوم کسب‌وکار نقش حیاتی دارد.
در محیط‌های امنیتی مانند SOC، Actionable Intelligence کمک می‌کند تهدیدات خام به هشدارهای قابل اقدام ترجمه شوند: مثلاً تشخیص اینکه یک IP مخرب فقط در Threat Feed آمده یا واقعاً به یکی از دارایی‌های حیاتی سازمان متصل شده است. این «قابلیت اقدام» باعث کاهش زمان واکنش، جلوگیری از تحلیل‌های اشتباه و تمرکز منابع بر مهم‌ترین تهدیدها می‌شود.
در حوزه BCP/DR نیز یافته‌های تست‌ها-مانند RTOهای محقق‌نشده، ضعف‌های لجستیکی یا نقص‌های ارتباطی-باید به بینش‌هایی تبدیل شوند که اصلاح ساختار برنامه، ارتقای رویه‌ها و افزایش آمادگی عملیاتی را هدایت کند. بدون Actionable Intelligence، نتایج تست‌ها یا گزارش‌های امنیتی فقط اسناد آرشیوی می‌شوند و تأثیری بر بهبود واقعی ندارند.

🌎بخشی از دوره مدیریت امنیت CISO

یک جمله طلایی در BCPو DRP

هرقدر زمان قابل‌تحمل توقف (RTO) کمتر باشد، سازمان مجبور می‌شود به سمت معماری‌های پیچیده‌تر، خودکارتر و بسیار گران‌تر حرکت کند.

برای RTO < 1 دقیقه، معماری زیر مرسوم است:

Active-Active Datacenter
Database Synchronous Replication
Kubernetes Self-Healing Cluster
Load Balancer with Health Checks
Distributed Storage
Real-Time Failover


🫴دوره مدیر امنیت CISO شرکت هامون www.haumoun.com

🏆در دوره CISO میخوانیم:
مدیریت ارشد از سیاست‌های راهبری (Governance Policies) برای کنترل فرایندهای تصمیم‌گیری خود و برای ایجاد سایر سیاست‌ها استفاده می‌کند.

مثال:
قبل از این‌که سیاستی نوشته شود، مدیریت ارشد سیاست Governance زیر را وضع کرده:
«تمام سیاست‌ها باید ریسک‌محور باشند.»
«مطابق با استانداردهای ISO 27001 و قوانین کشور باشند.»
«مسئولیت‌ها باید مشخص و قابل حسابرسی باشند.»


حالا تیم امنیت وقتی می‌خواهد Patch Policy بنویسد، باید:
✔ مبتنی بر ریسک باشد
✔ با قوانین کشور تضاد نداشته باشد
✔ نقش‌ها (CISO، IT Ops، SOC) را دقیقاً مشخص کند

این یعنی Governance، چارچوب ساخت همهٔ سیاست‌ها را تعیین می‌کند.

قانون اساسی کشور : Governance
قوانین عادی مجلس : سایر سیاست‌ها

آنچه که در ایران امروز برای برون سپاری بدان نیازمندیم:

نقش SOC 2 Type II در کنترل‌های زنجیره تأمین (Supply Chain Security Controls)

در مدیریت امنیت زنجیره تأمین، یکی از چالش‌های اصلی این است که سازمان بتواند اعتماد قابل اتکا نسبت به امنیت عرضه‌کنندگان (vendors)، ارائه‌دهندگان سرویس، و پیمانکاران ایجاد کند. بسیاری از تهدیدهای امروزی نه از طریق نقطه‌ضعف داخلی، بلکه از طریق زیر‌تأمین‌کنندگان (Sub-tier Suppliers) وارد محیط سازمان می‌شوند. به همین دلیل، چارچوب‌های مدیریت ریسک پیشرفته مانند NIST SP 800-161 و برنامه‌های آموزش ISSMP تأکید می‌کنند که سازمان‌ها باید مکانیسم‌هایی برای تأیید امنیت عملیاتی تأمین‌کنندگان داشته باشند. یکی از معتبرترین روش‌ها برای این ارزیابی، دریافت و بررسی گزارش SOC 2 Type II است.
گزارش SOC 2 Type II، برخلاف Type I، تنها طراحی کنترل‌ها را ارزیابی نمی‌کند، بلکه اثربخشی واقعی کنترل‌ها را در یک دوره زمانی چندماهه بررسی می‌کند. این ویژگی، SOC 2 Type II را به یک ابزار قدرتمند در ارزیابی امنیت زنجیره تأمین تبدیل می‌کند؛ زیرا به سازمان نشان می‌دهد که آیا عرضه‌کننده در عمل به کنترل‌های امنیتی پایبند بوده است یا خیر، نه فقط روی کاغذ.
در حوزه زنجیره تأمین، این گزارش نقش‌های کلیدی زیر را ایفا می‌کند:
✅️تأیید یکپارچگی عملیاتی Vendor از طریق شواهد مستند عملکرد کنترل‌ها (Access Control, Logging, Incident Response).
✅️کاهش ریسک ناشی از Third-Party Software و Cloud Providers با بررسی مستمر رویه‌های امنیتی آن‌ها.
✅️کاهش احتمال نفوذهای زنجیره تأمینی؛ مشابه حملاتی مانند SolarWinds که در اثر ضعف Vendor رخ داد.
✅️تضمین انطباق (Compliance Assurance) در برابر نیازهای قانونی، قراردادی و سیاست‌های داخلی سازمان.
✅️ایجاد قابلیت اعتماد (Assurance) برای اعطای ATO؛ به‌ویژه در محیط‌هایی که سیستم‌ها بر مبنای اعتماد به تأمین‌کنندگان بنا شده‌اند.

