Compliance ≠ Security

ISO 27001 is not security.
PCI-DSS is not security.
Afta Compliance , els #Security

Passing an audit only proves you can produce documentation and evidence on paper. But real security is about resilience. the ability to withstand real-world, unpredictable threats.

I’ve seen organizations proudly achieve “compliance” on Wednesday, and face a breach by Saturday of the same week.

Audit readiness is essential.
But if compliance replaces understanding, and checklists replace context, you may become compliant not secure. Security means awareness, adaptability, and realism.
Not paperwork🤲🏻

انطباق و تطابق، امنیت نیست
ISO 27001
امنیت نیست.
PCI
امنیت نیست.
و ...

عبور از ممیزی فقط ثابت می‌کند که می‌توانی مدارک و مستندات روی کاغذ و سایر ارائه دهی.اما امنیت واقعی یعنی تاب‌آوری؛ توانایی مقاومت در برابر تهدیدهای واقعی، پیچیده و غیرقابل پیش‌بینی.

سازمان‌هایی را دیده‌ام که چهارشنبه گواهی😁 «تطابق» گرفته‌اند،
و شنبه همان هفته قربانی نفوذ شده‌اند.

آمادگی برای ممیزی ضروری است،
اما اگر (تطابق) جای (درک) را بگیرد و چک‌لیست جای (واقع‌بینی)را،
در بهترین حالت فقط “مطابق” خواهیم بود، نه “ایمن”. امنیت یعنی آگاهی، سازگاری و واقع‌گرایی،
نه صرفاً مستندسازی

+ نمونه همین الان داغ در یک شرکت با محوریت کسب و کار بازرگانی‌ در امارات - دبی ( سر تی فای شده استاندارد در روز دوشنبه، دچار حادثه سایبری ۴شنبه الان🥸 -جزییات ر‌و در این کشور نمیشه راحت پابلیش کردالبته نگاه سختگیرانه است و درست است 🙂)

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.10.08

https://www.linkedin.com/posts/alirezaghahrood_security-activity-7381644709175300096-3G5h

Cybersecurity or Circus?
Why I Walked Away from Honorary Titles

For nearly two decades, I have engaged with various commissions, working groups, and forums in cybersecurity and technology across private, public, and governmental sectors. While some efforts offered real opportunities, many were merely symbolic, with little meaningful impact on advancing security.

From this year onward, I’ve stepped away from all honorary and “by-title” invitations, as too often these platforms have become about slogans, résumé-building, or AI-generated papers and shallow seminars rather than real progress.

My only recent formal involvement by recommendation of the Civil Defense Organization and the Modaber Assembly was in the newly formed Industrial Networks & Security Working Group. I remain hopeful it will move beyond business formality, resist non-experts posing as “security authorities,” and instead focus on genuine, collective value creation.

نزدیک به دو دهه در کمیسیون‌ها، کارگروه‌ها و مجامع مختلف امنیتی و فناوری، چه در بخش خصوصی و چه دولتی و حاکمیتی، تجربه داشتم. در برخی موارد فرصت واقعی اثرگذاری وجود داشت، اما در بسیاری دیگر حضور صرفاً صوری و تشریفاتی بود. به همین دلیل باور ندارم خروجی آن‌ها تأثیر معناداری در ارتقای امنیت کشور داشته باشد.

از امسال تصمیم گرفتم همه‌ی این عناوین و دعوت‌های افتخاری را کنار بگذارم؛ چرا که به‌جای تحقق هدف اصلی یعنی ارتقای واقعی سطح امنیت، بیشتر به تریبونی برای شعار و رزومه‌سازی تبدیل شده‌اند.

