#DiyakoSecureBow
————————————
CISO as a Service (vCISO)
در روز بزرگداشت کوروش بزرگ، به یاد مردی می‌ایستیم که بیش از دو هزار سال پیش، نخستین منشور حقوق بشر را بنیان گذاشت؛ رهبری که خرد، عدالت و احترام به کرامت انسان را سرلوحه پادشاهی خود قرار داد.

او نشان داد که عظمت واقعی در فتح دل‌هاست، نه تسخیر سرزمین‌ها‌و این حقیقت را به جهان آموخت که قدرت، زمانی ارزشمند است که در خدمت آزادی، انسانیت و صلح باشد.

در «کمان امن دیاکو»، ما نیز به همین اصول پایبندیم. باور داریم که امنیت، بدون احترام متقابل، اخلاق‌مداری و اعتماد، مفهومی ناقص است. میراث کوروش بزرگ به ما یادآوری می‌کند که بنیان هر جامعه امن و پیشرفته بر شرافت انسانی، عدالت‌ورزی و پاسداشت آزادی استوار است.

یاد و راه کوروش بزرگ گرامی باد؛ الهام‌بخش فردایی امن‌تر، انسانی‌تر و سربلندتر برای همه ما.

-Secure Business Continuity-
2025.10.29
——————————————————
#Cybersecurity #vCISO #CISO #Cyrus

https://www.linkedin.com/posts/diyako-secure-bow_diyakosecurebow-cybersecurity-vciso-activity-7389156562461716480-pYOy

Beyond Projects:
From Technical Challenges 2 Ethical Choices

The Start of a Valuable Friendship
And How Transparency Built a Lifelong Connection🤝

آشنایی حرفه‌ای و دوستی ارزشمند

آشنایی نزدیک من با احسان عماد به حدود ۴ تا ۵ سال پیش بازمی‌گردد؛ زمانی که نقش مدیر ارشد امنیت سایبری و GRC را در یکی از سازمان‌ها برعهده داشتم. در آن زمان، درخواستی برای تغییر برخی پیمانکاران حوزه‌ی شبکه و زیرساخت مطرح شد. پس از بررسی دقیق مستندات، مشخص شد دلایل طرح‌شده فنی نیست و بیشتر ریشه در منافع غیرشفاف و فشارهای بیرونی دارد.

در آن شرایط مثل همیشه رابین هود وار تصمیم گرفتم بر اصول شفافیت، انصاف و سلامت حرفه‌ای پافشاری کنم. با ارزیابی سوابق فنی و کیفی شرکت‌های طرف قرارداد، به این نتیجه رسیدم که یکی از آن‌ها که احسان در آن نقش پدر معنوی☺️ داشت و از نظر سطح تخصص، دقت فنی و کیفیت خدمات، در رده‌ی بسیار بالایی قرار دارد.( مهندس منصوری، متخصص و‌قابل اعتماد یادت هست دیگه😆، ذکر خیرت 😇یادش بخیر، دروغ چرا دلم خیلی تنگ شد برات♥️پدر نمونه، همسر پایه، پسر خوب، همکار قدیمی و دوست ارزشمند.)
Hossein Mansouri

گزارش شفاف و رسمی من به مدیرعامل، منجر به اصلاح روندها و کنار رفتن برخی افراد بصورت شبانه🤓 شد؛ تصمیمی که آسان نبود اما درست بود.مدتی بعد، احسان با من تماس گرفت و همان نقطه، آغاز یک آشنایی ارزشمند و صمیمانه بود که تا امروز ادامه دارد.

