Hollow Security:
When Knowledge and Experience Are Pushed Aside

واقعیتی تلخ از پروژه‌های امنیت سایبری کشور
سه سال حضور مستمر در جلسات و پروژه‌های امنیت سایبری بخش خصوصی و دولتی در صنایع متنوع حساس و‌غیر حساس! به‌ویژه در سازمان‌های حیاتی، یک تصویر روشن و نگران‌کننده ترسیم کرده است:

پیمانکاران مجوزدار ولی بی‌دانش اما پر ادعا
خوراک بردن گوشه رینگ و نشستن با لبخند به پرزنت🙂ما شااالله قرص های افزایش طول قد و جوارح به حوزه امنیت هم رسیده!!

بخش بزرگی از شرکت‌های به‌اصطلاح (دارای مجوز امنیت) تنها با کلاه‌گشاد بستن بر سر کارفرما قراردادهای کلان می‌گیرند.
قراردادهایی با ارقام نجومی و بدون تعهد واقعی به کیفیت؛ پیمانکارانی که باید دانش عمیق داشته باشند اما آش دهان‌سوزی نیستند و خروجی کارشان در حد فاجعه است.
محصولات موسوم به (بومی) نه خلاقانه‌اند و نه واقعاً بومی؛ هزینه‌های گزاف تحمیل می‌کنند ولی در نهایت خروجی آن‌ها چیزی جز یک SIEM ناقص و پر از وصله‌پینه نیست که با ارفاغ هم به LM نمی رسند!

خلأ نظارت بر خط حکمرانی بصورت شفاف، شجاعانه😀 و زدن زیر میز های فساد و‌عدم‌شایسته‌سالاری های تشدید دار سازمان‌یافته!
وقتی نظارت واقعی نباشد، نتیجه‌اش (کم‌کاری برنامه‌ریزی‌شده) است:
• قراردادهای بزرگ بدون مشخصات دقیق
•تحویل‌های صوری و پر از استثنا
• حیف‌ومیل بودجه‌های کلان

مشکل اصلی: کارفرمای نا آگاه و عزیزم پیمانکاران گرگان وال استریت!!!

در جلسات کمیسیون‌ها، همایش های شعاری، ریخت و پاش ها، مصاحبه روابط عمومی سازمان ها و ترییون دادن به مدیران خودی‌که نه تا حالا یک کامندزدن نه امن سازی نه اکسپلویت اما با تصاویر …چند ده سال عقب ترند افتاده! که شایستگی‌پیدا کردن در آن ها نیازه به معجزات پیام اوران دینی دارد!فقط (گِل گرفتن)است؛ حرف زیاد، کار اجرایی کم.

راه‌حل پیشنهادی
1. آموزش ساختاریافته‌ی کارفرمایان (مدیریتی و فنی):
• شناخت دقیق پروژه و خروجی‌ها
• طراحی استراتژی تخصصی و تعریف نقاط کنترل(GRC)
• مستندسازی تحویل‌ها و جریمهٔ تخلف
• تشخیص (کلاه‌گشاد) از راهکار واقعی
2. نظارت سختگیرانه و برخورد واقعی:
• ایجاد فهرست سیاه (Black List) برای پیمانکاران کم‌کار و متخلف
• الزام به شفافیت مالی و فنی
3. مطالبه‌گری فنی از سوی کارفرما:
• تعریف شاخص‌های سنجش کیفیت و الزام به تحویل واقعی
• جلوگیری از قراردادهای صوری و تحویل‌های ناقص

پیام پایانی
امنیت سایبری با شعار، همایش و چهارتا تکنولوژی ناقص یاد گرفتن و‌اشنای داغون با استانداردها و‌نصاب بودن! تازگی ها هم موج‌ تدریس حاصل نمی‌شود.
ارتقا و احراز دانش فنی + شفافیت قراردادی + نظارت قاطع رگولاتوری و ناظران سه ضلع مثلث نجات است.
تا زمانی که این سه ضلع جدی گرفته نشوند، هر گواهینامه و …تنها یک کاغذ بی‌ارزش خواهد بود.

آیا شما هم تجربهٔ مشابهی از کم‌کاری سازمان‌یافته یا برون‌سپاری بی‌نظارت داشته‌اید؟ حضور و فعالیت متخصصین احراز شده، عدم سکوت و فعالیت فرا سازمانی در بیان دیدگاه‌های شما می‌تواند گام اول برای اصلاح این چرخه باشد.

د‌وستان حراست فناوری و‌…، دکمه یقه بالا رو شل کنید، دم و بازدم سرعت پیدا کند و وظایف قانونی رو دقیق و‌شرافت مندانه هندل کنیم، چرا در بانک و‌… فساد میبینید اب از اب تکان نمی خورد!؟ چرا!؟

ا‌ون علی (ع) که ما شناختیم، کوچه اش چپ که نبود به آتش میسپرد فساد و رانت ها را. این تابلو‌‌های ایست- خطر، خسته شدن از بس دایورت کردیمشون!

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.09.23

https://www.linkedin.com/posts/alirezaghahrood_hollow-security-when-knowledge-and-experience-activity-7376002738301771776-XJBH

After preparing the list of common web application vulnerabilities,

we have several enhancement proposals to elevate the document:
_Standard Classification: Tag each item with OWASP Top 10 and MITRE CWE references to enable risk mapping and prioritization.
_Organizational Risk Dimension: Add columns for Impact (CIA) and Likelihood to support GRC evaluations.
_Modern Threats: Incorporate emerging topics such as API Security, Supply Chain/Dependency Confusion, Cloud Misconfigurations, and even AI/ML attacks (Prompt Injection, Data Poisoning).
_CyberDrill Scenarios: Define Red Team and Table-Top exercises for each vulnerability, aligned with ISO 27001 and NIST CSF controls.
_Operational Format: Convert the document into a Spreadsheet/Risk Register to allow filtering, scoring, and remediation tracking.

