The Illusion of Compliance: When Everyone Copies, Nobody Thinks so When Risk Becomes a Checklist, Security Loses Its Meaning!

و وقتی تفکر نباشد، همه در یک جهت شنا می‌کنند… حتی اگر رودخانه اشتباه باشد

این هفته، هم‌زمان با برگزاری 2025 GITEX Global، چندین دعوت و گردهمایی تخصصی داشتم، جلسات و نشست‌هایی در جمع مدیران امنیت (CISOها)، مشاوران و فعالان حوزه‌ی امنیت سایبری و امنیت اطلاعات ! گرچه امسال فرصت نکردم در خود نمایشگاه به‌صورت کامل حضور داشته باشم، اما همان دیدارها، گفت‌وگوها و دورهمی‌های پس از جلسات از قهوه و شام گرفته تا گفت‌وگوهای صمیمی بعد از اجرا و کمی ریست فکتوری با موسیقی و دی جی های برند😇 برایم پر از نکته بود انگار کوله بارم سنگین شده و باید برگردم به اورجینم.

در میان این گفت‌وگوها، یک چیز بارها تداعی شد:هنوز بسیاری از سازمان‌ها، مفهوم واقعی مدیریت ریسک و حاکمیت امنیت را به‌درستی درک نکرده‌اند.

در ماه‌های گذشته پروژه‌های مختلف همچون ISMS و امنیتی را در صنایع گوناگون در کشورم بررسی کرده‌ام، از نفت و گاز گرفته تا بانکداری و فناوری، اما تقریبا همه در یک نکته مشترک‌اند:

همان سیاست‌ها، همان فرم‌ها، همان مستندات؛ فقط لوگوها متفاوت‌اند!

به‌جای درک و تحلیل واقعی، مدیریت ریسک تبدیل شده به تمرین تکرار،
به تیک زدن چک‌لیست‌ها و استفاده از یک مدل ثابت برای همه. بسیاری از پیمانکاران امنیت، بدون شناخت زمینه و سطح ریسک هر سازمان، همان نسخه‌ی ISMS را برای همه می‌نویسند از پالایشگاه تا شرکت فین‌تک.

🥸 نتیجه؟
• احساس کاذب از انطباق
• ریسک‌های واقعی بدون پوشش
• و وقتی حادثه‌ای رخ می‌دهد، همه به فریم‌ورک اشاره می‌کنند، نه به فکر پشت آن.

وقتی درک واقعی از ریسک در سازمان وجود ندارد و از بالا هم حاکمیت و تصمیم‌سازی راهبردی جریان ندارد، بازار طبیعی‌ست که تبدیل شود به فروش Template و سند آماده، نه تفکر و تصمیم.

امروز می‌توان بسته کامل مثلا ISO 27001 را خرید🤠 سیاست‌ها، فرم‌ها، SoA و حتی پاورپوینت آگاهی‌بخشی 🤓 اما چیزی که نمی‌توان خرید، درک و تناسب واقعی با بیزنس است.

بسیاری از متخصصان هم از همین ساختارها می‌آیند؛ جایی که امنیت را نه به‌عنوان یک تفکر، بلکه صرفا به‌عنوان مجموعه‌ای از مدارک و فرمول دیده‌اند. همان ذهنیت را با خود به سازمان‌های جدید می‌آورند، در ابزارها و پروژه‌ها تکرار می‌کنند و در نهایت، همه در یک جهت شنا می‌کنند… اما کسی نمی‌پرسد آیا مسیر رودخانه درست است یا نه؟

این وضعیت، نتیجه‌ی سه خلا اساسی است:
• نداشتن ارتباط جهانی و به‌روزرسانی فکری در حوزه استانداردها
• قطع جریان حاکمیت توانمند و تصمیم‌سازی مناسب از بالا به پایین
• و نداشتن جسارت برای بازنگری در مدل‌های قدیمی و اشتباه

در نتیجه، مستندات زیاد تولید می‌شوند، اما ناکارا اما مسیر، هدف و درک واقعی گم می‌شود.

در یکی از ارزیابی‌های واقعی که برای یک سازمان صنعتی انجام دادم:
- با ISO 27005 ریسک سیستم زیاد برآورد شد،
• با مدل ۲ زیان سالانه حدود ۲۹۰ هزار دلار محاسبه شد،
• و با مدل سوم تصمیمات امنیتی (مثل MFA و ثبت رویدادها) معقول و ارزیابی شدند.

اعداد متفاوت بودند، اما نتیجه مدیریتی یکی. مدیریت ریسک، مدل نیست، درک است.

