فرهنگ، حاصل حرف‌های بزرگ نیست، حاصل رفتارهای کوچک تکرارشونده است.

در هر جامعه‌ای از محیط کار تا یک شهر و یک کشور فرهنگ از همین جا شکل می‌گیرد: وقتی یک رفتار درست، هزار بار تکرار شود، تبدیل به واقعیت اجتماعی می‌شود. وقتی یک رفتار غلط، هزار بار تکرار شود، تبدیل به هنجار می‌شود.

فرهنگ را نه می‌شود جعل کرد، نه با دستور ساخت.
فرهنگ نتیجه سه چیز است:

۱. رفتارهای روزمره
نوع درخواست، احترام، وقت‌شناسی، صداقت، اعتماد، نحوه برخورد با تخصص. هزار بار که تکرار شود، به الگو تبدیل می‌شود.

۲. ساختارهای درست
قوانین شفاف، استانداردهای حرفه‌ای، نظام آموزشی، رسانه‌های مسئول.
هر جا ساختار غلط باشد، بهترین آدم‌ها هم دوام نمی‌آورند.

۳. الگوهای قابل‌اعتماد
فرهنگ با نمونه ساخته می‌شود، نه با نصیحت.
آدم‌های درست باید دیده شوند تا رفتار درست تکثیر شود.

در مقابل، سه چیز فرهنگ را آرام‌آرام تخریب می‌کند:
• ارزان‌سازی ارزش‌ها (وقتی احترام، تخصص، مسئولیت یا اخلاق بی‌قیمت می‌شود)
• بی‌اعتمادی (وقتی ادعا بیشتر از واقعیت باشد)
• ریاکاری و تناقض بین حرف و عمل

در نهایت:
فرهنگ، بزرگ‌ترین سرمایه هر جامعه است.
و سرمایه، با رفتار درست هر روزه ساخته می‌شود.

و‌چقدر من و تو و او در این آشفته بازار دخیلیم!؟

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.11.28

آدمى بر مبناى آنچه مى كند
و نمى كند اعتبار دارد نه بر مبناى
آنچه دهان لقى از روى هوا و هوس درباره او مى گوید.

کلیپ جذابی بود، پیشنهاد. میکنم برنامه کامل این قسمت و ببینید.🇮🇷🫶♥️


— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.11.29

https://www.linkedin.com/posts/alirezaghahrood_%D8%A2%D8%AF%D9%85%D9%89-%D8%A8%D8%B1-%D9%85%D8%A8%D9%86%D8%A7%D9%89-%D8%A2%D9%86%DA%86%D9%87-%D9%85%D9%89-%D9%83%D9%86%D8%AF-%D9%88-%D9%86%D9%85%D9%89-%D9%83%D9%86%D8%AF-%D8%A7%D8%B9%D8%AA%D8%A8%D8%A7%D8%B1-activity-7400458430261411840-jigX

من هرچقدر جلوتر می‌آیم، بیشتر برایم روشن می‌شود که در امنیت سایبری، ارزش واقعی نه در ابزار و استاندارد و مدرک، که در سلامت حرفه‌ای و صداقت رفتاری است.

برای من با نگاه CISO as a Service و GRC مهم‌ترین اصل این است که کار درست، درست انجام شود، فارغ از سطح تخصص طرف مقابل، جایگاه سازمانی، حدسیات و استدلال های حسی، یا فشارهای لحظه‌ای پروژه.

برای من و تیم دیاکو در این سه سال، این چند خط، تبدیل به معیار و اولویت شده است:
• در نوشتن RFP و طراحی مناقصه، حق نداریم عمدا نیاز واقعی سازمان را کوچک، مبهم یا سطحی تعریف کنیم.
• در برگزاری مناقصه و ارزیابی فنی، رضایت ظاهری، لابی یا شلوغ‌کاری نباید جای شایستگی واقعی را بگیرد.
• در مصاحبه با پیمانکاران، رزومه، مدارک تخصصی و گپ‌های فنی باید جدی و موشکافانه بررسی شود، نه این‌که فقط برای تکمیل فرم‌ها، تیک بزنیم.
• در نظارت بر کار پیمانکار، از PMO تا پایش گام‌به‌گام، باید گزارش‌ها را بفهمیم، چالش های تجربی با بیس استاندارد بپرسیم و روی خروجی واقعی بایستیم، نه روی پاورپوینت و شعار و گردش حساب و رتبه!

• حجم کار و فشار پروژه هرچقدر هم زیاد باشد، توجیهی برای کم‌کاری، سهل‌انگاری یا امضای چیزی که به آن ایمان نداریم، نیست.

این رویکرد همیشه خوشایند همه نیست.
گاهی دوست، همکار، کارشناس یا حتی مدیر و‌ مدیرعامل و‌ حتی … بگذریم ناراحت می‌شوند! چون ما روی معیارهای اصلی سازمان، کوتاه نمی‌آییم. اما از نگاه من، انحراف از معیارهای درست، یعنی خیانت به اعتماد سازمان و تضییع سرمایه‌ای که قرار است از آن محافظت کنیم.

