The Missing Link in Workplaces: Why Win–Win Is Rare

Many companies break promises on pay, benefits, or leave while some employees cut corners or secretly benefit elsewhere. This cycle of mistrust kills collaboration.

The root causes: unclear contracts, weak culture, unfair rewards, short-term thinking, and lack of professional skills.
The solution: transparency, fair performance systems, accountability, open dialogue, and long-term commitment.

When trust and long-term vision align, both employees and organizations truly win.

#Leadership #HR #Trust #OrganizationalCulture #EmployeeEngagement

چند مرتبه ای همکاران ‌‌و دوستان از سیاست های شرکت استارت اپی دیاکو از من پرسیده بودند و براشون نوع نگرش و‌تعامل امون جالب بوده
واقعا نمیفهمم سیستم برده داری هنوز هست و رنگ مدرنیته گرفته!؟ چرا عدم شفافیت و‌سر هم کلاه گذاشتن! خدا قوت همه هم آشنا مخصوصا شرکت ها! شرم نمیکنید!

چرا برد–برد بین سازمان و پرسنل کمیاب است؟

در بسیاری از سازمان‌ها چرخه‌ای از بی‌اعتمادی شکل می‌گیرد:
• کارفرما در پرداخت، مزایا یا وعده‌های شغلی شفاف عمل نمی‌کند.
• کارکنان هم گاهی با کم‌کاری، انتقال پروژه‌ها یا رفتار غیرحرفه‌ای اعتماد سازمان را مخدوش می‌کنند.

نتیجه؟ رابطه دوطرفه به‌جای همکاری، به تقابل و واکنش متقابل تبدیل می‌شود.

ریشه‌های اصلی
1. نبود شفافیت در قراردادها و سیاست‌ها.
2. فرهنگ سازمانی ضعیف.
3. سیستم ارزیابی و پاداش غیرعادلانه.
4. کوتاه‌مدت‌نگری هر دو طرف.
5. کمبود آموزش و مهارت‌های تعاملی، مسمومیت، حرف ببر حرف بیار کم کاری، غیبت و …
مسیر به سمت اعتماد و برد–برد
• پایبندی عملی به تعهدات قرارداد.
• استقرار سیستم شفاف پاداش و ارزیابی عملکرد.
• فرهنگ پاسخگویی و احترام متقابل.
• گفت‌وگوی منظم بین مدیریت و کارکنان.
• نگاه بلندمدت: رشد کارکنان = رشد سازمان.

منابع پیشنهادی برای مطالعه بیشتر
1.Stephen R. Covey – The Speed of Trust
درباره نقش اعتماد در روابط سازمانی و شخصی.
2.Patrick Lencioni – The Five Dysfunctions of a Team
راهنمایی در زمینه فرهنگ تیمی و چالش‌های اصلی همکاری.
3.Daniel Pink – Drive: The Surprising Truth About What Motivates Us
تحلیل علمی انگیزه‌های کارکنان فراتر از پول.
4.Harvard Business Review (HBR) – “Building a Culture of Trust”
مقاله‌های تحلیلی درباره سیاست‌های منابع انسانی و اعتماد.
5.SHRM (Society for Human Resource Management) Reports
گزارش‌های معتبر درباره مشارکت کارکنان و سیاست‌های HR.

حلقه مفقوده در همه این منابع یک چیز مشترکه: اعتماد واقعی و نگاه بلندمدت. در بسیاری از مواقع، شرکت‌ها و کارکنان در دو سوی تقابل قرار می‌گیرند؛ یک‌سو وعده‌هایی که عملی نمی‌شوند و سوی دیگر کم‌تعهدی یا رفتارهای غیرحرفه‌ای. حلقهٔ مفقوده دیگر اینجاست: درک و آگاهی مشترک

زمان آن رسیده برای برگزاری جلسات هم‌اندیشی و کارگاه‌های مشترک؛ جایی که مدیران و کارکنان در کنار هم بنشینند، دیدگاه‌هایشان را بیان کنند و آگاهی متقابل را ارتقا دهند.در صورت تمایل سازمان‌ها یا متخصصان HR، شرکت Diyako Secure Bow آمادگی دارد اسپانسر جلسات آنلاین رایگان در زمینه راهکارهای عملی برای اعتماد، شفافیت و رشد پایدار باشد.
Diyako Secure Bow
با هم می‌توانیم تعارض‌های محیط کار را به برد–برد واقعی تبدیل کنیم

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.09.08

https://www.linkedin.com/posts/alirezaghahrood_leadership-hr-trust-activity-7370728531154165760-hwMP

🚀 $1100+ Cybersecurity Certifications — Now Free!

Thrilled to share an incredible Black Hat USA 2025 offer from OPSWAT Academy

Use coupon OPSBH-25USA (valid until Oct 31, 2025) to unlock these certifications for free:
• ICIP – Intro to Critical Infrastructure Protection
•OOSE – OT Security Expert
•PSCE (Schneider & Siemens) – File Security Expert

This bundle is worth over $1100, now available at zero cost. A rare chance to upskill in OT & Critical Infrastructure Security and add globally recognized certificates to your journey.