تنها مورد اخیر، عضویت رسمی به توصیه سازمان پدافند و مجمع مدبر در کارگروه تازه‌تأسیس شبکه‌های صنعتی و امنیت بود. هرچند همه‌ی افراد حاضر تخصص عمیق و مرتبط ندارند، اما امیدوارم این کارگروه صرفاً به یک بیزینس یا الزام شکلی ختم نشود؛ بلکه با رویکردی سازنده و جمعی حرکت کند و در برابر دسته‌ها و گروه‌های غیرمتخصصی که متأسفانه چند سال اخیر به نام کارشناس و‌ خداوندگاران‌امنیت در پروژه‌های امنیت صنعتی فرصت‌سوزی کرده‌اند، ایستادگی کند افسوس‌است امنیت در کشور شده دستمایه فقط خواندن سند یا محتوا های خروجی هوش مصنوعی پر از خطا ‌که پتاسنیل اقدام فنی درکلام نیست و‌یا ردی از تجارب فنی در رزومه! یا ترجمه به اسم تالیف، یا بدو‌بدو‌ سعی بر برپایی سمینار که حداقل رزومه سازی مبتنی بر نتایج گوگل برای حضار با سطح عدم آگاه! ایجاد کنند یا به اسم آموزش امنیت صنعتی ۹۰٪ محتوای سطح پایین امنیت آی تی!!! 🥴که همان هم که می گویند تجربه عملی ندارند! رزومه های لینکدینی که خودشان نوشتند گویا این سطح است - لینکدینتان باید واقعیت احراز شده رو نشان دهد نه توهم و رویا سازی! خلاف واقع!

پ ن: پوتین پامون نیست ولی تو‌دل و سر جنگ های نا منظم! همه چیز ام بیس اش شده شطرنجه، گاهی برای رسیدن به روشنایی، باید از دالانی تاریک گذشت.

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.10.09

https://www.linkedin.com/posts/alirezaghahrood_cybersecurity-or-circus-why-i-walked-away-activity-7381935215365210113-cBZj

From Lions’ Roar to NXFirewall
Guardians of the Homeland
From Persian Valor 2 Cyber Resilience
When the Nation Calls Courage, Honor, and Cyber Defense

ندانی که ایران نشست   منست
جهان سر به سر  زیر  دست ِ منست
 هنر   نزد  ایرانیان  است و  بـــس
 ندادند   شـیر    ژیان     را    بکــس
 همه   یکدلانند   یـزدان   شناس
 بـه   نیکـی  ندارنـد  از  بـد   هـراس
 دریغ است ایـران که ویـران شــود
 کنام     پلنگان   و  شیران    شــود
 چـو ایـران نباشد  تن  من مـبـاد
 در این بوم و بر زنده یک تن مباد
 همـه روی  یکسر  بجـنگ  آوریــم
 جــهان بر   بـداندیـش   تنـگ آوریم
 همه سربسر تن به کشتن دهیم
 بـه از آنکه  کشـور به دشمن دهـیم
 چنین  گفت  موبد   که مرد   بنام
 بـه از زنـده  دشمـن بر او  شاد  کام
 اگر  کُشــت  خواهــد  تو را روزگــار
 چــه  نیکــو تر  از  مـرگ  در کـــار زار

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.10.10

https://www.linkedin.com/posts/alirezaghahrood_from-lions-roar-to-nxfirewall-guardians-activity-7382318722830630912-A7MZ?

In Search of a Creator Beyond Worship
Awakening: Pain, Solitude, and Renewal of Mind

چند ماه گذشته برای من سفری عمیق بوده؛
سفری نه در مکان، که در ذهن و معنا. گرچه اجباری بود و چه باید بکنم در این قضا شاید هم قدر! هرچه آگاهی بیشتر شد، آرامش ظاهری کمتر شد و حالا می‌فهمم چرا گفته بودند:
هزینه‌ی آگاهی، درد است و درد.

درد دیدن. درد فرو ریختن یقین‌های قدیمی.
درد مواجهه با جهانی که بی‌پایان بزرگ‌تر از تصور ماست.
باید دست از سر خدا برداریم…اگر قرار بود کاری کند،
تاریخ لبریز از جنایت نبود. به کجا باید رجوع کنیم؟

ما در کهکشان راه شیری زندگی می‌کنیم و گمان می‌کنیم مرکز جهان‌ایم،
اما اگر صادق باشیم، می‌بینیم که تنها ذره‌ای در اقیانوسی بی‌نهایتیم.
این آگاهی، توهم را از من گرفت،‌ اما در عوض، فروتنی را به من آموخت؛
فهمیدم عظمت‌‌در “پذیرش نادانی” ‌است.

با دین یا بی‌دین، انسان همیشه میان خیر و شر در نوسان است،
اما ایمان حقیقی آن‌جاست که اجبار نیست و یقه و تسبیح و امثالهم سواره دجال گونه منفعت! آنجا که آزادی‌اندیشه اجازه می‌دهد انسان خودش انتخاب کند،
نه از ترس، نه از عادت، بلکه از آگاهی.