واقعیت تلخ این است که در بسیاری از پیمانکاران حوزه امنیت، عدم اشراف به نیاز واقعی سازمان و کم‌کاری آگاهانه به یک عادت تبدیل شده از مستندسازی تا اجرا.

ما در دیاکو تصمیم گرفته‌ایم حتی اگر سخت و پرهزینه باشد در برابر این جریان ها بایستیم و تا به امروز هم به جد ایستاده ایم و سلامت حرفه‌ای، صداقت و انجام کار درست را قربانی هیچ مصلحت کوتاه‌مدتی نکنیم.

بماند به یادگار، سطح تخصص امنیت و عمقش هرچه قدر به آینده میرویم، در ایرانمان کم و کمتر می شود وقتی با کلی شرکت رتبه دار در فرایند مناقصه یک گپ تخصصی زده می شود آن هم نه عمیق، ۲ متری!🤠اوضاع ار فاجعه گذشته! و این اول ناراحت کننده است بعد مزیت رقابتی😵‍💫

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.11.29

#امنیت_سایبری
#حاکمیت_و_رعایت_مقررات
#دیاکو_سکیور_بو

علت‌ریشه‌ای بیش از نیمی از رخدادهای امنیتی در فضای ابری

بررسی‌های انجام‌شده در سه‌ماهه نخست سال ۱۴۰۲ نشان می‌دهد که بیش از نیمی از رخدادهای نقض امنیت در سامانه‌های ابری از ناحیه اطلاعات ورود و هویت‌های ضعیف آغاز می‌شوند.
این یافته، مهم‌ترین مسئله امنیتی این حوزه را به‌روشنی مشخص می‌کند:
کاستی در مدیریت هویت و بی‌توجهی به اصول کنترل دسترسی🥸علت‌ریشه‌ای اغلب رخدادهای امنیتی است.

۱. گذرواژه‌های ضعیف، ریشه اصلی رخدادها
بزرگ‌ترین بخش رخدادها نتیجه استفاده از:
• گذرواژه‌های ساده
• نبود گذرواژه
• حساب‌های رهاشده و بدون کنترل
در این شرایط مهاجم بدون نیاز به هیچ فنون پیچیده، به‌سادگی وارد سامانه شده و کنترل آن را به دست می‌گیرد.

علت‌ریشه‌ای: نبود سیاست مشخص برای انتخاب گذرواژه، نبود بررسی دوره‌ای حساب‌ها، و بی‌نظمی در مدیریت هویت کاربران.

۲. افشای اطلاعات ورود، خطای پنهان اما خطرناک
در بسیاری از سامانه‌ها، اطلاعات ورود ناخواسته در:
• کدها
• پرونده‌های پیکربندی
• یادداشت‌های داخلی
• فضای نگهداری اطلاعات
جا می‌ماند و همین مقدار اندک، کفایت می‌کند تا مهاجم به تمام بخش‌های سامانه دسترسی پیدا کند.

علت‌ریشه‌ای: نبود روند مشخص برای نگهداری امن رمزها و نبود نظارت بر روش کار تیم‌های توسعه و پشتیبانی.

۳. تنظیمات نادرست، تهدید خاموش
حدود یک‌پنجم رخدادها ناشی از تنظیمات اشتباه بوده است، مانند:
• باز بودن دسترسی‌ها برای همه
• پیکربندی نادرست دیوارهای حفاظتی
• سطح دسترسی بیش از اندازه برای کاربر یا سامانه
این خطاها معمولا توسط خود سازمان ایجاد می‌شود و مهاجم بدون نیاز به نفوذ فعال، از همین اشتباهات استفاده می‌کند.

علت‌ریشه‌ای: نبود الگوی استاندارد برای تنظیمات، نبود بازبینی دوره‌ای و وابستگی به کارهای دستی و سلیقه‌ای.

جمع‌بندی نهایی
در نگاه سطحی، رخدادهای امنیتی در فضای ابری پیچیده به‌نظر می‌رسند، اما بررسی دقیق نشان می‌دهد که:
ریشه‌ اصلی بیش از ۶۰ درصد رخدادها، سستی در مدیریت هویت، نبود مقررات روشن و تنظیمات نادرست است نه حملات پیچیده یا رخنه‌های فنی.

در واقع، امنیت فضای ابری زمانی پایدار خواهد شد که:
• هویت‌ها و گذرواژه‌ها مدیریت‌شده و استاندارد باشند
• نگهداری پسورد ها و اطلاعات ورود دارای روش مشخص باشد
• تنظیمات سامانه‌ها به‌صورت دوره‌ای بررسی و استانداردسازی شوند

این‌ها نه به ابزارهای گران‌قیمت، بلکه به نظم سازمانی، رعایت اصول پایه و مراقبت مستمر وابسته است.

