Hiring Now: Security Specialist

#استخدام #فرصت_همکاری #پیشنهاد_شغلی

استخدام کارشناس امنیت (Security Specialist)
محل خدمت: عسلویه | شیفت اقماری 14 روز کار / 7 روز استراحت

یک مجموعه صنعتی در عسلویه در راستای توسعه تیم امنیت سایبری خود، از متخصصین توانمند و باتجربه در حوزه امنیت و فناوری اطلاعات دعوت به همکاری می‌نماید.

شرایط و الزامات تخصصی
کاندیدای مناسب باید دارای توانمندی‌های زیر باشد:
• آشنایی کامل و تجربی با استانداردهای امنیت اطلاعات خصوصا ISO/IEC 27001
• آشنای مناسب به مدیریت ریسک امنیت اطلاعات و چارچوب‌های مرتبط
• توانایی کار با کنترل‌های امنیتی، تجهیزات و ابزارهای امنیت شبکه
• تسلط به مفاهیم و عملیات شبکه
• برخورداری از حداقل ۴ سال تجربه معتبر و مرتبط در حوزه امنیت و شبکه

مزایا و شرایط مالی
• حقوق ماهانه بین ۵۰ میلیون تا ۱۳۰ میلیون تومان (بسته به سطح مهارت و سابقه)
• کارانه
• پکیج‌های حمایتی و رفاهی
•صبحانه، ناهار، شام
•پرواز
• هدایای مناسبتی، عیدی و سنوات
• اقامتگاه، بن رفاهی و مزایای شیفت اقماری

نحوه درخواست
در صورت دارا بودن شرایط و تمایل به همکاری، لطفا رزومه به‌روز و مرتبط خود را به همراه متن همین آگهی از طریق واتس‌اپ یا تلگرام به شماره زیر ارسال نمایید:
09121964383

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.11.25

Tehran’s Invisible Emergency
The Air We Can See, The Danger We Can’t Ignore

کس نیست که تا بر وطن خود گرید
بر حال تباه مردم بد گرید
دی بر سر مرده‌ای دوصد شیون بود
امروز یکی نیست که بر صد گرید

#راهنما

اقدامات فوری (Immediate Actions)

۱) خارج شوید از فضای آلوده
اگر در فضای باز یا محیط آلوده هستید:
• سریع به فضای پاک‌تر و سربسته بروید.
• پنجره‌ها را ببندید.
• دستگاه تصفیه هوا اگر دارید روشن کنید.

۲) نفس‌های سطحی و آرام
تنفس عمیق در هوای آلوده بدتر می‌کند.
در چند دقیقه اول فقط:
• تنفس سطحی
• آب خنک بنوشید

درمان و مراقبت اولیه

۳) هیدراته بمانید
آلودگی هوا غشاهای تنفسی را خشک و ملتهب می‌کند.
نوشیدنی‌های مفید:
• آب زیاد
• آب ولرم با عسل
• دمنوش زنجبیل ملایم
• دمنوش آویشن
• دمنوش بابونه
• شیر گرم با کمی زردچوبه

ممنوع: قهوه زیاد، نوشابه، الکل

۴) شست‌وشوی بینی (Nasal Rinse)
با سرم شستشو یا آب نمک رقیق:
• آلودگی‌ها و ذرات معلق از بینی خارج می‌شوند
• التهاب کمتر می‌شود

روزانه ۲–۳ بار کافی است.

۵) داروهای مفید (بدون نسخه)
اگر علائم دارید:

برای سرفه و تنگی نفس ملایم
• شربت دکسترومتورفان
• یا شربت آویشن
• یا قرص pastille نعناع/اکالیپتوس

برای گلودرد
• قرص مکیدنی زینک
• آب‌نمک غرغره

برای سردرد یا بدن‌درد
• استامینوفن
• ایبوپروفن (اگر مشکل معده ندارید)

برای حساسیت

اگر عطسه، آبریزش، یا خارش دارید:
• یک عدد آنتی‌هیستامین مثل لوراتادین، سیتریزین، فکسوفنادین

۶) بخور گرم ۱۰ دقیقه
بخور گرم ساده (بدون اسانس) باعث:
• باز شدن راه‌های تنفسی
• کاهش التهاب
• کاهش سرفه

۷) تغذیه مناسب
غذاهایی که التهاب را کم می‌کنند:
• سوپ مرغ
• سیر، زنجبیل
• مرکبات (ویتامین C)
• عسل
• بادام، گردو
• سبزیجات سبز

خطرناک: غذای چرب، سرخ کردنی، سیگار، قلیان.

۸) چه زمانی فورا باید دکتر بروید؟ (Emergency Signs)
اگر هرکدام از این‌ها را دارید:
• تنگی نفس شدید
• درد قفسه سینه
• سرفه خونی
• سرگیجه زیاد
• تب بالا
• نفس‌نفس زدن
• خس‌خس شدید
• بیماری زمینه‌ای (آسم، قلبی، ریوی)

بلافاصله به پزشک یا اورژانس بروید.

۹) اگر بیماری زمینه‌ای دارید
اگر شما یا کسی آسم، آلرژی شدید، ضعف سیستم ایمنی، یا مشکلات قلبی دارد:
• اسپری‌های آسم را همراه داشته باشید
• ماسک N95 در فضای باز
• مصرف منظم داروهای روزانه

۱۰) پیشگیری روزانه در آلودگی هوا
• ماسک N95 یا FFP2
• خانه را تهویه نکنید در اوج آلودگی
• دستگاه تصفیه هوای واقعی (HEPA)
• مصرف آنتی‌اکسیدان‌ها (ویتامین C و D)
• شستشوی صورت و بینی بعد از بیرون رفتن

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.11.25

The Softest Reminder That I’m Alive
Between Noise and Stillness I Found Life
A Small Angel♥️, A Big Revelation😇

رازِ درونِ پَرْدِه زِ رِنْدانِ مَسْت پُرْس!
کاین حال نیست زاهِدِ عالی‌مَقْام را

وسط تمام این نشست‌ها و درخواست‌ها و حل‌مسئله‌های بی‌پایان کسب و‌کار، زندگی و و و و های نا تمام!
چشمم ‌افتد به بالکن …
و به عروسک فرشته‌ای که این روزها
معصومانه‌ترین بخش زندگی‌ام شده.

