علت‌ریشه‌ای بیش از نیمی از رخدادهای امنیتی در فضای ابری

بررسی‌های انجام‌شده در سه‌ماهه نخست سال ۱۴۰۲ نشان می‌دهد که بیش از نیمی از رخدادهای نقض امنیت در سامانه‌های ابری از ناحیه اطلاعات ورود و هویت‌های ضعیف آغاز می‌شوند.
این یافته، مهم‌ترین مسئله امنیتی این حوزه را به‌روشنی مشخص می‌کند:
کاستی در مدیریت هویت و بی‌توجهی به اصول کنترل دسترسی🥸علت‌ریشه‌ای اغلب رخدادهای امنیتی است.

۱. گذرواژه‌های ضعیف، ریشه اصلی رخدادها
بزرگ‌ترین بخش رخدادها نتیجه استفاده از:
• گذرواژه‌های ساده
• نبود گذرواژه
• حساب‌های رهاشده و بدون کنترل
در این شرایط مهاجم بدون نیاز به هیچ فنون پیچیده، به‌سادگی وارد سامانه شده و کنترل آن را به دست می‌گیرد.

علت‌ریشه‌ای: نبود سیاست مشخص برای انتخاب گذرواژه، نبود بررسی دوره‌ای حساب‌ها، و بی‌نظمی در مدیریت هویت کاربران.

۲. افشای اطلاعات ورود، خطای پنهان اما خطرناک
در بسیاری از سامانه‌ها، اطلاعات ورود ناخواسته در:
• کدها
• پرونده‌های پیکربندی
• یادداشت‌های داخلی
• فضای نگهداری اطلاعات
جا می‌ماند و همین مقدار اندک، کفایت می‌کند تا مهاجم به تمام بخش‌های سامانه دسترسی پیدا کند.

علت‌ریشه‌ای: نبود روند مشخص برای نگهداری امن رمزها و نبود نظارت بر روش کار تیم‌های توسعه و پشتیبانی.

۳. تنظیمات نادرست، تهدید خاموش
حدود یک‌پنجم رخدادها ناشی از تنظیمات اشتباه بوده است، مانند:
• باز بودن دسترسی‌ها برای همه
• پیکربندی نادرست دیوارهای حفاظتی
• سطح دسترسی بیش از اندازه برای کاربر یا سامانه
این خطاها معمولا توسط خود سازمان ایجاد می‌شود و مهاجم بدون نیاز به نفوذ فعال، از همین اشتباهات استفاده می‌کند.

علت‌ریشه‌ای: نبود الگوی استاندارد برای تنظیمات، نبود بازبینی دوره‌ای و وابستگی به کارهای دستی و سلیقه‌ای.

جمع‌بندی نهایی
در نگاه سطحی، رخدادهای امنیتی در فضای ابری پیچیده به‌نظر می‌رسند، اما بررسی دقیق نشان می‌دهد که:
ریشه‌ اصلی بیش از ۶۰ درصد رخدادها، سستی در مدیریت هویت، نبود مقررات روشن و تنظیمات نادرست است نه حملات پیچیده یا رخنه‌های فنی.

در واقع، امنیت فضای ابری زمانی پایدار خواهد شد که:
• هویت‌ها و گذرواژه‌ها مدیریت‌شده و استاندارد باشند
• نگهداری پسورد ها و اطلاعات ورود دارای روش مشخص باشد
• تنظیمات سامانه‌ها به‌صورت دوره‌ای بررسی و استانداردسازی شوند

این‌ها نه به ابزارهای گران‌قیمت، بلکه به نظم سازمانی، رعایت اصول پایه و مراقبت مستمر وابسته است.

Special Thanks 🙏♥️☺️
Mandiant (part of Google Cloud)
Google Cloud Security

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.11.30

شبکه‌سازی، مهارتی که بسیاری آن را اشتباه فهمیده‌اند.

این روزها لینکدین برای خیلی‌ها تبدیل شده به یک اپلیکیشن جمع‌آوری ارتباطات، اضافه‌کردن‌های پیاپی، درخواست‌های بدون مقدمه، پیام‌های بی‌هدف و ارتباطاتی که هیچ‌گاه به یک گفت‌وگوی واقعی تبدیل نمی‌شوند.

اما حقیقت این است که:
شبکه‌سازی = جمع‌کردن ارتباطات نیست.
شبکه‌سازی = ساختن رابطه‌های مفید، هدفمند و اثرگذار است.

متاسفانه در ایران، بخش قابل‌توجهی از کاربران لینکدین هنوز این مرز را نمی‌شناسند. از طرفی ضعف در زبان انگلیسی، کمبود تجربه گفت‌وگوی حرفه‌ای و نداشتن نمونه‌های موفق باعث شده بیشتر تعامل‌ها از جنس تک‌گویی باشند، نه گفت‌وگو!