Special Thanks 🙏♥️☺️
Mandiant (part of Google Cloud)
Google Cloud Security

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.11.30

شبکه‌سازی، مهارتی که بسیاری آن را اشتباه فهمیده‌اند.

این روزها لینکدین برای خیلی‌ها تبدیل شده به یک اپلیکیشن جمع‌آوری ارتباطات، اضافه‌کردن‌های پیاپی، درخواست‌های بدون مقدمه، پیام‌های بی‌هدف و ارتباطاتی که هیچ‌گاه به یک گفت‌وگوی واقعی تبدیل نمی‌شوند.

اما حقیقت این است که:
شبکه‌سازی = جمع‌کردن ارتباطات نیست.
شبکه‌سازی = ساختن رابطه‌های مفید، هدفمند و اثرگذار است.

متاسفانه در ایران، بخش قابل‌توجهی از کاربران لینکدین هنوز این مرز را نمی‌شناسند. از طرفی ضعف در زبان انگلیسی، کمبود تجربه گفت‌وگوی حرفه‌ای و نداشتن نمونه‌های موفق باعث شده بیشتر تعامل‌ها از جنس تک‌گویی باشند، نه گفت‌وگو!

مشکل کجاست؟
در عمل می‌بینیم:
• پیام‌های شروع بدون هدف
• درخواست‌های ارتباطی بدون معرفی
• ناتوانی در ادامه‌دادن یک گفت‌وگوی حرفه‌ای
• تمرکز روی پسندیدن و واکنش‌گرفتن، نه ایجاد رابطه
• ندانستن اصول مذاکره و معرفی ارزش خود

بسیاری لینکدین را با شبکه‌سازی واقعی اشتباه گرفته‌اند.
شبکه‌سازی یعنی شناساندن تخصص خود و یا کسب و‌کار، درک نیاز طرف مقابل، گفت‌وگو، تعامل، یادگرفتن و یاددادن، نه فقط فشردن دکمه افزودن، ساعت ها پای پست دیگران لایک و کامنت نوشتن( یعنی شما اینقدر بیکار و‌تایم رها دارید!؟ پس کسب و کار شما چیست!؟)یا صرف راوی داستان های غیر واقع یا کپی پیست هوش مصنوعی صرف ویو گرفتن! و …

تجربه شخصی من
من سال‌ها پیش، با اینکه داخل ایران کار می‌کردم،
بخش اصلی ارتباطات، مسیر شغلی و فرصت‌هایی که شکل گرفت، از دل همین پلتفرم بود. نه به خاطر تعداد دنبال‌کننده، نه به خاطر واکنش‌ها
بلکه به خاطر شبکه‌سازی مهندسی‌شده و هدفمند:
• گفت‌وگو
• انتقال تجربه
• پرسیدن
• ارزش‌آفرینی
• تعامل واقعی

این روند مسیر حرفه‌ای من را ساخت، نه عددهای زیر عکس پروفایل.

حقیقت ساده: شبکه‌سازی یک مهارت نرم است، و باید آگاهانه تمرین شود، شبکه‌سازی مؤثر یعنی:
• توانایی شروع یک گفت‌وگوی حرفه‌ای
• توانایی ادامه‌دادن و عمیق‌کردن رابطه
• فهمیدن اینکه طرف مقابل چه می‌خواهد
• نشان‌دادن اینکه شما چه ارزشی می‌توانید ایجاد کنید
• مراقبت از کیفیت رابطه، نه کمیت آن
• پیگیری محترمانه و هدفمند
• ساختن اعتماد، نه جمع‌کردن نشان و عدد

این مهارتی است که اگر تقویت شود
فرصت‌های شغلی، همکاری، یادگیری و رشد واقعی ایجاد می‌کند.

جمع‌بندی
لینکدین میدان دویدن صرف برای گرفتن لایک و کامنت و دنبال‌کننده نیست. محل ساختن رابطه‌های ارزشمند است.
شبکه‌سازی واقعی نه از افزودن بلکه از گفت‌وگو آغاز می‌شود.

اگر بخواهیم در جهان حرفه‌ای امروز دیده شویم
باید شبکه‌سازی اثرگذار را یاد بگیریم، مهارت کار با تکنولوژی و +زبان انگلیسی
نه شبکه‌سازی عددی و بی‌هویت را.

Special Thanks to
🙏♥️😇
LinkedIn
LinkedIn for Marketing
LinkedIn Talent Solutions

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.11.30

سپر حقوقی ایالات متحده در برابر نفوذ از مسیر مالکیت
تحلیل قانون سرمایه‌گذاری خارجی و امنیت ملی آمریکا

یکی از واقعیت‌های کمتر بیان‌شده درباره سازوکار قدرت در ایالات متحده این است که بیشترین سطح مداخله دولت دقیقا در بخشی رخ می‌دهد که همه آن را آزادترین حوزه اقتصاد تلقی می‌کنند: سرمایه‌گذاری خارجی.
در ظاهر، اقتصاد آمریکا مبتنی بر آزادی سرمایه و رقابت است، اما در عمل ورود هر نوع سرمایه‌گذار خارجی به صنایع حساس تنها پس از عبور از صافی امنیت ملی ممکن است.