👉 Redeem here:
https://opswatacademy.com/blackhat-usa-2025-opswat-ot-cyber-defense-bundle

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.09.08

https://www.linkedin.com/posts/alirezaghahrood_1100-cybersecurity-certifications-activity-7370803944803090432-oDh1

رسوایی اصلی در همرنگی بدون اندیشه و‌ خردورزی است که حماقت جمعی را پدید خواهد آورد. پدیده ای که در انتخاب ها و همه گیر شدن یک موضوع در شبکه های اجتماعی به تصمیماتمان تقدس می بخشد

آیا واقعاً می‌توان کسی را تغییر داد؟
آیا آدم‌ها واقعاً تغییر می‌کنند؟ و اگر بله، در چه سطحی و با چه هزینه‌ای؟

۱- انسان موجودی تغییرپذیر است، اما نه در هر بُعدی
تحقیقات طولی نشان داده‌اند که برخی ویژگی‌ها با گذر زمان و تجربه تغییر می‌کنند، اما اغلب این تغییرات آهسته، محدود و در نتیجهٔ انتخاب‌های آگاهانهٔ فرد هستند، نه فشارهای بیرونی.
بنابراین اگر منظورتان از تغییر، رشد فردی یا یادگیری مهارت‌های اجتماعی باشد، بله، این شدنی است.
اما اگر بخواهید جوهرهٔ درونی فرد را که امضای روانی اوست دگرگون‌کنید، معمولاً با دیوار مواجه می‌شوید.

۲- فرق بزرگی بین تغییر رفتار و تغییر شخصیت وجود دارد

افراد ممکن است در پاسخ به شرایط خاص، رفتار خود را تغییر دهند. مثلاً مردی که تا دیروز بی‌نظم بود، به‌خاطر حضور در محیط کاری جدید، منظم‌تر عمل کند. این تغییر در سطح «رفتار»رخ می‌دهد.
اما شخصیت چیزی پایدارتر و عمیق‌تر است که به‌سختی دگرگون می‌شود.

۳- برخی از تغییرات تنها با ارادهٔ خود فرد ممکن‌اند، نه با خواست ما
پژوهش‌ها نشان داده‌اند که هر نوع تغییر پایدار، نیازمند انگیزهٔ درونی است. یعنی فرد باید خود بخواهد که تغییر کند.
روان‌شناسان بالینی تأکید می‌کنند که «پیش‌نیاز هر دگرگونی، پذیرش و خواست شخصی است».شما می‌توانید منبع الهام باشید، حمایت‌کننده یا آینه‌ای صادق؛ اما نمی‌توانید محرک اصلی باشید اگر طرف مقابل تمایلی نداشته باشد.

۴- تمایز بین تغییر شخصیت و درمان اختلال روانی را جدی بگیرید

۵- رمان‌ها و فیلم‌ها تصویری اغراق‌شده از تغییر شخصیت ارائه می‌دهند

۶- مغز انسان ظرفیت یادگیری دارد، اما شخصیت الگوهای پایدارتری دارد بله، ممکن است کسی مهارت جدیدی بیاموزد یا واکنش‌های عاطفی خود را بهتر کنترل کند، اما این تغییرات لزوماً به معنای دگرگونی شخصیت نیستند. آن‌چه عوض می‌شود رفتار است، نه ماهیت وجودی فرد.

۷- برخی تغییرات نمایشی‌اند و برای تطبیق موقت با شرایط صورت می‌گیرند

۸- فرهنگ و جامعه می‌توانند چارچوب‌هایی بسازند که مسیر تغییر را تسهیل یا محدود کنند

۹- در روان‌درمانی‌های مدرن، هدف «تغییر بنیادین» نیست؛ بلکه تنظیم بهتر با واقعیت است

۱۰- گاهی تغییر، به‌معنای رهایی از نقاب است؛ نه افزودن ویژگی جدید

۱۱- تغییر شخصیت در بزرگسالی نادر، اما ممکن است

۱۲- «تغییر برای دیگران» اغلب به نارضایتی درونی منجر می‌شود
روان‌شناسان وجود «اصالت» را برای رضایت از زندگی حیاتی می‌دانند و معتقدند تغییر موفق، تنها زمانی رخ می‌دهد که در هماهنگی با هویت فردی باشد، نه تقلیدی از خواسته‌های دیگران.

۱۳- برخی ویژگی‌ها به‌قدری ژرف‌اند که تغییر آن‌ها به‌معنای ازبین‌بردن هویت است

۱۴- اغلب افراد تغییر را با کنترل اشتباه می‌گیرند

۱۵- بهترین نوع تغییر، با الگوسازی و الهام‌گیری آغاز می‌شود
مطالعات رفتاری نشان می‌دهند که افراد وقتی کسی را می‌بینند که در مسیر مشخصی رشد کرده، بیشتر از طریق «مشاهده» ترغیب به تغییر می‌شوند تا نصیحت مستقیم. به‌جای آنکه از کسی بخواهیم مطالعه کند، اگر خودمان اهل کتاب باشیم، احتمالاً به‌مراتب اثربخش‌تر خواهد بود.