حاکمیت واقعی از جایی آغاز می‌شود که کنترل‌ها متناسب با بیزنس طراحی شوند، نه آن‌که بیزنس را مجبور کنیم با کنترل‌ها سازگار شود.😎

+همون به موزیک گوش بهتر است تا آرزوی اصلاح!

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.10.18

https://www.linkedin.com/posts/alirezaghahrood_the-illusion-of-compliance-when-everyone-activity-7385096843078057984-IW4i

Network Readiness Index 2024
تحلیل مهندسی جایگاه ایران در شاخص آمادگی شبکه جهانی

گزارش Network Readiness Index (NRI) 2024 وضعیت ۱۳۳ کشور را در بهره‌گیری از فناوری اطلاعات و ارتباطات (ICT) برای رشد اقتصادی، حکمرانی دیجیتال و توسعه اجتماعی بررسی کرده است.

ایالات متحده در رتبه اول قرار دارد، سنگاپور دوم، و فنلاند سوم.
در میان ۱۰ کشور برتر، سوئد، کره جنوبی و بریتانیا نیز حضور پررنگی دارند. در این میان، امارات متحده عربی در شاخص قیمت گوشی همراه، رتبه نخست جهانی را کسب کرده است.

🇮🇷 جایگاه ایران در
NRI 2024
رتبه کل: 79 از 133 کشور
امتیاز: 45.51
گروه: کشورهای با درآمد متوسط رو به بالا

ایران از نظر دسترسی و زیرساخت عملکرد نسبتاً قابل قبولی دارد، اما در حوزه‌های نوآوری، حکمرانی دیجیتال و اثرگذاری اقتصادی هنوز فاصله قابل توجهی با کشورهای پیشرو دارد.

چهار ستون اصلی شاخص
⸻
1. فناوری (Technology)

رتبه 54 | امتیاز 45.40
نقاط قوت:
• پهنای باند بین‌المللی (رتبه 26)
• دسترسی اینترنت در مدارس (رتبه 82)
نقاط ضعف:
• پذیرش فناوری‌های نوین (رتبه 133)
• سرمایه‌گذاری در فناوری‌های نو (رتبه 101)
• ضعف در توسعه محتوای بومی و اپلیکیشن‌ها
⸻
2. مردم (People)

رتبه 47 | امتیاز 45.83
نقاط قوت:
• دسترسی گسترده به پهنای باند موبایل (رتبه 9)
• باسوادی دیجیتال و حضور اجتماعی آنلاین
نقاط ضعف:
• مهارت‌های فناوری در آموزش (رتبه 95)
• سرمایه‌گذاری علمی نامتوازن بین دولت و دانشگاه
⸻
3. حکمرانی (Governance)

رتبه 81 | امتیاز 52.62
نقاط قوت: سرورهای امن (رتبه 55)
نقاط ضعف:
• کیفیت قوانین و مقررات (رتبه 131)
• ضعف در حفاظت داده‌ها و حریم خصوصی (رتبه 132)
• مشارکت الکترونیکی شهروندان بسیار پایین (رتبه 127)
⸻
4. تأثیر (Impact)

رتبه 120 | امتیاز 38.18
نقاط قوت: مقیاس بزرگ بازار داخلی (رتبه 41)
نقاط ضعف:
• صادرات پایین خدمات ICT (رتبه 124)
• شاخص کیفیت زندگی و اهداف توسعه پایدار بسیار ضعیف
⸻
جمع‌بندی مهندسی

ایران در مسیر دسترسی و زیرساخت فناوری پیشرفت کرده، اما در نوآوری، قانون‌گذاری و اثرگذاری اجتماعی و اقتصادی فناوری عقب مانده است. برای بهبود جایگاه تا رتبه ۶۰، سه گام کلیدی پیشنهاد می‌شود:
1. توسعه مهارت‌های دیجیتال در نظام آموزشی
2. تقویت قوانین داده، حریم خصوصی و تجارت الکترونیکی
3. حمایت هدفمند از اکوسیستم نوآوری و صادرات فناوری

منبع:
https://lnkd.in/dDr5MT-5
https://lnkd.in/dvXBsmqc


دیدگاه شما چیست؟
چگونه می‌توان از ظرفیت‌های داخلی برای ارتقای جایگاه ایران در آمادگی شبکه‌ای جهانی استفاده کرد؟

#DigitalTransformation #CyberGovernance #ICT #NRI2024 #Iran #Technology #Innovation #DataGovernance #DiyakoSecureBow #CyberStrategy