در نهایت، SOC 2 Type II به‌عنوان یک ابزار ساختاریافته و مبتنی بر شواهد، به مدیر امنیت کمک می‌کند تا ریسک‌های زنجیره تأمین را قابل اندازه‌گیری، قابل مانیتور و قابل کنترل سازد. استفاده از این گزارش، بخشی حیاتی از فرآیند Third-Party Risk Management (TPRM) و الزامی برای دریافت اعتماد امنیتی در معماری‌های مدرن و اکوسیستم‌های امروزی است.


📊برگرفته از دوره مدیر امنیت CISO
09902857290 www.haumoun.com

چرا امنیت سایبری ایران شکننده است؟ حلقه مفقوده «پذیرش ریسک»

یکی از بزرگ‌ترین چالش‌های امنیت سایبری در ایران، ضعف تکنولوژیک یا کمبود دانش فنی نیست؛ بلکه ریشه در یک نقیصه ساختاری و مدیریتی عمیق دارد: «عدم پذیرش رسمی ریسک توسط مدیران ارشد». در حالی که استانداردهای جهانی مانند NIST و سرفصل CISSPبر این اصل استوارند که امنیت صددرصدی وجود ندارد و ریسک‌های باقی‌مانده (Residual Risk) باید توسط بالاترین مقام اجرایی سازمان پذیرفته شوند، در ایران این چرخه معیوب است.

فقدان مالکیت ریسک در سطح مدیریت
در چارچوب‌های استاندارد جهانی، مدیر ارشد سازمان (Authorizing Official) تنها کسی است که حق دارد مسئولیت ریسک باقی‌مانده را بپذیرد و مجوز بهره‌برداری (ATO) صادر کند. در ایران اما، این فرآیند اغلب وارونه است. مدیران ارشد به جای آنکه «مالک ریسک» باشند، مسئولیت امنیت را تماماً به تیم‌های فنی و IT واگذار می‌کنند. این تصور غلط که «اگر نفوذی رخ داد، تقصیر واحد IT است»، باعث می‌شود ریسک‌های حیاتی پنهان بمانند و سرمایه‌گذاری لازم برای امنیت انجام نشود.

فرهنگ واکنشی به جای رویکرد مبتنی بر ریسک
مشکل دیگر، تبدیل شدن امنیت از یک فرآیند «ریسک‌محور» (Risk-Based) به یک واکنش «رخدادمحور» (Event-Based) است. در مدل صحیح، ابتدا تحلیل ریسک انجام می‌شود، بودجه تخصیص می‌یابد و پس از پذیرش ریسک توسط مدیر، سیستم عملیاتی می‌شود. اما در بسیاری از سازمان‌های ایرانی، سیستم‌ها صرفاً به دلیل «نیاز عملیاتی» و بدون دریافت مجوز امنیتی واقعی (ATO) راه‌اندازی می‌شوند. استراتژی غالب این است: «سیستم را بالا ببرید، اگر مشکلی پیش آمد، آن را وصله‌پینه می‌کنیم.»

ترس از امضا و مسئولیت‌پذیری
ریشه این نابسامانی در «ترس مدیران از امضا» نهفته است. در سیستم‌های استاندارد، امضای مدیر ارشد به معنای پذیرش آگاهانه ریسک است. اما در غیاب ساختارهای شفاف پاسخگویی، مدیران از پذیرش رسمی مسئولیت طفره می‌روند. نتیجه این است که ریسک نه کاهش می‌یابد، نه منتقل می‌شود و نه پذیرفته می‌شود؛ بلکه در فضای سازمان «رها» می‌شود تا زمانی که بحرانی امنیتی رخ دهد. تا زمانی که مفهوم Risk Acceptance به صورت رسمی و حقوقی در لایه مدیریت ارشد نهادینه نشود، امنیت سایبری کشور همچنان آسیب‌پذیر باقی خواهد ماند.

❤️دوره مدیر امنیت CISO
www.haumoun.com
09902857290