گر می نخوری طعنه مزن مستان را
بنیاد مکن تو حیله و دستان را

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.09.09

https://www.linkedin.com/posts/alirezaghahrood_%D8%B1%D8%B3%D9%88%D8%A7%DB%8C%DB%8C-%D8%A7%D8%B5%D9%84%DB%8C-%D8%AF%D8%B1-%D9%87%D9%85%D8%B1%D9%86%DA%AF%DB%8C-%D8%A8%D8%AF%D9%88%D9%86-%D8%A7%D9%86%D8%AF%DB%8C%D8%B4%D9%87-%D9%88-%D8%AE%D8%B1%D8%AF%D9%88%D8%B1%D8%B2%DB%8C-activity-7370942326699028480-VD2j

🔺 چرا امنیت سایبری در ایران تبدیل به صنعت نشده است؟ شبیه هیچ‌کجای جهان

⬅️ اگر امروز یک حمله سایبری گسترده به زیرساخت‌های حیاتی ایران رخ دهد، به نظر شما چند سازمان تاب می‌آورند؟ کارشناسان حوزه امنیت خیلی به این موضوع خوش‌بین نیستند و مشکل اصلی را نه‌فقط در نبود شرکت‌های امنیتی قدرتمند در ایران بلکه در بی‌برنامگی، رانت و نگاه کوتاه‌مدت مدیران در موضوع امنیت سایبری می‌دانند.

⬅️ البته باید به این نکته توجه کرد که ماهیت شرکت‌های امنیتی با کسب‌وکارهای B۲C کاملاً متفاوت است و به همین دلیل نمی‌توان از آنها انتظار رشد و شهرت سریع داشت. رویا دهبسته، فاطمه مشرفی و علیرضا قهرود متخصصان حوزه امنیت سایبری هر کدام از زوایای متفاوت مشکلات بنیادین این حوزه را بررسی کرده‌اند.


🖥برای تهیه اشتراک ماهنامه پیوست می‌توانید به سایت پیوست و بخش اشتراک ماهنامه مراجعه کرده و پس از عضویت در سایت، اقدام به تهیه اشتراک یک‌ماهه تا یک‌ساله کنید.

🆔 @peivast
#پیوست۱۳۷

🔗متن کامل این گفت‌وگو را در سایت و ماهنامه پیوست بخوانید:
https://pvst.ir/m64

Honoring a Colleague:
Friendship, Ethics, and the Future of Cybersecurity

Reza Rashidi
Hadess | حادث
Diyako Secure Bow
my dear friend and valued colleague❤️🙏, has moved to Germany to continue his studies and gain international experience. I can confidently say he is one of the rare individuals who embodies both deep expertise and genuine integrity a combination many lack. His absence is truly felt; from project meetings and joint work to the laughter and memories we shared.

I still remember the Forensic analysis of a ransomware case worth several hundred thousand dollars a heavy challenge that, through teamwork and perseverance, turned into an unforgettable experience.

This journey left me with a timeless reminder: higher authorities, including the Passive Defense Organization and the Presidential ICT Security Office, must drive cybersecurity culture from the top down. Such an approach not only ensures compliance with essential security controls but also makes a significant contribution to strengthening risk management at both national and organizational levels.

رضا رشیدی، دوست و همکار ارزشمندم، برای ادامه تحصیل و کسب تجربه‌های بین‌المللی راهی آلمان شد. با اطمینان می‌گویم او از معدود افرادی است که در کنار دانش و تخصص، اخلاق‌مداری واقعی را به نمایش می‌گذارد؛ ویژگی نادری که بسیاری از افراد فاقد آن هستند. نبودنش واقعاً احساس می‌شود؛ از جلسات پروژه‌ها و کارهای مشترک گرفته تا خنده‌ها و خاطراتی که در ذهنم ماندگار شده‌اند.

هنوز هم یاد ماجرای تحلیل Forensic روی باج‌افزار چندصدهزار دلاری لبخند به لبم می‌آورد؛ چالشی سنگین که با همکاری و تلاش، به تجربه‌ای فراموش‌نشدنی تبدیل شد.

این مسیر برای من یک یادآوری تکرار درس نامه ای از درس کلیدی داشت: نهادهای بالادستی، از جمله پدافند غیرعامل و افتای ریاست جمهوری و …، باید فرهنگ‌سازی امنیت سایبری را از بالا به پایین هدایت کنند. چنین رویکردی نه تنها اجرای حداقل کنترل‌های امنیتی را تضمین می‌کند، بلکه به ارتقای مدیریت ریسک در سطح ملی و سازمانی کمک شایانی خواهد کرد.


— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.09.10

AI Is Reshaping Careers, Not Replacing Them

•Young workers (22–25) are hit hardest: most entry-level, routine tasks are the first to be automated.
•Experienced professionals (30+) gain more value: strategic thinking, networks, and decision-making can’t be easily replaced.
•Hands-on jobs (repairs, caregiving, physical work) remain safer for now.
•Future warning for youth: success will depend on hybrid skills → technical + business knowledge, AI fluency + problem-solving, and strong soft skills.

The Stanford findings show AI isn’t killing jobs, it’s changing their nature. Companies no longer want just “task-doers” they need people who can design, guide, and create value beyond the routine.

https://digitaleconomy.stanford.edu/publications/canaries-in-the-coal-mine/

چرا جوان‌ها بیشتر تحت فشار AI هستند؟
بیشتر ورودی‌های جدید بازار کار (۲۲ تا ۲۵ سال) معمولاً روی کارهای روتین، کم‌ریسک و تکراری متمرکز می‌شن. همین‌ها دقیقاً اولین جاهایی هستن که هوش مصنوعی می‌تونه سریع‌تر، ارزون‌تر و با خطای کمتر انجام بده. مثال روشنش تو بازاریابی دیجیتال و خدمات مشتریان هست: تولید محتوای ساده، پاسخ‌گویی اولیه به مشتری یا تحلیل داده‌های سطحی، همگی به‌راحتی اتوماسیون می‌شند،

چرا افراد باتجربه سود بردند؟
افراد بالای ۳۰ سال معمولاً تجربه عملی، شبکه ارتباطی و قدرت تصمیم‌گیری استراتژیک دارند. این ویژگی‌ها به‌سادگی قابل جایگزینی با AI نیست. شرکت‌ها متوجه شدند که ترکیب تجربه انسانی با ابزارهای AI بهره‌وری رو چند برابر می‌کنه. در نتیجه تقاضا برای افراد مید-لِوِل و سینیور بیشتر شده.

چه مشاغلی هنوز امن‌ترند؟
حوزه‌های فیزیکی و عملی مثل تعمیرات صنعتی، مراقبت‌های پزشکی/اجتماعی و کارگری هنوز دور از دسترس هوش مصنوعی هستند. چون AI می‌تونه تحلیل کنه ولی نمی‌تونه پیچیدگی محیط واقعی یا کارهای دستی رو جایگزین کنه. البته رباتیک و اتوماسیون صنعتی در آینده این بخش‌ها رو هم هدف می‌گیرند، ولی سرعت نفوذش به اندازه بخش‌های اداری نیست.

هشدار اصلی برای جوان‌ها
ورود به بازار کار در آینده بدون مهارت‌های ترکیبی (Hybrid Skills) سخت‌تر می‌شه:
• دانش تکنیکی + درک کسب‌وکار
• کار با ابزارهای AI + مهارت حل مسئله و خلاقیت
• مهارت‌های نرم (ارتباط، تیم‌ورک، مذاکره)
اگر نسل جوان فقط روی وظایف روتین تکیه کنه، به‌سرعت توسط AI کنار زده می‌شه. اما اگه بتونه نقش خودش رو از “انجام‌دهنده” به “طراح و هدایت‌کننده” ارتقا بده، فرصت‌های جدید براش باز می‌شوند.

تحلیل
یافته‌های استنفورد درست می‌گه که AI شکاف بین نسل تازه‌وارد و نیروهای باتجربه رو بیشتر کرده. اما اصل ماجرا اینه که AI کارها رو از بین نمی‌بره، بلکه ماهیت اون‌ها رو تغییر می‌ده. سازمان‌ها دیگه به دنبال “نیروی تازه‌کار برای کارهای تکراری” نیستن، بلکه دنبال کسایی هستن که از همون ابتدا توانایی کار با AI و ارزش‌افزایی فراتر از روتین رو داشته باشند.

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.09.11

Nothing Yet Everything … Flight Beyond Bounds.

گوی منی و می‌دوی در چوگانِ حکمِ من
در پی تو همی ‌دَوَم گرچه که می‌دوانمت

از ابتدا به انتها

چنین قفس نه سزای چو من خوش الحانیست ،
روم به گلشن رضوان که مرغ آن چمنم

+رومی مولانا و حافظ بزرگ

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.09.13

https://lnkd.in/d_C4nw2t

https://www.linkedin.com/posts/alirezaghahrood_nothing-yet-everything-flight-beyond-bounds-activity-7372436970653835264-MKj_

Massive Leak of China’s Great Firewall or … Contractors

Over 500–600 GB of internal documents, source code, and technical logs allegedly from Geedge Networks and the MESA laboratory (part of the Chinese Academy of Sciences) have been leaked online.

The files reportedly reveal details of censorship tools including the Tiangou Secure Gateway (TSG) capable of filtering encrypted traffic, blocking VPN/V2Ray usage, shaping traffic, and marking suspicious connections.
Evidence suggests similar surveillance technology has been exported to countries such as Myanmar, Pakistan, Ethiopia, and Kazakhstan under China’s Belt & Road framework. Analyses by cybersecurity researchers and journalists (e.g., Wired, GFW Report) are ongoing, and legal/ethical implications remain significant.

