In che modo dovresti ragionare e lavorare con il paranoico della sicurezza nella tua squadra?

Considera la solita dichiarazione sulla gestione del rischio:

Don't spend 1000$ to protect 100$

Ora, potrebbe essere solo una situazione in cui i dirigenti non sono consapevoli che quello che vogliono avrà un costo di 1000 $; più probabile che semplicemente non si rendano conto che stanno solo proteggendo 100 $.

Se questo è il caso, potresti prendere in considerazione l'idea di implementare una metodologia che fornisca alcuni numeri difficili, per sostituire la vaga sensazione di disagio che può accompagnare la paura della grande parola paurosa "SICUREZZA".
Se vogliono essere fiscalmente responsabili, dovrebbero cercare di capire i costi, i rischi e i benefici effettivi. Cercherò anche di avere quella discussione con loro senza usare la parola sicurezza , che sembra essere fonte di confusione e irritazione.

È anche probabile che, dal momento che non lo capiscono, sono preoccupati di fare la loro due diligence e / o possono essere ritenuti responsabili (sia personalmente che corporativamente) se qualsiasi cosa va male. Devono essere mostrati come farlo in modo efficace, e tuttavia essere ancora "abbastanza bravi" - non essere mai hackerati, ma per renderlo un giusto compromesso. Anche se fanno vengono violati, hanno bisogno di prove plausibili di aver fatto la loro diligenza, in modo da non avere la loro reputazione danneggiata (o altri fallout simili).

Raccomando di utilizzare FAIR , che è una metodologia quantitativa per mettere un cartellino del prezzo su rischi specifici.
Vedi anche: "Come confronti i rischi ...?"

In ogni caso, questo dovrebbe consentire di cambiare la conversazione dalla sensazione di "sicurezza" morbida, pungente, inquieta, a un discorso difficile su costi, benefici e denaro. Riportalo sempre a mostrando loro i soldi .

Nel peggiore dei casi, se nient'altro funziona, mettere insieme un costoso piano pluriennale. Date priorità alle cose importanti, come le vedete, e rimandate agli anni successivi i problemi che avreste preferito rinunciare.
Nella maggior parte delle organizzazioni, le cose successive non verranno mai eseguite comunque. E anche se lo fa, in questo modo, li stai ancora facendo fare le cose giuste, e stanno spendendo soldi per la sensazione di sicurezza - che, a volte, è anche importante.

La parte migliore è che, poiché è in fasi, è possibile creare nel piano una fase di riaggiustamento, tra le fasi. Utilizzalo come una piattaforma per un ciclo di vita completo della sicurezza ... Puoi continuare a regolare nuovamente le fasi non importanti secondo necessità, per spremere in altri bit importanti.

A volte le cose devono fallire e questo suona come una di quelle volte. Mentre leggo la tua situazione, sei incaricato di mettere in sicurezza un progetto travagliato con sia i subordinati che i superiori che inseguono una tana di perfezione. Quindi questo è per molti versi un problema di "corsie nella strada". Il senior management ha scelto di essere affascinato dai piani irrealistici del tuo staff senza lavorare attraverso di te. Questo può essere molto frustrante a diversi livelli.

Considera questo un momento di insegnamento e ricorda che sarai di nuovo qui (se la compagnia non lo fa). Fai sapere al tuo staff che ritieni che la squadra debba parlare con una sola voce. Lascia che i tuoi capi sappiano di essere a capo di una scogliera, in gran parte per saltare la catena decisionale. Avere il tuo miglior consiglio per la leadership in mano e darlo. Se non riesci a farli ascoltare, considera che è una loro prerogativa non cambiare corso dato che sono di fatto i tuoi superiori.

Se le cose vanno come ti aspetti, forse le decisioni future saranno prese in modo più logico. In caso contrario, l'organizzazione è condannata e si può fare ben poco per evitare ulteriori fallimenti. In ogni caso, il punto è assistere dove puoi e capire i limiti del tuo ruolo e abilità su questioni che sono state decise dai tuoi anziani in un modo con cui non sei d'accordo.

Il lato positivo di un'azienda è che se fossi un esperto in sicurezza, qualcuno senior avrebbe concordato il mio budget, e questo mi dà già un po 'di trazione.

A parte questo, ogni decisione sulla sicurezza dovrebbe basarsi davvero su una decisione sul rischio aziendale e con la migliore volontà del mondo IT dovrebbe avere poco a che fare con tale decisione, oltre a essere in grado di dettagliare i rischi coinvolti in varie opzioni tecniche e spiegare i problemi di implementazione associati alle decisioni.

Da quella prospettiva ho sempre seguito un approccio che parte dalla strategia aziendale - > Strategia IT - > Strategia di sicurezza in modo che quando un'organizzazione ha un registro di rischio completo su tutte le sue risorse (non solo le risorse IT), l'argomento diventa:

• Qual è il rischio e l'impatto qualificati dell'applicazione sfruttata X?
• Quale percentuale di tale cifra vogliamo preventivare per una soluzione?
• Quale soluzione è la migliore / la più appropriata dato quel budget?

E il budget potrebbe essere costi una tantum, costi di gestione delle risorse ecc., ma in ogni caso dipende dalla misurazione del rischio da parte dell'azienda e dalla decisione a livello aziendale.

Nel mondo reale, non ho avuto troppi problemi perché la maggior parte delle aziende desidera implementare la sicurezza in modo economico (o addirittura economico) ma nella strana organizzazione in cui l'IT era abituato a essere molto autonomo e potente richiesto un po 'di educazione e uno spostamento di cultura.

In tre casi a cui riesco a pensare, il paranoico della sicurezza non si è adattato bene e se ne è andato piuttosto che diventare più integrato con il rischio reale.

Penso che nel caso strano in cui il consiglio di amministrazione crede al paranoico della sicurezza, l'unico vero modo per aggirare questo sarebbe dare esempi di ciò che altre organizzazioni hanno le loro dimensioni e nello stesso settore e aiutarli a confrontare i dati.

How would you move things on?

Dagli un lavoro di sicurezza da fare. Chiedi un whitepaper dettagliato o uno studio commerciale sulle piattaforme. Fagli esaminare CVE per il tipo di applicazione che stai facendo. Fagli generare parametri di complessità e strumenti dinamici di analisi. Rendilo felice dandogli il lavoro che vuole fare. Compartializzalo con il lavoro e usa il resto del team per concentrarti sulle tue priorità. Fare incontri è invitato a altamente strutturato con un ordine del giorno, minuti e discussione aperta limitata. Non escluderlo o isolarlo. Lo noterà e potrebbe assumere un'azione antagonista, specialmente dal momento che ha l'orecchio della direzione. Se non riesci a cambiare idea, smorza il suo effetto.