همان لحظه فهمیدم هیچ چیز واقعا جایگزین دیدن نمی‌شود
نه ضبط کردن، نه ثبت کردن، نه هیچ برنامه‌ریزی‌ای.
چیزی شبیه یک مکاشفه:
زندگی معنی خاصی ندارد
و شاید همین بی‌معنایی
عمیق‌ترین آزادی ممکن باشد.
وقتی چیزی برای از دست دادن نداری
انگار همه‌چیز را داری.

و بعد… آن حس عجیب در آغوش گرفتن
می‌دوی، می‌رسی،
و لحظه‌ای همه چیز متوقف می‌شود.
برای چند دقیقه نمی‌خواهی
دکمه ایجکت به کره ای دگر را با عجله در یابی!
برای چند دقیقه کور کور چالش ها می‌شوی و رقص های بالماسکه!
برای چند دقیقه فقط بودن مهم است.

آدم‌ها همه جا دنبال چیزی می‌گردند
که حال‌شان را بهتر کند
در حالی که گاهی شفا
نزدیک است نه‌ دور! از رگ گردن نزدیک تر

آن‌هایی را که دوست‌شان دارید
و دوست‌تان دارند بدون معادله/دلی، محکم بغل کنید
نه وقتی دیر شد
برای همین امروز
برای اینکه یادمان بیفتد زنده‌ایم.

+و‌ من روانی ‌موسیقی و پی مکاشفه دراگ این روز هایم.

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.11.27

AI Risk Management Is Not Optional Anymore
It’s the Next Layer of Cybersecurity

Artificial Intelligence is no longer a futuristic add on. It is now deeply embedded across business applications, user workstations, cloud platforms, and third party services. The real shift we’re facing in 2025 is not AI adoption, it is AI risk becoming a first class citizen inside the cybersecurity stack.

The white paper Definitive Guide to Managing AI Risk offers several critical insights that every CISO, CIO, and boardroom should understand:

مدیریت ریسک هوش مصنوعی دیگر انتخاب نیست، لایه جدید امنیت سایبری است
هوش مصنوعی دیگر یک قابلیت جانبی یا فانکشن جدید نرم‌افزار نیست. امروز هوش مصنوعی در تمام لایه‌های سازمان نفوذ کرده: از اپلیکیشن‌های تجاری تا ورک‌استیشن‌ها، سرویس‌های ابری و حتی فروشندگان ثالث

نکته مهم این است:
ریسک هوش مصنوعی یک برنامه جدا نیست؛ ادامه طبیعی مدل ریسک سایبری است

۱. ریسک هوش مصنوعی = امتداد منطقی ریسک سایبری
این گزارش تأکید می‌کند:
هوش مصنوعی ریسک‌های جدیدی مثل حملات داده‌سمی ، درفت مدل، بایاس، خطرات اخلاقی،حقوقی و… ایجاد می‌کند، اما همچنان داخل همان سیستم‌های اطلاعاتی موجود عمل می‌کند
بنابراین:
مدیریت ریسک هوش مصنوعی باید در دل مدل ریسک سایبری یکپارچه شود، نه اینکه یک برنامه موازی و مجزا باشد

۲. استاندارد NIST AI RMF
باید عملیاتی شود، نه فقط مطالعه
این وایت‌پیپر چهار فانکشن اصلی
NIST (Govern, Map, Measure, Manage)
را مستقیما با اجزای مدل مدیریت ریسک سایبری هم‌تراز می‌کند و نشان می‌دهد که چگونه Governance، KRIs، Controls و Reporting
می‌توانند بدون ایجاد دوباره‌کاری به‌روز شوند

۳. ریسک‌های کلیدی هوش مصنوعی که هر سازمان باید جدی بگیرد
• ریسک‌های داده در هوش مصنوعی: آلوده‌سازی داده، دزدی مدل، بایاس
• ریسک‌های عملیاتی: درفت مدل، نظارتی/حکمرانی ضعیف، خروجی‌های نادرست
• ریسک‌های اخلاقی/حقوقی: نقض حریم خصوصی، عدم شفافیت
• ریسک‌های آموزش مدل: دیتاست فرسوده، تغییر کانتکست، رفتارهای غیرمنتظره
این‌ها ریسک‌های نظری نیستند، در حال حاضر در حملات واقعی سوءاستفاده می‌شوند

۴. نیاز به کنترل‌های جدید و پیشرفته
کنترل‌های امنیتی باید گسترش یابند:
• کنترل‌های داده برای هوش مصنوعی
• کنترل‌های عملیاتی هوش مصنوعی
• کنترل‌های آموزش مدل
• کنترل‌های ریسک فروشندگان هوش مصنوعی
• فرآیند (تست، ارزیابی، اعتبارسنجی) مداوم

۵. اجتناب از هوش مصنوعی خود یک ریسک است
سازمان‌هایی که به‌طور کامل هوش مصنوعی را بلاک می‌کنند، در واقع دچار یک ریسک استراتژیک می‌شوند:
عقب‌ماندن از رقبا و کاهش بهره‌وری.