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.10.18

https://www.linkedin.com/posts/alirezaghahrood_nri-2024-network-readines-index-activity-7385171364220932096-9iQy

Fighting 4 Light in the Age of Shadows and
When Integrity Becomes a Rebellion! So😇

باید یکسری اشعار مرور کرد
وقتی وقتی تعداد آدم‌های نمایشی در امنیت سایبری زیاد می‌شود، تنها تبلیغ موثر یک چیز است: تخصصی سالم کار کردن شرافتمندانه. بله برکت هم می بارد این به کنار، خوب
تهش فقط کسب درآمد است و بس!؟

نه پوپولیسم، نه به گزارش بی‌عمل نه به هرچی که شرایط کرده جنگل شروود!

برگرفته از کتابی:
آقای محترم!ما نیامده ایم که بود و نبودمان هیچ تاثیری بر جامعه بر تاریخ، بر زندگی و بر آینده نداشته باشد. ما آمده ایم که با دشمنان وطن دشمنی کنیم و برنجانیم شان و همدوش مردان با ایمان تفنگ برداریم و سنگر بسازیم و همپای آدم های عاشق، به خاطر اصالت و صداقت عشق بجنگیم. ما آمده ایم که با حضورمان، جهان را دگرگون کنیم، نیامده ایم تا پس از مرگمان بگویند: از کرم خاکی هم بی آزارتر بود و از گاو مظلومتر، ما باید وجودمان و نفس کشیدن مان و راه رفتن مان و نگاه کردن مان و لبخند زدن مان هم مانند تیغ به چشم و گلوی بدکاران و ستمگران برود... ما نیامده ایم فقط به خاطر آنکه همچون گوسفندی زندگی کرده باشیم که پس از مرگمان، گرگ و چوپان و سگ گله، هر سه ستایش مان کنند...
گمان می کنم که آن آقا خیلی وقت بود که از کنارم رفته بود و شاید من هم، فقط در دل خویش سخن می گفتم تا مبادا یکی از خویشاوندان خوب را چنان برنجانم که در مجلس ختمم حضور به هم نرساند....!

ما در کشور خودمون نمیتونیم برای سلامت و پیشرفتش حتی یک مطالبه ساده داشته باشیم. چرا؟! یا آگاهانه در رانت بسر میبری! یا به دنبال رانتی برات مهیا نیست و سوراخ دعا رو‌ندیدی و بازیت ندادن! یا تمایل به سکوت و لقمه و‌صندلی خودمون و بچسبیم و … اما گزینه دیگری هست مطالبه گری، تخصص گرایی، آگاهی بخشی، مشارکت و زدن به دهان هر رانت و … غلطی. چی می خواهد، هوم بله اما نه بریم لایک کنیم پست فلان مدیر عامل فلان بانک و‌ سازمان‌ و … فلان سمت … باشد گوشه نانی شاید! شاید مثلا پله موفقیتی پرت شد و ما به دنبال دست بوسی‌ شاه و با دندان قاپیدیم!
ایمانی وجود ندارد، ایمانی وجود ندارد به کاسه و نردبان روزی آدمی!
کمی تخصص، کمی بیشتر شرافت و زانوانی با هزاران ژاندارک راسخ برای سنگ های میخوری و البته جسارت تمام عیار! و سر خم نکردن به گله های طرفداری!

مملکت پر شده از منافق چون علوم آموزشی مون منافق پروری بوده! رقص بالماسکه.

بگذریم،
چرا باید بگذریم واقعا، چرا!؟

برگی از تاریخ
محمد‌علی فروغی: گاه فکر می‌کنم این ملت با این همه تاریخ، چگونه چنین در تاریکی فرو رفته؟ شب، تا دیروقت بیدار ماندم و به این اندیشیدم که آیا روزی می‌رسد که عقل و علم در این سرزمین چیره شود؟
⁩

🌿 از مولانا رومی:
چو مردان جان فدا کن، تا شوی آزاد از مردی
که هر کو بی‌وفا باشد، نیرزد نام مردی
و
هر که را اسرار حق آموختند
مهر کردند و دهانش دوختند
— مثنوی معنوی

🕊 از حافظ بزرگ:
در طریق عشق بازی امن و آسایش بلاست
ریش باد آن دل که با درد تو خواهد مرهمی

🔥 از سعدی بزرگ:
به راه بادیه رفتن به از نشستن باطل
و گر مراد نیابم به قدر وسع بکوشم


-
امید، گاهی به تمام حماقت‌ها، معنای متعالی ابلهانه‌ای می‌بخشد.
مثل امید به تغییر چیزهایی که به زبری پوست کرگدن شده اند ولی آدم روی آن، لایه ای کرم می‌مالد، به نازکی بلاهتش
✌🏼-

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.10.19

COME TOWARD ME,
EVEN IF YOU WERE A BULLET IN THE BARREL OF A GUN

هیچ قاعده‌ای نمی‌تواند آزادی من را محدود کند، من خود واقعی‌ام.