گاهی در تنهایی این مسیر، حس کردم هیچ دوستی باقی نمانده؛
مثل آنچه علی مولای که شناختم اش گفت: حق برای من هیچ دوستی باقی نگذاشت. اما همان تنهایی، مقدمه‌ی رهایی بود. در خلوت فهم، انسان یاد می‌گیرد از توهم دانستن پایین بیاید، به خود خاموشش گوش دهد و در سکوت، خالق با بینگ بنگ مبهم را در آزادی خویش بیابد. شاید هم باید درش باز شود از یک سطح اگاهی🙂

حالم روزی مثل نوشته هدایت:
تنها چیزی که از من دلجویی می‌کرد، امید نیستی پس از مرگ بود.
فکر زندگی دوباره مرا می‌ترسانید و خسته می‌کرد. من هنوز به این دنیایی که در آن زندگی می‌کردم انس نگرفته بودم،‌ دنیای دیگر به چه درد من می‌خورد؟

من حالا می‌فهمم، زیستن، اگر با آگاهی همراه شود، دردناک است…
اما همین درد، نشانه‌ی بیداری‌ست. عشق، کار خفتگان نیست؛
راه بیداران است، راه آنان که بند عقل و عادت را شکستند.
چون آگاهی، هدیه‌ای‌ست که اول می‌سوزاند، بعد می‌سازد.

و ز قول حافظ بزرگ:
از کران تا به کران، لشکر ظُلم است ولی
از اَزَل تا به اَبَد، فرصتِ درویشان است

پ ن:
گوسفندان خود را به خدایان نسپارید، چرا که روزی گرگ با عزت و کفتار، کفتار صفت هم خدا می دهد! این وسط تصویرم را بعد از ۳-۴ سال بروز رسانی و‌سینک🙃

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.10.11

https://www.linkedin.com/posts/alirezaghahrood_ciso-as-a-service-diaries-the-forgotten-activity-7383358326023159808-NejC?

CISO-as-a-Service Diaries:
"The Forgotten Art of Log Encryption"
Encryption Isn't Optional, It's the Alphabet of Cybersecurity, So Dear Security Teams, Pls Read the Docs Before Calling Yourself Experts eg
وقتى الفباى امنيت هم ناديده گرفته مى شود...
در برخى پروزهها، دياكو بهعنوان ارائه دهندهى CISO as a Service وارد سازمان ها مى شويم. حتى در سازمان هايى كه مدير امنيت داخلى دارند، تلاش ما هميشه اين است كه متناسب با نيازشان، راهكار حرفهاى و استاندارد ارائه كنيم نه صرف تعريف يك پروزه!
اما يك نكتهى ساده و تكرارى جالبه:
منوز هم در بعضى پروثهها، رمزنكارى ارسال لاك و رخدادها رعايت نمى شود! موضوعى كه از ديد استانداردها و بهروشهاى امنيتى (Best Practices) كاملا بديهى است. انكَار حتى ستندات اوليهى محصولات امنيتى مثل Splunk را كسى تورق نكرده...
بعد هم مى كويند: (ما تخصص داريم) ت
ياد ويديوى بامزهاى افتادم كه جند بار كوش كردم تا بفهمم خواهرزاده ام♥️😻😘🥹 كه نقش بجهى من را بازى ميكنه در زندكى زمينى ام جى مى كويد!
اكر شما هم فهميديد، لطفاً برويد ارتباطاتتان را رمزنكَارى كنيد نكتهى جدتر براى همكاران امنيتى و نهادهاى ركولاتورى كشور
خواهشا
•به الزامات كلى سرى بزنيد و آن ها را بازنكرى و بومى سازي كنيد.
نقشهى راه واقعى در سطح جارجوب هاى بين المللى (مثلا CIS) تدوين كنيد با توجه به شناخت جالش ها در فرهنك سازمانى كشور!
از سطح كليست ISMS وكپي پيست سياست هاى قديمى عبور كنيم.
سطح تخصص امنيتى، وقتى به همين موارد تقليل پيدا كند، نتيجهاش مى شود پروزه هايى پر از فرم، اما بدون امنيت واقعى در حد اكسل ميشه شبيه سازى اتك ... و حرف هاى كه پي وپايه ندارند! متخصص واقعى SIEM كم است. متخصص واقعى SOC؟ بهجرات انكشت شمار.
اما هنوز فرصت براى اصلاح هست اكر واقعا بخواهيم امنيت را بفهميم، نه فقط فقط صب كنيم و نصاب باشيم!