These steps will transform the initial list into a practical, operational tool for use in organizational security projects.

پس از تهیه فهرست آسیب‌پذیری‌های رایج وب، چند پیشنهاد برای ارتقای سند داریم
طبقه‌بندی استاندارد: برچسب‌گذاری هر مورد با چارچوب‌های معتبر برای ترسیم نقشه ریسک و اولویت‌بندی
افزودن بُعد ریسک سازمانی: اضافه کردن ستون‌های اثرگذاری بر محرمانگی، یکپارچگی و دسترس‌پذیری و همچنین احتمال وقوع برای ارزیابی دقیق
تهدیدات نوین: گنجاندن مباحث جدید مانند امنیت رابط‌های برنامه‌نویسی، زنجیره تأمین، وابستگی‌های مخرب، پیکربندی نادرست فضای ابری و حملات مبتنی بر هوش مصنوعی و یادگیری ماشین
سناریوهای مانور امنیتی: تعریف تمرین‌های تیم قرمز و دورمیزی برای هر آسیب‌پذیری در راستای کنترل‌های استانداردهای امنیت اطلاعات
فرمت اجرایی: انتقال سند به قالبی قابل فیلتر، امتیازدهی و پیگیری اصلاحات برای استفاده عملی در پروژه‌های امنیتی

این گام‌ها سند اولیه را به یک ابزار عملیاتی و کاربردی برای پروژه‌های امنیتی سازمان تبدیل می‌کند


— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.09.26

https://www.linkedin.com/posts/alirezaghahrood_vul-list-in2-cyber-security-tool-2025-activity-7377209593845690368-sVeF

DPU & Smart Switch: Security Built Into the Network

Episode 2 of Ehsan’s Tech Lounge highlights how DPUs offload critical security tasks to dedicated hardware and how next-gen Smart Switches from Cisco and HPE Aruba bring micro-segmentation and real-time telemetry directly into the fabric. Together with Cisco HyperShield, these technologies move protection from an “add-on” to security embedded in hardware, a vital response to encrypted traffic growth and zero-day threats. The future of cybersecurity lies in the convergence of networking and hardware-level processing.

DPU، Smart Switch
و آینده امنیت شبکه

EHSAN EMAD
Navid Yahyapour
ممنون احسان، از معرفی، نظرم و بخوام بگم😚
قسمت دوم پادکست Ehsan’s Tech Lounge را دیدم و واقعاً لذت بردم. گفت‌وگوی احسان عماد و نوید یحیی‌پور دقیقاً به نقطه‌ای پرداخت که امروز در معماری شبکه و امنیت به‌عنوان Cutting Edge شناخته می‌شود:

DPU (Data Processing Unit)
نقشی فراتر از شتاب‌دهی دیتاپلین؛ DPU عملاً مرز میان Compute و Network را دوباره تعریف می‌کند. با انتقال وظایف امنیتی و پردازشی به لایه‌ای مستقل، شاهد کاهش Latency و افزایش ایزولاسیون خواهیم بود، موضوعی که برای طراحی SOC و Zero Trust حیاتی است.

Smart Switches
نسل جدید سوییچ‌های سیسکو و HPE Aruba صرفاً تجهیزات انتقال نیستند؛ این‌ها بستر اجرای سیاست‌های امنیتی توزیع‌شده هستند. توان پردازش درون‌سوئیچ، قابلیت Micro-Segmentation و Telemetry بلادرنگ، ابزار جدید مدیران امنیت و شبکه است.

Cisco HyperShield
معماری یکپارچه‌ای که هوش امنیتی را در سطح Fabric پیاده می‌کند. این مدل، رویکردی Security-as-Code را به شبکه‌های Enterprise نزدیک‌تر می‌کند و به‌نوعی مغز متفکر یک Defensive Mesh واقعی است.

به نظر من، حرکت از ‘امنیت افزوده’ به سمت (امنیت تعبیه‌شده) در سخت‌افزار تنها راه پاسخ‌گویی به رشد ترافیک رمزگذاری‌شده و تهدیدات Zero-Day است.

فارغ از خیل خیل محتوا های کپی پیستی که ترند شده در حوزه امنیت و در لینکدین به شدت رایج شده که عمدتا ارزش افزوده لازم رو نداره 😀و متاسفانه لب و دهن مثلا قشنگ اما در عمل بالای منبر میرن همکاران🤓و در پروژه ها فقط اسناد تولید میکنند بدون انجام کار مهندسی فنی و عملیاتی اثر بخش! شاید ژست خوبی هم میگیرن😃

پیشنهاد می‌کنم این کانال و محتو را ببینید؛ گفت‌وگوی دو متخصصی که از دل پروژه‌های واقعی می‌آیند، ارزش شنیدن دارد.
#Networking #CyberSecurity #DPU #SmartSwitch #Cisco #Aruba #HyperShield

https://lnkd.in/dqswP2n3

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.09.27

https://www.linkedin.com/posts/alirezaghahrood_networking-cybersecurity-dpu-activity-7377552570334011392-JkMN

When a Simple Like and Post:Becomes a Security Breach

نشت اطلاعات؛ خطای فردی یا ضعف ساختاری؟
انتشار عکس یا جزئیات فنی یک پروژه‌ی ملی، حتی ناخواسته، می‌تواند تهدید امنیتی برای کشور و سازمان ایجاد کند.‌ این فقط یک خطای فردی نیست؛ بلکه نشانه‌ی ضعف در سیاست‌گذاری، حکمرانی و نظارت، آموزش و آگاهی امنیتی است.