و امروز ها، زمانه‌ای است که گاه حتی لایق دیدن هم نیست، دوستانم را می‌بینم؛ آنان که مهاجرت طولانی کردند، به دور، اغلب خسته، مغموم و دلتنگ‌اند. ما هم که … هم، خسته‌ایم و جان‌به‌لب رسیده و ناامید.

نمی‌دانم کدام را نرفته می‌توانست نسل ما را خوشبخت کند،
فقط می‌دانم ما همه‌چیز را امتحان کردیم… نشده، آنچه سزاواره این خاک است، خاکی که خیلی مردان مرد صفت و زنان زن صفت پایش وایسادن و زندگی ها رفت و ردی از خیل این سربازان وطن نیست و … ما درصد بگیر های دله دزد! یلا قبا، آب ندیده ایم! قهار!!!

اما بزرگ خواهیم شد و خواهیم فهمید
که باید خودمان را از برخی پیروزی‌های سطحی از حیاط و ممات دور نگه داریم، تا مبادا خودمان را ببازیم در عرصه ای که تن فروشی مبنا است! البته اگر فرصتی داشتیم!

شریف بمانید. شریف شوید.

بریم تحلیل جذاب بد افزار بخونیم، که شاید حواس را پرت کنیم!
#Malware_analysis
1. Tracking Malware and Attack Expansion:
A Hacker Group’s Journey across Asia
https://www.fortinet.com/blog/threat-research/tracking-malware-and-attack-expansion-a-hacker-groups-journey-across-asia

2. Lessons from the BlackBasta Ransomware Attack on Capita
https://blog.bushidotoken.net/2025/10/lessons-from-blackbasta-ransomware.html

پ ن: سنگ بنای امنیت رفع آسیب پذیری هاست با رویکرد فنی، مستمر، نظارت بر خط در فرایند برنامه ریزی شده و مهندسی چابک سیستمی مبتنی بر استراتژی! راکی لینوکس مون رو🤣🥸

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.10.20

#DiyakoSecureBow
————————————
CISO as a Service (vCISO)

Cybersecurity transparency has become a defining challenge for today’s CISOs.

With new SEC regulations requiring public companies to disclose material cybersecurity incidents and report annually on their security posture, organizations face a complex balance: being open enough to build trust with stakeholders, yet cautious enough to avoid exposing sensitive information that could invite risk.

This evolving landscape calls for mature governance, strong communication between security and executive teams, and a clear strategy that aligns transparency with resilience — not as a threat, but as an opportunity to strengthen organizational trust.

-Secure Business Continuity-
2025.10.20
——————————————————
#Cybersecurity #vCISO #CyberSecurity_Trancparency #CISO #threat #Risk_Management

https://www.linkedin.com/posts/diyako-secure-bow_diyakosecurebow-cybersecurity-vciso-activity-7385911857561300992-zzE_

Diyako Secure Bow Training Programs

Real Training. Real Tools. Real Standards.

At Diyako Secure Bow, cybersecurity education isn’t just about sharing knowledge, it’s about building capability, mindset, and real-world resilience.

Our specialized training programs are built around three pillars:
1. Standard-based Workshops
Covering international frameworks such as:
•ISO/IEC 27001 & 27005
•NIST Cybersecurity Framework & SP 800-37/53/82
•ISA/IEC 62443 for OT Security
•COBIT, DORA, NIS2 Governance
•Risk Management & GRC Frameworks

2. Vendor & Lab-based Courses
Delivered through realistic environments and tools, including:
•Splunk Enterprise & ES
•Fortinet (FortiGate / FortiAnalyzer / FortiSIEM)
•Tenable Nessus / Arcon PAM / Wallix / Cisco FMC / F5
•Wazuh SIEM / ELK Stack / Graylog
•OT/ICS Simulation Labs

3. Comprehensive Learning Packages
(Full Class PDF + Reference)
Each course includes proprietary learning materials, execution checklists, roadmap frameworks, and practical exercises ensuring participants can immediately apply what they learn.

🙏 Thanks to God, and with the growing trust of our cybersecurity community, we’re proud to have achieved 100% participant satisfaction even if 😄 some of our advanced workflows may seem a bit new to first-time learners.

