In che modo dovresti ragionare e lavorare con il paranoico della sicurezza nella tua squadra?

18

La questione di come bilanciare il pragmatismo con una visione assolutistica della sicurezza è stata discussi qui già . Ma ho bisogno della risposta a una variante concreta di quella domanda.

Sei l'esperto di sicurezza assunto per aiutare un team di applicazioni con i problemi di sicurezza della loro app. Uno dei membri del team prende l'approccio "abbastanza buono non è abbastanza buono" e vuole implementare il perfetto sistema di sicurezza. Ha già deciso che la piattaforma su cui girerà il prodotto è fondamentalmente insicura e ripeterà questa affermazione quando c'è qualcuno che ascolta (e anche quando preferirebbe non farlo). Qualsiasi strategia di mitigazione proposta non è abbastanza buona. Non è interessato a identificare e ridurre i rischi per l'attività supportata dal prodotto; è interessato alla sicurezza assoluta. Modi fuorvianti dal problema, come il fatto che il progetto ha un budget limitato e le entrate previste non andranno volentieri: deve essere fatto completamente o non vale la pena farlo.

Sfortunatamente, questa persona ha l'orecchio del senior management team, quindi fare appello all'autorità non funzionerà. Il progetto è in fase di stallo perché le discussioni sui requisiti di sicurezza stanno girando senza alcuna risoluzione. Come ti muovi?

    
posta Community 11.05.2011 - 13:59
fonte

4 risposte

25

Considera la solita dichiarazione sulla gestione del rischio:

Don't spend 1000$ to protect 100$

Ora, potrebbe essere solo una situazione in cui i dirigenti non sono consapevoli che quello che vogliono avrà un costo di 1000 $; più probabile che semplicemente non si rendano conto che stanno solo proteggendo 100 $.

Se questo è il caso, potresti prendere in considerazione l'idea di implementare una metodologia che fornisca alcuni numeri difficili, per sostituire la vaga sensazione di disagio che può accompagnare la paura della grande parola paurosa "SICUREZZA".
Se vogliono essere fiscalmente responsabili, dovrebbero cercare di capire i costi, i rischi e i benefici effettivi. Cercherò anche di avere quella discussione con loro senza usare la parola sicurezza , che sembra essere fonte di confusione e irritazione.

È anche probabile che, dal momento che non lo capiscono, sono preoccupati di fare la loro due diligence e / o possono essere ritenuti responsabili (sia personalmente che corporativamente) se qualsiasi cosa va male. Devono essere mostrati come farlo in modo efficace, e tuttavia essere ancora "abbastanza bravi" - non essere mai hackerati, ma per renderlo un giusto compromesso. Anche se fanno vengono violati, hanno bisogno di prove plausibili di aver fatto la loro diligenza, in modo da non avere la loro reputazione danneggiata (o altri fallout simili).

Raccomando di utilizzare FAIR , che è una metodologia quantitativa per mettere un cartellino del prezzo su rischi specifici.
Vedi anche: "Come confronti i rischi ...?"

In ogni caso, questo dovrebbe consentire di cambiare la conversazione dalla sensazione di "sicurezza" morbida, pungente, inquieta, a un discorso difficile su costi, benefici e denaro. Riportalo sempre a mostrando loro i soldi .

Nel peggiore dei casi, se nient'altro funziona, mettere insieme un costoso piano pluriennale. Date priorità alle cose importanti, come le vedete, e rimandate agli anni successivi i problemi che avreste preferito rinunciare.
Nella maggior parte delle organizzazioni, le cose successive non verranno mai eseguite comunque. E anche se lo fa, in questo modo, li stai ancora facendo fare le cose giuste, e stanno spendendo soldi per la sensazione di sicurezza - che, a volte, è anche importante.

La parte migliore è che, poiché è in fasi, è possibile creare nel piano una fase di riaggiustamento, tra le fasi. Utilizzalo come una piattaforma per un ciclo di vita completo della sicurezza ... Puoi continuare a regolare nuovamente le fasi non importanti secondo necessità, per spremere in altri bit importanti.

    
risposta data 11.05.2011 - 15:21
fonte
8

A volte le cose devono fallire e questo suona come una di quelle volte. Mentre leggo la tua situazione, sei incaricato di mettere in sicurezza un progetto travagliato con sia i subordinati che i superiori che inseguono una tana di perfezione. Quindi questo è per molti versi un problema di "corsie nella strada". Il senior management ha scelto di essere affascinato dai piani irrealistici del tuo staff senza lavorare attraverso di te. Questo può essere molto frustrante a diversi livelli.