جمع‌بندی من
مدیریت ریسک هوش مصنوعی همان امنیت سایبری نسخه جدید است
نه یک انتخاب، بلکه یک الزام حیاتی برای سازمان‌هایی که می‌خواهند در برابر موج آینده تاب‌آور بمانند

Special Thanks ✔️❤️✌️👍
Rivial Data Security

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.11.27

https://www.linkedin.com/posts/alirezaghahrood_definitive-guide-to-managing-ai-risk-2025-ugcPost-7399560672566587392-jbgh

Thank you 4 the kind introduction.
Proud to join this year’s SkilledSphere Global Leadership & Innovation Conference 2026 a powerful platform for collaboration, innovation, and shaping the future.
Eager to engage with changemakers from around the world and create real impact together😇🙏🤓

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.11.27

https://www.linkedin.com/posts/alirezaghahrood_skilledsphere-leadershipsummit-globalleadership-activity-7399742691380625408-IJTQ

چشم‌انداز امنیت داده در سال ۲۰۲۵
واقعیت تلخ: بزرگ‌ترین تهدید، خود کاربر است نه مهاجم بیرونی!

نتایج گزارش جدید نشان می‌دهد که امنیت داده وارد مرحله‌ای بسیار حساس شده در مرحله‌ای که در آن رفتار انسان، رشد افسارگسیخته داده‌ها و استفاده از سامانه‌های هوش مصنوعی خودکار، ریسک از دست رفتن اطلاعات را چند برابر کرده‌اند.

۱. از دست رفتن داده همه‌گیر شده و مقصر اصلی انسان است
• ۸۵ درصد سازمان‌ها در یک سال گذشته با حادثه از دست رفتن داده مواجه شده‌اند
• تنها یک درصد کاربران، مسئول ۷۶ درصد تمام حوادث بوده‌اند😒
این یعنی مدل‌های قدیمی حفاظت از داده دیگر جواب نمی‌دهند؛ امنیت باید بر رفتار واقعی کاربران تمرکز کند.

۲. حجم داده‌ها در حال انفجار است
• ۲۹ درصد سازمان‌ها رشد بیش از ۳۰ درصدی در حجم اطلاعات داشته‌اند.
• ۵۹ درصد شرکت‌های بزرگ بیش از ۵۰۰ ترابایت داده نگهداری می‌کنند و ۲۷ درصد از آن‌ها بالای یک پتابایت.
• بررسی‌ها نشان می‌دهد ۲۷ درصد فضای ذخیره‌سازی ابری بدون استفاده رها شده که هزینه‌زا و پرخطر است.
رشد سریع داده، شناسایی و حفاظت از اطلاعات حساس را بسیار دشوار کرده است.

۳. هوش مصنوعی، ریسک داخلی را چند برابر کرده
سامانه‌های هوشمند خودکار، معمولا دسترسی بسیار گسترده به اطلاعات دارند و می‌توانند مثل کاربر فوق‌امتیاز رفتار کنند.👍
• ۴۴ درصد سازمان‌ها می‌گویند نبود دید نسبت به ابزارهای هوش مصنوعی، تهدید جدی است.
• ۳۲ درصد نگران دسترسی بی‌نظارت سامانه‌های هوشمند به داده‌ها هستند.
• در امارات، ۴۶ درصد بزرگ‌ترین ریسک را ورود اطلاعات حساس به مجموعه‌های آموزشی هوش مصنوعی می‌دانند.

۴. ایمیل همچنان اصلی‌ترین مسیر خروج اطلاعات است
• ۴۷ درصد سازمان‌ها خروج داده از طریق ایمیل را یکی از ریسک‌های اصلی می‌دانند.
• سازمانی با ۱۰ هزار صندوق ایمیل، سالانه ۶۵۶۷ پیام اشتباه ارسال‌شده دارد.🙂
بخش قابل‌توجهی از این پیام‌ها شامل پرونده‌ها و اطلاعات حساس است.

۵. تیم‌های امنیتی کم‌نیرو و خسته‌اند
• ۳۵ درصد سازمان‌ها با کمبود نیروی متخصص روبه‌رو هستند.
• ۴۱ درصد از تعدد ابزارهای امنیت داده و مدیریت دشوار آن‌ها گلایه دارند.
• ۲۱ درصد برای رسیدگی به یک حادثه از دست رفتن داده، تا چند هفته زمان نیاز دارند.
این یعنی اگر حادثه‌ای رخ دهد، اطلاعات برای مدت طولانی در معرض خطر می‌ماند.

۶. مسیر آینده: امنیت داده یکپارچه و تقویت‌شده با هوش مصنوعی
• ۵۵ درصد سازمان‌ها معتقدند راهکار یکپارچه، ریسک از دست رفتن داده را کاهش می‌دهد.
• ۵۰ درصد بزرگ‌ترین مزیت آن را امکان پذیرش امن هوش مصنوعی می‌دانند.
• ۶۵ درصد هم‌اکنون از ابزارهای هوشمند برای طبقه‌بندی خودکار داده‌ها استفاده می‌کنند.

جمع‌بندی
ورود سامانه‌های هوش مصنوعی و افزایش شدید حجم داده‌ها، ریسک‌ها را از همیشه پیچیده‌تر کرده است. دیگر دوران ابزارهای پراکنده و واکنش‌های دیرهنگام گذشته است.
آینده متعلق به امنیت داده یکپارچه، رفتارمحور و تقویت‌شده با هوش مصنوعی است،
مدلی که بتواند در لحظه ریسک را تشخیص دهد، تحلیل کند و واکنش مناسب نشان دهد

Special Thanks❤️✌️👍✔️
Proofpoint

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.11.27

https://www.linkedin.com/posts/alirezaghahrood_the-2025-data-security-landscape-proofpoint-activity-7399764000709709824-AB3e

گزارش وضعیت امنیت سامانه‌های صنعتی و عملیاتی ۲۰۲۵ تصویری روشن و البته نگران‌کننده از وضعیت امنیت زیرساخت‌های حیاتی ارائه می‌دهد. نتیجه روشن است:
صنعت در تشخیص بهتر شده، اما در تاب‌آوری و بازگشت به حالت پایدار هنوز فاصله دارد.