مشکل کجاست؟
در عمل می‌بینیم:
• پیام‌های شروع بدون هدف
• درخواست‌های ارتباطی بدون معرفی
• ناتوانی در ادامه‌دادن یک گفت‌وگوی حرفه‌ای
• تمرکز روی پسندیدن و واکنش‌گرفتن، نه ایجاد رابطه
• ندانستن اصول مذاکره و معرفی ارزش خود

بسیاری لینکدین را با شبکه‌سازی واقعی اشتباه گرفته‌اند.
شبکه‌سازی یعنی شناساندن تخصص خود و یا کسب و‌کار، درک نیاز طرف مقابل، گفت‌وگو، تعامل، یادگرفتن و یاددادن، نه فقط فشردن دکمه افزودن، ساعت ها پای پست دیگران لایک و کامنت نوشتن( یعنی شما اینقدر بیکار و‌تایم رها دارید!؟ پس کسب و کار شما چیست!؟)یا صرف راوی داستان های غیر واقع یا کپی پیست هوش مصنوعی صرف ویو گرفتن! و …

تجربه شخصی من
من سال‌ها پیش، با اینکه داخل ایران کار می‌کردم،
بخش اصلی ارتباطات، مسیر شغلی و فرصت‌هایی که شکل گرفت، از دل همین پلتفرم بود. نه به خاطر تعداد دنبال‌کننده، نه به خاطر واکنش‌ها
بلکه به خاطر شبکه‌سازی مهندسی‌شده و هدفمند:
• گفت‌وگو
• انتقال تجربه
• پرسیدن
• ارزش‌آفرینی
• تعامل واقعی

این روند مسیر حرفه‌ای من را ساخت، نه عددهای زیر عکس پروفایل.

حقیقت ساده: شبکه‌سازی یک مهارت نرم است، و باید آگاهانه تمرین شود، شبکه‌سازی مؤثر یعنی:
• توانایی شروع یک گفت‌وگوی حرفه‌ای
• توانایی ادامه‌دادن و عمیق‌کردن رابطه
• فهمیدن اینکه طرف مقابل چه می‌خواهد
• نشان‌دادن اینکه شما چه ارزشی می‌توانید ایجاد کنید
• مراقبت از کیفیت رابطه، نه کمیت آن
• پیگیری محترمانه و هدفمند
• ساختن اعتماد، نه جمع‌کردن نشان و عدد

این مهارتی است که اگر تقویت شود
فرصت‌های شغلی، همکاری، یادگیری و رشد واقعی ایجاد می‌کند.

جمع‌بندی
لینکدین میدان دویدن صرف برای گرفتن لایک و کامنت و دنبال‌کننده نیست. محل ساختن رابطه‌های ارزشمند است.
شبکه‌سازی واقعی نه از افزودن بلکه از گفت‌وگو آغاز می‌شود.

اگر بخواهیم در جهان حرفه‌ای امروز دیده شویم
باید شبکه‌سازی اثرگذار را یاد بگیریم، مهارت کار با تکنولوژی و +زبان انگلیسی
نه شبکه‌سازی عددی و بی‌هویت را.

Special Thanks to
🙏♥️😇
LinkedIn
LinkedIn for Marketing
LinkedIn Talent Solutions

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.11.30

سپر حقوقی ایالات متحده در برابر نفوذ از مسیر مالکیت
تحلیل قانون سرمایه‌گذاری خارجی و امنیت ملی آمریکا

یکی از واقعیت‌های کمتر بیان‌شده درباره سازوکار قدرت در ایالات متحده این است که بیشترین سطح مداخله دولت دقیقا در بخشی رخ می‌دهد که همه آن را آزادترین حوزه اقتصاد تلقی می‌کنند: سرمایه‌گذاری خارجی.
در ظاهر، اقتصاد آمریکا مبتنی بر آزادی سرمایه و رقابت است، اما در عمل ورود هر نوع سرمایه‌گذار خارجی به صنایع حساس تنها پس از عبور از صافی امنیت ملی ممکن است.

این رویکرد بر پایه قانونی شکل گرفت که هدف اصلی آن جلوگیری از تبدیل مالکیت اقتصادی به سکوی نفوذ امنیتی رقبای ژئوپلیتیک بود. در نگاه سیاست‌گذاران آمریکایی، تسلط بر دارایی‌ها، زیرساخت‌ها، داده‌ها و فناوری، بخشی جدایی‌ناپذیر از قدرت ملی است.

مالکیت؛ نقطه آغاز امنیت ملی در دکترین ایالات متحده
آمریکا سال‌هاست که تهدید را فقط در تجهیزات نظامی یا فعالیت‌های جاسوسی نمی‌بیند، تهدید امروز می‌تواند از مسیر:
• مالکیت یک شرکت داده‌محور
• دسترسی به اطلاعات انبوه شهروندان
• ورود به زنجیره تامین فناوری
• یا حتی تملک یک قطعه زمین نزدیک تاسیسات دولتی
شکل بگیرد. به همین دلیل، مالکیت اقتصادی به رکن اصلی سیاست امنیت ملی آمریکا تبدیل شده است.

سازوکار نظارتی، دولت چگونه مداخله می‌کند؟

مبنای مداخله، بررسی تغییر کنترل است.
هر سرمایه‌گذاری خارجی که منجر به کنترل مستقیم یا غیرمستقیم یک شرکت در صنایع حساس شود، به‌صورت خودکار وارد فرآیند بررسی امنیتی می‌شود.

در این بررسی، تنها جنبه اقتصادی معامله ملاک نیست، بلکه مجموعه‌ای از پرسش‌های امنیتی طرح می‌شود:
• آیا سرمایه‌گذار جدید قادر به اعمال نفوذ عملیاتی خواهد بود؟
• آیا به داده‌ها و زیرساخت‌هایی دسترسی می‌یابد که ارزش ملی دارند؟
• آیا شرکت هدف بخشی از زنجیره تامین صنایع راهبردی است؟
• و مهم‌تر از همه، آیا این مالکیت می‌تواند در آینده ابزار فشار یا نفوذ ژئوپلیتیک شود؟

نتیجه این رویکرد، شکل‌گیری سخت‌گیرانه‌ترین نظام نظارت بر سرمایه خارجی در جهان است.