نقش سازمان و مدیریت
• واحدهای امنیت اطلاعات (IT Security) و حراست باید فرآیند و سازوکار واکنش سریع (Incident Response / OSINT Monitoring) داشته باشند. ( یه عده کرگ وال استریت الان میرن معادل بومی میسازن!)
• نبود دستورالعمل مشخص باعث می‌شود حتی مدیران و کارشناسان حرفه‌ای، ندانسته اطلاعات محرمانه را لایک یا بازنشر کنند.

فرهنگ و آموزش
• آموزش امنیت اطلاعات نباید فقط به دوره‌های پولی یا تئوری در لینکدین و …محدود شود.
• آدم ها باید یاد بگیرند که هر واکنش ساده (لایک، ری‌اکشن، کامنت) چه معنای دارد!

ما به عنوان جامعه‌ی امنیت و فناوری باید درک کنیم که حتی یک عکس یا لایک ساده می‌تواند اطلاعات ارزشمند برای مهندسی اجتماعی و طراحی حمله باشد. سیاست‌های داخلی، آموزش مستمر و فرهنگ امنیتی باید جدی گرفته شود.

روایت یک اتفاق واقعی
یک پست صنعتی منتشر شد و ناخواسته اطلاعات حساس یک پروژه‌ی ملی لو رفت. در حالی که باید زنگ خطر به صدا دربیاید، از مدیر ارشد و کارشناس گرفته تا خیل مثلا متخصص امنیت، خیلی‌ها 🥸 خسته یا ناخسته🫨 – فقط یک 👍‌زدند و رفتند. انگار نه انگار که همین چند تصویر می‌تواند خوراک مهندسی اجتماعی و تهدید امنیت ملی باشد.

پیام خصوصی فرستادم تا موضوع را آگاهانه اطلاع بدهم؛ جواب؟ سکوت و نادیده گرفتن. محترمانه کامنت گذاشتم و هشدار دادم که این یک نشت اطلاعات است.اما کامنت حذف شد.

سازمانی با آن نام و اعتبار، حراست و تیم‌های امنیت اطلاعات و مدیران ارشدش واقعاً از خطر آگاه نیستند یا ترجیح می‌دهند نبینند؟

مشکل ریشه‌ای: سازوکار و آموزش
مسئله فقط آن فرد یا آن عکس نیست؛ مسئله، سازوکار و آموزش ماست.
وقتی سازوکاری برای رصد، سیاست‌گذاری و واکنش سریع وجود نداشته باشد، حتی واکنش‌های کوچک مثل لایک‌زدن هم از کنترل شخص خارج می‌شود و هرکسی منجر به ‌نشت اطلاعات سارمانی با پتانسیل ریسک امنیت ملی، کدوم ملی!؟داریم.

ری‌اکشن در لینکدین امضاست، نه تزئین
هر ری‌اکشن پیام خاص خودش را دارد:
Like یعنی آفرین، خوبه»
Celebrate یعنی تبریک»
Support یعنی حمایت و‌ همدردی»
Insightful یعنی نکته جالب»
Curious یعنی سؤال دار »

پیام آخر
هر بار که بی‌فکر لایک می‌زنیم،
پیش از هر کلیک، دو ثانیه مکث کنیم و بپرسیم: این واکنش چه پیامی دارد؟واکنش احساسی ما اوکی، پس واکنش درست آگاهی دادن چه!؟ مسولیت اجتماعی فقط کمک به صندوق های پول شویی حسابه!؟
امنیت فقط در سیاست‌ها و ابزارها نیست؛ از همین کلیک‌های کوچک شروع می‌شود.

حالا بریم فقط بخریم، چی تکنولوژی که روش سوارم نیستیم! آموزش هم صرفا گواهی!!!!چیزی هم یاد گرفتیم!؟ خدا بزرگتر است و بس.

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.09.28

https://www.linkedin.com/posts/alirezaghahrood_when-a-simple-like-and-postbecomes-a-security-activity-7377922514037075968-t6Ea

Security Assessment Reveals Gaps:
MFA and Beyond🙂

We compared the results of our latest security assessment across client environments with global statistics and the findings were concerning. While an average of 65% of organizations worldwide use multi-factor authentication (MFA), we have enabled it on only 12% of our systems.
Password complexity is in place, but dark-web monitoring for leaked credentials and automated workflows to remediate exposed passwords are virtually non-existent.

With threats growing every day, the key question is: where should we start?🤓
When budgets are tight and teams are stretched, the best approach is to prioritize actions based on risk combining deep knowledge of network technologies with an understanding of the business context and the value of critical assets.

In such situations, it is essential to formally escalate residual risks to senior management through clear reports or letters, enabling informed decisions and the implementation of feasible technical policies.

ما نتایج آخرین ارزیابی امنیتی‌مان در دامنه مشتریان را با آمارهای جهانی مقایسه کردیم. نتیجه نگران‌کننده بود: در حالی که به‌طور میانگین ۶۵٪ سازمان‌های دنیا( طبق گزارشات ISACA) از احراز هویت چندمرحله‌ای (MFA) استفاده می‌کنند، ما تنها در ۱۲٪ از سیستم‌ها آن را فعال کرده‌ایم. پیچیدگی پسورد و گذرواژه ها برقرار است، اما پایش دارک‌وب و اعتبارنامه‌های لو رفته یا اتوماسیون رفع گذرواژه‌های افشا شده تقریباً صفر است.

با رشد روزافزون تهدیدات، پرسش اصلی این است: از کجا شروع کنیم؟🤓 وقتی بودجه محدود و تیم شلوغ است، بهترین راه اولویت‌بندی بر مبنای ریسک است؛ یعنی ترکیب شناخت فناوری‌های شبکه، تجربه نسبت به نوع کسب‌وکار و ارزش دارایی‌ها.