احسان از جمله متخصصان مطرح، باسابقه و به‌روز در حوزه‌ی زیرساخت، شبکه و امنیت است؛ با تجربه‌ی عمیق در سیستم‌های Cisco، لایه‌های زیرساختی، طراحی و پیاده‌سازی CCIE-level و همچنین دید امنیتی دقیق و کاربردی.
EHSAN EMAD😍

گفت‌وگوی اخیر ما درباره‌ی تجربه‌های مشترک، مسیرهای حرفه‌ای و نگاهی به آینده‌ی امنیت سایبری را در لینک زیر می‌توانید ببینید:
👇🏻
https://youtu.be/Uw4Nx5bWiAc

#CyberSecurity #Networking #Cisco #GRC #ProfessionalIntegrity #Transparency #CCIE #CyberLeadership #Friendship

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.10.31

https://shorturl.at/rD3P6

#فرصت_شغلي
#استخدام

استخدام در سازمان نیمه‌دولتی حوزه فناوری اطلاعات در محدوده مرکز تهران
نیاز به عناوین شغلی مهندس مرکز عملیات امنیت (SOC Engineer) و کارشناس پایش سطح یک (SOC Analyst tier1)
ساعت کاری ۸ الی ۱۷ شنبه تا چهارشنبه
حقوق توافقی بر اساس دانش و تجربه از ۳۰ تا ۴۵ م ت

مهم ترین ویژگی‌های مورد نیاز: علاقه و اشتیاق به یادگیری، نظم، پشتکار و مسئولیت‌پذیری

شرح وظایف مورد انتظار شغل مهندس مرکز عملیات امنیت: توانایی نصب و نگه‌داری از زیرساخت، سیستم‌عامل و سامانه‌های مرکز عملیات امنیت و اطمینان از صحت عملکرد آن‌ها، توانایی تولید مستندهای مدیریتی مورد نیاز بر اساس اطلاعات فنی و آماری زیرساخت‌هاو مدیریت منابع.

مهارت های مورد نیاز: توانایی کار با و نگه‌داری از سیستم‌‌عامل لینوکس، توانایی نصب و نگه‌داری سامانه‌های جمع‌آوری و تحلیل لاگ، آشنایی با مفاهیم شبکه، زیرساخت مجازی، امنیت، زبان انگلیسی در حد خواندن متون تخصصی و توانایی گزارش‌نویسی و مستندسازی.

شرح وظایف مورد انتظار شغل کارشناس پایش سطح یک: پایش مستمر لاگ و شناسایی رخدادها و ناهنجاری‌ها و توانایی مستند کردن و گزارش آن، رصد اخبار امنیتی مرتبط با کسب‌و‌کار و دارایی‌های سازمان از منابع مختلف.

مهارت های مورد نیاز: آشنایی با انواع لاگ‌ها، حملات رایج و روش‌های دفاع، زبان انگلیسی درحد خواندن متون تخصصی و توانایی گزارش‌نویسی و مستندسازی.

در صورت داشتن شرایط، رز‌ومه بروز خود را به تلگرام
@alirezaghahrood
همراه با متن این آگهی ارسال نمایید.

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.11.01

#DiyakoSecureBow
————————————
CISO as a Service (vCISO)

In today’s rapidly evolving cybersecurity landscape, Shadow AI has emerged as a hidden threat AI systems operating beyond governance, oversight, and control.

In our latest article,
"Navigating the Shadow AI Frontier — A New Era of Unseen Risks,"
we explore what Shadow AI is, why it matters, and how CISOs can address this emerging challenge before it undermines organizational security.

Don’t miss this deep dive into one of cybersecurity’s most unseen risks.

-Secure Business Continuity-
2025.10.20
——————————————————
#Cybersecurity #vCISO #CISO #ShadowAI #RiskManagement

https://www.linkedin.com/posts/diyako-secure-bow_diyakosecurebow-cybersecurity-vciso-activity-7390243718051753984-BBhp

The AARDVARK workflow illustrates how AI can autonomously detect, validate, and patch vulnerabilities within a codebase
closing the loop between discovery and remediation.

Key strengths include:
•Continuous code scanning tied to Git workflows.
•Threat-model-driven prioritization.
•Safe sandbox validation before commits.
•AI-generated patches via CODEX.
•Human-in-the-loop quality assurance.

