Considera la solita dichiarazione sulla gestione del rischio:
Don't spend 1000$ to protect 100$
Ora, potrebbe essere solo una situazione in cui i dirigenti non sono consapevoli che quello che vogliono avrà un costo di 1000 $; più probabile che semplicemente non si rendano conto che stanno solo proteggendo 100 $.
Se questo è il caso, potresti prendere in considerazione l'idea di implementare una metodologia che fornisca alcuni numeri difficili, per sostituire la vaga sensazione di disagio che può accompagnare la paura della grande parola paurosa "SICUREZZA".
Se vogliono essere fiscalmente responsabili, dovrebbero cercare di capire i costi, i rischi e i benefici effettivi. Cercherò anche di avere quella discussione con loro senza usare la parola sicurezza , che sembra essere fonte di confusione e irritazione.
È anche probabile che, dal momento che non lo capiscono, sono preoccupati di fare la loro due diligence e / o possono essere ritenuti responsabili (sia personalmente che corporativamente) se qualsiasi cosa va male. Devono essere mostrati come farlo in modo efficace, e tuttavia essere ancora "abbastanza bravi" - non essere mai hackerati, ma per renderlo un giusto compromesso. Anche se fanno vengono violati, hanno bisogno di prove plausibili di aver fatto la loro diligenza, in modo da non avere la loro reputazione danneggiata (o altri fallout simili).
Raccomando di utilizzare FAIR , che è una metodologia quantitativa per mettere un cartellino del prezzo su rischi specifici.
Vedi anche: "Come confronti i rischi ...?"
In ogni caso, questo dovrebbe consentire di cambiare la conversazione dalla sensazione di "sicurezza" morbida, pungente, inquieta, a un discorso difficile su costi, benefici e denaro. Riportalo sempre a mostrando loro i soldi .
Nel peggiore dei casi, se nient'altro funziona, mettere insieme un costoso piano pluriennale. Date priorità alle cose importanti, come le vedete, e rimandate agli anni successivi i problemi che avreste preferito rinunciare.
Nella maggior parte delle organizzazioni, le cose successive non verranno mai eseguite comunque.
E anche se lo fa, in questo modo, li stai ancora facendo fare le cose giuste, e stanno spendendo soldi per la sensazione di sicurezza - che, a volte, è anche importante.
La parte migliore è che, poiché è in fasi, è possibile creare nel piano una fase di riaggiustamento, tra le fasi. Utilizzalo come una piattaforma per un ciclo di vita completo della sicurezza ... Puoi continuare a regolare nuovamente le fasi non importanti secondo necessità, per spremere in altri bit importanti.