۱. رخدادها بسیار زیاد و اثرگذارند، اما بسیاری دیده نمی‌شوند.
طبق داده‌های گزارش، ۲۰ درصد سازمان‌ها در سال گذشته دست‌کم یک حادثه امنیتی داشته‌اند و ۴۰ درصد این رخدادها باعث اختلال عملیاتی شده‌اند. نکته بسیار مهم‌تر ۱۹ درصد از رخدادها بیش از یک ماه طول کشیده تا به‌طور کامل برطرف شوند.

این نشان می‌دهد که سرعت دیدن مشکل بهتر شده، اما بازگرداندن سامانه به وضعیت سالم همچنان بسیار کند است.

۲. نقطه ورود اصلی مهاجمان: دسترسی‌های راه‌دور.
نیمی از حملات از مسیر دسترسی بیرونی غیرمجاز آغاز می‌شود.
با وجود این آمار، کمتر از ۱۵ درصد سازمان‌ها کنترل‌های پیشرفته مانند ثبت و بازبینی نشست‌ها یا تأیید لحظه‌ای دسترسی را اجرا کرده‌اند.

این یعنی ضعیف‌ترین نقطه دفاعی، همان ورودی راه‌دور است.

۳. شکاف بزرگ در دید سامانه‌ای: فقط ۱۳ درصد پوشش کامل مسیر حمله دارند.
فقط ۱۳ درصد سازمان‌ها به مسیر کامل مراحل حمله در محیط صنعتی دید کافی دارند. در لایه‌های حساس مدل پردو مخصوص محیط‌های صنعتی یعنی لایه‌های نزدیک به تجهیزات و فرایند واقعی میزان دید به‌شدت پایین است.

این همان بخش‌هایی‌ست که پیامدهای ایمنی، فیزیکی و تولیدی در آن رخ می‌دهد.

۴. بلوغ واقعی فقط یک راز دارد: مشارکت تکنسین‌ها و نیروهای عملیاتی
سازمان‌هایی که خود را کاملا آماده ارزیابی کرده‌اند، چند ویژگی مهم دارند:
• ۶۶ درصد بیشتر نیروهای فنی و میدانی را در تمرین‌ها دخالت می‌دهند.
• چهار برابر بیشتر دید کامل به مسیر حمله دارند.
• در فعالیت‌های اشتراک‌گذاری اطلاعات تهدید فعال‌تر هستند.

در محیط صنعتی، امنیت بدون مشارکت افراد نزدیک به فرایند و تجهیز، فقط روی کاغذ است.

۵. آینده امنیت صنعتی: حرکت از تشخیص به تاب‌آوری.
صنعت باید از تمرکز صرف بر تشخیص عبور کرده و به سمت تاب‌آوری واقعی حرکت کند.
اقدامات کلیدی آینده عبارت‌اند از:
• بازگشت سریع و ایمن سامانه‌ها
• استفاده از مهندسی آگاه از تهدید
• تمرین‌های دوره‌ای برای بازیابی عملیاتی
• هم‌راست‌سازی امنیت با تحلیل‌های ایمنی صنعتی مانند ارزیابی‌های مخاطره فرایندی

جمع‌بندی مدیریتی گزارش ۲۰۲۵ یک پیام واحد دارد:
تشخیص سریع، کافی نیست، آنچه کسب‌وکار صنعتی را نجات می‌دهد توان بازگشت، تداوم و تاب‌آوری است. سازمان‌هایی که واقعا آماده هستند، این سه اقدام را بهتر از بقیه انجام می‌دهند:
۱.ایجاد دید عمیق و مداوم بر کل لایه‌های صنعتی
۲.اولویت دادن به بازگشت و ادامه کار، نه فقط تشخیص
۳. جذب و مشارکت دادن نیروهای فنی، مهندسی و عملیاتی در قلب برنامه امنیتی

Special Thanks to🙏♥️😇
SANS Institute
SANS Technology Institute

این مسیر آینده امنیت زیرساخت‌های حیاتی است.

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.11.28

https://www.linkedin.com/posts/alirezaghahrood_state-of-icsot-security-2025-activity-7400075331698720768-y3KQ

فرهنگ، حاصل حرف‌های بزرگ نیست، حاصل رفتارهای کوچک تکرارشونده است.

در هر جامعه‌ای از محیط کار تا یک شهر و یک کشور فرهنگ از همین جا شکل می‌گیرد: وقتی یک رفتار درست، هزار بار تکرار شود، تبدیل به واقعیت اجتماعی می‌شود. وقتی یک رفتار غلط، هزار بار تکرار شود، تبدیل به هنجار می‌شود.

فرهنگ را نه می‌شود جعل کرد، نه با دستور ساخت.
فرهنگ نتیجه سه چیز است:

۱. رفتارهای روزمره
نوع درخواست، احترام، وقت‌شناسی، صداقت، اعتماد، نحوه برخورد با تخصص. هزار بار که تکرار شود، به الگو تبدیل می‌شود.

۲. ساختارهای درست
قوانین شفاف، استانداردهای حرفه‌ای، نظام آموزشی، رسانه‌های مسئول.
هر جا ساختار غلط باشد، بهترین آدم‌ها هم دوام نمی‌آورند.