این رویکرد بر پایه قانونی شکل گرفت که هدف اصلی آن جلوگیری از تبدیل مالکیت اقتصادی به سکوی نفوذ امنیتی رقبای ژئوپلیتیک بود. در نگاه سیاست‌گذاران آمریکایی، تسلط بر دارایی‌ها، زیرساخت‌ها، داده‌ها و فناوری، بخشی جدایی‌ناپذیر از قدرت ملی است.

مالکیت؛ نقطه آغاز امنیت ملی در دکترین ایالات متحده
آمریکا سال‌هاست که تهدید را فقط در تجهیزات نظامی یا فعالیت‌های جاسوسی نمی‌بیند، تهدید امروز می‌تواند از مسیر:
• مالکیت یک شرکت داده‌محور
• دسترسی به اطلاعات انبوه شهروندان
• ورود به زنجیره تامین فناوری
• یا حتی تملک یک قطعه زمین نزدیک تاسیسات دولتی
شکل بگیرد. به همین دلیل، مالکیت اقتصادی به رکن اصلی سیاست امنیت ملی آمریکا تبدیل شده است.

سازوکار نظارتی، دولت چگونه مداخله می‌کند؟

مبنای مداخله، بررسی تغییر کنترل است.
هر سرمایه‌گذاری خارجی که منجر به کنترل مستقیم یا غیرمستقیم یک شرکت در صنایع حساس شود، به‌صورت خودکار وارد فرآیند بررسی امنیتی می‌شود.

در این بررسی، تنها جنبه اقتصادی معامله ملاک نیست، بلکه مجموعه‌ای از پرسش‌های امنیتی طرح می‌شود:
• آیا سرمایه‌گذار جدید قادر به اعمال نفوذ عملیاتی خواهد بود؟
• آیا به داده‌ها و زیرساخت‌هایی دسترسی می‌یابد که ارزش ملی دارند؟
• آیا شرکت هدف بخشی از زنجیره تامین صنایع راهبردی است؟
• و مهم‌تر از همه، آیا این مالکیت می‌تواند در آینده ابزار فشار یا نفوذ ژئوپلیتیک شود؟

نتیجه این رویکرد، شکل‌گیری سخت‌گیرانه‌ترین نظام نظارت بر سرمایه خارجی در جهان است.

حوزه‌هایی که بیشترین حساسیت امنیتی را دارند. ایالات متحده فهرستی گسترده از بخش‌ها را زیر چتر امنیت ملی قرار داده است:
• شبکه‌های مالی
• صنایع نیمه‌هادی
• انرژی و زیرساخت‌های حیاتی
• علوم زیستی و زیست‌فناوری
• شبکه‌های مخابراتی
• سامانه‌های نرم‌افزاری و داده‌محور
• شبکه‌های اجتماعی
• املاک مرتبط با مناطق نظامی و دولتی
این موارد دیگر بخش اقتصادی نیستند، بلکه شاهراه‌های امنیت ملی به حساب می‌آیند.

دکترین امنیتی ایالات متحده بر یک اصل بنیادین استوار است:
قدرت از مسیر مالکیت عبور می‌کند و مالکیت، در نهایت به نفوذ می‌انجامد. حفاظت از زیرساخت و فناوری، از مالکیت آغاز می‌شود.

نکته پایانی و دغدغه‌ای درباره ایران
امیدوارم در کشورمان
زیرساخت مناسب داده، سامانه‌های احراز اطلاعات شفاف و دقیق و نظام آدرس‌دهی روشن در قالب قانون، الزام، ضمانت اجرای و فرآیند مشخص همراه با نظارت مکفی، آن‌هم با متولی پاسخگو و واحد ایجاد و نهادینه شود. در چنین چارچوبی است که می‌توان از منافع سرمایه‌گذاری بهره برد و در عین حال از کشور در برابر نفوذ اقتصادی و امنیتی محافظت کرد.

https://lnkd.in/dghH-QFs

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.12.01

https://www.linkedin.com/posts/alirezaghahrood_%D8%B3%D9%BE%D8%B1-%D8%AD%D9%82%D9%88%D9%82%DB%8C-%D8%A7%DB%8C%D8%A7%D9%84%D8%A7%D8%AA-%D9%85%D8%AA%D8%AD%D8%AF%D9%87-%D8%AF%D8%B1-%D8%A8%D8%B1%D8%A7%D8%A8%D8%B1-%D9%86%D9%81%D9%88%D8%B0-%D8%A7%D8%B2-%D9%85%D8%B3%DB%8C%D8%B1-activity-7401111577858420736-q8ty

به مناسبت روز جهانی امنیت سایبری که گذشت
و نقش ما در تأثیرگذاری بر جهان دیجیتال امن

به مناسبت روز جهانی امنیت سایبری، از خودم پرسیدم:
ما به‌عنوان متخصصان امنیت سایبری چه اثری در حوزه کاری‌مان گذاشته‌ایم؟ چه تغییری ایجاد کرده‌ایم؟
و واقعا ارزش کار ما در کجاست؟

امروز که مسیر یک سال گذشته‌ام را در کشور امارات مرور کردم، بیش از همیشه احساس رضایت داشتم. کنار همکارانی کار کردم که با وجود تفاوت در سبک زندگی، جهان‌بینی و مسیر حرفه‌ای، یک نقطه مشترک داشتیم: کار اصولی، اخلاق حرفه‌ای، شفافیت، صداقت و اعتماد.