در چنین شرایطی باید ریسک‌های باقی‌مانده را به‌طور رسمی به مدیریت ارشد منتقل و در قالب گزارش یا نامه ارائه کرد تا زمینه برای تصمیم‌گیری و سیاست‌گذاری فنی در جهت کمینه کردن با شرایط فعلی فراهم شود.

Special Thanks😇♥️🙏
ISACA
ISACA UAE

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.09.29

https://www.linkedin.com/posts/alirezaghahrood_security-assessment-reveals-gaps-mfa-and-activity-7378347244208599041-QCy8

I’m crazy enough to steer my own course😼

دیشب با دوستی در دل، وسط یا شایدم چاک🙂 مجازی یعنی اینترنت صحبت می‌کردم؛‌ حرف از (پیشنهادها) و (فرصت‌ها) بود،
این‌که چرا سوار آسانسور موفقیت نشدم، در حالی که دم‌ دستم بود.
از مدیر مرکز ماهر تا فلان سمت در مرکز ملی فضای مجازی
یا همکاری با فلان پروژه بابت اخذ موتور سنگین🤣سطح آرزو‌های قدیم ام من کشت🤪

یادم افتاد به حرف صادق هدایت:
خودم را خوب شناختم. چندین جا برایم پیش افتاد اگر کمترین تملق یا چاپلوسی می‌کردم نانم توی روغن بود ولی نتوانستم بکنم. بر عکس گندۀ …. بی‌جهت و با شکم گشنه استغنای طبع نشان دادم، دیدم مثل خیل دیگران ساخته نشده‌ام.

راستش من هیچ‌وقت الگوی آماده‌ای را استفاده نکردم،‌ مدلم را خودم ساختم؛‌ اما روی سه اصل روشن برگرفته از فر وهر ایستاده‌ام:
استقلال، صداقت و مسئولیت.

و در نهایت، برای برخورد با آدم‌های دور و بر
اگر متوجه شدم که شخصی صادق نیست
به او اطلاع نمی‌دهم؛ در ابتدا حذف کانکشن، ارتباطات و
فقط تماشا می‌کنم که چقدر می‌تواند
در چشمان کوچک و کوچکتر شود و دنیا در تعامل به نظام سرمایه داری کوتوله پرور است خوشبختانه!

پ‌ن: دست نوشت های لیک‌ شده🙃Infinity

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.09.29

https://www.linkedin.com/posts/alirezaghahrood_im-crazy-enough-to-steer-my-own-course-activity-7378354027098636288-wxuZ

Referral Codes  — 2 Months Free Premium Career (For Real Use Only)

I currently have 10 referral codes available for a 2-month free trial of Premium Career. Please request a code only if you genuinely intend to use it, so the chance goes to those who really need it.

Conditions:
Each code can be redeemed only once.
Each code expires after 2 weeks if unused.
If you already had Premium, or previously used a free trial, you may not be eligible.

📩 To get one, simply send me a direct message (DM) — no need for name, email, or extra details.
⏳ Only 10 spots available, shared on a first-come, first-served basis.

ده کد دعوت — ۲ ماه رایگان Premium Career
(لطفاً فقط برای استفاده واقعی)
من الان ۱۰ کد دعوت دارم برای فعال‌سازی ۲ ماه رایگان
خواهش می‌کنم فقط در صورتی پیام بدید که واقعاً قصد استفاده دارید تا فرصت به کسانی برسه که نیاز واقعی دارند

شرایط:
هر کد فقط یک بار قابل استفاده است.
هر کد بعد از ۲ هفته منقضی میشه.
اگر قبلاً اکانت و اشتراک تجاری داشتید یا یک‌بار فری تریال گرفتید، دیگه واجد شرایط نیستید
📩 برای دریافت، کافیه فقط یه پیام خصوصی بدید، بدون نیاز به اسم، ایمیل یا اطلاعات اضافه :دی
⏳ فقط ۱۰ نفر اول، به ترتیب پیام‌ها

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.09.30

https://www.linkedin.com/posts/alirezaghahrood_referral-codes-2-months-free-premium-career-activity-7378646101584752640-ES9b

سرفصل های دوره :
Splunk Clustering & Administrator
زمان دوره :‌۴۸ ساعت


1. Introduction
2. Deploying Splunk
3. Splunk Installation
4. Secure Splunk Enterprise
5. Manage Users & Roles
6. Monitoring Splunk
7. Licensing Splunk
8. Configuration File & Directory Structure
9. Manage indexes
10. Manage ClusterMaster & indexers
11. Create indexes.conf
12. Customize Limits.conf & Servers.conf & …
13. Introduction of Buckets
14. Manage Deployment
Server
15. Configure Basic Forwarding
16. Configure data inputs
17. Configure Search head Cluster & Deployer
18. Install Splunk App & addons in cluster Structure
19. Add Users and Configure
Roles in Cluster Structure
20. Configure Heavy
Forwarder HA
21. Install & Configure
Stream App
22. Splunk Multisite Structure
23. Splunk SmartStore Structure

مدرس : احمدرضا نوروزی

@CyberSecurity_ARNO

Excited to support my friend Ahmadreza Norouzi for his upcoming 48-hour Splunk Clustering & Administration course. With his strong expertise and hands-on teaching style, participants will gain practical knowledge and lab-based experience.

💡 Use code Diyako Secure Bow to get 15% off.

یکی از دوره‌های به ندرت مورد تایید و جامع ترند که ارزشمند و کاربردی که این روزها در حال آماده‌سازی است، Splunk Clustering & Administration با مدت زمان ۴۸ ساعت می‌باشد.