This is the essence of Autonomous Vulnerability Management, where security becomes proactive, integrated, and intelligent.

#AI #CyberSecurity #DevSecOps #AARDVARK #VulnerabilityManagement #LLM #ThreatModeling #Automation #SecureCoding


کشف و ترمیم خودکار آسیب‌پذیری‌ها با AARDVARK
(AI-Driven Vulnerability Discovery & Patch Workflow)

در دنیای امروز که چرخه‌ی توسعه نرم‌افزار (SDLC) با سرعتی بی‌سابقه در حال حرکت است، مدیریت آسیب‌پذیری‌ها دیگر نمی‌تواند صرفا دستی یا دوره‌ای باشد.نمودار بالا، معماری جریان کاری AARDVARK را نشان می‌دهد، یک عامل هوش مصنوعی که فرآیند کشف، تحلیل و ترمیم آسیب‌پذیری‌ها را به‌صورت خودکار انجام می‌دهد.

مراحل کلیدی در این چرخه:
1.Scan the Codebase:
بررسی کد منبع در مخزن Git برای کشف الگوهای ناامن.

2.Discover Vulnerabilities:
شناسایی آسیب‌پذیری‌ها با تحلیل رفتاری و آماری.

3.Threat Modeling:
اتصال یافته‌ها به مدل تهدید و تعیین اولویت ریسک‌ها.

4.Validation Sandbox:
اعتبارسنجی خودکار در محیط ایزوله برای جلوگیری از false positive.

5.Patch with CODEX:
تولید و آزمایش وصله پیشنهادی با کمک مدل زبانی (LLM-based patching).

6.Human Review:
بازبینی انسانی و تأیید نهایی قبل از merge به Git Repository.

در صورت تأیید، Pull Request به‌صورت خودکار ایجاد می‌شود و تغییرات به چرخه توسعه بازمی‌گردند.

این معماری یک گام جدی به سمت DevSecOps خودکار (Autonomous Security) است،
جایی که هوش مصنوعی نه‌تنها در کشف بلکه در اصلاح و اعتبارسنجی ضعف‌ها نقش فعالی دارد.

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.11.01

We’re still in the phase of title making, not valuemakin🫠
Reality Check in Today’s Cybersecurity Market👍🏽
Real expertise takes time, failure, projects, and deep understanding 👏🏻

در بیش از یک دهه مصاحبه، همکاری و ارزیابی نیروهای امنیت محور، بارها دیده‌ام: رزومه‌ها پر از واژه‌های فنی‌اند، اما در عمل، دانش پایه‌ی امنیت، درک معماری، تحلیل ریسک یا حتی تشخیص درست تهدیدات وجود ندارد.

۱. تحلیل واقعیت بازار امنیت سایبری از منظر سمت/حقوق
الان در بیشتر بازارهای منطقه‌ای (ایران، امارات، ترکیه و حتی اروپا) سه پدیده توأمان داریم:

پدیده اول: «Inflated Titles»
عنوان‌ها از تخصص جلو افتادند.
مصداق، شرکت‌ها برای جذب، عنوان‌های بزرگ می‌دهند تا رزومه‌ی خودشون رو هم قوی‌تر نشون بدهند، یا شو جلوی کارفرما و …یا تایتل های مهیج شخصی!!!
نتیجه؟ تورم عنوان، بی‌ثباتی جایگاه‌ها و از بین رفتن مرزهای حرفه‌ای.

پدیده دوم: «Pay Skill Imbalance»
عدم تناسب بین تخصص و جبران خدمت.
مصداق، برخی با مهارت پایین، حقوق غیرمنطقی می‌گیرند؛
برخی دیگر با تخصص بالا، حقوقی کمتر از ارزش واقعی‌شون.
دلیلش؟ نبود benchmark حقوقی و فقدان ساختارهای شفاف در صنعت.