۳. الگوهای قابل‌اعتماد
فرهنگ با نمونه ساخته می‌شود، نه با نصیحت.
آدم‌های درست باید دیده شوند تا رفتار درست تکثیر شود.

در مقابل، سه چیز فرهنگ را آرام‌آرام تخریب می‌کند:
• ارزان‌سازی ارزش‌ها (وقتی احترام، تخصص، مسئولیت یا اخلاق بی‌قیمت می‌شود)
• بی‌اعتمادی (وقتی ادعا بیشتر از واقعیت باشد)
• ریاکاری و تناقض بین حرف و عمل

در نهایت:
فرهنگ، بزرگ‌ترین سرمایه هر جامعه است.
و سرمایه، با رفتار درست هر روزه ساخته می‌شود.

و‌چقدر من و تو و او در این آشفته بازار دخیلیم!؟

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.11.28

آدمى بر مبناى آنچه مى كند
و نمى كند اعتبار دارد نه بر مبناى
آنچه دهان لقى از روى هوا و هوس درباره او مى گوید.

کلیپ جذابی بود، پیشنهاد. میکنم برنامه کامل این قسمت و ببینید.🇮🇷🫶♥️


— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.11.29

https://www.linkedin.com/posts/alirezaghahrood_%D8%A2%D8%AF%D9%85%D9%89-%D8%A8%D8%B1-%D9%85%D8%A8%D9%86%D8%A7%D9%89-%D8%A2%D9%86%DA%86%D9%87-%D9%85%D9%89-%D9%83%D9%86%D8%AF-%D9%88-%D9%86%D9%85%D9%89-%D9%83%D9%86%D8%AF-%D8%A7%D8%B9%D8%AA%D8%A8%D8%A7%D8%B1-activity-7400458430261411840-jigX

من هرچقدر جلوتر می‌آیم، بیشتر برایم روشن می‌شود که در امنیت سایبری، ارزش واقعی نه در ابزار و استاندارد و مدرک، که در سلامت حرفه‌ای و صداقت رفتاری است.

برای من با نگاه CISO as a Service و GRC مهم‌ترین اصل این است که کار درست، درست انجام شود، فارغ از سطح تخصص طرف مقابل، جایگاه سازمانی، حدسیات و استدلال های حسی، یا فشارهای لحظه‌ای پروژه.

برای من و تیم دیاکو در این سه سال، این چند خط، تبدیل به معیار و اولویت شده است:
• در نوشتن RFP و طراحی مناقصه، حق نداریم عمدا نیاز واقعی سازمان را کوچک، مبهم یا سطحی تعریف کنیم.
• در برگزاری مناقصه و ارزیابی فنی، رضایت ظاهری، لابی یا شلوغ‌کاری نباید جای شایستگی واقعی را بگیرد.
• در مصاحبه با پیمانکاران، رزومه، مدارک تخصصی و گپ‌های فنی باید جدی و موشکافانه بررسی شود، نه این‌که فقط برای تکمیل فرم‌ها، تیک بزنیم.
• در نظارت بر کار پیمانکار، از PMO تا پایش گام‌به‌گام، باید گزارش‌ها را بفهمیم، چالش های تجربی با بیس استاندارد بپرسیم و روی خروجی واقعی بایستیم، نه روی پاورپوینت و شعار و گردش حساب و رتبه!

• حجم کار و فشار پروژه هرچقدر هم زیاد باشد، توجیهی برای کم‌کاری، سهل‌انگاری یا امضای چیزی که به آن ایمان نداریم، نیست.

این رویکرد همیشه خوشایند همه نیست.
گاهی دوست، همکار، کارشناس یا حتی مدیر و‌ مدیرعامل و‌ حتی … بگذریم ناراحت می‌شوند! چون ما روی معیارهای اصلی سازمان، کوتاه نمی‌آییم. اما از نگاه من، انحراف از معیارهای درست، یعنی خیانت به اعتماد سازمان و تضییع سرمایه‌ای که قرار است از آن محافظت کنیم.

واقعیت تلخ این است که در بسیاری از پیمانکاران حوزه امنیت، عدم اشراف به نیاز واقعی سازمان و کم‌کاری آگاهانه به یک عادت تبدیل شده از مستندسازی تا اجرا.

ما در دیاکو تصمیم گرفته‌ایم حتی اگر سخت و پرهزینه باشد در برابر این جریان ها بایستیم و تا به امروز هم به جد ایستاده ایم و سلامت حرفه‌ای، صداقت و انجام کار درست را قربانی هیچ مصلحت کوتاه‌مدتی نکنیم.

بماند به یادگار، سطح تخصص امنیت و عمقش هرچه قدر به آینده میرویم، در ایرانمان کم و کمتر می شود وقتی با کلی شرکت رتبه دار در فرایند مناقصه یک گپ تخصصی زده می شود آن هم نه عمیق، ۲ متری!🤠اوضاع ار فاجعه گذشته! و این اول ناراحت کننده است بعد مزیت رقابتی😵‍💫

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.11.29

#امنیت_سایبری
#حاکمیت_و_رعایت_مقررات
#دیاکو_سکیور_بو

علت‌ریشه‌ای بیش از نیمی از رخدادهای امنیتی در فضای ابری

بررسی‌های انجام‌شده در سه‌ماهه نخست سال ۱۴۰۲ نشان می‌دهد که بیش از نیمی از رخدادهای نقض امنیت در سامانه‌های ابری از ناحیه اطلاعات ورود و هویت‌های ضعیف آغاز می‌شوند.
این یافته، مهم‌ترین مسئله امنیتی این حوزه را به‌روشنی مشخص می‌کند:
کاستی در مدیریت هویت و بی‌توجهی به اصول کنترل دسترسی🥸علت‌ریشه‌ای اغلب رخدادهای امنیتی است.