این دوره توسط دوست و همکار توانمندم احمدرضا نوروزی تدریس می‌شود.‌ایشان با تجربه‌ی فنی عمیق و مهارت بالا در انتقال مفاهیم، دوره را به‌صورت فرایندی و کاملاً عملی (Hands-on / Lab-based) ارائه می‌کنند تا شرکت‌کنندگان بتوانند مفاهیم را در عمل تجربه کنند.

خبر خوب اینکه با کد Diyako Secure Bow می‌توانید از ۱۵٪ تخفیف ویژه برای ثبت‌نام در این دوره استفاده کنید.

به نظرم حضور در چنین دوره‌ای می‌تواند برای علاقه‌مندان و متخصصان حوزه امنیت و مانیتورینگ یک فرصت جدی برای ارتقای مهارت باشد. من خوشحالم که از این دوره‌ی ارزشمند دوست و همکار خوب از شرکت سورین حمایت کنم و به دوستان پیشنهاد می‌کنم اگر در این مسیر هستید، این فرصت را از دست ندهید.

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.09.30

https://www.linkedin.com/posts/alirezaghahrood_splunk-soc-soorin-activity-7378701349762252800-GGBs

Awake in a World Asleep
Between Illusion, Truth, and Survival
The Gentle Beasts and the Ruthless Birds.

جهان الودهى خواب است
ومن دروَهم خود بيدارا

ای ای
كارمان به جايى رسيده كه براى اينكه بفهميم توى خانه خودمان در کشور چه خبر است بايد گوش به زنگ آن طرف دنيا باشيم، ببينيم خارجى ها چه مى گویند، آخه چرا! به قول نصيحت مورچه به بچه هاش؛ شير و ببر و تمساح بسيار بى آزارند خطرناك ترين موجودات همین‌كنجشك ها وكبوتر های دیوسه هستند! داستان همینه

بله، همیشه می خواستم طورى زندگی كنم كه از زندگی لذت ببرم حالا اون وسط در كنارش موفقيتی هم حاصل شد، چه بهتر، ولى اگر نشد، لااقل خوب زندگی كرده ام و همين كافى است، من موفقيت رابه خودى خود هدف نمى دانم اما خيلى از زیستگان طور دیگه فکر می کنند.

بگذریم و من امروز به قول آلبر کامو جز كسانى كه مدعى بودم همه چیز را می شود دانست و همه چیز را مى توان درست كرد ،سرانجام به اين نتيجه مى رسی كه همه را بايد كشت ☺️

یا به عبارت دیگر، ميدانى رنج تواز چیست؟
توبه آنچه نبايد، بسيارمى انديشي... و من هميشه همنشين خوبى براى خودم بوده ام.

یه قول خیام بزرگ
پركن قدح بادكه معلومم نيست
كين دم كه فرو برم برآرم يانه

ودر پایان این داستان
دعوا سرخون ماست وتاخون ما نريزند وياد اجداد خود گریه سر ندهند‌، با حلال يا حراج شان - يا حلال دیگران - آسوده نمى خوابند! در واقع هر داستان سه وجه دارد:
دیدگاه تو! ديدكاه آنان!‌ و حقيقت غیر محض در ضریب و کسر چند بعد!

پ‌ن: این کلاس یا جی کلاس یا ون نه اغنا نمی‌کند! میدونی! در حال تبدیل ‌۲ به ۱۰ سال با Dude.

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.10.01

Senior Support Supervisor Wanted – Apply Now!

#فرصت_شغلی #جذب #استخدام

عنوان شغلی: سرپرست ارشد پشتیبانی (Senior Support Supervisor)

مسئولیت‌ها:
• مدیریت و مانیتورینگ صف‌های تماس، چت و سایر کانال‌های ورودی پشتیبانی مشتریان
• پایش لحظه‌ای شاخص‌های کلیدی عملکرد (KPIs) و توافق‌نامه‌های سطح خدمت (SLAs) و تلاش برای بهبود مستمر آن‌ها
• پاسخ‌گویی سریع به سوالات و چالش‌های کارشناسان و رفع موانع عملیاتی
• بررسی کیفیت پاسخگویی تیم و ارائه بازخوردهای منظم و سازنده برای ارتقاء عملکرد
• تعریف، تخصیص و پیگیری تسک‌های تیمی
• تهیه و ارائه گزارش‌های تحلیلی روزانه، هفتگی و ماهانه برای مدیریت ارشد
• شیفت‌بندی، مدیریت مرخصی، حضور و غیاب و کنترل منابع انسانی تیم
• رسیدگی به شکایات پیچیده و مشتریان کلیدی و ارائه راه‌حل‌های فوری و مؤثر
• شناسایی گلوگاه‌ها و مشکلات تیمی/عملیاتی و ارائه راهکارهای اجرایی
• آموزش، منتورینگ و توسعه توانمندی‌های اعضای تیم
⸻
شایستگی‌ها و مهارت‌ها:
• توانایی رهبری، هدایت و انگیزش تیم‌های عملیاتی در شرایط پرچالش
• تسلط بر مفاهیم و شاخص‌های کلیدی مراکز تماس (مانند ABR، FRT، AHT و …)
• آشنایی با ابزارهای مانیتورینگ و گزارش‌گیری (مانند MetaBase)
• تسلط بر نرم‌افزارهای آفیس (Word, Excel, PowerPoint)
• آشنایی با سیستم‌های CRM و ابزارهای VoIP
• مهارت بالا در مدیریت بحران، حل مسئله و تصمیم‌گیری سریع
• توانایی ارائه گزارش‌های تحلیلی و مبتنی بر داده برای مدیریت ارشد
• پیگیری بالا، مسئولیت‌پذیری و توانایی ایجاد فرهنگ پاسخ‌گویی در تیم
• مهارت ارتباطی قوی در گفت‌وگو، ارائه فیدبک و قانع‌سازی
• انعطاف‌پذیری زمانی و آمادگی برای شرایط on-call
• درک فرآیندهای BPMN و آشنایی با ابزارهایی مانند Visio (مزیت محسوب می‌شود)
⸻
شرایط احراز:
• جنسیت: مهم نیست
• سابقه کاری: حداقل 3 سال تجربه مرتبط در مدیریت تیم‌های پشتیبانی یا مرکز تماس
⸻
مزایا و حقوق:
• حقوق ماهانه: ۴۰ تا ۷۵ میلیون تومان (براساس تجربه و شایستگی)
• بیمه تأمین اجتماعی و بیمه تکمیلی
• بسته‌های رفاهی و مزایای شرکتی‌در طهران
• محیط کاری پویا، حرفه‌ای و فرصت رشد شغلی
⸻
اگر روحیه رهبری و توانایی مدیریت تیم‌های عملیاتی پرچالش را دارید و علاقه‌مند به رشد در محیطی حرفه‌ای و داده‌محور هستید، ما مشتاق همکاری با شما هستیم

