Lavoro in un'azienda in cui la sicurezza è un problema di "fuoco che dimentica per sempre". L'amministratore crea una soluzione e raramente la controlla e la mantiene. Di conseguenza, abbiamo una politica di sicurezza che è di tipo svizzero: piena di buchi.
Ad esempio:
- politiche di sicurezza delle password che richiedono la modifica di ogni xx giorni senza backtracking, ma account le cui password non sono modificabili per accedere a cartelle e database speciali, anche stagisti che poi escono con le informazioni invariate
- antivirus desktop e di rete, ma nessuna politica contro le unità USB. Finora la maggior parte dei virus viene catturata e il colpevole rimproverato, ma una volta con uno 0-day è sufficiente ...
Ho la sensazione che la sicurezza sia una preoccupazione estetica qui; la direzione vuole essere vista facendo qualcosa, ma non sta facendo la cosa giusta, o non tutto ciò che dovrebbe essere fatto.
Ho pensato a un cappello grigio per dimostrare i problemi in modo drammatico, ma non credo che sia il modo giusto di educare le persone in merito alla sicurezza in questo contesto (forse in un'azienda completamente focalizzata sulla sicurezza in cui tutti hanno la situazione ).
Quindi mi sto chiedendo un buon modo per far ruotare la necessità di una strategia di sicurezza più resiliente. Non sono in grado di indicare blog e consigli diretti degli esperti, perché la direzione non parla inglese.
Stavo pensando di fare un elevator pitch con alcune affermazioni drammatiche o una demo di dieci minuti di problemi esistenti.
Cosa ne pensi di queste idee? Ci sono metodi consigliati per evidenziare i difetti di sicurezza durante l'auditing per un cliente, in modo da non alienarli, dicendo fondamentalmente "è un lavoro a metà fondo che hai fatto"? Esistono dimostrazioni particolarmente efficaci (basta lanciare un falò? Ma ciò confina con l'hatter grigio) che consiglieresti?