پدیده سوم: «Experience Fragmentation»
خیلی‌ها تجربه‌های سطحی و جزیره‌ای دارن (نه عمق عملیاتی، نه درک سیستمی).
اما رزومه‌شون طوری تنظیم شده که انگار ده تیم رو مدیریت کردن.
نتیجه؟ سازمان نمی‌تونه کیفیت رو بسنجده چون معیارش گم شده.

۲. چه باید کرد؟ — راهکار در سه سطح

سطح فردی (Specialists & Experts)
1.Documentation of Value:
به‌جای تمرکز روی عنوان، خروجی‌های قابل سنجش و مستندات کار خودت رو ثبت کن (KPI، گزارش، معماری، بهبود امنیت، کاهش ریسک و…).
2.Skill-Based Negotiation:
تو مذاکره برای حقوق، روی مهارت‌ها و اثر کسب‌وکاری تمرکز کنید، نه صرفا سابقه یا هزینه‌ی شخصی.
3.Portfolio-Based Branding:
در لینکدین و رزومه، پروژه‌های واقعی و measurable outcomeها رو بنویس، نه فقط نقش‌ها.

سطح سازمانی (Companies & Employers)
1. تعریف ساختار شغلی مبتنی بر شایستگی (Competency Framework):
یعنی هر نقش، مجموعه‌ای از مهارت‌های مشخص، تجربه‌ی لازم و بازه‌ی حقوقی استاندارد داشته باشد.
2. ارزیابی واقعی (Skill Assessment):
به‌جای مصاحبه‌ی عمومی، از چک‌لیست‌های فنی و سناریوهای واقعی استفاده بشود (مثلا attack simulation یا case study).
3. شفافیت حقوقی و Title Alignment:
تطبیق عنوان با سطح مسئولیت، نه برای تبلیغ یا رزومه‌سازی، بلکه برای تناسب در ساختار سازمانی.

سطح صنفی و حرفه‌ای (Industry & Associations)
1. ایجاد جدول حقوق و سطح‌بندی ملی/منطقه‌ای (Cyber Salary Benchmark):
شبیه آنچه در اروپا و GCC انجام شده؛ با سطوح Junior–Mid–Senior–Lead–Director.
2. تدوین چارچوب شایستگی ملی (Cybersecurity Competency Framework):
مشابه NIST NICE Framework یا ENISA ECSF که سطح تخصص را استاندارد می‌کند.
3. ایجاد شبکه‌ی اعتماد حرفه‌ای (Professional Verification):
یعنی تأیید متقابل تخصص‌ها از طریق کمیسیون‌ها و انجمن‌های معتبر، نه صرف رزومه یا عنوان لینکدین.

حرفه ای باشیم‌ و
جمع‌بندی

بازار امنیت سایبری ایران ما از اشباع ظاهری رنج می‌بره، نه از کمبود متخصص. توازن واقعی وقتی برمی‌گرده که:

عنوان، دستاورد رو بازتاب بده 🥴 نه خیال رو.
حقوق، ارزش رو منعکس کنه 🥸 نه توقع رو.

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.11.02

Inside the Culture of Security:
People, Psychology, and Resilience

امروز یک تجربه حرفه‌ای بسیار خوب داشتیم دوره «آگاهی امنیت سایبری با رویکرد فرهنگ‌محور» در یک سازمان پولی و مالی کلیدی ‌را برگزار کردیم، ترکیبی از افراد واحدهای عملیاتی، تیم‌های IT و کارشناسان امنیت بود. نکات کلیدی که برایم برجسته شد:

• تنوع شرکت‌کننده‌ها باعث شد موضوع‌ها از زاویه‌های متفاوت بررسی شوند: از چالش‌های عملیاتی تا تصمیم‌گیری‌های مدیریتی و نگرانی‌های کارکنان در سطح فردی مورد بحث.