+ در سطح کارشناس این پروفایل شغلی جذب نیز داریم.

ارسال رزومه بروز و‌مرتبط‌به
تلگرام یا واتس آپ
+989121964383

با اشتراک‌گذاری این پست توسط شما، این فرصت شغلی بیشتر دیده می‌شود.☺️


— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.10.02

Cybersecurity 2025:
Talent Gaps, AI Hopes & Boardroom Wake-Up Calls

Takeaway for CISOs & Boards:
Invest in people as much as technology. Build training paths for non-security staff, craft clear AI policies, and prioritize strategic leadership over tool-centric hiring.

The latest ISACA State of Cybersecurity 2025 findings paint a clear and urgent picture:
1.Talent Shortage Persists – Even organizations adopting AI & automation to close the skills gap still report they don’t have enough cybersecurity professionals.
2. Credentials Are Shifting – University degrees and employer references are losing weight, while association membership & hands-on experience are gaining importance.
3. Skills in Demand – Top priorities for 2025: Soft Skills, Cloud Security, and Security Controls.
4. Budgets Under Pressure – Funding for security vendors fell 40% in 2023 to $8.7B, yet 47% of leaders still expect budgets to rise this year.
5. Threat Landscape – Social engineering attacks are up 4%, remaining the #1 tactic.
6. AI Policy Gap – Many companies still lack formal guidance for AI use, even as reliance on AI grows.

امنیت سایبری 2025: کمبود استعداد، امید به هوش مصنوعی و زنگ بیدارباش هیئت‌مدیره

پیام وتوصیه برای اعضای هیِئت مدیره و مدیران ارشد
روی انسان‌ها به اندازه فناوری سرمایه‌گذاری کنید. مسیرهای آموزشی برای کارکنان غیرامنیتی بسازید، سیاست‌های شفاف هوش مصنوعی تدوین کنید و رهبری استراتژیک را به‌جای جذب صرفاً فنی در اولویت قرار دهید


کمبود نیروی متخصص ادامه دارد – حتی سازمان‌هایی که از هوش مصنوعی و اتوماسیون برای جبران شکاف مهارتی استفاده می‌کنند، همچنان گزارش می‌دهند که نیروهای امنیتی کافی ندارند
تغییر معیارهای جذب – مدارک دانشگاهی و توصیه‌نامه‌های کارفرمای قبلی اهمیت کمتری پیدا کرده و عضویت در انجمن‌های حرفه‌ای و تجربه عملی ارزش بیشتری یافته است
مهارت‌های پرتقاضا – اولویت‌های ۲۰۲۴: مهارت‌های نرم امنیت ابری و کنترل‌های امنیتی
بودجه زیر فشار – سرمایه‌گذاری روی فروشندگان امنیتی در ۲۰۲۳ حدود ۴۰٪ کاهش یافته و به ۸.۷ میلیارد دلار رسیده است، اما ۴۷٪ رهبران انتظار افزایش بودجه در سال پیش‌رو دارند
چهره تهدیدها – حملات مهندسی اجتماعی ۴٪ افزایش داشته و همچنان تاکتیک شماره یک مهاجمان است

شکاف سیاست‌گذاری در هوش مصنوعی – بسیاری از شرکت‌ها هنوز راهنمای رسمی برای استفاده از هوش مصنوعی ندارند، حتی در حالی که وابستگی به آن رو به رشد است.

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.10.04

https://www.linkedin.com/posts/alirezaghahrood_cs-2025-activity-7380093063928467456-yreV

Thank You, Jane
For Every Step That Changed Our Understanding🙏♥️😇

وقتی عکس جین گودال، زن جوان با موهای بور بین شامپانزه‌ها روی جلد و در گزارش مجله نشنال جئوگرافیک منتشر شد، برخی از دانشمندان مرد نوشتند:

به خاطر پاهای قشنگ و خوش‌فرمش اونجاست و عکسش رفته روی جلد مجله.

جین گودال به آنها جواب داد:
«اگه این پاها کمک می‌کنند تا هزینه و بودجه تحقیقاتم در حیات‌وحش تأمین بشه و مطالعاتم رو ادامه بدم، چه پاهای خوبی! از پاهام ممنونم.»

در سال شصت‌وپنج میلادی، او زن جوانی بود، بدون مدرک دانشگاهی، پرشور و مشتاق که به خاطر عشق به حیوانات به پارک ملی گومبه در تانزانیا رفته بود تا رفتار شامپانزه‌ها را از نزدیک مشاهده کند و پژوهش‌هایش را منتشر کند.در فضای علمی آن روزها، غیرقابل قبول بود که کسی بدون تحصیل در این زمینه، به تنهایی در میان جانوران روزگار بگذراند گ و از قضا آن فرد زنی باشد که در مقاله‌هایش ادعا کند:
«فقط انسان‌ها نیستند که احساسات دارند و قادر به تفکر هستند؛ شامپانزه‌ها ابزار می‌سازند، جنگ دارند، عاطفه نشان می‌دهند و می‌توان با آنها دوست شد.»