At Diyako, training means transformation not repetition.

#CyberSecurity #Training #Workshop #DiyakoSecureBow #CISO #GRC #SOC #OTSecurity #ISO27001 #NIST #HandsOnLabs

دوره‌های تخصصی دیاکو
آموزش واقعی، ابزار واقعی، استاندارد واقعی

در کمان امن دیاکو (Diyako Secure Bow)، ما آموزش امنیت سایبری را صرفاً انتقال دانش نمی‌دانیم؛ بلکه فرآیندی برای ایجاد مهارت، تفکر تحلیلی و توانمندسازی واقعی می‌دانیم.

هر دوره شامل جزوات اختصاصی PDF، چک‌لیست‌های اجرایی، نقشه راه استاندارد و تمرین‌های عملی است تا شرکت‌کنندگان پس از پایان دوره بتوانند مفاهیم را به‌صورت عملی در سازمان خود پیاده‌سازی کنند.

🙏 به لطف خداوند متعال و اعتماد جامعه حرفه‌ای سایبری، تا امروز توانسته‌ایم رضایت کامل شرکت‌کنندگان را در تمامی دوره‌ها جلب کنیم هرچند 😄 برخی از فرآیندهای آموزشی و استانداردی‌مان ممکن است برای مخاطبان تازه‌وارد کمی جدید و متفاوت باشد.

در دیاکو، آموزش یعنی تجربه‌ی واقعی از امنیت، نه تکرار محفوظات.

#کمان_امن_دیاکو #امنیت_سایبری #دوره_آموزشی #کارگاه_استاندارد #SOC #CISO #GRC #OTSecurity #ISO27001 #NIST #CybersecurityTraining

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.10.21

When Freedom Breaks Away from Ethics

در روزگاری که هر کسی گوشی به‌دست، قاضی و روانشناس و خبرنگار شده، مرز میان آزادی بیان و بی‌اخلاقی اجتماعی گم شده است. از مترو تا فضای مجازی، آدم‌هایی را می‌بینیم که بدون آگاهی و تحلیل، با توهم اعتماد به نفس، زندگی دیگران را قضاوت می‌کنند و خود را ‘ آگاه ’ می‌نامند. اما واقعیت تلخ‌تر است؛ جامعه‌ای که از درون زخمی و خسته است، آزادی را ابزار تخلیه می‌داند نه مسئولیت

1. ماهیت پدیده
در چنین پست‌هایی که افراد بدون مدرک و با روایت یک‌طرفه، دیگران را در فضای عمومی متهم می‌کنند، ما با “شکل جدیدی از خشونت اجتماعی دیجیتال” روبه‌رو هستیم.
چیزی بین:
• انتقام‌گیری یا فرافکنی روانی
• تلاش برای جلب توجه یا دیده شدن
• و گاهی هم واکنشی واقعی به تجربه‌ی آزار، اما با مسیر نادرست ابراز

2. بُعد قانونی⚖️
در اغلب کشورها (از جمله ایران و امارات و اروپا) چنین رفتارهایی در چارچوب افترا، نشر اکاذیب، یا هتک حیثیت قابل پیگیری است.
در مقابل، اگر واقعاً آزار رخ داده باشد، فرد باید از مسیر قانونی (پلیس، پزشکی قانونی، وکالت و مستندسازی) اقدام کند.

پست‌کردن چهره‌ی افراد در شبکه اجتماعی بدون حکم قضایی = تخلف قانونی + تخریب اعتماد اجتماعی.

3. بُعد روانی
در بسیاری از این موارد، فرد منتشرکننده دچار:
• اختلالات شخصیتی (مثل هیستریونیک یا بای‌پولار)
• آسیب‌های عاطفی حل‌نشده• یا نیاز شدید به دیده شدن (attention-seeking behavior) است.

پرسش از محل کار، سابقه یا روان‌درمانی چنین افرادی بی‌معنا نیست، ولی باید از مسیر حرفه‌ای (روانپزشک یا نهاد قضایی) انجام شود نه در فضای عمومی.