حوزه‌هایی که بیشترین حساسیت امنیتی را دارند. ایالات متحده فهرستی گسترده از بخش‌ها را زیر چتر امنیت ملی قرار داده است:
• شبکه‌های مالی
• صنایع نیمه‌هادی
• انرژی و زیرساخت‌های حیاتی
• علوم زیستی و زیست‌فناوری
• شبکه‌های مخابراتی
• سامانه‌های نرم‌افزاری و داده‌محور
• شبکه‌های اجتماعی
• املاک مرتبط با مناطق نظامی و دولتی
این موارد دیگر بخش اقتصادی نیستند، بلکه شاهراه‌های امنیت ملی به حساب می‌آیند.

دکترین امنیتی ایالات متحده بر یک اصل بنیادین استوار است:
قدرت از مسیر مالکیت عبور می‌کند و مالکیت، در نهایت به نفوذ می‌انجامد. حفاظت از زیرساخت و فناوری، از مالکیت آغاز می‌شود.

نکته پایانی و دغدغه‌ای درباره ایران
امیدوارم در کشورمان
زیرساخت مناسب داده، سامانه‌های احراز اطلاعات شفاف و دقیق و نظام آدرس‌دهی روشن در قالب قانون، الزام، ضمانت اجرای و فرآیند مشخص همراه با نظارت مکفی، آن‌هم با متولی پاسخگو و واحد ایجاد و نهادینه شود. در چنین چارچوبی است که می‌توان از منافع سرمایه‌گذاری بهره برد و در عین حال از کشور در برابر نفوذ اقتصادی و امنیتی محافظت کرد.

https://lnkd.in/dghH-QFs

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.12.01

https://www.linkedin.com/posts/alirezaghahrood_%D8%B3%D9%BE%D8%B1-%D8%AD%D9%82%D9%88%D9%82%DB%8C-%D8%A7%DB%8C%D8%A7%D9%84%D8%A7%D8%AA-%D9%85%D8%AA%D8%AD%D8%AF%D9%87-%D8%AF%D8%B1-%D8%A8%D8%B1%D8%A7%D8%A8%D8%B1-%D9%86%D9%81%D9%88%D8%B0-%D8%A7%D8%B2-%D9%85%D8%B3%DB%8C%D8%B1-activity-7401111577858420736-q8ty

به مناسبت روز جهانی امنیت سایبری که گذشت
و نقش ما در تأثیرگذاری بر جهان دیجیتال امن

به مناسبت روز جهانی امنیت سایبری، از خودم پرسیدم:
ما به‌عنوان متخصصان امنیت سایبری چه اثری در حوزه کاری‌مان گذاشته‌ایم؟ چه تغییری ایجاد کرده‌ایم؟
و واقعا ارزش کار ما در کجاست؟

امروز که مسیر یک سال گذشته‌ام را در کشور امارات مرور کردم، بیش از همیشه احساس رضایت داشتم. کنار همکارانی کار کردم که با وجود تفاوت در سبک زندگی، جهان‌بینی و مسیر حرفه‌ای، یک نقطه مشترک داشتیم: کار اصولی، اخلاق حرفه‌ای، شفافیت، صداقت و اعتماد.

فارغ از درآمد مالی‌ای که در این یک سال کسب کردم و برایم ارزشمند بود، آنچه بیش از همه برایم اهمیت داشت، ارزش‌گذاری واقعی به تخصص و اثرگذاری در زیست‌بوم حرفه‌ای جدیدم بود، چیزی که در تعامل با افراد و سازمان‌های مختلف در سرزمین جدیدم به‌وضوح لمس کردم.

در چند جلسه مشاوره چه در سمت مشتری، چه هنگام یک گفت‌وگوی دوستانه پس از تبادل اطلاعات و تجارب تخصصی، طرف مقابل کاملا جدی درخواست پرداخت حق‌المشاوره کرد
با نرخ ساعتی ۱۲۰۰ تا ۲۰۰۰ دلار.

و من، برای احترام به روند اعتمادسازی و شروع مسیری تازه در بازاری بین‌المللی، هزینه را نپذیرفتم، واکنش‌ها مشابه بود:
تعجب، احترام، و تأکیدی جدی بر این که تخصص ارزش دارد.

تفاوت فرهنگی، نقطه‌ای که نمی‌توان نادیده گرفت
در ایران ما هنوز پیشنهاد پرداخت هزینه برای یک مشاوره تخصصی به فرهنگ غالب تبدیل نشده است. گاهی حتی نقش یک مشاور و‌ دریافت راهنمای و … از وی، نوعی وظیفه تلقی می‌شود.

اما اینجا، دانش، زمان و تجربه به‌عنوان یک ارزش واقعی دیده می‌شود.
و برای من، همین نگاه حرفه‌ای نقطه تمایزی بود که مسیر رشد را معنادارتر کرد.

ارزشی که فراتر از عدد است
طی این ۱ سالبرای نمونه چهار جلسه کوتاه، اگرچه معادل حداقل ۴۸۰۰ دلار ارزش مالی داشتند، اما دستاورد واقعی‌شان بسیار بیشتر بود:
• فرصت‌های همکاری بلندمدت
• شبکه‌سازی سطح بالا
• روابط VIP و دسترسی‌های ارزشمند به محتوای سطح بالا☺️
• اعتمادسازی در یک کشور جدید
و باز شدن مسیرهایی که با پول قابل خرید نیستند.