Considera questo un momento di insegnamento e ricorda che sarai di nuovo qui (se la compagnia non lo fa). Fai sapere al tuo staff che ritieni che la squadra debba parlare con una sola voce. Lascia che i tuoi capi sappiano di essere a capo di una scogliera, in gran parte per saltare la catena decisionale. Avere il tuo miglior consiglio per la leadership in mano e darlo. Se non riesci a farli ascoltare, considera che è una loro prerogativa non cambiare corso dato che sono di fatto i tuoi superiori.

Se le cose vanno come ti aspetti, forse le decisioni future saranno prese in modo più logico. In caso contrario, l'organizzazione è condannata e si può fare ben poco per evitare ulteriori fallimenti. In ogni caso, il punto è assistere dove puoi e capire i limiti del tuo ruolo e abilità su questioni che sono state decise dai tuoi anziani in un modo con cui non sei d'accordo.

    
risposta data 11.05.2011 - 14:49
fonte
6

Il lato positivo di un'azienda è che se fossi un esperto in sicurezza, qualcuno senior avrebbe concordato il mio budget, e questo mi dà già un po 'di trazione.

A parte questo, ogni decisione sulla sicurezza dovrebbe basarsi davvero su una decisione sul rischio aziendale e con la migliore volontà del mondo IT dovrebbe avere poco a che fare con tale decisione, oltre a essere in grado di dettagliare i rischi coinvolti in varie opzioni tecniche e spiegare i problemi di implementazione associati alle decisioni.

Da quella prospettiva ho sempre seguito un approccio che parte dalla strategia aziendale - > Strategia IT - > Strategia di sicurezza in modo che quando un'organizzazione ha un registro di rischio completo su tutte le sue risorse (non solo le risorse IT), l'argomento diventa:

  • Qual è il rischio e l'impatto qualificati dell'applicazione sfruttata X?
  • Quale percentuale di tale cifra vogliamo preventivare per una soluzione?
  • Quale soluzione è la migliore / la più appropriata dato quel budget?

E il budget potrebbe essere costi una tantum, costi di gestione delle risorse ecc., ma in ogni caso dipende dalla misurazione del rischio da parte dell'azienda e dalla decisione a livello aziendale.

Nel mondo reale, non ho avuto troppi problemi perché la maggior parte delle aziende desidera implementare la sicurezza in modo economico (o addirittura economico) ma nella strana organizzazione in cui l'IT era abituato a essere molto autonomo e potente richiesto un po 'di educazione e uno spostamento di cultura.

In tre casi a cui riesco a pensare, il paranoico della sicurezza non si è adattato bene e se ne è andato piuttosto che diventare più integrato con il rischio reale.

Penso che nel caso strano in cui il consiglio di amministrazione crede al paranoico della sicurezza, l'unico vero modo per aggirare questo sarebbe dare esempi di ciò che altre organizzazioni hanno le loro dimensioni e nello stesso settore e aiutarli a confrontare i dati.

    
risposta data 11.05.2011 - 14:11
fonte
5

How would you move things on?

Dagli un lavoro di sicurezza da fare. Chiedi un whitepaper dettagliato o uno studio commerciale sulle piattaforme. Fagli esaminare CVE per il tipo di applicazione che stai facendo. Fagli generare parametri di complessità e strumenti dinamici di analisi. Rendilo felice dandogli il lavoro che vuole fare. Compartializzalo con il lavoro e usa il resto del team per concentrarti sulle tue priorità. Fare incontri è invitato a altamente strutturato con un ordine del giorno, minuti e discussione aperta limitata. Non escluderlo o isolarlo. Lo noterà e potrebbe assumere un'azione antagonista, specialmente dal momento che ha l'orecchio della direzione. Se non riesci a cambiare idea, smorza il suo effetto.

    
risposta data 29.07.2011 - 21:07
fonte

Leggi altre domande sui tag