فارغ از درآمد مالی‌ای که در این یک سال کسب کردم و برایم ارزشمند بود، آنچه بیش از همه برایم اهمیت داشت، ارزش‌گذاری واقعی به تخصص و اثرگذاری در زیست‌بوم حرفه‌ای جدیدم بود، چیزی که در تعامل با افراد و سازمان‌های مختلف در سرزمین جدیدم به‌وضوح لمس کردم.

در چند جلسه مشاوره چه در سمت مشتری، چه هنگام یک گفت‌وگوی دوستانه پس از تبادل اطلاعات و تجارب تخصصی، طرف مقابل کاملا جدی درخواست پرداخت حق‌المشاوره کرد
با نرخ ساعتی ۱۲۰۰ تا ۲۰۰۰ دلار.

و من، برای احترام به روند اعتمادسازی و شروع مسیری تازه در بازاری بین‌المللی، هزینه را نپذیرفتم، واکنش‌ها مشابه بود:
تعجب، احترام، و تأکیدی جدی بر این که تخصص ارزش دارد.

تفاوت فرهنگی، نقطه‌ای که نمی‌توان نادیده گرفت
در ایران ما هنوز پیشنهاد پرداخت هزینه برای یک مشاوره تخصصی به فرهنگ غالب تبدیل نشده است. گاهی حتی نقش یک مشاور و‌ دریافت راهنمای و … از وی، نوعی وظیفه تلقی می‌شود.

اما اینجا، دانش، زمان و تجربه به‌عنوان یک ارزش واقعی دیده می‌شود.
و برای من، همین نگاه حرفه‌ای نقطه تمایزی بود که مسیر رشد را معنادارتر کرد.

ارزشی که فراتر از عدد است
طی این ۱ سالبرای نمونه چهار جلسه کوتاه، اگرچه معادل حداقل ۴۸۰۰ دلار ارزش مالی داشتند، اما دستاورد واقعی‌شان بسیار بیشتر بود:
• فرصت‌های همکاری بلندمدت
• شبکه‌سازی سطح بالا
• روابط VIP و دسترسی‌های ارزشمند به محتوای سطح بالا☺️
• اعتمادسازی در یک کشور جدید
و باز شدن مسیرهایی که با پول قابل خرید نیستند.

این‌ها برای من همان تاثیر واقعی هستند
تاثیری که در روز جهانی امنیت سایبری بیش از همیشه اهمیتش را درک می‌کنم.

و یک سوال از شما
شما به‌عنوان متخصص امنیت سایبری،
در حوزه کاری خود چه تاثیری گذاشته‌اید؟
و در چنین شرایطی، پول را انتخاب می‌کنید یا ارزش بلندمدت رابطه و فرصت را؟

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.12.01

https://www.linkedin.com/posts/alirezaghahrood_%D8%A8%D9%87-%D9%85%D9%86%D8%A7%D8%B3%D8%A8%D8%AA-%D8%B1%D9%88%D8%B2-%D8%AC%D9%87%D8%A7%D9%86%DB%8C-%D8%A7%D9%85%D9%86%DB%8C%D8%AA-%D8%B3%D8%A7%DB%8C%D8%A8%D8%B1%DB%8C-%DA%A9%D9%87-%DA%AF%D8%B0%D8%B4%D8%AA-activity-7401208675110993920-66Dk

یادم می‌آید زمانی روایت چهل‌سالگی را این‌طور شنیده بودم:

دورانی برای کند شدن ریتم زندگی، لذت بردن از تماشای مسیرها و آرام نشستن و نگاه کردن.

اما وقتی نزدیکش شدم، دیدم ماجرا چیز دیگری است. چهل‌سالگی برای بسیاری از ما نه نقطه توقف، که نقطه تغییر ریل و مسیر است. جایی که ناگهان می‌فهمیم مسیرهای قدیمی دیگر ما را به مقصد نمی‌رسانند. انگار باید برگردیم، بازتعریف کنیم و حتی خلاف جریان آب شنا کنیم که سال‌ها با حتی شاید بیگانه یا همراه بودیم.

وقتی با آدم‌های مختلف صحبت کردم،
فهمیدم این تجربه تنها برای من نیست. شما هم اگر چنین احساسی دارید، بدانید تنها نیستید.