این‌ها برای من همان تاثیر واقعی هستند
تاثیری که در روز جهانی امنیت سایبری بیش از همیشه اهمیتش را درک می‌کنم.

و یک سوال از شما
شما به‌عنوان متخصص امنیت سایبری،
در حوزه کاری خود چه تاثیری گذاشته‌اید؟
و در چنین شرایطی، پول را انتخاب می‌کنید یا ارزش بلندمدت رابطه و فرصت را؟

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.12.01

https://www.linkedin.com/posts/alirezaghahrood_%D8%A8%D9%87-%D9%85%D9%86%D8%A7%D8%B3%D8%A8%D8%AA-%D8%B1%D9%88%D8%B2-%D8%AC%D9%87%D8%A7%D9%86%DB%8C-%D8%A7%D9%85%D9%86%DB%8C%D8%AA-%D8%B3%D8%A7%DB%8C%D8%A8%D8%B1%DB%8C-%DA%A9%D9%87-%DA%AF%D8%B0%D8%B4%D8%AA-activity-7401208675110993920-66Dk

یادم می‌آید زمانی روایت چهل‌سالگی را این‌طور شنیده بودم:

دورانی برای کند شدن ریتم زندگی، لذت بردن از تماشای مسیرها و آرام نشستن و نگاه کردن.

اما وقتی نزدیکش شدم، دیدم ماجرا چیز دیگری است. چهل‌سالگی برای بسیاری از ما نه نقطه توقف، که نقطه تغییر ریل و مسیر است. جایی که ناگهان می‌فهمیم مسیرهای قدیمی دیگر ما را به مقصد نمی‌رسانند. انگار باید برگردیم، بازتعریف کنیم و حتی خلاف جریان آب شنا کنیم که سال‌ها با حتی شاید بیگانه یا همراه بودیم.

وقتی با آدم‌های مختلف صحبت کردم،
فهمیدم این تجربه تنها برای من نیست. شما هم اگر چنین احساسی دارید، بدانید تنها نیستید.

جهان ما انگار یکباره تغییر کرد، شاید از روزهای کرونا شروع شد و بعد آن شدت گرفت. ارزش‌ها، مسیرها، مدل‌های زندگی… همه در حال بازنویسی‌اند و ما… در میانه این بازنویسی، دنبال معنای تازه‌ای از زندگی می‌گردیم

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.12.01

یادم می‌آید زمانی روایت چهل‌سالگی را این‌طور شنیده بودم:

دورانی برای کند شدن ریتم زندگی، لذت بردن از تماشای مسیرها و آرام نشستن و نگاه کردن.

اما وقتی نزدیکش شدم، دیدم ماجرا چیز دیگری است. چهل‌سالگی برای بسیاری از ما نه نقطه توقف، که نقطه تغییر ریل و مسیر است. جایی که ناگهان می‌فهمیم مسیرهای قدیمی دیگر ما را به مقصد نمی‌رسانند. انگار باید برگردیم، بازتعریف کنیم و حتی خلاف جریان آب شنا کنیم که سال‌ها با حتی شاید بیگانه یا همراه بودیم.

وقتی با آدم‌های مختلف صحبت کردم،
فهمیدم این تجربه تنها برای من نیست. شما هم اگر چنین احساسی دارید، بدانید تنها نیستید.

جهان ما انگار یکباره تغییر کرد، شاید از روزهای کرونا شروع شد و بعد آن شدت گرفت. ارزش‌ها، مسیرها، مدل‌های زندگی… همه در حال بازنویسی‌اند و ما… در میانه این بازنویسی، دنبال معنای تازه‌ای از زندگی می‌گردیم

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.12.01

https://www.linkedin.com/posts/alirezaghahrood_%DB%8C%D8%A7%D8%AF%D9%85-%D9%85%DB%8C%D8%A2%DB%8C%D8%AF-%D8%B2%D9%85%D8%A7%D9%86%DB%8C-%D8%B1%D9%88%D8%A7%DB%8C%D8%AA-%DA%86%D9%87%D9%84%D8%B3%D8%A7%D9%84%DA%AF%DB%8C-%D8%B1%D8%A7-%D8%A7%DB%8C%D9%86%D8%B7%D9%88%D8%B1-activity-7401319618155474944-ctgo

In every modern organization, a well designed Vulnerability Management Policy is one of the core pillars of cybersecurity resilience.

This policy establishes a continuous, structured cycle for identifying, analyzing, prioritizing, and remediating security vulnerabilities across systems, applications, networks, and third party environments. It ensures that security is not a one time effort, but a living process of continuous improvement.

At Diyako Secure Bow (DSB), our Vulnerability Management Policy provides:
• Clear governance, with defined roles and responsibilities for the Board, CIO, CISO, and business units
• Continuous monitoring through network assessments, internal/external scans, and penetration testing
• Risk-based prioritization to ensure critical vulnerabilities (Priority 1) are remediated before deployment
• Strict control of non permitted technologies and prevention of Shadow IT
• Comprehensive logging and oversight to detect misuse, exploitation attempts, and emerging threats
• Documentation and accountability aligned with global standards and audit requirements

The result is a disciplined approach that strengthens security maturity, reduces operational and regulatory risk, and helps organizations stay one step ahead of cyber threats.

A well implemented Vulnerability Management Policy is not just documentation, it is a strategic enabler of business continuity, digital trust, and long term resilience.