• طراحی جلسه و فضای سازمانی حس یادگیری و مشارکت را تقویت کرد، وقتی محیط امن و همراه باشد، شرکت‌کننده‌ها با شجاعت تجربه‌های واقعی را به اشتراک می‌گذارند.

• نتیجه عملی: امنیت موثر وقتی شکل می‌گیرد که ما همزمان به انسانی که پشت سیستم‌هاست توجه کنیم، رفاه روانی، اعتماد متقابل و روشن بودن مسئولیت‌ها همان‌قدر مهم‌اند که پالیسی‌ها و کنترل‌ها فنی و.

+موضوع زیر پوستی که به شدت در فرهنگ امنیت و‌کاهش ریسک ها تاثیر دارد و آدرس دهی نشده در بنچمارک ها:
فشارهای روانی، نااطمینانی اطلاعاتی، تهدیدات خرد اجتماعی (مثلا سرقت‌های کوچک، استرس پیام‌رسانی نادرست، فساد های دهن گشاد و نبود کیفیت مناسب حداقل ها در زندگی شهری و‌سایر تشدید ها)‌ و تاثیر این‌ها روی رفتارهای روزمره‌ی کارکنان.

اگر دنبال طراحی فرهنگ امنیت یا کارگاه‌های عملی برای تیم‌های (عملیات / IT / Security‌ و سایر تیم و واحد ها) هستید، خوشحال می‌شویم کمک کنیم‌ با برنامه سفارشی

از پذیرای جذاب از شرکت کنندگان که قطعا در اثر بخشی دوره تاثیر بسزایی دارد تا حال روانی شرکت کنندگان که سراسر کول و انرژی مثبت در کنار یادگیری دو طرفه👌 از مدیر عامل محترم سازمان، مدیر امنیت، مدیر فناوری و مسول آموزش و تک تک شرکت کنندگان و همکاران بخش های مختلف به ویژه بخش خدمات سپاس زیاد🙏♥️

The Migrant’s Mind
Reflections on Distance, Love, and Resilience

بعد از این دوره، جلسه ای دوستانه و کاری با ایده های رو‌به رشد و‌ در لفافه گپ و گفت پیرامون تجربه مهاجرت اخیر موقت و شاید دائمی ام به امارات متحده عربی😊 ۲۲۰٪شرایط زندگی، کاری و حال خوب اما شب ها سوگواری بلند من:
درد، فاصله، سوگ و در نهایت رهایی یا پذیرش

در مهاجرت، نقش‌ها وارونه نمی‌شوند،
بلکه آرام‌آرام محو می‌شوند.
تو هنوز فرزندی، اما از راه دور.
هنوز می‌خواهی مراقب باشی،
اما در واقع تنها کاری که می‌توانی بکنی،
تماشا کردن است.

تماشای پیری کینگ و کویین، بدون توان همراهی. هربار که گوشی اینترنتی را قطع می‌کنی، احساس می‌کنی بخشی از پیوندتان
در هوا مانده. نه می‌توانی کمک کنی، نه بدرقه شوی.
و این ناتوانی،
شکل تازه‌ای در سطح زنای ذهنی بدون دوا و درمان از رنج است.
رنجی که فقط در فاصله معنا پیدا می‌کند.

وجدان مهاجر، میان دو فرمان پاره می‌شود:
بمان تا خودت را بسازی
و برگرد تا دیر نشده.
گناه، از همین دوصدا زاده می‌شود. صدای بقا و صدای عشق.

در مرگ از دور،
هیچ مراسمی نیست تا پایان را تایید کند.
سوگ به تعلیق درمی‌آید؛ نه تمام می‌شود، نه آرام.

درونت عزاداری می‌کند،
اما بی‌هیچ گور و سنگی برای گریستن چه در g کلاس ۲۰۲۵، چه در پنت ط۹۷ با چشم انداز لیگ ‌دگر!