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.10.13

#DiyakoSecureBow
————————————
CISO as a Service (vCISO)

در راستای توسعه مهارت‌های تخصصی در حوزه امنیت سایبری و پاسخ به افزایش نیاز بازار، شرکت کمان امن دیاکو با افتخار دو دوره‌ی تخصصی را به‌صورت کاربردی و پروژه‌محور برگزار می‌کند:

1️⃣ F5 WAF & LTM Architect
طراحی و راهبری زیرساخت امن و مقیاس‌پذیر با F5 BIG-IP LTM و AWAF شامل مفاهیم Load Balancing، طراحی Policyهای امنیتی و مقابله با تهدیدات لایه ۷.

2️⃣ WAF Architect with FortiWeb
آموزش جامع طراحی و پیاده‌سازی فایروال برنامه‌های وب با FortiWeb شامل حفاظت در برابر OWASP Top 10، مدیریت SSL/TLS، و بهره‌گیری از Machine Learning در تشخیص تهدیدات.

🔐 این دو دوره به‌صورتی طراحی شده‌اند تا متخصصان امنیت شبکه، مدیران DevOps، و معماران زیرساخت بتوانند مهارت‌های خود را در طراحی و اجرای امنیت لایه اپلیکیشن به سطحی حرفه‌ای ارتقا دهند.

🗓 شروع دوره‌ها: ۱ و ۲ آبان ۱۴۰۴
برای دریافت اطلاعات تکمیلی و ثبت‌نام با ما در ارتباط باشید:
📞 09194348743
☎️ 02191691692 (1)
✉️ Marketing@diyako.io

-Secure Business Continuity-
2025.10.13
——————————————————
#Cybersecurity #vCISO #WAF #Firewall #FortiWeb #F5 #AWAF #LTM #BigIP #CyberSecurityTraining

https://www.linkedin.com/posts/diyako-secure-bow_waf-courses-activity-7383435278914351104-6kl5

https://www.linkedin.com/posts/alirezaghahrood_you-cant-buy-security-you-have-to-build-activity-7383811592481738752-Ls73?

You can’t buy security , you have to build it
So, When design is skipped, risk is born And
More purchases ≠ More security!

پروژه بدون نظارت تخصصی امنیت‌ و مهندسی ،
یعنی ریسک سازمانی تضمین‌شده

در بسیاری از سازمان‌ها، پروژه‌ها به‌جای اجرا بر اساس طراحی و نیاز واقعی و کنترل‌شده،به سمت خرید و فروش صرف تجهیزات سوق پیدا می‌کنند. در نتیجه بخش زیادی از بودجه صرف تجهیزاتی می‌شود که نه طراحی درستی پشت آن‌هاست، نه ارزیابی ریسک، و نه هم‌راستایی با معماری کلان امنیت سازمان.

در پروژه‌های فنی، مرحله‌ی جمع آوری اطلاعات ‌و مدیریت ریسک که به
HLD-LOM-LOS-lOP
منتج می شود در عمل وجود خارجی ندارد و نه امنیت دیده شده و نه طراحی حرفه ای معماری امن شبکه و …که در واقع مدیریت و‌ تحلیل ریسک و آتی نگری بنیاد تصمیم‌گیری درست در معماری شبکه و امنیت است. اگر این مرحله حذف یا سطحی انجام شود، پروژه فقط روی کاغذ (کامل) به نظر می‌رسد،البته حتی کاغذ هم وجود خارجی ندارد. اما در عمل، سازمان را با ریسک‌های فنی، مالی و اعتباری جدی روبه‌رو می‌کند.

وقتی نظارت مؤثر در طراحی، خرید و اجرا وجود نداشته باشد،
بازار تجهیزات به‌جای امنیت‌محور بودن، فروش‌محور می‌شود که شده🥸‌و تصمیم‌ها نه بر اساس نیاز واقعی، بلکه بر پایه‌ی سود تجاری گرفته می‌شوند.

امنیت واقعی با خرید آغاز نمی‌شود؛
با درک کسب و کار، طراحی، ….نظارت و پاسخ‌گویی مداوم ساخته می‌شود. امنیت یک محصول نیست ، یک فرآیند زنده است که بدون نظارت حرفه‌ای و مسولیت پذیری واقعی، فقط در ظاهر برقرار می‌ماند.

