Quali sono i buoni modi per educare alla sicurezza IT in un'azienda?

21

Lavoro in un'azienda in cui la sicurezza è un problema di "fuoco che dimentica per sempre". L'amministratore crea una soluzione e raramente la controlla e la mantiene. Di conseguenza, abbiamo una politica di sicurezza che è di tipo svizzero: piena di buchi.

Ad esempio:

  • politiche di sicurezza delle password che richiedono la modifica di ogni xx giorni senza backtracking, ma account le cui password non sono modificabili per accedere a cartelle e database speciali, anche stagisti che poi escono con le informazioni invariate
  • antivirus desktop e di rete, ma nessuna politica contro le unità USB. Finora la maggior parte dei virus viene catturata e il colpevole rimproverato, ma una volta con uno 0-day è sufficiente ...

Ho la sensazione che la sicurezza sia una preoccupazione estetica qui; la direzione vuole essere vista facendo qualcosa, ma non sta facendo la cosa giusta, o non tutto ciò che dovrebbe essere fatto.

Ho pensato a un cappello grigio per dimostrare i problemi in modo drammatico, ma non credo che sia il modo giusto di educare le persone in merito alla sicurezza in questo contesto (forse in un'azienda completamente focalizzata sulla sicurezza in cui tutti hanno la situazione ).

Quindi mi sto chiedendo un buon modo per far ruotare la necessità di una strategia di sicurezza più resiliente. Non sono in grado di indicare blog e consigli diretti degli esperti, perché la direzione non parla inglese.

Stavo pensando di fare un elevator pitch con alcune affermazioni drammatiche o una demo di dieci minuti di problemi esistenti.

Cosa ne pensi di queste idee? Ci sono metodi consigliati per evidenziare i difetti di sicurezza durante l'auditing per un cliente, in modo da non alienarli, dicendo fondamentalmente "è un lavoro a metà fondo che hai fatto"? Esistono dimostrazioni particolarmente efficaci (basta lanciare un falò? Ma ciò confina con l'hatter grigio) che consiglieresti?

    
posta samy 19.11.2010 - 10:56
fonte

5 risposte

10

Ciò che ha funzionato in diverse occasioni per me è di incollare il seguente grafico di fronte alla gestione:

Esegui l'elenco delle minacce (colonna a sinistra) e chiedi se credono che qualcuno di quei tipi descritti potrebbe danneggiare l'azienda.

Se è così, allora potresti aver vinto una battaglia. Ora puoi descrivere cosa è necessario per affrontare ciascuna di queste minacce.

@atdre ha avuto un ottimo commento su questo grafico su una domanda diversa:

I don't like this because it doesn't convey the power of collusion or conspiracy. The underground community and underground economy puts all of these guys in the same room together and gives them tools to trade. – atdre'

Quindi potresti voler estendere l'elenco delle minacce per includere le comunità.

    
risposta data 20.11.2010 - 03:28
fonte
9

L'avvio di un attacco "simulato" contro la rete della tua azienda dovrebbe essere fatto solo con l'esplicito permesso scritto del senior management sulla base della comprensione dell'ambito del tuo lavoro e dei limiti concordati sui risultati del tuo attacco. Altrimenti rischi di farti licenziare per sabotaggio, spionaggio o semplicemente per violare le regole locali.

Ma come si ottiene tale permesso quando non si ha consapevolezza del problema? È qui che la tua idea di "elevator pitch" è buona. Suggerirei di portarlo alle persone rilevanti nella gerarchia aziendale nell'ordine corretto , a cominciare dallo staff IT prima di andare alla direzione / livello C / direttori. La direzione ha delegato la responsabilità delle operazioni quotidiane agli amministratori di sistema, che sono le persone che alla fine dovranno apportare eventuali modifiche. Presentare i tuoi suggerimenti come un editto dall'alto non servirà che a alienare le persone il cui compito è quello di implementare tali suggerimenti.

    
risposta data 19.11.2010 - 14:32
fonte
2

La conversazione sulla sicurezza con le persone con i soldi è sempre una conversazione sul rischio. Non fare tiri eccessivamente drammatici, o correre in giro urlando alla fine del mondo. Questo è un modo semplice per diventare facilmente screditato e generalmente ignorato. Invece, parla con l'azienda di ciò che stanno cercando di ottenere con i loro sistemi, e quindi presenta i rischi attuali che stanno trasportando a causa della loro (mancanza di) controlli di sicurezza.

Se riesci a convincere l'azienda che stanno portando un rischio che gli costerà 10 milioni di sterline in incidenti, che puoi eliminare con un controllo di 100.000 sterline, è un gioco da ragazzi. Loro colpiranno l'opportunità di ridurre a buon mercato il loro rischio totale.

Tutto ciò che spende l'azienda deve essere giustificato nel contesto aziendale. "Non abbiamo antivirus sul nostro server web pubblico basato su Windows" non ha senso. "Siamo vulnerabili perché il nostro servizio venga interrotto una volta all'anno con un costo di 2 milioni di sterline ogni volta" è significativo.

Una volta creato il tuo nuovo set di controlli di sicurezza, la sfida li sta mantenendo efficaci. La sicurezza riguarda sia il processo che la tecnologia. Una volta che hai convinto l'azienda a spendere un po 'di soldi riducendo il rischio, il problema diventa quindi alterare la percezione che la sicurezza è qualcosa che acquista . In realtà, è qualcosa che fai .

    
risposta data 19.11.2010 - 16:40
fonte
2

Un argomento importante: i disastri di sicurezza non sono domande che iniziano con "se". Iniziano con "quando"!

Le giuste politiche di sicurezza non elimineranno completamente i rischi, perché è impossibile. Ma ridurrà drasticamente i rischi e, quindi, il tasso di disastri. È una questione di investimento e ritorno sugli investimenti, davvero. Spendi denaro in modo da perdere meno. Il pensiero deve essere lo stesso di quello dell'assicurazione di qualità.

    
risposta data 20.11.2010 - 14:35
fonte
1

Devi quantificare il pagamento previsto: rischio di rischio * rischio di probabilità.

Questo presuppone che la persona con cui stai parlando si preoccupa veramente del business. Potrebbe sembrare cinico, ma considera questo: la sicurezza ha un costo in denaro, allenamento, frustrazione. Questi riflettono immediatamente sulla persona che implementa una maggiore sicurezza, ma le violazioni della sicurezza e i disastri potrebbero non riflettere sulla persona. Se il capo di questa persona vede solo i negativi (costi) per la sicurezza e non incolpa le persone per i disastri, allora non ha senso che questa persona aumenti la sicurezza.

L'intero manager di Dilbert punta davvero stereotipi di un certo tipo di manager. Il tipo di manager che è molto bravo a non farsi incolpare di nulla, ma lasciare che la compagnia vada in fiamme.

Fondamentalmente, se ti trovi contro questo tipo di disfunzione, il tuo tono deve concentrarsi su come fa sembrare cattivo il manager e su come aumentare la sicurezza senza far sembrare il manager un cattivo spreco di denaro per la sicurezza ("firewall? Andiamo d'accordo e va e spreca migliaia di dollari ").

    
risposta data 23.11.2010 - 17:40
fonte

Leggi altre domande sui tag