۱. گذرواژه‌های ضعیف، ریشه اصلی رخدادها
بزرگ‌ترین بخش رخدادها نتیجه استفاده از:
• گذرواژه‌های ساده
• نبود گذرواژه
• حساب‌های رهاشده و بدون کنترل
در این شرایط مهاجم بدون نیاز به هیچ فنون پیچیده، به‌سادگی وارد سامانه شده و کنترل آن را به دست می‌گیرد.

علت‌ریشه‌ای: نبود سیاست مشخص برای انتخاب گذرواژه، نبود بررسی دوره‌ای حساب‌ها، و بی‌نظمی در مدیریت هویت کاربران.

۲. افشای اطلاعات ورود، خطای پنهان اما خطرناک
در بسیاری از سامانه‌ها، اطلاعات ورود ناخواسته در:
• کدها
• پرونده‌های پیکربندی
• یادداشت‌های داخلی
• فضای نگهداری اطلاعات
جا می‌ماند و همین مقدار اندک، کفایت می‌کند تا مهاجم به تمام بخش‌های سامانه دسترسی پیدا کند.

علت‌ریشه‌ای: نبود روند مشخص برای نگهداری امن رمزها و نبود نظارت بر روش کار تیم‌های توسعه و پشتیبانی.

۳. تنظیمات نادرست، تهدید خاموش
حدود یک‌پنجم رخدادها ناشی از تنظیمات اشتباه بوده است، مانند:
• باز بودن دسترسی‌ها برای همه
• پیکربندی نادرست دیوارهای حفاظتی
• سطح دسترسی بیش از اندازه برای کاربر یا سامانه
این خطاها معمولا توسط خود سازمان ایجاد می‌شود و مهاجم بدون نیاز به نفوذ فعال، از همین اشتباهات استفاده می‌کند.

علت‌ریشه‌ای: نبود الگوی استاندارد برای تنظیمات، نبود بازبینی دوره‌ای و وابستگی به کارهای دستی و سلیقه‌ای.

جمع‌بندی نهایی
در نگاه سطحی، رخدادهای امنیتی در فضای ابری پیچیده به‌نظر می‌رسند، اما بررسی دقیق نشان می‌دهد که:
ریشه‌ اصلی بیش از ۶۰ درصد رخدادها، سستی در مدیریت هویت، نبود مقررات روشن و تنظیمات نادرست است نه حملات پیچیده یا رخنه‌های فنی.

در واقع، امنیت فضای ابری زمانی پایدار خواهد شد که:
• هویت‌ها و گذرواژه‌ها مدیریت‌شده و استاندارد باشند
• نگهداری پسورد ها و اطلاعات ورود دارای روش مشخص باشد
• تنظیمات سامانه‌ها به‌صورت دوره‌ای بررسی و استانداردسازی شوند

این‌ها نه به ابزارهای گران‌قیمت، بلکه به نظم سازمانی، رعایت اصول پایه و مراقبت مستمر وابسته است.

Special Thanks 🙏♥️☺️
Mandiant (part of Google Cloud)
Google Cloud Security

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.11.30

شبکه‌سازی، مهارتی که بسیاری آن را اشتباه فهمیده‌اند.

این روزها لینکدین برای خیلی‌ها تبدیل شده به یک اپلیکیشن جمع‌آوری ارتباطات، اضافه‌کردن‌های پیاپی، درخواست‌های بدون مقدمه، پیام‌های بی‌هدف و ارتباطاتی که هیچ‌گاه به یک گفت‌وگوی واقعی تبدیل نمی‌شوند.

اما حقیقت این است که:
شبکه‌سازی = جمع‌کردن ارتباطات نیست.
شبکه‌سازی = ساختن رابطه‌های مفید، هدفمند و اثرگذار است.

متاسفانه در ایران، بخش قابل‌توجهی از کاربران لینکدین هنوز این مرز را نمی‌شناسند. از طرفی ضعف در زبان انگلیسی، کمبود تجربه گفت‌وگوی حرفه‌ای و نداشتن نمونه‌های موفق باعث شده بیشتر تعامل‌ها از جنس تک‌گویی باشند، نه گفت‌وگو!

مشکل کجاست؟
در عمل می‌بینیم:
• پیام‌های شروع بدون هدف
• درخواست‌های ارتباطی بدون معرفی
• ناتوانی در ادامه‌دادن یک گفت‌وگوی حرفه‌ای
• تمرکز روی پسندیدن و واکنش‌گرفتن، نه ایجاد رابطه
• ندانستن اصول مذاکره و معرفی ارزش خود

بسیاری لینکدین را با شبکه‌سازی واقعی اشتباه گرفته‌اند.
شبکه‌سازی یعنی شناساندن تخصص خود و یا کسب و‌کار، درک نیاز طرف مقابل، گفت‌وگو، تعامل، یادگرفتن و یاددادن، نه فقط فشردن دکمه افزودن، ساعت ها پای پست دیگران لایک و کامنت نوشتن( یعنی شما اینقدر بیکار و‌تایم رها دارید!؟ پس کسب و کار شما چیست!؟)یا صرف راوی داستان های غیر واقع یا کپی پیست هوش مصنوعی صرف ویو گرفتن! و …

تجربه شخصی من
من سال‌ها پیش، با اینکه داخل ایران کار می‌کردم،
بخش اصلی ارتباطات، مسیر شغلی و فرصت‌هایی که شکل گرفت، از دل همین پلتفرم بود. نه به خاطر تعداد دنبال‌کننده، نه به خاطر واکنش‌ها
بلکه به خاطر شبکه‌سازی مهندسی‌شده و هدفمند:
• گفت‌وگو
• انتقال تجربه
• پرسیدن
• ارزش‌آفرینی
• تعامل واقعی

این روند مسیر حرفه‌ای من را ساخت، نه عددهای زیر عکس پروفایل.