اگر بمانی در انکار فاصله، روان می‌میرد.
اگر بپذیری، بازگشت به مبدا! و نشستن بر کاکتوس های متعدد و پنکه های روتوش شده برای قطع گردن های متمایز!

پ ن: مغزم در دو مد، حال خوب و شب سوگواری!

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.11.03

#Analytics
#ThreatResearch
An analytical review of the main cybersecurity events for the 2025

زندگی دیوانه‌وار!
هالووین که نزدیک و ‌رد می‌شود، دنیا انگار چهره‌ی واقعی‌ترش را نشان می‌دهد… شخصیت‌ها هر روز عجیب‌تر؛ آدم‌ها هر لحظه ناشناخته‌تر.
دیوانگی؟ یا واقعیتی که جرأت دیدنش را نداریم؟

عرصه‌ عرضه🙂 نادانی و توهم دانایی است
هر روز این داستان…دارک و عمیق ‌تر
اما هماهنگ با تنپوش مد روز! تم تم عوام!!!
عجیب‌بودن ترسناک نیست؛
ترسناک آن است که هرگز … !

و اگر شمس تبریزی باده‌ای بر جامم نهد،
مست که شوم…
بی‌پروا، ستون کیوان را …!

بگذریم؛

1.Operation Zero Disco:
Attackers Exploit Cisco SNMP Vulnerability to Deploy Rootkits, Cisco 9400, 9300, and legacy 3750G series devices are affected. A detailed analysis of the vulnerability (CVE-2017-3881) and PoC were published on our channel in 2018. Second exploited vulnerability (CVE-2025-20352) - Stack-based BoF. This vulnerability affects all versions of SNMP. Restrict SNMP access via ACLs and CoPP to management hosts only, switch to using only SNMPv3 with authPriv mode, stop using standard communities in v1/v2c, update IOS and IOS XE to builds with the fix, and configure monitoring of sysDescr sysUpTime and activity on port UDP/161. Disable telnet..
CVE-2025-20352 SNMP Exposure Check (onesixtyone + parser).

2.Framework BIOS Backdoor:
The mm command impleneted in Framework BIOS shells can be used to compromise a device pre-boot (BombShell). The attack surface “below” the operating system, encompassing firmware, bootloaders, and hardware components, presents a ripe target for threat actors. Implement proper configuration management and maintain up-to-date revocation lists. Follow the principle "signed doesn't mean safe"... .

3 Fewer Weights, More Problems:
A Practical Attack on LLM Pruning, Modern LLM pruning methods can be maliciously exploited... The most read post of the week on our channel.

4. F5 BIG-IP Compromise:
There was no publication on this topic on our channel, since we have repeatedly drawn the attention of readers to the existing VERY serious problems with this equipment, publishing detailed PoC exploits on the channel in 2024 (CVE-2024-45844) and 2025 (CVE-2025-20029).

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.11.04

https://www.linkedin.com/posts/alirezaghahrood_analytics-threatresearch-activity-7391560156158971904-XBpT

Honored and grateful for this feature not as a title, but as a mission.

Trust is the foundation for people, for businesses, and for governments. In cybersecurity, our mission goes beyond protecting systems; we build confidence, resilience, and reliability across society.

Across both the private and public sectors, sustainable security starts with one principle:
earning trust and protecting it.

Proud to continue contributing to this journey.
Together, we build a secure and trusted digital future.
🔐🤝🌍

#Trust #CyberSecurity #DigitalTrust #PublicSector #PrivateSector #Leadership #vCISO

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.11.05

https://www.linkedin.com/posts/alirezaghahrood_skilledspheresummit2026-cybersecurity-ict-activity-7391734143912497153-O3nZ

Say, 'O Prophet, I seek refuge in the Lord of the daybreak,
قُلّ أَعُوذُ بِرَبِّ ٱلْفَلَقِ
بگو؛ پناه می برم به پروردگار سپيده صبح،

A new chapter
less noise, deeper impact, Silent work, Real results
Stay true, keep building.