شاید بزرگ‌ترین نشت تاریخ (دیوار آتش بزرگ چین)
چه چیزی لو رفت؟

به‌تازگی بیش از ۵۰۰ تا ۶۰۰ گیگابایت اسناد داخلی، کد منبع، لاگ‌های فنی و ارتباطات داخلی شرکت Geedge Networks و آزمایشگاه MESA وابسته به مؤسسه مهندسی اطلاعات آکادمی علوم چین افشا شده‌اند.

نکات اولیه:
• نام‌ها و مراجع
Geedge Networks تحت نظارت فانگ بینگ‌سینگ، صاحب نفوذی که اغلب به‌عنوان پدر دیوار آتش بزرگ چین شناخته می‌شود. MESA نیز
بخشی از مؤسسه مهندسی اطلاعات چین است.

• ابزارها و پروژه‌ها
مهم‌ترین محصول در مرکز این افشا، Tiangou Secure Gateway (TSG) است؛ سیستمی که قابلیت فیلتر‌کردن ترافیک، مسدودکردن VPN‌ها، مشاهده و تجزیه و تحلیل نشست‌های کاربران و حتی تزریق بدافزار دارد.
• استفاده بین‌المللی
این تکنولوژی‌ها نه فقط در خود چین، بلکه در کشورهایی مثل میانمار، پاکستان، اتیوپی‌… و چند کشور بصورت ناشناخته تحت پروژه کمربند و جاده (Belt & Road) به کار رفته‌اند یا در حال استقرار هستند.
• چالش‌ها و نگرانی‌ها
• کنترل و نظارت گسترده بر کاربران عادی، شامل رصد فعالیت‌های آنلاین هر فرد.
• نفوذ به ترافیک رمزگذاری شده (TLS / QUIC) با تحلیل متادیتا و یادگیری ماشین.
• احتمالاً توانایی مسدودسازی کاربران VPN یا ابزارهای مشابه که برای حفظ حریم خصوصی استفاده می‌شوند.

پیامدها
• این افشا نشان می‌دهد که ابزارهای نظارت و سانسور اینترنتی به محصولاتی تجاری تبدیل شده‌اند که به سرعت در سطح بین‌المللی گسترش می‌یابند.
• کشورها و شرکت‌هایی که از این نوع تکنولوژی‌ها استفاده می‌کنند یا خریداری می‌کنند، ممکن است تحت فشارهای حقوق بشری و بین‌المللی قرار گیرند.
• برای فعالان امنیت سایبری، رسانه‌ها‌ و کاربران معمولی هم زمان آن رسیده که درباره ابزارها، قراردادها، و زیرساخت فنی این سیستم‌ها مطالبه‌گر باشند.

پیشنهاد برای اقدام
• روزنامه‌نگاران و تحلیل‌گران: این داده‌ها را بررسی 😃 و ضعف‌ها و نقاط آسیب‌پذیر را شناسایی کنید.
• سازمان‌های حقوق بشری: پیگیری قانونی برای مسئولیت‌پذیری بازیگران این حوزه.
• کاربران: آگاهی از ابزارهایی که دسترسی به اینترنت را تحت نظارت قرار می‌دهند، و استفاده از راه‌کارهای حفظ حریم شخصی.

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.09.15

#DiyakoSecureBow
————————————
CISO as A Service (vCISO)

Celebrating the Backbone of Technology
Today we honor IT professionals who keep our digital world secure, connected, and running smoothly. From solving complex challenges to protecting organizations against cyber threats, their dedication drives innovation and resilience every single day.
The third Tuesday of September is recognized as IT Professionals Day, a special moment to acknowledge their critical role in shaping the future of technology.
At Diyako, we are proud to celebrate the incredible work of IT experts and thank them for being the true backbone of modern technology.
Happy IT Professionals Day! 🚀💻

-Secure Business Continuity-
2025.09.16
————————————————
#CyberSecurity #IT #Professionals #IT_Professionals

https://www.linkedin.com/posts/diyako-secure-bow_diyakosecurebow-cybersecurity-it-activity-7373573886128500736-oSAX

Love, Friendship, and Kindness:The Real Recipe of Life.
🙏😇❤️
زندگی‌جز، عشق، رفاقت، محبت و شد نونی رساندن چیست!

حوالی چهل سالگی،
هویت دوباره به لرزه می‌افتد.
تمام آنچه ساخته‌ای به چالش کشیده می‌شود
و ستون‌های محکم باورت ترک برمی‌دارد.
عنوان، شهرت، سواد، مال و حتی …
ناگهان کم‌رنگ می‌شوند
و دلت برای کسی تنگ می‌شود
که پیش از همه‌ی این‌ها بودی.