تحقیقات او چند باور دیرینه دانشمندان را زیر سؤال برد و تصور قدیمی درباره رفتار، رژیم غذایی و حالت‌های اجتماعی شامپانزه‌ها را از بین برد، چون تنها کسی بود که این جانوران را از پشت شیشه‌های آزمایشگاه یا باغ‌وحش مشاهده نمی‌کرد. جین گودال تنها زن غربی بود که در دهه شصت میلادی، در قلب آفریقا، بدون محافظ در میان حیوانات وحشی زندگی می‌کرد.

بارها با بیماری، ترس، توفان، نبود منابع مالی و فشارهای فرهنگی جنگید، اما هر چه می‌کرد، در فضای مردانه علمی تمسخرش می‌کردند.
راه‌حل او، غرق‌شدن بیشتر در همان جامعه‌ای بود که دوستش داشت.
درواقع، هر چقدر از طرف همتایان مردش جدی گرفته نمی‌شد، بیشتر به جامعه شامپانزه‌ها نزدیک می‌شد. هر چقدر پژوهش‌هایش را بی‌اعتبار می‌کردند، بیشتر می‌نوشت و عمیق‌تر با تک‌تک شامپانزه‌ها رابطه برقرار می‌کرد.

آن‌قدر نوشت و ماند و خواند و تسلیم نشد تا دانشگاه کمبریج در حرکتی بی‌سابقه به او اجازه داد بدون داشتن مدرک کارشناسی، مستقیماً وارد دوره دکتری رفتارشناسی شامپانزه‌ها شود.جین گودال (۲۰۲۵ – ۱۹۳۴)، سال‌ها بعد، از نامه‌‌های دانشمندان مرد که خوش‌فرمی پاهایش را دلیل جایگاه علمی‌اش می‌دانستند با خنده یاد می‌کرد،

اما حقیقتش این بود که با همین کلمات، نه فقط در رفتارشناسی جانوران، نخستی‌سانان و انسان‌شناسی پیشرو و پیشگام شد، بلکه راه‌بلد مسیری شد که تا آن روز زنان جرأت قدم گذاشتن در آن را نداشتند؛
او جایی پا گذاشت که بعدها به خاطرش از پاهایش تشکر کرد.
⸻
🕊 جین گودال در اول اکتبر ۲۰۲۵، در سن ۹۱ سالگی در کالیفرنیا چشم از جهان فروبست.اما رد پای او، هنوز در جنگل‌های گومبه، در رفتارشناسی نوین و در ذهن زنانی که جسارتِ رفتن در مسیر ناشناخته را دارند، زنده است.

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.10.05

I look forward to attending #ADIPEC2025 in Abu Dhabi from 3-6 November.

🌍 #ADIPEC2025 | Empowering the Energy Transition Securely
The countdown begins to ADIPEC 2025, the world’s most influential event for energy and industrial innovation, hosted once again in Abu Dhabi, UAE
a global hub where technology, sustainability, and strategy converge.
As the energy landscape rapidly transforms toward decarbonization and digitalization, cybersecurity emerges as the silent backbone of this evolution.
From smart grids and automation systems to OT/ICS infrastructure and AI-powered analytics, every layer of the modern energy ecosystem depends on trust, resilience, and secure operations.

This year’s ADIPEC will highlight not only advancements in oil and gas but also the growing integration of clean energy, digital platforms, and cyber defense capabilities.

Organizations that embrace security-by-design and governance-driven resilience will lead the future, ensuring that innovation doesn’t come at the cost of integrity.

Let’s connect in Abu Dhabi to explore how secure digital transformation can power a more sustainable, efficient, and resilient energy future.
#ADIPEC2025 #ADIPEC #EnergySecurity #CyberSecurity #OTSecurity #DigitalTransformation #Resilience #Sustainability #Innovation #AbuDhabi #UAE #SecureEnergy #GRC #vCISO

Join me and over 205,000 energy professionals and industry leaders at the world’s largest forum for energy collaboration and innovation.

#ADIPEC #ADNOC #energy #futureofenergy

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.10.06

https://www.linkedin.com/posts/alirezaghahrood_adipec2025-adipec2025-adipec2025-activity-7380813991448559617-7Lh4

MTTR Across Industries
A Wake-Up Call for Security & Business Continuity

Data Insight
The 2023 numbers reveal a stark reality:
Finance & Insurance tops the list with an average MTTR of 97 days, followed by Non-Profit & Charitable at 91.7 days and Energy & Utilities at 81.3 days. On the other end of the spectrum, the Legal sector demonstrates an impressive 44.3 days, proving that swift recovery is achievable.

Root Causes Behind Long Recovery Times
•Complex Ecosystems –
•Legacy Systems & Technical Debt –
•Human & Process Bottlenecks – Siloed teams, unclear responsibilities, and inadequate incident playbooks create delays.
•Reactive Culture – Many organizations still treat cyber incidents as one-off crises rather than ongoing operational risks.

Management-Level Remedies
•Establish a Board-Driven Cyber Governance Model with clear accountability and measurable MTTR targets.
•Invest in Continuous Monitoring and Automated Response to detect and contain incidents in minutes, not days.
•Build a Cross-Functional Incident Response Team with defined roles, frequent tabletop exercises, and authority to act without bureaucratic delays.
•Commit to Technical Modernization—retire legacy systems, unify security tools, and adopt threat-hunting practices.
•Integrate MTTR into Business KPIs to ensure executives and investors track it alongside financial metrics.