پ-ن: سال دوم همکاری با مشتری سازمانی✊🏽در قالب راهکار های
Ciso as a service
Diyako Secure Bow

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.10.14

Security Isn’t One-Size-Fits-All, It’s About Fit and Focus
So Security Without Context Is Just Noise👍🏽

امنیت یعنی درک، نه صرفا ابزار!

در بسیاری از شبکه‌ها تمرکز صرفا‌ روی ابزارهایی مثل Firewall، SIEM یا آنتی‌ویروس است گرچه بیش از ۱۱۰ دسته خانواده ابزار های امنیت محور داریم که در بیشتر جلسات فنی و آموزشی بیش از ۱۵-۲۰ دسته را نمی شناختند!! اما واقعیت این است که امنیت واقعی از درک درست کسب‌وکار و اولویت‌های آن آغاز می‌شود.

قرار نیست هر سازمانی SOC یا SIEM داشته باشد گرچه بیشتر siem دارند همچون فرغونی از لاگ ها! امنیت نسخه‌ی یکسان ندارد و هر کسب‌وکار شرایط، ریسک و ظرفیت متفاوتی دارد. آنچه مهم‌تر از ابزار است، شناخت مدل عملیاتی، داده‌های حیاتی و تهدیدات واقعی محیطی است.

داشبوردها، مانیتورینگ و لاگ‌ها اگر بدون معماری امن، رمزنگاری، یا کنترل دسترسی طراحی شوند، خودشان به نقطه‌ی ضعف امنیتی و مسیر نفوذ مهاجم تبدیل می‌شوند. بنابراین پایش غیرامن، به اندازه‌ی نبود پایش خطرناک است.

تخصص واقعی در امنیت یعنی:
• درک مأموریت و واقعیت‌های محیط سازمان
• مطالعه‌ی استانداردها و منابع اصلی (NIST، ISO، IEC و …)
• اجرای کار عملیاتی و کسب تجربه‌ی میدانی
•و در نهایت، تعریف استراتژی امنیت متناسب با بلوغ سازمان

امنیت مؤثر، از شناخت و اولویت‌گذاری آغاز می‌شود، نه از خرید ابزار.
هر داده‌ای که دیده نمی‌شود، دیر یا زود آسیب‌پذیر می‌شود‌

🤠و هر داده‌ای که بدون امنیت جمع‌آوری شود، خودش یک Incident بالقوه است.

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.10.15

Completing the Cybersecurity Management Program:
A Step Toward Real Leadership

Cybersecurity Leadership Is Not Taught , It’s Experienced
And Real Security Needs Real Experts, Especially in ICS.


پایان یک مسیر، آغاز یک دعوت تازه
در دوره‌ی (مدیریت امنیت سایبری) دوره آزاد که این روزها به پایان خواهد رسید، تجربه‌ای ارزشمند رقم خورد. تلاش شد مفاهیم به‌صورت واقعی و مبتنی بر تجربه‌های میدانی مطرح شوند، نه صرفا در قالب تئوری و استاندارد.

جناب آقای مهندس قاسم کرباسی
Ghasem Karbasi ، از متخصصان باسابقه‌ی این حوزه، با بیانی حرفه‌ای و دقیق درباره‌ی جایگاه و ارزش واقعی امنیت سایبری در صنعت بین الملل سخن گفتند و حضور ایشان برای همه‌ی شرکت‌کنندگان، تجربه‌ای آموزنده و لذت‌بخش بود

اما نکته‌ای که این روزها بیش از همیشه احساس می‌شود، فقدان نگاه تخصصی به امنیت صنعتی (ICS/OT Security) است. امنیت صنعتی حوزه‌ای نیست که هر کارشناس فناوری اطلاعات بتواند درباره‌اش نظر دهد؛

این دانش نیازمند شناخت دقیق فرایندهای صنعتی، شبکه‌های کنترل و زیرساخت‌های فنی خاص این حوزه است، دانشی که تنها با تجربه‌ی میدانی در محیط‌های واقعی حاصل می‌شود.