این خستگی از نبرد اخلاقی در محیطی ناسالمه. همون وضعیتی که آدم سال‌ها برای درست‌کاری، صداقت، عدالت خواهی و تغییر می‌جنگه و‌ هزینه میده! و در نهایت به این نتیجه می‌رسه که:
• سیستم آماده پذیرش نیست
• اکثریت همراه نیستند
• انرژی و عمر آدم داره مصرف می‌شه بی‌برگشت
• جایزه‌ی خوبی کردن، سنگ و تنهایی می‌شه، گرچه مهم نیست
مهم این است که بهبود خیلی خیلی جزی بود!

به دلیل یک باور ساده: آنچه درست است، باید گفته و انجام شود.

ولی وقت آن رسیده به جای جنگیدن با پوسته‌های پوسیده، انرژی‌ام را روی خلق ارزش واقعی بگذارم،خوب نتیجه‌ی فهم است. فهم اینکه انرژی و عمر، ارزشمندتر از جنگیدن برای گوش‌هایی است که نمی‌خواهند بشنوند و ذهن‌هایی که نمی‌خواهند تغییر کنند

اما واقعیت این است که
گاهی مبارزه در مسیر عمومی، بیشتر از آنکه اثر بسازد، انرژی و روح آدم را فرسوده می‌کند. گاهی ایستادگی نه به نتیجه، که به تنهایی و سنگ‌باران ختم می‌شود.

تصمیم گرفتم مسیرم را بازتعریف کنم
نه ترک میدان، بلکه انتخاب میدان مؤثرتر از امروز
نه کنار کشیدم، نه ناامید شدم، نه پشیمانم

از این پس تمرکزم را روی ساختن می‌گذارم:
• در پروژه‌ها
• در کسب‌وکار
• در تیم‌سازی و mentorship
• در کمک به کسانی که واقعا می‌خواهند رشد کنند
• در حفظ ارزش‌هایی که به آن باور دارم، بی‌نیاز از شعار
• انرژی‌ام را خرج ارزش‌آفرینی می‌کنم نه دیوارهای کدر
و کمتر آنلاین🙂

گاهی بلندترین فریاد، یک سکوت عمیق و یک نتیجه روشن است.
من همچنان همان آدمم، فقط روش اثرگذاری را عوض کرده‌ام.
کمتر در صحنه‌های شلوغ، بیشتر در مسیری آرام اما عمیق.

و اگر زمانی دوباره لازم باشد صدایی بلند شود،
می‌دانم چگونه و کی برگردم، قوی‌تر و … ..

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.11.05

https://www.linkedin.com/posts/alirezaghahrood_say-o-prophet-i-seek-refuge-in-the-lord-activity-7391903170215612417-jTDE

Cybersecurity Awareness is Not a Session, It’s a Program.

In many organizations, when we start delivering security awareness programs, we often hear:
We already had a training before, but it wasn’t effective…

Common reasons?
• Slide-reading with no technical depth
• Lack of real-world experience
• No practical examples or case studies
• Inability to answer technical questions
• No measurement or follow-up plan

Security awareness is not about “delivering a class.”
It’s about changing behavior and building a security-minded culture and that requires a structured, continuous program.

A real awareness program includes:
1. Security needs assessment
2. Live, virtual, and on-demand training formats
3. Content aligned with organizational culture
4. HR & policy alignment
5. Testing & behavior measurement
6. Cyber drills & Red-Team awareness exercises
7. Weakness analysis & improvement roadmap
8. …

Cybersecurity is not theoretical, it’s practical, behavioral, and business-critical.

Security = Expertise + Engineering + Planning + Oversight + Continuous Maturity

📍Photo: One of our culture-driven cybersecurity awareness sessions — scenario-based, interactive, and aligned with real-world risks.