حقیقت ساده: شبکه‌سازی یک مهارت نرم است، و باید آگاهانه تمرین شود، شبکه‌سازی مؤثر یعنی:
• توانایی شروع یک گفت‌وگوی حرفه‌ای
• توانایی ادامه‌دادن و عمیق‌کردن رابطه
• فهمیدن اینکه طرف مقابل چه می‌خواهد
• نشان‌دادن اینکه شما چه ارزشی می‌توانید ایجاد کنید
• مراقبت از کیفیت رابطه، نه کمیت آن
• پیگیری محترمانه و هدفمند
• ساختن اعتماد، نه جمع‌کردن نشان و عدد

این مهارتی است که اگر تقویت شود
فرصت‌های شغلی، همکاری، یادگیری و رشد واقعی ایجاد می‌کند.

جمع‌بندی
لینکدین میدان دویدن صرف برای گرفتن لایک و کامنت و دنبال‌کننده نیست. محل ساختن رابطه‌های ارزشمند است.
شبکه‌سازی واقعی نه از افزودن بلکه از گفت‌وگو آغاز می‌شود.

اگر بخواهیم در جهان حرفه‌ای امروز دیده شویم
باید شبکه‌سازی اثرگذار را یاد بگیریم، مهارت کار با تکنولوژی و +زبان انگلیسی
نه شبکه‌سازی عددی و بی‌هویت را.

Special Thanks to
🙏♥️😇
LinkedIn
LinkedIn for Marketing
LinkedIn Talent Solutions

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.11.30

سپر حقوقی ایالات متحده در برابر نفوذ از مسیر مالکیت
تحلیل قانون سرمایه‌گذاری خارجی و امنیت ملی آمریکا

یکی از واقعیت‌های کمتر بیان‌شده درباره سازوکار قدرت در ایالات متحده این است که بیشترین سطح مداخله دولت دقیقا در بخشی رخ می‌دهد که همه آن را آزادترین حوزه اقتصاد تلقی می‌کنند: سرمایه‌گذاری خارجی.
در ظاهر، اقتصاد آمریکا مبتنی بر آزادی سرمایه و رقابت است، اما در عمل ورود هر نوع سرمایه‌گذار خارجی به صنایع حساس تنها پس از عبور از صافی امنیت ملی ممکن است.

این رویکرد بر پایه قانونی شکل گرفت که هدف اصلی آن جلوگیری از تبدیل مالکیت اقتصادی به سکوی نفوذ امنیتی رقبای ژئوپلیتیک بود. در نگاه سیاست‌گذاران آمریکایی، تسلط بر دارایی‌ها، زیرساخت‌ها، داده‌ها و فناوری، بخشی جدایی‌ناپذیر از قدرت ملی است.

مالکیت؛ نقطه آغاز امنیت ملی در دکترین ایالات متحده
آمریکا سال‌هاست که تهدید را فقط در تجهیزات نظامی یا فعالیت‌های جاسوسی نمی‌بیند، تهدید امروز می‌تواند از مسیر:
• مالکیت یک شرکت داده‌محور
• دسترسی به اطلاعات انبوه شهروندان
• ورود به زنجیره تامین فناوری
• یا حتی تملک یک قطعه زمین نزدیک تاسیسات دولتی
شکل بگیرد. به همین دلیل، مالکیت اقتصادی به رکن اصلی سیاست امنیت ملی آمریکا تبدیل شده است.

سازوکار نظارتی، دولت چگونه مداخله می‌کند؟

مبنای مداخله، بررسی تغییر کنترل است.
هر سرمایه‌گذاری خارجی که منجر به کنترل مستقیم یا غیرمستقیم یک شرکت در صنایع حساس شود، به‌صورت خودکار وارد فرآیند بررسی امنیتی می‌شود.

در این بررسی، تنها جنبه اقتصادی معامله ملاک نیست، بلکه مجموعه‌ای از پرسش‌های امنیتی طرح می‌شود:
• آیا سرمایه‌گذار جدید قادر به اعمال نفوذ عملیاتی خواهد بود؟
• آیا به داده‌ها و زیرساخت‌هایی دسترسی می‌یابد که ارزش ملی دارند؟
• آیا شرکت هدف بخشی از زنجیره تامین صنایع راهبردی است؟
• و مهم‌تر از همه، آیا این مالکیت می‌تواند در آینده ابزار فشار یا نفوذ ژئوپلیتیک شود؟

نتیجه این رویکرد، شکل‌گیری سخت‌گیرانه‌ترین نظام نظارت بر سرمایه خارجی در جهان است.

حوزه‌هایی که بیشترین حساسیت امنیتی را دارند. ایالات متحده فهرستی گسترده از بخش‌ها را زیر چتر امنیت ملی قرار داده است:
• شبکه‌های مالی
• صنایع نیمه‌هادی
• انرژی و زیرساخت‌های حیاتی
• علوم زیستی و زیست‌فناوری
• شبکه‌های مخابراتی
• سامانه‌های نرم‌افزاری و داده‌محور
• شبکه‌های اجتماعی
• املاک مرتبط با مناطق نظامی و دولتی
این موارد دیگر بخش اقتصادی نیستند، بلکه شاهراه‌های امنیت ملی به حساب می‌آیند.