جهان ما انگار یکباره تغییر کرد، شاید از روزهای کرونا شروع شد و بعد آن شدت گرفت. ارزش‌ها، مسیرها، مدل‌های زندگی… همه در حال بازنویسی‌اند و ما… در میانه این بازنویسی، دنبال معنای تازه‌ای از زندگی می‌گردیم

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.12.01

یادم می‌آید زمانی روایت چهل‌سالگی را این‌طور شنیده بودم:

دورانی برای کند شدن ریتم زندگی، لذت بردن از تماشای مسیرها و آرام نشستن و نگاه کردن.

اما وقتی نزدیکش شدم، دیدم ماجرا چیز دیگری است. چهل‌سالگی برای بسیاری از ما نه نقطه توقف، که نقطه تغییر ریل و مسیر است. جایی که ناگهان می‌فهمیم مسیرهای قدیمی دیگر ما را به مقصد نمی‌رسانند. انگار باید برگردیم، بازتعریف کنیم و حتی خلاف جریان آب شنا کنیم که سال‌ها با حتی شاید بیگانه یا همراه بودیم.

وقتی با آدم‌های مختلف صحبت کردم،
فهمیدم این تجربه تنها برای من نیست. شما هم اگر چنین احساسی دارید، بدانید تنها نیستید.

جهان ما انگار یکباره تغییر کرد، شاید از روزهای کرونا شروع شد و بعد آن شدت گرفت. ارزش‌ها، مسیرها، مدل‌های زندگی… همه در حال بازنویسی‌اند و ما… در میانه این بازنویسی، دنبال معنای تازه‌ای از زندگی می‌گردیم

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.12.01

https://www.linkedin.com/posts/alirezaghahrood_%DB%8C%D8%A7%D8%AF%D9%85-%D9%85%DB%8C%D8%A2%DB%8C%D8%AF-%D8%B2%D9%85%D8%A7%D9%86%DB%8C-%D8%B1%D9%88%D8%A7%DB%8C%D8%AA-%DA%86%D9%87%D9%84%D8%B3%D8%A7%D9%84%DA%AF%DB%8C-%D8%B1%D8%A7-%D8%A7%DB%8C%D9%86%D8%B7%D9%88%D8%B1-activity-7401319618155474944-ctgo

In every modern organization, a well designed Vulnerability Management Policy is one of the core pillars of cybersecurity resilience.

This policy establishes a continuous, structured cycle for identifying, analyzing, prioritizing, and remediating security vulnerabilities across systems, applications, networks, and third party environments. It ensures that security is not a one time effort, but a living process of continuous improvement.

At Diyako Secure Bow (DSB), our Vulnerability Management Policy provides:
• Clear governance, with defined roles and responsibilities for the Board, CIO, CISO, and business units
• Continuous monitoring through network assessments, internal/external scans, and penetration testing
• Risk-based prioritization to ensure critical vulnerabilities (Priority 1) are remediated before deployment
• Strict control of non permitted technologies and prevention of Shadow IT
• Comprehensive logging and oversight to detect misuse, exploitation attempts, and emerging threats
• Documentation and accountability aligned with global standards and audit requirements

The result is a disciplined approach that strengthens security maturity, reduces operational and regulatory risk, and helps organizations stay one step ahead of cyber threats.

A well implemented Vulnerability Management Policy is not just documentation, it is a strategic enabler of business continuity, digital trust, and long term resilience.

4 organizations and clients seeking stronger security assurance, a robust Vulnerability Management Policy demonstrates a clear commitment to proactive risk reduction, regulatory compliance, and continuous improvement. It provides measurable confidence that vulnerabilities are not only identified on time, but systematically prioritized, remediated, and continuously monitored across the entire technology landscape ensuring safer operations, higher reliability, and long term business continuity.

Importantly, organizations should avoid purchasing generic documents or copy pasting templates. A security policy creates real value only when it is fully customized to the organization’s business model, technology stack, operational risks, and regulatory environment.

Tailored policies drive true security maturity, templates do not.

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.12.02

https://www.linkedin.com/posts/alirezaghahrood_diyakoio-vulnerability-management-policy-activity-7401492839903342594-H7A1

در هر سازمان مدرن، سیاست مدیریت آسیب‌پذیری یکی از ستون‌های اصلی تاب‌آوری سایبری است.

این سیاست یک چرخه مداوم و ساختاریافته برای شناسایی، تحلیل، اولویت‌بندی و رفع آسیب‌پذیری‌های امنیتی در سیستم‌ها، برنامه‌ها، شبکه‌ها و محیط‌های طرف‌سوم ایجاد می‌کند. نقش آن این است که امنیت را از یک فعالیت مقطعی، به یک فرآیند زنده، پویا و مبتنی بر بهبود مستمر تبدیل کند.