4. بُعد فرهنگی و اجتماعی
وقتی جامعه درگیر کمبود سواد رسانه‌ای و قضاوت‌های سریع است، این نوع پست‌ها به‌سرعت به “نمایش جمعی عقده‌ها و خشم‌های فروخورده” تبدیل می‌شوند.
یعنی مردم به‌جای تحلیل، تخلیه هیجانی می‌کنند.
در نتیجه:
• بی‌اعتمادی اجتماعی بالا می‌رود
• تصویر فرهنگی ما آسیب می‌بیند
• و قربانیان واقعی دیگر باور نمی‌شوند

5. نتیجه و پیشنهاد
1. آموزش سواد رسانه‌ای و اخلاق دیجیتال باید به‌صورت رسمی و عمومی دنبال شود.
2. پلتفرم‌ها باید مکانیسم گزارش محتوا و fact-check قوی‌تری داشته باشند.
3. نهادهای فرهنگی و امنیتی باید در برابر محتواهای خلاف اخلاق و افترا‌آمیز سریع‌تر عمل کنند.
4. و در نهایت، ما مردم هم باید یاد بگیریم قبل از قضاوت یا بازنشر، بپرسیم:
“آیا من دارم کمک می‌کنم یا دارم به خشونت جمعی دامن می‌زنم؟”

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.10.21

A major challenge in Iran’s cybersecurity market:
Many vendors sell products, not security.

Without:
• Needs analysis
• Designed security architecture
• Documentation & KPIs
• Iterative delivery

The result? Broken projects, hidden costs, lost trust.
Real security is engineered:
- Understanding true needs
- Standards based control design
- Measurable implementation
- Documentation for ownership
- Step by step improvement

Cheap, fast “security” often means fast, expensive risk.
Cybersecurity is not a product, It is a long term investment in business resilience. If you need documented, defendable, and engineered security, let’s build it together precisely and professionally.

در بازار امنیت سایبری ایران یک چالش جدی وجود دارد:
خیلی‌ها محصول می‌فروشند، نه امنیت:
- نیازسنجی انجام نمی‌شود
- طراحی معماری امنیتی نادیده گرفته می‌شود
- مستندسازی و KPI حذف می‌شود
- و تعطیلی پروژه‌ها + هزینه‌های پنهان = کاهش اعتماد

اما امنیت واقعی یعنی مهندسی امنیت:
. شناخت نیاز
. طراحی کنترل‌های استاندارد
. پیاده‌سازی قابل ارزیابی
. مستندسازی برای مالکیت و نگهداشت
. روند مرحله‌ای و سنجش‌پذیر

امنیت سریع و ارزان معمولاً به‌معنی ریسک سریع و گران است.
امنیت کالای ویترینی نیست؛ امنیت، سرمایه‌گذاری بلندمدت برای تاب‌آوری کسب‌وکار است. اگر سازمان‌تان دنبال امنیت نمایشی نیست و می‌خواهد امنیت مستند، مهندسی‌شده و قابل‌دفاع داشته باشد قدم‌به‌قدم و دقیق.

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.10.23

#CyberSecurity #CISO #vCISO #GRC #RiskManagement #SecurityArchitecture
#ISO27001 #NIST #ICS #OTSecurity #IndustrialSecurit

https://www.linkedin.com/posts/alirezaghahrood_cybersecurity-ciso-vciso-activity-7387055942414008320-h-st

I never pushed anyone away;
they died on the battlefield of trust.

من هرگز هیچ‌کس را از زندگی‌ کاری و‌ ‌‌شخصی ام حذف نکردم؛ فقط آنها بصورت مستقل یا جمعی در حوادث‌ اعتماد، مردند.

- دعای امیر✌️ جمعه‌ها صبح-

بگذریم؛

#AI_Ops
#Threat_Research
ExCyTIn-Bench: Evaluating LLM agents on Cyber Threat Investigation 2025.
https://lnkd.in/dppNBHau

The first benchmark to Evaluate an LLM agent x on the task of Cyber Threat Investigation through security questions derived from investigation graphs

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.10.24

https://www.linkedin.com/posts/alirezaghahrood_aiabrops-threatabrresearch-activity-7387402562905378818-rkNF

The Art of Closing the Communication Gap

بخش کوچکی از آنچه در ذهن ماست
به کلمات تبدیل می‌شود…
در واقع بخش کمتری از آن را بیان می‌کنیم…
و کوچک‌ترین بخشش‌واقعا فهمیده می‌شود.

هنر ارتباط، نزدیک‌تر کردن این دایره‌هاست.

پس‌قدرت سوء تفاهم را دست کم نگیرید!
این تصویر به‌سادگی نشون می‌ده که چقدر فاصله هست بین دنیای درون ما و چیزی که واقعا دیگران از حرف‌هامون درک می‌کنند.

میان آنچه که ما به آن فکر می‌کنیم، تا آنچه که دیگران متوجه منظور ما می‌شوند، فاصله بسیار است!