تنها‌تر از گذشته می‌شوی،
چون این بار حتی نزدِ خودت هم غریبی.
نسخه‌ای از خودت را می‌خواهی
که دیگران دوستش ندارند و از او می‌ترسند.
انگار دوباره نوجوان شده‌ای؛
پیچیده و ساده تر، آرام و طغیانگر تر!
عمیق و رو راست تر.
تشنه‌ی رابطه‌های صادقانه،
تشنه‌ی گفت‌وگوهای اصیل.

در میانه‌ی این لرزش، تجربه‌ها نجوا می‌کنند:
کسانی که در امور کوچک بی‌وجدان اند،
در امور بزرگ رذلی تمام‌عیار خواهند بود.
و گاهی تصمیم درست، غمگینت می‌کند.
به قول شاید هدایت! هرکسی از این دنیا چیزی برمی‌دارد…
و من سال‌هاست دست برداشته‌ام!ً
از خواب خسته‌ایم، به چیزی فراتر از خواب نیاز داریم؛
شاید بیهوشی‌ای طولانی
تا بیداری تازه‌ای ممکن شود.
من در تنهایی، جهانی دیگر با انسان‌هایی جدید ساخته‌ام…
چه می‌دانی من چه می‌گویم؟! Trip
اگر دشمنی هم هستید، کاش باشکوه باشید؛
اما حتی دشمن باشکوهی هم نیستید🥸
اوباشید: بی‌سرپا، بی‌قید و بی‌افتخار.

اما زندگی همین است؛
دائماً پوست می‌اندازد، پیله می‌بافد
و دوباره از پیله بیرون می‌آید.
اکنون که به چهل نزدیک شده‌ای،
می‌توان با تمام وجود
هنگام عبور از کنار پرتگاه چهل سالگی لذت برد؛
اگر بدانی این لرزش
دعوتی است برای زایش دوباره.
از حوالی چهل سالگی باید خیلی آموخت…
و عمیقاً و تشدید دار لذت برد.

پ‌ن:
هركسى باهات نون و نمك خورده
لزوماً رفيقت نيست، شايد گرسنه بوده ... و من چقدر گرسنه دیده ام! در این سال ها🙂
Ebr
با تو سر فصل جذابی از گذران زندگی در سال های متفا‌وت، زندگی کردم و‌كنار آدم هايى كه واسه يك ساعتم شده مى توانند از تاريكهاى دنيا نجاتت بدهند؛
زندگی، زندگی تره...

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.09.17

A Wake Up Call for Cybersecurity

When even the UN High Commissioner mocks Israel’s replies as “ChatGPT like engineered and repetitive”.

it’s more than politics; it’s a wake-up call for cybersecurity and technology professionals. Those of us who work daily with prompt engineering, automated content, and ML models know that:
•Smart copy-paste ≠ smart analysis
•Automation without critical thinking means accepting hidden biases.

True security isn’t just in code or tools; it lives in independent thinking and continuous questioning.😎

وقتی حتی کمیسر عالی سازمان ملل طعنه می‌زند که «پاسخ‌های اسرائیل مثل ChatGPT از قبل مهندسی و تکراری است»،

این فقط یک خبر سیاسی نیست؛ هشداری است برای ما متخصصان امنیت سایبری و فناوری. ما که هر روز با مهندسی پرامپت، تولید خودکار متن و الگوریتم‌های یادگیری ماشین سر و کار داریم، بهتر از هر کسی می‌دانیم که:
• کپی‌پیست هوشمند ≠ تحلیل هوشمند
• اتوماسیون بدون تفکر انتقادی، یعنی پذیرش پیش‌فرض‌های پنهان

این ماجرا یادآور این اصل است که امنیت واقعی تنها در کدها و ابزارها نیست؛ بلکه در تفکر مستقل و پرسشگری مداوم است.

#CyberSecurity #AI #PromptEngineering #CriticalThinking #InfoSec #Technology #ChatGPT #DigitalEthics #SecurityLeadership

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.09.18

Fertility of Thought with Artificial Intelligence

Artificial Intelligence can multiply our creativity and productivity across many fields from complex analysis and precise decision-making to inspiring innovation in art and business.

Yet the truth is that AI will not replace every discipline or skill anytime soon. What truly matters is our level of familiarity with AI and the ability to choose how we engage with it. The more knowledge and hands-on experience we gain, the less we fear and the more we own the power of choice and shape the future.

باروری اندیشه با هوش مصنوعی

هوش مصنوعی می‌تواند باروری و خلاقیت ما را در شاخه‌های مختلف چند برابر کند؛ از تحلیل‌های پیچیده و تصمیم‌سازی‌های دقیق گرفته تا الهام‌بخشی در هنر و کسب‌وکار.

اما حقیقت این است که هوش مصنوعی به این زودی جای تمام رشته‌ها و مهارت‌های انسانی را نمی‌گیرد. آنچه تعیین‌کننده است، سطح آشنایی ما با AI و قدرت انتخاب آگاهانه در بهره‌گیری از آن است. هرچه شناخت و مهارت بیشتری داشته باشیم، به جای ترس، قدرت انتخاب و هدایت مسیر آینده را به دست می‌گیریم.


— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.09.20

Cybersecurity Drills: The Real Test of Resilience & Compliance

In today’s threat landscape, cyber-drills are far more than technical exercises they are strategic tools to measure organizational resilience and validate alignment with regulatory mandates and international standards such as ISO 27001, NIST CSF, and local ICT governance frameworks(AFTA, els).
Whether executed as live attacks, isolated lab tests, or table-top simulations, these drills reveal how well people, processes, and technology respond under pressure.

Regularly conducting phishing simulations, ransomware response tests, Red Team engagements, and forensic hunting exercises ensures that:
_Incident response plans are actionable, not just documents.
_Detection and containment capabilities match upper-level regulatory requirements.
_Leadership gains evidence-based assurance of business continuity and cyber-resilience.
_Cyber-drills are no longer optional, they are a measurable commitment to governance, risk, and compliance (GRC) maturity.

مانورهای سایبری؛ محک واقعی تاب‌آوری و انطباق با الزامات
در چشم‌انداز تهدیدات امروز، مانورهای سایبری تنها یک تمرین فنی نیستند؛ بلکه ابزاری راهبردی برای سنجش میزان تاب‌آوری سازمان و ارزیابی هم‌راستایی با الزامات بالادستی و استانداردهای بین‌المللی مانند ISO 27001، NIST CSF و چارچوب‌های حاکمیت فاوا به شمار می‌روند

چه به صورت حمله زنده (Live)، آزمایشگاهی (Isolated Lab) یا دورمیزی (Table-Top) اجرا شوند، این مانورها نشان می‌دهند که افراد، فرآیندها و فناوری در شرایط واقعی تا چه اندازه آماده واکنش هستند
اجرای منظم سناریوهایی مانند فیشینگ، آلودگی باج‌افزاری، تیم قرمز و شکار تهدید اطمینان می‌دهد که:
برنامه‌های پاسخ‌گویی به حادثه، عملیاتی و قابل اتکا هستند.
توان شناسایی و مهار تهدید با الزامات قانونی و نظارتی هم‌تراز است.
مدیران شواهد واقعی برای تداوم کسب‌وکار و بلوغ تاب‌آوری سایبری در اختیار دارند.
امروز مانورهای سایبری یک انتخاب نیستند؛ بلکه تعهدی قابل اندازه‌گیری به حاکمیت، ریسک و انطباق محسوب می‌شوند


— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.09.21

https://lnkd.in/p/dUT9ntcN

Hollow Security:
When Knowledge and Experience Are Pushed Aside

واقعیتی تلخ از پروژه‌های امنیت سایبری کشور
سه سال حضور مستمر در جلسات و پروژه‌های امنیت سایبری بخش خصوصی و دولتی در صنایع متنوع حساس و‌غیر حساس! به‌ویژه در سازمان‌های حیاتی، یک تصویر روشن و نگران‌کننده ترسیم کرده است:

پیمانکاران مجوزدار ولی بی‌دانش اما پر ادعا
خوراک بردن گوشه رینگ و نشستن با لبخند به پرزنت🙂ما شااالله قرص های افزایش طول قد و جوارح به حوزه امنیت هم رسیده!!

بخش بزرگی از شرکت‌های به‌اصطلاح (دارای مجوز امنیت) تنها با کلاه‌گشاد بستن بر سر کارفرما قراردادهای کلان می‌گیرند.
قراردادهایی با ارقام نجومی و بدون تعهد واقعی به کیفیت؛ پیمانکارانی که باید دانش عمیق داشته باشند اما آش دهان‌سوزی نیستند و خروجی کارشان در حد فاجعه است.
محصولات موسوم به (بومی) نه خلاقانه‌اند و نه واقعاً بومی؛ هزینه‌های گزاف تحمیل می‌کنند ولی در نهایت خروجی آن‌ها چیزی جز یک SIEM ناقص و پر از وصله‌پینه نیست که با ارفاغ هم به LM نمی رسند!

خلأ نظارت بر خط حکمرانی بصورت شفاف، شجاعانه😀 و زدن زیر میز های فساد و‌عدم‌شایسته‌سالاری های تشدید دار سازمان‌یافته!
وقتی نظارت واقعی نباشد، نتیجه‌اش (کم‌کاری برنامه‌ریزی‌شده) است:
• قراردادهای بزرگ بدون مشخصات دقیق
•تحویل‌های صوری و پر از استثنا
• حیف‌ومیل بودجه‌های کلان

مشکل اصلی: کارفرمای نا آگاه و عزیزم پیمانکاران گرگان وال استریت!!!

در جلسات کمیسیون‌ها، همایش های شعاری، ریخت و پاش ها، مصاحبه روابط عمومی سازمان ها و ترییون دادن به مدیران خودی‌که نه تا حالا یک کامندزدن نه امن سازی نه اکسپلویت اما با تصاویر …چند ده سال عقب ترند افتاده! که شایستگی‌پیدا کردن در آن ها نیازه به معجزات پیام اوران دینی دارد!فقط (گِل گرفتن)است؛ حرف زیاد، کار اجرایی کم.