از همین‌رو، از همه‌ی دوستان و متخصصانی که در حوزه‌های صنعت، کنترل فرایند و شبکه‌های صنعتی با رویکرد امنیتی فعالیت و تخصص احراز شده دارند، دعوت می‌کنم:
اگر مایل هستید در کارگروه تخصصی امنیت سامانه‌های کنترل صنعتی (ICS/OT) که با حمایت سازمان پدافند غیرعامل در حال شکل‌گیری است همکاری کنید، لطفا از طریق پیام مستقیم با من در ارتباط باشید تا معرفی لازم انجام شود.

در مسیر آموزش و توسعه‌ی امنیت سایبری کشور، هر گام کوچک، اثر بزرگی خواهد داشت. از سال ۱۳۹۶ تاکنون، افتخار داشته‌ام که به‌عنوان مدرس حوزه‌ی مدیریت امنیت سایبری (CISO) در بخش‌های دولتی و خصوصی فعالیت کنم و با برگزاری کارگاه‌ها و دوره‌های تخصصی، سهم کوچکی در ارتقای دانش بومی کشور داشته باشم.
Diyako Secure Bow

امید که با همراهی متخصصان متعهد، مسیر بلوغ امنیت صنعتی ایران را با قدرت و همدلی پیش ببریم.

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.10.15

#Analytics #Whitepaper | SANS Attack Surface Management (ASM) Survey – Oct 2025

The latest SANS 2025 Attack Surface Management (ASM) Survey gathers insights from 200+ cybersecurity professionals, all actively implementing or planning to deploy ASM within the next year.

The findings highlight how organizations are redefining asset visibility, exposure mapping, and risk management through ASM. This evolution isn’t just about tools it’s about transforming one of cybersecurity’s most persistent operational challenges into a data-driven discipline of continuous discovery and defense.

ASM is no longer optional, it’s the new foundation for proactive security.

Special Thanks to 😇♥️🙏👍🏽
SANS Institute
SANS Digital Forensics and Incident Response
SANS Security Leadership SANS Technology Institute

#CyberSecurity #ASM #RiskManagement #VulnerabilityManagement #ThreatIntelligence #SANS #SecurityLeaders #CyberDefense

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.10.16

https://www.linkedin.com/posts/alirezaghahrood_asm-survey-2025-sans-activity-7384516370324930560-BlnX

Condolence & Tribute
Brigadier General Pilot Shirafkan Hemmati🖤❤️

With deep sorrow and heartfelt condolences,
we mourn the passing of Brigadier General Pilot Shirafkan Hemmati, one of the most respected and accomplished commanders of our nation’s Air Force.

He devoted his honorable life to serving his homeland and protecting its skies, and was admired not only for his bravery and professionalism, but also for his education, elegance, kindness, and warm character.

A true gentleman both in and out of uniform
his refined manners, bright presence, and genuine humanity will always be remembered with respect and affection

با نهایت تأسف و اندوه،
درگذشت تیمسار امیر سرتیپ خلبان شیرافکن همتی، از خلبانان و فرماندهان پرافتخار نیروی هوایی کشور تسلیت.

آن بزرگ‌مرد آسمان، که عمر گران‌مایه‌اش را در خدمت به میهن و پاسداری از مرزهای هوایی صرف کرد، نه‌تنها از افتخارات نیروی هوایی ایران بود، بلکه انسانی تحصیل‌کرده، خوش‌تیپ، خوش‌کلام، مهربان و خوش‌مشرب بود که احترام و محبت هرکس را که با او آشنا می‌شد، برمی‌انگیخت.

نام و یاد او به‌عنوان نمادی از شجاعت، نجابت و عشق به وطن در تاریخ هوانوردی کشور جاودانه خواهد ماند. روح بلندش در آرامش و یادش همواره زنده باد.

چه خوب عمو همتی شما رو پارسال در بیشه کلاه دیدم، روح قهرمان‌شما قرین رحمت و آرامش و خدایش بیامرزد♥️

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.10.16

The Illusion of Compliance: When Everyone Copies, Nobody Thinks so When Risk Becomes a Checklist, Security Loses Its Meaning!