4 organizations and clients seeking stronger security assurance, a robust Vulnerability Management Policy demonstrates a clear commitment to proactive risk reduction, regulatory compliance, and continuous improvement. It provides measurable confidence that vulnerabilities are not only identified on time, but systematically prioritized, remediated, and continuously monitored across the entire technology landscape ensuring safer operations, higher reliability, and long term business continuity.

Importantly, organizations should avoid purchasing generic documents or copy pasting templates. A security policy creates real value only when it is fully customized to the organization’s business model, technology stack, operational risks, and regulatory environment.

Tailored policies drive true security maturity, templates do not.

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.12.02

https://www.linkedin.com/posts/alirezaghahrood_diyakoio-vulnerability-management-policy-activity-7401492839903342594-H7A1

در هر سازمان مدرن، سیاست مدیریت آسیب‌پذیری یکی از ستون‌های اصلی تاب‌آوری سایبری است.

این سیاست یک چرخه مداوم و ساختاریافته برای شناسایی، تحلیل، اولویت‌بندی و رفع آسیب‌پذیری‌های امنیتی در سیستم‌ها، برنامه‌ها، شبکه‌ها و محیط‌های طرف‌سوم ایجاد می‌کند. نقش آن این است که امنیت را از یک فعالیت مقطعی، به یک فرآیند زنده، پویا و مبتنی بر بهبود مستمر تبدیل کند.

در Diyako Secure Bow (DSB)، سیاست مدیریت آسیب‌پذیری ما بر پایه اصول زیر بنا شده است:
•حاکمیت روشن با تعریف دقیق نقش‌ها و مسئولیت‌های هیئت‌مدیره، CIO، CISO و واحدهای کسب‌وکار
•پایش مداوم از طریق ارزیابی‌های شبکه، اسکن‌های داخلی/خارجی و آزمون نفوذ
•اولویت‌بندی مبتنی بر ریسک برای اطمینان از رفع آسیب‌پذیری‌های بحرانی (Priority 1) پیش از هرگونه استقرار
•کنترل سختگیرانه فناوری‌های غیرمجاز و جلوگیری از شکل‌گیری Shadow IT
•تهیه لاگ کامل و نظارت یکپارچه برای کشف سوءاستفاده، تلاش برای بهره‌برداری، و تهدیدات نوظهور
•مستندسازی و پاسخ‌گویی منطبق با استانداردهای بین‌المللی و الزامات حسابرسی

نتیجه این رویکرد، یک سیستم منضبط و بالغانه است که بلوغ امنیتی را تقویت می‌کند، ریسک عملیاتی و نظارتی را کاهش می‌دهد و سازمان‌ها را یک گام جلوتر از تهدیدات سایبری نگه می‌دارد.

سیاست مدیریت آسیب‌پذیری، تنها یک سند اجرایی نیست
یک توانمندساز راهبردی برای تداوم کسب‌وکار، ایجاد اعتماد دیجیتال و ساختن تاب‌آوری بلندمدت است.

برای سازمان‌ها و مشتریانی که به دنبال اطمینان امنیتی قوی‌تر هستند، چنین سیاستی نشان‌دهنده تعهدی روشن به کاهش ریسک، انطباق مقرراتی و بهبود مداوم است. این سیاست اطمینان می‌دهد که آسیب‌پذیری‌ها نه‌تنها به‌موقع شناسایی می‌شوند، بلکه به‌صورت نظام‌مند اولویت‌بندی، رفع و به‌طور مداوم پایش می‌گردند، چیزی که در نهایت منجر به عملیات امن‌تر، قابلیت اطمینان بالاتر و تداوم پایدار کسب‌وکار می‌شود.

و نکته بسیار مهم:
سازمان‌ها باید از خرید اسناد آماده یا کپی‌کاری از قالب‌های عمومی به‌شدت پرهیز کنند. سیاست امنیتی زمانی ارزش واقعی ایجاد می‌کند که به‌صورت کامل با مدل کسب‌وکار، معماری فناوری، ریسک‌های عملیاتی و الزامات مقرراتی سازمان سفارشی‌سازی شده باشد.

سیاست‌های سفارشی، بلوغ امنیتی واقعی ایجاد می‌کنند، قالب‌های آماده هرگز این کار را انجام نمی‌دهند


— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.12.02

https://www.linkedin.com/posts/alirezaghahrood_diyako-secure-bow-vulnerability-mgmt-policy-activity-7401627758390333440-ZKIm

گاهی اگر فارغ از جهت‌گیری‌های شخصی و روایت‌های شکل‌گرفته توسط نظام سرمایه‌داری به جغرافیا نگاه کنیم، متوجه می‌شویم بسیاری از واژه‌هایی که عادی و طبیعی فرض کرده‌ایم، در اصل محصول نگاه قدرت‌محور غرب به جهان است.

واژه‌هایی مثل «خاورمیانه» و «خاور دور» را سال‌هاست تکرار می‌کنیم، اما پرسش ساده این است: خاور چه کسی؟ دور از چه نقطه‌ای؟

اگر این منطق را ادامه دهیم، شاید باید بگوییم: «غرب دور»، «غرب وحشی»، یا حتی «غرش شرقی». اما چرا هیچ‌وقت این ترکیب‌ها وارد ادبیات رسمی نشده‌اند؟

چون نام‌گذاری جغرافیایی در طول تاریخ، ابزاری برای تثبیت نقش مسلط و مرکزیت‌طلبانه بوده است. غرب، خود را مرکز جهان فرض کرد و بقیه را بر اساس فاصله‌شان از خودش نام‌گذاری نمود. ما هم سال‌هاست این برچسب‌ها را بازتولید کرده‌ایم، بدون اینکه از خود بپرسیم: آیا این واژه‌ها هنوز با واقعیت‌های امروز جهان سازگارند؟

رشد اقتصادی و فناورانه آسیا، تغییر نقش قدرت‌های منطقه‌ای و جابه‌جایی محورهای ژئوپلیتیک همه نشان می‌دهد زمان بازنگری در این اصطلاحات رسیده است.