#CyberSecurity #Awareness #HumanFirewall #Culture #BehavioralSecurity #SecurityLeadership #DiyakoSecureBow #vCISO #CyberTraining #Resilience

آگاهی‌رسانی امنیت سایبری، دوره نیست، یک برنامه است

در برخی سازمان‌ها وقتی مسئولیت برگزاری دوره‌های آگاهی‌رسانی امنیتی را می‌پذیریم، با جمله‌ای تکراری مواجه می‌شویم:

قبلا با شخص/شرکتی دوره برگزار کردیم ولی رضایت نداشتیم…

دلایل معمول این نارضایتی‌ها چیست؟
• ارائه صرفا تئوری و بدون درک فنی
• روخوانی اسلاید و نبود مثال‌های واقعی
• نداشتن تجربه عملی در محیط‌های واقعی
• ناتوانی در پاسخ‌ به پرسش‌های تخصصی
• نبود برنامه ارزیابی و سنجش اثرگذاری

آگاهی‌رسانی امنیتی یعنی تغییر رفتار و ارتقای فرهنگ امنیتی سازمان؛ و این کار فقط با یک جلسه یا چند اسلاید اتفاق نمی‌افتد.

آگاهی‌رسانی واقعی شامل یک چرخه کامل است:
۱. نیازسنجی و طراحی برنامه
۲. برگزاری جلسات حضوری، آنلاین و آفلاین
۳. محتوای متناسب با فرهنگ سازمان
۴. سیاست‌گذاری و ارتباط با واحد منابع‌انسانی
۵. آزمون و سنجش اثربخشی
۶. مانور و شبیه‌سازی‌ حملات (Red Team Awareness Drills)
۷. تحلیل نقاط ضعف و مسیر بهبود
… .۸

امنیت سایبری فقط انتقال دانش نیست؛ تغییر ذهنیت، عادت و رفتار است و این فقط با تجربه عملی، تسلط فنی و رویکرد برنامه‌محور حاصل می‌شود.

امنیت یعنی تخصص، مهندسی، برنامه‌ریزی، نظارت و بلوغ در یک مسیر مستمر.

تصویر:
بخشی از دوره آگاهی‌رسانی امنیت سایبری با رویکرد فرهنگ‌محور و سناریو محور

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.11.08

Sometimes you need to return, just to move forward again.
Meaningful meetings, real cybersecurity lessons, valuable people, and renewed decisions.

The path is challenging
but when the destination is bigger than comfort, stopping is never an option.

«lاى هدهد، راه سخت است، برگرديم؟»
😻🙃گفت:
«اگر مقصد تویی، رفتن چه سود؟
و اگر مقصد اوست، ایستادن چه باک؟»

چند هفته‌ای بازگشتم به کشورم
فرصتی برای دیدن دوباره دوستان، همکاران قدیمی، حرف‌های عمیق و خالص و نفس کشیدن در خاک آشنا.

- جلسات سازنده با بانک‌ها و سازمان‌های مالی دولتی
- برگزاری یک دوره آگاهی‌سازی امنیت سایبری با رویکرد کاملا سفارشی‌سازی شده
- تحلیل یک رخداد واقعی نشت اطلاعات مشتری و یادگیری ارزشمند از یک تجربه عملی
- گپ‌های صمیمی و پر از خنده با همکاران بجامانده قدیمی
-‌هم‌فکری و بازطراحی مسیر با تیم حرفه‌ای و باانگیزه‌ای که کنارم هستند

سفر فقط جابجایی نیست
بعضی سفرها بازگشت به ریشه‌هاست؛
برای بازیابی تمرکز، تجدید معنی و روشن‌تر شدن مسیر.

گاهی برگشتن یعنی جلوتر رفتن.

به احترام تمام کسانی که راه را سخت می‌دانند،
اما می‌روند 😊

#CyberSecurity #Leadership #Awareness #DigitalTrust #Journey #Growth
#دیاکو #امنیت_سایبری #رشد #آگاهی_سایبری #مسیر #تجربه #بازگشت

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.11.11