Reducing MTTR is not just a technical challenge; it is a leadership imperative. Organizations that shorten their recovery window gain a competitive advantage in trust, resilience, and market reputation.

میانگین زمان رفع حادثه در صنایع مختلف
زنگ هشدار برای امنیت و تداوم کسب‌وکار

نگاه به داده‌ها
گزارش سال ۲۰۲۳ نشان می‌دهد که میانگین زمان رفع حادثه در صنعت مالی و بیمه ۹۷ روز است؛ پس از آن سازمان‌های غیرانتفاعی با ۹۱.۷ روز و انرژی و خدمات عمومی با ۸۱.۳ روز قرار دارند.
در مقابل، صنعت حقوقی با ۴۴.۳ روز سریع‌ترین بازیابی را ثبت کرده است.

ریشه مشکلات
• پیچیدگی اکوسیستم: ساختارهای گسترده و مقررات گم باعث کندی هماهنگی می‌شود.
• زیرساخت‌های قدیمی و بدهی فنی: سیستم‌های فرسوده و ابزارهای پراکنده فرآیند شناسایی و رفع حادثه را طولانی می‌کنند.
• گلوگاه‌های انسانی و فرایندی: نبود تیم‌های یکپارچه و دستورالعمل‌های شفاف واکنش سریع را مختل می‌کند.
• فرهنگ واکنشی: بسیاری از سازمان‌ها هنوز امنیت سایبری را یک بحران مقطعی می‌دانند نه یک ریسک عملیاتی مداوم.

راهکارهای مدیریتی
• ایجاد حاکمیت سایبری در سطح هیئت‌مدیره با شاخص MTTR به‌عنوان KPI کلیدی.
• سرمایه‌گذاری در پایش مداوم و پاسخ خودکار برای کاهش زمان شناسایی و مهار حادثه.
• تشکیل تیم واکنش میان‌بخشی با نقش‌های مشخص و تمرین‌های مکرر.
• نوسازی فناوری و حذف سیستم‌های قدیمی برای سرعت‌بخشی به رفع حادثه.
• ثبت MTTR در شاخص‌های کلان کسب‌وکار تا مدیران ارشد آن را در کنار شاخص‌های مالی رصد کنند.

کاهش MTTR یک چالش صرفاً فنی نیست؛ یک الزام مدیریتی و استراتژیک برای حفظ اعتماد، تاب‌آوری و جایگاه رقابتی سازمان است.

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.10.06

https://www.linkedin.com/posts/alirezaghahrood_mttr-across-industries-a-wake-up-call-for-activity-7380829225320280064-Sf2H

Remembering a Respected Colleague

In Loving Memory – One Year On
It’s been a year since we lost our dear colleague and friend,
Mr. Seyed Alireza Mahdavi Ardestani.
His kindness, wisdom, and calm spirit remain in our hearts forever.
Gone from sight, never from memory.

باورمان هنوز سخت است…
یک سال گذشت از روزی که
رفتن ناباورانه‌ی دوست و همکار گرانقدرمان
سید علیرضا مهدوی اردستانی
دل همه‌ی ما را به درد آورد.

یادش همیشه با ماست
با لبخند آرامش‌بخشش، با منش شریف و رفتار انسانی‌اش، با خاطراتی که از همکاری، صداقت و دوستی به‌جا گذاشت.

روحش در فرا بعد در آرامش و یادش در دل ما جاودانه باد. خدایش بیامرزد - خاک در مسلک ما سردی ندارد.

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.10.07

https://www.linkedin.com/posts/alirezaghahrood_remembering-a-respected-colleague-in-loving-activity-7381336952186331136-2jlZ

Compliance ≠ Security

ISO 27001 is not security.
PCI-DSS is not security.
Afta Compliance , els #Security

Passing an audit only proves you can produce documentation and evidence on paper. But real security is about resilience. the ability to withstand real-world, unpredictable threats.

I’ve seen organizations proudly achieve “compliance” on Wednesday, and face a breach by Saturday of the same week.

Audit readiness is essential.
But if compliance replaces understanding, and checklists replace context, you may become compliant not secure. Security means awareness, adaptability, and realism.
Not paperwork🤲🏻

انطباق و تطابق، امنیت نیست
ISO 27001
امنیت نیست.
PCI
امنیت نیست.
و ...

عبور از ممیزی فقط ثابت می‌کند که می‌توانی مدارک و مستندات روی کاغذ و سایر ارائه دهی.اما امنیت واقعی یعنی تاب‌آوری؛ توانایی مقاومت در برابر تهدیدهای واقعی، پیچیده و غیرقابل پیش‌بینی.

سازمان‌هایی را دیده‌ام که چهارشنبه گواهی😁 «تطابق» گرفته‌اند،
و شنبه همان هفته قربانی نفوذ شده‌اند.

آمادگی برای ممیزی ضروری است،
اما اگر (تطابق) جای (درک) را بگیرد و چک‌لیست جای (واقع‌بینی)را،
در بهترین حالت فقط “مطابق” خواهیم بود، نه “ایمن”. امنیت یعنی آگاهی، سازگاری و واقع‌گرایی،
نه صرفاً مستندسازی

+ نمونه همین الان داغ در یک شرکت با محوریت کسب و کار بازرگانی‌ در امارات - دبی ( سر تی فای شده استاندارد در روز دوشنبه، دچار حادثه سایبری ۴شنبه الان🥸 -جزییات ر‌و در این کشور نمیشه راحت پابلیش کردالبته نگاه سختگیرانه است و درست است 🙂)

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.10.08

https://www.linkedin.com/posts/alirezaghahrood_security-activity-7381644709175300096-3G5h