شاید لازم باشد گاهی دوربین ویدئوی ذهن‌مان را کمی عقب‌تر ببریم و دوباره بپرسیم:جهان را از کدام نقطه نگاه می‌کنیم و چه کسی حق دارد مرکز را تعریف کند؟


— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.12.02

چرا هنوز جایگاه واقعی فناوری اطلاعات و امنیت در مدیریت ارشد درک نشده است؟

این روزها در گفت‌وگو با اعضای هیئت‌مدیره، سهامداران، مدیران عامل و مدیران ارشد یک نیاز مشترک دیده می‌شود:
ضرورت برگزاری کلاس‌های آموزشی، کارگاه‌های تخصصی، نشست‌های تحلیل موضوعات و حتی بازدید از شرکت‌های بزرگ و تجربه کشورهای پیشرو.

اما چرا چنین نیازی تا این حد پررنگ شده است؟
زیرا در بسیاری از سازمان‌ها هنوز نقش فناوری اطلاعات به عنوان یک توانمندساز اصلی کسب‌وکار به‌درستی لمس و درک نشده است. در نگاه برخی مدیران، فناوری تنها یک واحد هزینه‌ساز است و وقتی چنین ذهنیتی وجود داشته باشد، طبیعی است که سرمایه‌گذاری درست، تحلیل‌شده و آینده‌نگرانه نیز شکل نگیرد.

اما واقعیت چیست؟
نبود فناوری اطلاعات یعنی نبود شفافیت در داده‌ها، نبود عملیات پایدار، نبود سرعت و دقت در تصمیم‌سازی، نبود قابلیت توسعه‌پذیری و در نهایت، نبود مزیت رقابتی.

و وجود یک ساختار بالغ فناوری اطلاعات یعنی ایجاد ارزش، بهبود بهره‌وری، تسهیل مدیریت، کاهش ریسک و تسریع رشد سازمان.

در کنار این‌ها، لایه‌ای که تمام این دستاوردها را حفظ و پایدار می‌کند امنیت اطلاعات است. امنیت، سپر محافظ تمام ارزش‌هایی است که سازمان با زحمت و هزینه فراوان ایجاد کرده است. بدون امنیت، هر زیرساختی اگر بهترین باشد که نیست😁پس در برابر تهدیدها شکننده است.

به همین دلیل، مجموعه‌ای از فعالیت‌ها دیگر انتخابی نیست، بلکه یک ضرورت سازمانی است:
• کارگاه‌های بررسی ریسک و تاب‌آوری برای مدیران ارشد
• جلسات تحلیل و تشریح مسائل کلیدی امنیت
• دوره‌های آگاهی‌بخشی برای مدیران عملیاتی
• بازدید از سازمان‌ها و صنایع موفق
• مطالعه و الهام‌گیری از تجربه کشورهایی که مسیر را درست رفته‌اند

سازمان‌هایی که امروز یاد می‌گیرند، فردا بهتر تصمیم می‌گیرند و تصمیم‌های بهتر، یعنی کاهش هزینه‌های پنهان، جلوگیری از بحران‌ها و ساختن یک کسب‌وکار پایدارتر و مقاوم‌تر.

اگر می‌خواهیم فناوری اطلاعات از یک هزینه به یک عامل رشد تبدیل شود، مسیر تحول دقیقا از همین نقطه آغاز می‌شود:
یادگیری، تحلیل درست و توانمندسازی مدیران شایسته در سطوح مختلف سازمان.

پ ن: ارسالی یکی از مخاطبین عریز از دوره سفارشی سازی شده مدیر فنی و ارشد امنیت سایبری(CISO)

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.12.03

https://www.linkedin.com/posts/alirezaghahrood_%DA%86%D8%B1%D8%A7-%D9%87%D9%86%D9%88%D8%B2-%D8%AC%D8%A7%DB%8C%DA%AF%D8%A7%D9%87-%D9%88%D8%A7%D9%82%D8%B9%DB%8C-%D9%81%D9%86%D8%A7%D9%88%D8%B1%DB%8C-%D8%A7%D8%B7%D9%84%D8%A7%D8%B9%D8%A7%D8%AA-%D9%88-%D8%A7%D9%85%D9%86%DB%8C%D8%AA-activity-7401997429555834881-ZWfX

Black Hat MEA 2025 is not just another cybersecurity conference, it is where the region’s digital future is shaped.

Every year, Black Hat MEA becomes the convergence point of three critical pillars of the security ecosystem:
technology innovators, policy makers, and security leaders.

It is the place where:
• Future trends such as AI Security, Trust Architecture, Threat Intelligence, and ICS/OT Security
• Today’s real challenges like Governance, Talent Gaps, and Compliance
• And the region’s maturity journey in cybersecurity
all come together in one practical, high-impact environment.

In recent years, the Middle East has proven it is no longer just a consumer of cybersecurity. It is rapidly becoming a regional hub for security innovation from advanced SOCs and Hybrid Cloud Security to FinTech, OT, and national cyber resilience programs.