و وقتی تفکر نباشد، همه در یک جهت شنا می‌کنند… حتی اگر رودخانه اشتباه باشد

این هفته، هم‌زمان با برگزاری 2025 GITEX Global، چندین دعوت و گردهمایی تخصصی داشتم، جلسات و نشست‌هایی در جمع مدیران امنیت (CISOها)، مشاوران و فعالان حوزه‌ی امنیت سایبری و امنیت اطلاعات ! گرچه امسال فرصت نکردم در خود نمایشگاه به‌صورت کامل حضور داشته باشم، اما همان دیدارها، گفت‌وگوها و دورهمی‌های پس از جلسات از قهوه و شام گرفته تا گفت‌وگوهای صمیمی بعد از اجرا و کمی ریست فکتوری با موسیقی و دی جی های برند😇 برایم پر از نکته بود انگار کوله بارم سنگین شده و باید برگردم به اورجینم.

در میان این گفت‌وگوها، یک چیز بارها تداعی شد:هنوز بسیاری از سازمان‌ها، مفهوم واقعی مدیریت ریسک و حاکمیت امنیت را به‌درستی درک نکرده‌اند.

در ماه‌های گذشته پروژه‌های مختلف همچون ISMS و امنیتی را در صنایع گوناگون در کشورم بررسی کرده‌ام، از نفت و گاز گرفته تا بانکداری و فناوری، اما تقریبا همه در یک نکته مشترک‌اند:

همان سیاست‌ها، همان فرم‌ها، همان مستندات؛ فقط لوگوها متفاوت‌اند!

به‌جای درک و تحلیل واقعی، مدیریت ریسک تبدیل شده به تمرین تکرار،
به تیک زدن چک‌لیست‌ها و استفاده از یک مدل ثابت برای همه. بسیاری از پیمانکاران امنیت، بدون شناخت زمینه و سطح ریسک هر سازمان، همان نسخه‌ی ISMS را برای همه می‌نویسند از پالایشگاه تا شرکت فین‌تک.

🥸 نتیجه؟
• احساس کاذب از انطباق
• ریسک‌های واقعی بدون پوشش
• و وقتی حادثه‌ای رخ می‌دهد، همه به فریم‌ورک اشاره می‌کنند، نه به فکر پشت آن.

وقتی درک واقعی از ریسک در سازمان وجود ندارد و از بالا هم حاکمیت و تصمیم‌سازی راهبردی جریان ندارد، بازار طبیعی‌ست که تبدیل شود به فروش Template و سند آماده، نه تفکر و تصمیم.

امروز می‌توان بسته کامل مثلا ISO 27001 را خرید🤠 سیاست‌ها، فرم‌ها، SoA و حتی پاورپوینت آگاهی‌بخشی 🤓 اما چیزی که نمی‌توان خرید، درک و تناسب واقعی با بیزنس است.

بسیاری از متخصصان هم از همین ساختارها می‌آیند؛ جایی که امنیت را نه به‌عنوان یک تفکر، بلکه صرفا به‌عنوان مجموعه‌ای از مدارک و فرمول دیده‌اند. همان ذهنیت را با خود به سازمان‌های جدید می‌آورند، در ابزارها و پروژه‌ها تکرار می‌کنند و در نهایت، همه در یک جهت شنا می‌کنند… اما کسی نمی‌پرسد آیا مسیر رودخانه درست است یا نه؟

این وضعیت، نتیجه‌ی سه خلا اساسی است:
• نداشتن ارتباط جهانی و به‌روزرسانی فکری در حوزه استانداردها
• قطع جریان حاکمیت توانمند و تصمیم‌سازی مناسب از بالا به پایین
• و نداشتن جسارت برای بازنگری در مدل‌های قدیمی و اشتباه

در نتیجه، مستندات زیاد تولید می‌شوند، اما ناکارا اما مسیر، هدف و درک واقعی گم می‌شود.

در یکی از ارزیابی‌های واقعی که برای یک سازمان صنعتی انجام دادم:
- با ISO 27005 ریسک سیستم زیاد برآورد شد،
• با مدل ۲ زیان سالانه حدود ۲۹۰ هزار دلار محاسبه شد،
• و با مدل سوم تصمیمات امنیتی (مثل MFA و ثبت رویدادها) معقول و ارزیابی شدند.

اعداد متفاوت بودند، اما نتیجه مدیریتی یکی. مدیریت ریسک، مدل نیست، درک است.

حاکمیت واقعی از جایی آغاز می‌شود که کنترل‌ها متناسب با بیزنس طراحی شوند، نه آن‌که بیزنس را مجبور کنیم با کنترل‌ها سازگار شود.😎

+همون به موزیک گوش بهتر است تا آرزوی اصلاح!