در Diyako Secure Bow (DSB)، سیاست مدیریت آسیب‌پذیری ما بر پایه اصول زیر بنا شده است:
•حاکمیت روشن با تعریف دقیق نقش‌ها و مسئولیت‌های هیئت‌مدیره، CIO، CISO و واحدهای کسب‌وکار
•پایش مداوم از طریق ارزیابی‌های شبکه، اسکن‌های داخلی/خارجی و آزمون نفوذ
•اولویت‌بندی مبتنی بر ریسک برای اطمینان از رفع آسیب‌پذیری‌های بحرانی (Priority 1) پیش از هرگونه استقرار
•کنترل سختگیرانه فناوری‌های غیرمجاز و جلوگیری از شکل‌گیری Shadow IT
•تهیه لاگ کامل و نظارت یکپارچه برای کشف سوءاستفاده، تلاش برای بهره‌برداری، و تهدیدات نوظهور
•مستندسازی و پاسخ‌گویی منطبق با استانداردهای بین‌المللی و الزامات حسابرسی

نتیجه این رویکرد، یک سیستم منضبط و بالغانه است که بلوغ امنیتی را تقویت می‌کند، ریسک عملیاتی و نظارتی را کاهش می‌دهد و سازمان‌ها را یک گام جلوتر از تهدیدات سایبری نگه می‌دارد.

سیاست مدیریت آسیب‌پذیری، تنها یک سند اجرایی نیست
یک توانمندساز راهبردی برای تداوم کسب‌وکار، ایجاد اعتماد دیجیتال و ساختن تاب‌آوری بلندمدت است.

برای سازمان‌ها و مشتریانی که به دنبال اطمینان امنیتی قوی‌تر هستند، چنین سیاستی نشان‌دهنده تعهدی روشن به کاهش ریسک، انطباق مقرراتی و بهبود مداوم است. این سیاست اطمینان می‌دهد که آسیب‌پذیری‌ها نه‌تنها به‌موقع شناسایی می‌شوند، بلکه به‌صورت نظام‌مند اولویت‌بندی، رفع و به‌طور مداوم پایش می‌گردند، چیزی که در نهایت منجر به عملیات امن‌تر، قابلیت اطمینان بالاتر و تداوم پایدار کسب‌وکار می‌شود.

و نکته بسیار مهم:
سازمان‌ها باید از خرید اسناد آماده یا کپی‌کاری از قالب‌های عمومی به‌شدت پرهیز کنند. سیاست امنیتی زمانی ارزش واقعی ایجاد می‌کند که به‌صورت کامل با مدل کسب‌وکار، معماری فناوری، ریسک‌های عملیاتی و الزامات مقرراتی سازمان سفارشی‌سازی شده باشد.

سیاست‌های سفارشی، بلوغ امنیتی واقعی ایجاد می‌کنند، قالب‌های آماده هرگز این کار را انجام نمی‌دهند


— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.12.02

https://www.linkedin.com/posts/alirezaghahrood_diyako-secure-bow-vulnerability-mgmt-policy-activity-7401627758390333440-ZKIm

گاهی اگر فارغ از جهت‌گیری‌های شخصی و روایت‌های شکل‌گرفته توسط نظام سرمایه‌داری به جغرافیا نگاه کنیم، متوجه می‌شویم بسیاری از واژه‌هایی که عادی و طبیعی فرض کرده‌ایم، در اصل محصول نگاه قدرت‌محور غرب به جهان است.

واژه‌هایی مثل «خاورمیانه» و «خاور دور» را سال‌هاست تکرار می‌کنیم، اما پرسش ساده این است: خاور چه کسی؟ دور از چه نقطه‌ای؟

اگر این منطق را ادامه دهیم، شاید باید بگوییم: «غرب دور»، «غرب وحشی»، یا حتی «غرش شرقی». اما چرا هیچ‌وقت این ترکیب‌ها وارد ادبیات رسمی نشده‌اند؟

چون نام‌گذاری جغرافیایی در طول تاریخ، ابزاری برای تثبیت نقش مسلط و مرکزیت‌طلبانه بوده است. غرب، خود را مرکز جهان فرض کرد و بقیه را بر اساس فاصله‌شان از خودش نام‌گذاری نمود. ما هم سال‌هاست این برچسب‌ها را بازتولید کرده‌ایم، بدون اینکه از خود بپرسیم: آیا این واژه‌ها هنوز با واقعیت‌های امروز جهان سازگارند؟

رشد اقتصادی و فناورانه آسیا، تغییر نقش قدرت‌های منطقه‌ای و جابه‌جایی محورهای ژئوپلیتیک همه نشان می‌دهد زمان بازنگری در این اصطلاحات رسیده است.

شاید لازم باشد گاهی دوربین ویدئوی ذهن‌مان را کمی عقب‌تر ببریم و دوباره بپرسیم:جهان را از کدام نقطه نگاه می‌کنیم و چه کسی حق دارد مرکز را تعریف کند؟


— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.12.02

چرا هنوز جایگاه واقعی فناوری اطلاعات و امنیت در مدیریت ارشد درک نشده است؟

این روزها در گفت‌وگو با اعضای هیئت‌مدیره، سهامداران، مدیران عامل و مدیران ارشد یک نیاز مشترک دیده می‌شود:
ضرورت برگزاری کلاس‌های آموزشی، کارگاه‌های تخصصی، نشست‌های تحلیل موضوعات و حتی بازدید از شرکت‌های بزرگ و تجربه کشورهای پیشرو.