For me, the true value of Black Hat MEA is not only the technical content. It is the strategic insights, high level dialogues, and the chance to understand where the region’s cyber landscape is truly heading.

If you are in cybersecurity, leadership, architecture, GRC, or OTMEA 2025 is not just an event to attend. It is an event to shape the future.

Black Hat MEA 🙏♥️😇👍🏽

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.12.04

Where Chaos Begins, Leadership Fails, Where Order Returns, Hope Rises

A Country Rebuilds When Every Man Stands Where He Must, Order Isn’t a Command. It’s a Cure.

نظاميا
يه جمله ى معروف دارند
كه ميشه باهاش هر ويرانه ايى رو آباد كرد

همه به جاى خود …

گاهی فقط همین یک اصل ساده است که می‌تواند یک کشور، یک سازمان، یا حتی یک نسل را از فروپاشی نجات بدهد. وقتی هرکس سر جای خودش باشد، مسئولیت روشن است، پاسخ‌گویی معنا پیدا می‌کند و نظم، آرام‌آرام، دوباره جان می‌گیرد.

امروز که ایران زیر فشار بحران‌های سنگین سیاسی، نظامی، اقتصادی و مدیریتی و و و … نفس می‌کشد،
این جمله نه یک فرمان نظامی
بلکه یک آرزوست.

و چه زیبا گفته‌اند:
مملکت آن‌گاه شود رو به صلاح
که در او هر کس بُود بر سر کار خویش

+علی جان هژبری🫶

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.12.05

https://www.linkedin.com/posts/alirezaghahrood_where-chaos-begins-leadership-fails-where-share-7402459778591088640-3k7U

قانون تازه چین و یک پرسش قدیمی‌تر:
چه کسی حق دارد درباره مسائل جدی حرف بزند؟

چین اخیرا قانونی تصویب کرده که براساس آن، هر اینفلوئنسر یا تولیدکننده‌ محتوا برای صحبت‌کردن درباره موضوعاتی مانند پزشکی، حقوق، اقتصاد یا آموزش باید مدرک دانشگاهی معتبر یا گواهینامه تخصصی همان حوزه را ارائه کند. پلتفرم‌هایی مثل Douyin، Weibo و Bilibili هم موظف شده‌اند صلاحیت افراد را بررسی کنند و حتی تشخیص دهند که آیا بخشی از محتوا با هوش مصنوعی تولید شده یا خیر.

دولت هدفش را مبارزه با اطلاعات غلط و افزایش اعتماد عمومی عنوان می‌کند، اما منتقدان می‌گویند این قانون می‌تواند به‌طور جدی آزادی بیان، نقد و خلاقیت را محدود کند. به بیان ساده‌تر، در چین برای حرف‌زدن درباره برخی مسائل، باید مجوز گفتگو داشت.

اما نکته مهم‌تر برای من، فراتر از این قانون است.

برداشت مخاطب از محتوا همیشه چندوجهی است.
افراد حتی یک جمله ساده را هم بر اساس فرهنگ، تجربه، جریان اطلاعاتی که دنبال می‌کنند، طرز فکر، سواد رسانه‌ای و حتی حال روزشان تفسیر می‌کنند. در نتیجه، ممکن است نیتی که پشت یک محتوا بوده، در ذهن مخاطب به‌کلی چیز دیگری ترجمه شود؛ مثبت یا منفی، تند یا آرام، سازنده یا مخرب.

پس سؤال اصلی اینجاست:
چطور می‌توانیم کمک کنیم برداشت مخاطب تا حد امکان درست، شفاف و نزدیک به منظور واقعی گوینده باشد؟
نه لزوما موافق، نه مخالف، فقط دقیق.

به‌نظر من سه اصل کلیدی وجود دارد:
1. وضوح در پیام
هرچقدر محتوا دقیق‌تر، شفاف‌تر و مستندتر باشد، فضای سوءبرداشت کمتر می‌شود.
2. زمینه‌سازی و Context دادن
مخاطب باید بداند چرا این حرف گفته می‌شود و در چه شرایطی.
3. مسئولیت در روایت
چه در حوزه تخصصی، چه در موضوعات عمومی، تولیدکننده محتوا مسئول است که پیامش به‌صورت اخلاقی، منصفانه و حرفه‌ای ارائه شود.

در جهانی که میان آزادی بیان و مسئولیت بیان دائم در حال کشمکش است، به‌نظر می‌رسد مسئله اصلی نه مجوز حرف زدن بلکه بلوغ رسانه‌ای و سواد ارتباطی است.

حالا پرسش را به شما می‌سپارم:
برای کاهش سوءبرداشت و افزایش فهم مشترک در این فضای شلوغ، ما به‌عنوان متخصص، مدیر یا تولیدکننده محتوا و ....چه باید بکنیم؟

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.12.05

یکی از مهم‌ترین واقعیت‌هایی که بسیاری از سازمان‌ها هنوز به‌صورت عملی درک نکرده‌اند این است که نقش CISO یک نقش صرفا فنی نیست، یک نقش عمیقا راهبردی است اما اشخاص بدون تجارب احراز شده اثر بخشی لازم را برای سطح مدیر ارشد ندارند!

تصویر بالا دقیقا همین حقیقت را نشان می‌دهد:
CISO برای موفقیت، باید شبکه ارتباطات خود را فراتر از حیطه IT توسعه دهد و با ذینفعانی تعامل کند که مستقیما بر ریسک سازمان، فرهنگ، داده، درآمد و تجربه مشتری اثر می‌گذارند.