دکترین امنیتی ایالات متحده بر یک اصل بنیادین استوار است:
قدرت از مسیر مالکیت عبور می‌کند و مالکیت، در نهایت به نفوذ می‌انجامد. حفاظت از زیرساخت و فناوری، از مالکیت آغاز می‌شود.

نکته پایانی و دغدغه‌ای درباره ایران
امیدوارم در کشورمان
زیرساخت مناسب داده، سامانه‌های احراز اطلاعات شفاف و دقیق و نظام آدرس‌دهی روشن در قالب قانون، الزام، ضمانت اجرای و فرآیند مشخص همراه با نظارت مکفی، آن‌هم با متولی پاسخگو و واحد ایجاد و نهادینه شود. در چنین چارچوبی است که می‌توان از منافع سرمایه‌گذاری بهره برد و در عین حال از کشور در برابر نفوذ اقتصادی و امنیتی محافظت کرد.

https://lnkd.in/dghH-QFs

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.12.01

https://www.linkedin.com/posts/alirezaghahrood_%D8%B3%D9%BE%D8%B1-%D8%AD%D9%82%D9%88%D9%82%DB%8C-%D8%A7%DB%8C%D8%A7%D9%84%D8%A7%D8%AA-%D9%85%D8%AA%D8%AD%D8%AF%D9%87-%D8%AF%D8%B1-%D8%A8%D8%B1%D8%A7%D8%A8%D8%B1-%D9%86%D9%81%D9%88%D8%B0-%D8%A7%D8%B2-%D9%85%D8%B3%DB%8C%D8%B1-activity-7401111577858420736-q8ty

به مناسبت روز جهانی امنیت سایبری که گذشت
و نقش ما در تأثیرگذاری بر جهان دیجیتال امن

به مناسبت روز جهانی امنیت سایبری، از خودم پرسیدم:
ما به‌عنوان متخصصان امنیت سایبری چه اثری در حوزه کاری‌مان گذاشته‌ایم؟ چه تغییری ایجاد کرده‌ایم؟
و واقعا ارزش کار ما در کجاست؟

امروز که مسیر یک سال گذشته‌ام را در کشور امارات مرور کردم، بیش از همیشه احساس رضایت داشتم. کنار همکارانی کار کردم که با وجود تفاوت در سبک زندگی، جهان‌بینی و مسیر حرفه‌ای، یک نقطه مشترک داشتیم: کار اصولی، اخلاق حرفه‌ای، شفافیت، صداقت و اعتماد.

فارغ از درآمد مالی‌ای که در این یک سال کسب کردم و برایم ارزشمند بود، آنچه بیش از همه برایم اهمیت داشت، ارزش‌گذاری واقعی به تخصص و اثرگذاری در زیست‌بوم حرفه‌ای جدیدم بود، چیزی که در تعامل با افراد و سازمان‌های مختلف در سرزمین جدیدم به‌وضوح لمس کردم.

در چند جلسه مشاوره چه در سمت مشتری، چه هنگام یک گفت‌وگوی دوستانه پس از تبادل اطلاعات و تجارب تخصصی، طرف مقابل کاملا جدی درخواست پرداخت حق‌المشاوره کرد
با نرخ ساعتی ۱۲۰۰ تا ۲۰۰۰ دلار.

و من، برای احترام به روند اعتمادسازی و شروع مسیری تازه در بازاری بین‌المللی، هزینه را نپذیرفتم، واکنش‌ها مشابه بود:
تعجب، احترام، و تأکیدی جدی بر این که تخصص ارزش دارد.

تفاوت فرهنگی، نقطه‌ای که نمی‌توان نادیده گرفت
در ایران ما هنوز پیشنهاد پرداخت هزینه برای یک مشاوره تخصصی به فرهنگ غالب تبدیل نشده است. گاهی حتی نقش یک مشاور و‌ دریافت راهنمای و … از وی، نوعی وظیفه تلقی می‌شود.

اما اینجا، دانش، زمان و تجربه به‌عنوان یک ارزش واقعی دیده می‌شود.
و برای من، همین نگاه حرفه‌ای نقطه تمایزی بود که مسیر رشد را معنادارتر کرد.

ارزشی که فراتر از عدد است
طی این ۱ سالبرای نمونه چهار جلسه کوتاه، اگرچه معادل حداقل ۴۸۰۰ دلار ارزش مالی داشتند، اما دستاورد واقعی‌شان بسیار بیشتر بود:
• فرصت‌های همکاری بلندمدت
• شبکه‌سازی سطح بالا
• روابط VIP و دسترسی‌های ارزشمند به محتوای سطح بالا☺️
• اعتمادسازی در یک کشور جدید
و باز شدن مسیرهایی که با پول قابل خرید نیستند.

این‌ها برای من همان تاثیر واقعی هستند
تاثیری که در روز جهانی امنیت سایبری بیش از همیشه اهمیتش را درک می‌کنم.

و یک سوال از شما
شما به‌عنوان متخصص امنیت سایبری،
در حوزه کاری خود چه تاثیری گذاشته‌اید؟
و در چنین شرایطی، پول را انتخاب می‌کنید یا ارزش بلندمدت رابطه و فرصت را؟

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.12.01

https://www.linkedin.com/posts/alirezaghahrood_%D8%A8%D9%87-%D9%85%D9%86%D8%A7%D8%B3%D8%A8%D8%AA-%D8%B1%D9%88%D8%B2-%D8%AC%D9%87%D8%A7%D9%86%DB%8C-%D8%A7%D9%85%D9%86%DB%8C%D8%AA-%D8%B3%D8%A7%DB%8C%D8%A8%D8%B1%DB%8C-%DA%A9%D9%87-%DA%AF%D8%B0%D8%B4%D8%AA-activity-7401208675110993920-66Dk