راه‌حل پیشنهادی
1. آموزش ساختاریافته‌ی کارفرمایان (مدیریتی و فنی):
• شناخت دقیق پروژه و خروجی‌ها
• طراحی استراتژی تخصصی و تعریف نقاط کنترل(GRC)
• مستندسازی تحویل‌ها و جریمهٔ تخلف
• تشخیص (کلاه‌گشاد) از راهکار واقعی
2. نظارت سختگیرانه و برخورد واقعی:
• ایجاد فهرست سیاه (Black List) برای پیمانکاران کم‌کار و متخلف
• الزام به شفافیت مالی و فنی
3. مطالبه‌گری فنی از سوی کارفرما:
• تعریف شاخص‌های سنجش کیفیت و الزام به تحویل واقعی
• جلوگیری از قراردادهای صوری و تحویل‌های ناقص

پیام پایانی
امنیت سایبری با شعار، همایش و چهارتا تکنولوژی ناقص یاد گرفتن و‌اشنای داغون با استانداردها و‌نصاب بودن! تازگی ها هم موج‌ تدریس حاصل نمی‌شود.
ارتقا و احراز دانش فنی + شفافیت قراردادی + نظارت قاطع رگولاتوری و ناظران سه ضلع مثلث نجات است.
تا زمانی که این سه ضلع جدی گرفته نشوند، هر گواهینامه و …تنها یک کاغذ بی‌ارزش خواهد بود.

آیا شما هم تجربهٔ مشابهی از کم‌کاری سازمان‌یافته یا برون‌سپاری بی‌نظارت داشته‌اید؟ حضور و فعالیت متخصصین احراز شده، عدم سکوت و فعالیت فرا سازمانی در بیان دیدگاه‌های شما می‌تواند گام اول برای اصلاح این چرخه باشد.

د‌وستان حراست فناوری و‌…، دکمه یقه بالا رو شل کنید، دم و بازدم سرعت پیدا کند و وظایف قانونی رو دقیق و‌شرافت مندانه هندل کنیم، چرا در بانک و‌… فساد میبینید اب از اب تکان نمی خورد!؟ چرا!؟

ا‌ون علی (ع) که ما شناختیم، کوچه اش چپ که نبود به آتش میسپرد فساد و رانت ها را. این تابلو‌‌های ایست- خطر، خسته شدن از بس دایورت کردیمشون!

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.09.23

https://www.linkedin.com/posts/alirezaghahrood_hollow-security-when-knowledge-and-experience-activity-7376002738301771776-XJBH

After preparing the list of common web application vulnerabilities,

we have several enhancement proposals to elevate the document:
_Standard Classification: Tag each item with OWASP Top 10 and MITRE CWE references to enable risk mapping and prioritization.
_Organizational Risk Dimension: Add columns for Impact (CIA) and Likelihood to support GRC evaluations.
_Modern Threats: Incorporate emerging topics such as API Security, Supply Chain/Dependency Confusion, Cloud Misconfigurations, and even AI/ML attacks (Prompt Injection, Data Poisoning).
_CyberDrill Scenarios: Define Red Team and Table-Top exercises for each vulnerability, aligned with ISO 27001 and NIST CSF controls.
_Operational Format: Convert the document into a Spreadsheet/Risk Register to allow filtering, scoring, and remediation tracking.

These steps will transform the initial list into a practical, operational tool for use in organizational security projects.

پس از تهیه فهرست آسیب‌پذیری‌های رایج وب، چند پیشنهاد برای ارتقای سند داریم
طبقه‌بندی استاندارد: برچسب‌گذاری هر مورد با چارچوب‌های معتبر برای ترسیم نقشه ریسک و اولویت‌بندی
افزودن بُعد ریسک سازمانی: اضافه کردن ستون‌های اثرگذاری بر محرمانگی، یکپارچگی و دسترس‌پذیری و همچنین احتمال وقوع برای ارزیابی دقیق
تهدیدات نوین: گنجاندن مباحث جدید مانند امنیت رابط‌های برنامه‌نویسی، زنجیره تأمین، وابستگی‌های مخرب، پیکربندی نادرست فضای ابری و حملات مبتنی بر هوش مصنوعی و یادگیری ماشین
سناریوهای مانور امنیتی: تعریف تمرین‌های تیم قرمز و دورمیزی برای هر آسیب‌پذیری در راستای کنترل‌های استانداردهای امنیت اطلاعات
فرمت اجرایی: انتقال سند به قالبی قابل فیلتر، امتیازدهی و پیگیری اصلاحات برای استفاده عملی در پروژه‌های امنیتی

این گام‌ها سند اولیه را به یک ابزار عملیاتی و کاربردی برای پروژه‌های امنیتی سازمان تبدیل می‌کند


— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.09.26

https://www.linkedin.com/posts/alirezaghahrood_vul-list-in2-cyber-security-tool-2025-activity-7377209593845690368-sVeF