اما چرا چنین نیازی تا این حد پررنگ شده است؟
زیرا در بسیاری از سازمان‌ها هنوز نقش فناوری اطلاعات به عنوان یک توانمندساز اصلی کسب‌وکار به‌درستی لمس و درک نشده است. در نگاه برخی مدیران، فناوری تنها یک واحد هزینه‌ساز است و وقتی چنین ذهنیتی وجود داشته باشد، طبیعی است که سرمایه‌گذاری درست، تحلیل‌شده و آینده‌نگرانه نیز شکل نگیرد.

اما واقعیت چیست؟
نبود فناوری اطلاعات یعنی نبود شفافیت در داده‌ها، نبود عملیات پایدار، نبود سرعت و دقت در تصمیم‌سازی، نبود قابلیت توسعه‌پذیری و در نهایت، نبود مزیت رقابتی.

و وجود یک ساختار بالغ فناوری اطلاعات یعنی ایجاد ارزش، بهبود بهره‌وری، تسهیل مدیریت، کاهش ریسک و تسریع رشد سازمان.

در کنار این‌ها، لایه‌ای که تمام این دستاوردها را حفظ و پایدار می‌کند امنیت اطلاعات است. امنیت، سپر محافظ تمام ارزش‌هایی است که سازمان با زحمت و هزینه فراوان ایجاد کرده است. بدون امنیت، هر زیرساختی اگر بهترین باشد که نیست😁پس در برابر تهدیدها شکننده است.

به همین دلیل، مجموعه‌ای از فعالیت‌ها دیگر انتخابی نیست، بلکه یک ضرورت سازمانی است:
• کارگاه‌های بررسی ریسک و تاب‌آوری برای مدیران ارشد
• جلسات تحلیل و تشریح مسائل کلیدی امنیت
• دوره‌های آگاهی‌بخشی برای مدیران عملیاتی
• بازدید از سازمان‌ها و صنایع موفق
• مطالعه و الهام‌گیری از تجربه کشورهایی که مسیر را درست رفته‌اند

سازمان‌هایی که امروز یاد می‌گیرند، فردا بهتر تصمیم می‌گیرند و تصمیم‌های بهتر، یعنی کاهش هزینه‌های پنهان، جلوگیری از بحران‌ها و ساختن یک کسب‌وکار پایدارتر و مقاوم‌تر.

اگر می‌خواهیم فناوری اطلاعات از یک هزینه به یک عامل رشد تبدیل شود، مسیر تحول دقیقا از همین نقطه آغاز می‌شود:
یادگیری، تحلیل درست و توانمندسازی مدیران شایسته در سطوح مختلف سازمان.

پ ن: ارسالی یکی از مخاطبین عریز از دوره سفارشی سازی شده مدیر فنی و ارشد امنیت سایبری(CISO)

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.12.03

https://www.linkedin.com/posts/alirezaghahrood_%DA%86%D8%B1%D8%A7-%D9%87%D9%86%D9%88%D8%B2-%D8%AC%D8%A7%DB%8C%DA%AF%D8%A7%D9%87-%D9%88%D8%A7%D9%82%D8%B9%DB%8C-%D9%81%D9%86%D8%A7%D9%88%D8%B1%DB%8C-%D8%A7%D8%B7%D9%84%D8%A7%D8%B9%D8%A7%D8%AA-%D9%88-%D8%A7%D9%85%D9%86%DB%8C%D8%AA-activity-7401997429555834881-ZWfX

Black Hat MEA 2025 is not just another cybersecurity conference, it is where the region’s digital future is shaped.

Every year, Black Hat MEA becomes the convergence point of three critical pillars of the security ecosystem:
technology innovators, policy makers, and security leaders.

It is the place where:
• Future trends such as AI Security, Trust Architecture, Threat Intelligence, and ICS/OT Security
• Today’s real challenges like Governance, Talent Gaps, and Compliance
• And the region’s maturity journey in cybersecurity
all come together in one practical, high-impact environment.

In recent years, the Middle East has proven it is no longer just a consumer of cybersecurity. It is rapidly becoming a regional hub for security innovation from advanced SOCs and Hybrid Cloud Security to FinTech, OT, and national cyber resilience programs.

For me, the true value of Black Hat MEA is not only the technical content. It is the strategic insights, high level dialogues, and the chance to understand where the region’s cyber landscape is truly heading.

If you are in cybersecurity, leadership, architecture, GRC, or OTMEA 2025 is not just an event to attend. It is an event to shape the future.

Black Hat MEA 🙏♥️😇👍🏽

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.12.04