۱. روابط Table Stakes: ضروری اما ناکافی
ارتباط با نقش‌های سنتی IT مثل CIO، Head of Infrastructure، Head of Applications یا مدیران پروژه کاملا لازم است، اما این فقط نقطه شروع است. این روابط بیشتر درباره تنظیم عملیات، هماهنگی فنی و اجرای کنترل‌ها هستند.
اما مشکل اینجاست: اگر CISO فقط در این دایره باقی بماند، امنیت سایبری همیشه به‌عنوان یک تابع فنی دیده می‌شود، نه یک توانمندساز کسب‌وکار👌

۲. روابط Value: جایی که اثر واقعی شکل می‌گیرد.
دایره دوم شامل مدیرانی است که روی رشد، درآمد، داده، فرهنگ سازمان و تصمیمات استراتژیک اثر می‌گذارند:
CEO
CMO
CFO
CHRO
CDO
Head of Communications
Head of Sales
اینجا دقیقا نقطه‌ای است که بازی عوض می‌شود.
در این لایه، CISO می‌تواند: امنیت را از هزینه به سرمایه‌گذاری تبدیل کند، ریسک‌های سایبری را وارد تصمیم‌های هیئت‌مدیره کند، امنیت را بخشی از فرآیند خلق ارزش بداند
استانداردهای رفتاری و فرهنگی را در کل سازمان نهادینه کند، روایت مدیریتی در مورد امنیت را تغییر دهد، این تعاملات چیزی‌ست که سازمان‌های پیشرو را از سازمان‌های صرفا واکنشی جدا می‌کند.

۳. پیام اصلی تصویر چیست؟
CISO اگر بخواهد نقش خود را از حافظ سیستم‌ها به معمار تاب‌آوری سازمانی (Organizational Resilience) ارتقا دهد، باید یاد بگیرد با کسانی صحبت کند که قدرت تصمیم‌سازی و اثرگذاری واقعی دارند. امنیت امروز:
فقط یک موضوع IT نیست، یک ابزار رقابتی برای کسب‌وکار است.✔️با تشدید جمله قبلی بلند تکرار شود.

۴. توصیه استراتژیک برای CISOs
اگر CISO هستید، این سه سؤال را همیشه از خود بپرسید:
آیا من فقط با IT تعامل دارم یا در سطح کسب‌وکار هم شنیده می‌شوم؟
آیا امنیت را در زبان CEO، CFO یا CMO ترجمه کرده‌ام؟
آیا شبکه روابط من( خیلی مهم) باعث افزایش نفوذ، سرعت تصمیم‌گیری و کاهش ریسک سازمان می‌شود؟
اگر پاسخ هرکدام منفی است، زمان بازطراحی شبکه ارتباطی فرا رسیده است.

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.12.06

https://www.linkedin.com/posts/alirezaghahrood_%DB%8C%DA%A9%DB%8C-%D8%A7%D8%B2-%D9%85%D9%87%D9%85%D8%AA%D8%B1%DB%8C%D9%86-%D9%88%D8%A7%D9%82%D8%B9%DB%8C%D8%AA%D9%87%D8%A7%DB%8C%DB%8C-%DA%A9%D9%87-%D8%A8%D8%B3%DB%8C%D8%A7%D8%B1%DB%8C-%D8%A7%D8%B2-activity-7402942425238941696-bNVw

Honored to be included among the “10 CISOs to Watch in Dubai 2025.”

My sincere thanks 2 the editorial team for this recognition, and congratulations to all the distinguished security leaders on this list. It is a privilege to be part of a community that is collectively shaping the future of cybersecurity, resilience, and digital trust across critical sectors in the UAE.

Cybersecurity today is not just about protection, it’s about responsible leadership, strategic governance, and sustainable digital growth. I remain fully committed to advancing this mission alongside such respected peers.

Grateful for the continued trust and collaboration.😇♥️
And this journey would not be possible without the dedication, expertise, and multidisciplinary strength of the Diyako Secure Bow team. I am deeply grateful to each and every one of you.🙏

باعث افتخار بنده است که در فهرست «۱۰ CISO ترند قابل توجه در دبی ۲۰۲۵» قرار گرفتم.

از تیم برگزارکننده و رسانه محترمی که این انتخاب را انجام داده‌اند صمیمانه سپاسگزارم و به تمامی مدیران ارشد امنیت اطلاعات حاضر در این فهرست تبریک عرض می‌کنم. حضور در کنار رهبران تأثیرگذار امنیت سایبری که هر یک نقش مهمی در ارتقای تاب‌آوری دیجیتال و اعتماد سایبری منطقه ایفا می‌کنند، برای من افتخار بزرگی است.

امنیت سایبری امروز صرفا یک موضوع فنی نیست، بلکه ترکیبی از رهبری مسئولانه، حکمرانی هوشمند و توسعه پایدار دیجیتال است. با تمام توان در این مسیر متعهد خواهم ماند.

سپاسگزار اعتماد شما.😇♥️
و البته این مسیر بدون همراهی تیم حرفه‌ای، متعهد و چندتخصصی ممکن نبود؛ از تک‌تک اعضای این تیم ارزشمند صمیمانه سپاسگزارم
Diyako Secure Bow🙏

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.12.06

https://www.linkedin.com/posts/alirezaghahrood_10-cisos-to-watch-in-dubai-ciso-whisperer-activity-7402985861899796480-8L3n