بگذریم؛
WSUS RCE (CVE-2025-59287)
https://hawktrace.com/blog/CVE-2025-59287

mitigation: requires replacing BinaryFormatter with secure serialization mechanisms, implementing strict type validation, and enforcing proper input sanitization on all cookie data.

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.10.25

https://www.linkedin.com/posts/alirezaghahrood_the-art-of-closing-the-communication-gap-activity-7387752624793587712-2cp9

Trust half of what you see
Trust nothing of what you hear

از آنچه ميبينى نيمى رو باور كن واز آنچه ميشنوى هيج باور نكن بویژه در نظام سرمایه داری ویژه تر در دنیای اطلاعات دیجیتال/ اینترنت، میرسد روزی که تفکیک موضوعات از منظر درست و راست، غلط و هدف مند و اطلاعات دستکاری شده برای نسل های آتی گواهی و مدرک صادر شود جهت کسب تخصص تمیز دادن!

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.10.26

https://www.linkedin.com/posts/alirezaghahrood_trust-half-of-what-you-see-trust-nothing-activity-7388094893845364736-HQRL

#DiyakoSecureBow
————————————
CISO as a Service (vCISO)

شرکت کمان امن دیاکو (Diyako Secure Bow)
حفاظت از پایداری امن کسب‌وکار؛ رسالت ماست.

از ابتدای سال ۱۴۰۲، کمان امن دیاکو فعالیت تخصصی خود را با محوریت CISO as a Service (vCISO) آغاز کرده و امروز به‌عنوان یکی از ارائه‌دهندگان راهکارهای پیشرو در حوزه امنیت سایبری، خدمات خود را بر پایه هفت محور کلیدی زیر توسعه داده است:

1️⃣ استراتژی و رهبری امنیت سایبری
2️⃣ حکمرانی، ریسک و انطباق‌پذیری (GRC)
3️⃣ طراحی و معماری امن شبکه، زیرساخت و برنامه‌های کاربردی
4️⃣ ممیزی‌های سیستمی ‌و فنی امنیت سایبری
5️⃣ کنترل‌های دفاعی و نفوذی پیشرفته
6️⃣ توانمندسازی و آموزش‌های تخصصی امنیت
7️⃣ اکوسیستم منابع انسانی امنیت سایبری (جذب، پرورش، مربیگری)

تا امروز و تا ابتدای پاییز ۱۴۰۴، این شرکت با اعتماد مشتریان در صنایع متنوع مالی، دولت، انرژی، سلامت و فناوری اطلاعات، پروژه‌های گوناگون طراحی، پیاده‌سازی و بهبود امنیت سایبری را با موفقیت به انجام رسانده است.

اخذ پروانه رسمی فعالیت امنیت سایبری

کمان امن دیاکو مفتخر است اعلام کند که پروانه فعالیت امنیتی این شرکت در حوزه‌های:
«امن‌سازی و مقاوم‌سازی سامانه‌ها، زیرساخت‌ها و سرویس‌ها»
در تاریخ ۱۴۰۴/۰۶/۱۷ توسط مرکز مدیریت راهبردی افتای ریاست جمهوری و تحت نظارت سازمان فناوری اطلاعات ایران صادر شده است.

صفحه رسمی احراز گواهی از سامانه سازمان
https://lnkd.in/eYgT4b9j

آیندهٔ امن کسب و کار، تصمیم امروز است
کمان امن دیاکو با تکیه بر دانش روز جهانی، استانداردهای به‌روز، فناوری‌های نوین و تیم متخصصین خبره، آماده است تا امنیت سازمان شما را قابل دفاع، پایدار و منطبق با ترندهای جهانی سازد.

Secure Business Continuity
چون امنیت، انتخاب امروز نیست، نیاز همیشه است.

-Secure Business Continuity-
2025.10.27
——————————————————
#Cybersecurity #vCISO #CISO #CyberSecurityProject #Hardening

https://www.linkedin.com/posts/diyako-secure-bow_diyakosecurebow-cybersecurity-vciso-activity-7388485357270372352-HGTu

Do not be afraid of the solitude
of the redemption way..!
از خلوتي راه شرافت، ‌صداقت و آزادگی نهراسيد ...!

صدور مجوز رسمی و امنیتی فعالیت شرکت دیاکو 😇♥️🙏

سه سال پیگیری، صبر، چالش و پافشاری…
بالاخره مجوز رسمی شرکت دیاکو در حوزه امن‌سازی و مقاوم‌سازی کلیه سرویس‌ها از سوی مرکز مدیریت راهبردی افتا ریاست‌جمهوری صادر شد.