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.10.18

https://www.linkedin.com/posts/alirezaghahrood_the-illusion-of-compliance-when-everyone-activity-7385096843078057984-IW4i

Network Readiness Index 2024
تحلیل مهندسی جایگاه ایران در شاخص آمادگی شبکه جهانی

گزارش Network Readiness Index (NRI) 2024 وضعیت ۱۳۳ کشور را در بهره‌گیری از فناوری اطلاعات و ارتباطات (ICT) برای رشد اقتصادی، حکمرانی دیجیتال و توسعه اجتماعی بررسی کرده است.

ایالات متحده در رتبه اول قرار دارد، سنگاپور دوم، و فنلاند سوم.
در میان ۱۰ کشور برتر، سوئد، کره جنوبی و بریتانیا نیز حضور پررنگی دارند. در این میان، امارات متحده عربی در شاخص قیمت گوشی همراه، رتبه نخست جهانی را کسب کرده است.

🇮🇷 جایگاه ایران در
NRI 2024
رتبه کل: 79 از 133 کشور
امتیاز: 45.51
گروه: کشورهای با درآمد متوسط رو به بالا

ایران از نظر دسترسی و زیرساخت عملکرد نسبتاً قابل قبولی دارد، اما در حوزه‌های نوآوری، حکمرانی دیجیتال و اثرگذاری اقتصادی هنوز فاصله قابل توجهی با کشورهای پیشرو دارد.

چهار ستون اصلی شاخص
⸻
1. فناوری (Technology)

رتبه 54 | امتیاز 45.40
نقاط قوت:
• پهنای باند بین‌المللی (رتبه 26)
• دسترسی اینترنت در مدارس (رتبه 82)
نقاط ضعف:
• پذیرش فناوری‌های نوین (رتبه 133)
• سرمایه‌گذاری در فناوری‌های نو (رتبه 101)
• ضعف در توسعه محتوای بومی و اپلیکیشن‌ها
⸻
2. مردم (People)

رتبه 47 | امتیاز 45.83
نقاط قوت:
• دسترسی گسترده به پهنای باند موبایل (رتبه 9)
• باسوادی دیجیتال و حضور اجتماعی آنلاین
نقاط ضعف:
• مهارت‌های فناوری در آموزش (رتبه 95)
• سرمایه‌گذاری علمی نامتوازن بین دولت و دانشگاه
⸻
3. حکمرانی (Governance)

رتبه 81 | امتیاز 52.62
نقاط قوت: سرورهای امن (رتبه 55)
نقاط ضعف:
• کیفیت قوانین و مقررات (رتبه 131)
• ضعف در حفاظت داده‌ها و حریم خصوصی (رتبه 132)
• مشارکت الکترونیکی شهروندان بسیار پایین (رتبه 127)
⸻
4. تأثیر (Impact)

رتبه 120 | امتیاز 38.18
نقاط قوت: مقیاس بزرگ بازار داخلی (رتبه 41)
نقاط ضعف:
• صادرات پایین خدمات ICT (رتبه 124)
• شاخص کیفیت زندگی و اهداف توسعه پایدار بسیار ضعیف
⸻
جمع‌بندی مهندسی

ایران در مسیر دسترسی و زیرساخت فناوری پیشرفت کرده، اما در نوآوری، قانون‌گذاری و اثرگذاری اجتماعی و اقتصادی فناوری عقب مانده است. برای بهبود جایگاه تا رتبه ۶۰، سه گام کلیدی پیشنهاد می‌شود:
1. توسعه مهارت‌های دیجیتال در نظام آموزشی
2. تقویت قوانین داده، حریم خصوصی و تجارت الکترونیکی
3. حمایت هدفمند از اکوسیستم نوآوری و صادرات فناوری

منبع:
https://lnkd.in/dDr5MT-5
https://lnkd.in/dvXBsmqc


دیدگاه شما چیست؟
چگونه می‌توان از ظرفیت‌های داخلی برای ارتقای جایگاه ایران در آمادگی شبکه‌ای جهانی استفاده کرد؟

#DigitalTransformation #CyberGovernance #ICT #NRI2024 #Iran #Technology #Innovation #DataGovernance #DiyakoSecureBow #CyberStrategy

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.10.18

https://www.linkedin.com/posts/alirezaghahrood_nri-2024-network-readines-index-activity-7385171364220932096-9iQy