طی فقط‌ این سه سال اخیر به ۱۴ شرکت همکار کمک کردیم در حوزه های SOC,CSIRT,Pentest,ISMS, Hardening از استان های مختلف بتوانند مجوز اخذ کنند چه مشاوره دوستانه چه آموزش تخصصی.

مسیر ساده‌ای نبود.
از نبود آگاهی کافی برخی، تا ارزیابی‌های سهوی یا ناصحیح‌و حتی رد شدن پرونده به دلایل عجیبی مثل اینکه همکار ما با وجود داشتن مدرک CCIE Lab، گواهی Network+ نداشت! از فشارها و پیشنهادهای ناسالم برای “میانبر” زدن و ردکردن اصول اخلاقی، تا لحظاتی که به‌جای سازش، تصمیم گرفتم اصول و مسیر درست را انتخاب کنم ، حتی اگر نتیجه‌اش تأخیر و عقب‌افتادن سه‌ساله باشد.

اما امروز، وقتی این مجوز را در دست دارم، مطمئنم که ارزشش را داشت.
در این مسیر از نهادها و دوستان بسیاری قدردانم:
از سازمان پدافند غیرعامل کشور و جناب دکتر علوی که درک و همراهی واقعی داشتند، از مرکز راهبردی افتای تهران و مرکز افتای بوشهر برای همکاری و پیگیری‌ها، از دکتر خالقی دخت معاونت امنیت سازمان فناوری اطلاعات و برای نگاه حرفه‌ای و راهبردی‌شان، از همراهان در مرکز ماهر و مرکز ملی فضای مجازی برای حمایت‌های بی‌ریا، از تیم متخصصان دیاکو و کارشناسان فنی در پروژه‌های مشترک و از همه‌ی مشتریان که در این سال‌ها با ما همراه بودند از صنایع پتروشیمی و انرژی تا بانک‌ها و PSPها، از وزارت‌خانه‌ها و نهادهای دولتی تا صنایع خصوصی و فناورانه در نقاط مختلف ایرانمان.

هر همکاری برای ما تنها یک پروژه نبود؛ بلکه بخشی از مسیر توسعهٔ امنیت سایبری ملی و ایفای مسئولیت اجتماعی ما بود. بسیاری از این فعالیت‌ها بدون چشم‌داشت مالی و صرفاً با هدف ارتقای بلوغ امنیتی کشور انجام شد. بسیاری از دوستان در استان‌ها و بخش‌های مختلف، در سخت‌ترین شرایط، با ما هم‌مسیر شدند ✊🏽

فقط برای یک مجوز نجنگیدم؛
بلکه در میانه‌ی چالش های فضای اجتماعی و عدالت‌خواهی بویژه در سال‌های اخیر در کشورمان، در دو سوی ماجرا ایستادم، گاه در موضع دفاع از حقوق جمعی‌ مدنی مردمی و … گاه در معرض قضاوت و نقد. اما هر بار، آگاهانه و مصرانه بر اصول انسانی، حرفه‌ای و آزادگی فکری پافشاری کردم. نه با شعار، بلکه با عمل: با عدم تایید در پروژه‌های ناسالم، با ایستادن پای حق‌و با صداقت در میانه‌ی ابهام‌ها و‌با خورده سنگ های ریز و‌درشت ریشه در حسادت ها.

در بسیاری از جلسات، چه در سطوح حاکمیتی و چه در نشست‌های دولتی و تخصصی، شاهد مواردی بودم که ریشه در نابرابری، فساد، عدم شایسته سالاری یا بی‌عدالتی اجتماعی داشت. در همان فضاهایی که خیلی‌ها ترجیح می‌دادند سکوت کنند، من تصمیم گرفتم سخن بگویم، گاه با استفاده از تریبون‌های رسمی و فضای مجازی، موضوعات را مطرح کردم و گاه با پاسخ‌گویی و روشنگری، که شاید بسیاری از پشت‌پرده‌اش خبر نداشتند.

آنچه برایم مهم‌تر از هر چیز بود، شفافیت، انصاف و تعهد به حقیقت بود، حتی اگر هزینه داشت. در این مسیر، بارها داغ نقره‌ای تجربه و واقعیت بر دلم نشست ، اما همان داغ، مرا آبدیده‌تر کرد.
یه بچه تخس سر پا✌️

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.10.27

https://www.linkedin.com/posts/alirezaghahrood_diyakosecurebow-cybersecurity-vciso-activity-7388513487645458432-XFRS