Come convincere la mia gestione di un rischio per la sicurezza fisica?

Naviga le tue risposte
18

Anche se non pretendo di essere un esperto in tutto ciò che riguarda la sicurezza, penserei di avere una buona conoscenza di ciò che è accettabile e di ciò che non lo è per la sicurezza digitale.

Dopo aver fornito alcuni consigli generali sulla sicurezza della rete interna, mi è stato consigliato da un'azienda che gli attacchi basati sull'accesso fisico (cioè l'attaccante ha accesso alla rete interna) non sono realistici e sono considerati fuori ambito.

Mi è stato comunicato che a causa della società che ha un sistema wifi ospite che si trova in una DMZ, non è un problema per loro. La principale svista che non sembrano capire o accettare è che dall'esterno dell'ufficio, è possibile vedere in bella vista la password privata del wifi attaccata alle pareti intorno all'ufficio, dato che così tante persone le dimenticano costantemente.

Senza accendere fuochi, sto davvero facendo fatica a convincerli ad accettare che questa è una pratica orribile e si stanno davvero aprendo se un sistema attaccato o compromesso fosse collegato al loro wifi privato.

Ad esempio, il cliente porta il dispositivo in ufficio per una riunione, vede una password wifi pubblicizzata pubblicamente nella sala riunioni e continua a connettersi al wifi. La macchina dei clienti è compromessa e ora ha accesso completo alla rete interna privata che contiene dati aziendali critici e una tonnellata di dati personali a causa di cattive politiche di dominio.

Qualche suggerimento sul modo migliore per affrontare questa situazione?

    
posta Aaron Dobbing 01.04.2015 - 08:46
fonte

3 risposte

22

Adotta un approccio passivo e fai una valutazione del rischio. La gestione della sicurezza è una forma di gestione del rischio. Hai risorse che potrebbero avere minacce e vulnerabilità. Una minaccia che sfrutta una vulnerabilità è un rischio, che viene calcolato calcolando (quantitativo) o stimando (qualitativo) la probabilità e l'impatto (il più delle volte è alto, medio, basso ma alcune organizzazioni hanno il proprio).

Prima esponi il rischio. Si ottiene l'impatto di un utente malintenzionato che ha accesso alla rete interna. Quindi si valuta la probabilità e la complessità tecnica. Nel tuo caso, la parte difficile è acquistare dalla tua gestione. Quindi la prima cosa da fare è prendere dei riferimenti. Dai un'occhiata se trovi requisiti specifici per il tipo di attività in cui ti trovi, la dimensione della tua attività e le guide di best practice del settore che dovresti fare (NIST). È importante strutturare i rischi in questo modo, assicurando di avere sia i motivi tecnici, ma anche un chiaro impatto sul business (quanto costerebbe questo al business?) (Alla fine il business è di cosa si tratta, l'IT è solo un fattore abilitante ).

Poiché vieni dal Regno Unito e pensi chiaramente che esiste un rischio per i dati privati, dai un'occhiata alla legge sulla protezione dei dati . È sempre interessante mostrare cosa può accadere facendo riferimento a casi che hanno una somiglianza con il tuo ambiente attuale. Assicurati che capiscano che il management superiore può essere ritenuto personalmente responsabile se si ritiene che abbiano preso decisioni sbagliate (ad esempio non risolvendolo), ma non minacciarli perché ciò potrebbe avere un effetto negativo.

Esiste anche il regolamento generale sulla protezione dei dati dell'UE, che sarà finalizzato alla fine di quest'anno. Consente all'UE di multare le imprese fino al 5% del loro fatturato globale in caso di cattiva gestione dei dati personali.

Dopo aver creato il rapporto, è necessario presentarlo alla tua gestione, che è una persona responsabile per l'azienda e qualcuno responsabile per l'IT e il dipartimento di revisione interno. Questa è la parte facile. Ora arriva la parte difficile: vendere sicurezza .

Dovrai ottenere un buy-in dalla tua alta dirigenza per risolvere il problema, che molto probabilmente avrà un costo in quanto dovranno spendere risorse. Sfortunatamente è abbastanza difficile farlo, devi coinvolgere i tuoi stakeholder nel processo di sicurezza e spiegare loro i benefici. È importante coinvolgere tutti i dipendenti nel processo di sicurezza. Il responsabile della sicurezza non può vendere la necessità e l'importanza della funzione di sicurezza agli altri se la gente non lo capisce.

Ora il modo migliore per ottenere il buy-in è di farli capire prima. Assicurati di pensare a una soluzione per ogni problema che affronti, sei già a metà strada se riesci a trovare un'alternativa valida. Nel tuo caso potrebbero essere gestori di password o l'utilizzo di credenziali di dominio (autenticazione PEAP). Non sono un fan di consentire solo qualsiasi dispositivo nella rete interna, preferibilmente gli unici dispositivi consentiti dovrebbero essere quelli emessi dalla società.

Si noti che l'azienda può decidere di sottoscrivere il rischio. Ciò significa che sono consapevoli del rischio, ma scelgono di non fare nulla con esso. Alla fine c'è solo così tanto che puoi fare. Per essere onesti, non è raro che si verifichi un grave incidente prima che le persone inizino a vedere l'importanza della sicurezza. È triste, ma la dura verità.

    
risposta data 01.04.2015 - 09:32
fonte
9

Ci sono diversi modi per affrontare questo problema, che vanno dal discutibile etico ma altamente efficace, fino al completamente passivo.

Se veramente vuoi mostrare loro che gli attacchi fisici funzionano, interrompi durante il tuo prossimo pentimento. Non intendo "prendi un piede di porco", ma piuttosto entri nell'ingresso, passa davanti alla reception e cammini dritto nei loro uffici. Se hanno bisogno di keycards, portellone posteriore mentre "al telefono" e in possesso di una tazza di caffè. Vai al tuo contatto e digli cosa hai appena fatto. Lo suggerisco solo se hai un buon rapporto con il cliente, poiché sta spingendo i limiti della condotta etica.

Sulla terra di mezzo, potresti spiegargli che gli attacchi non sono limitati a persone esterne all'organizzazione. Gli insider malevoli sono uno dei maggiori problemi di sicurezza nelle organizzazioni finanziarie, perché sono difficili da identificare prima che faccia danno e tendono ad essere in grado di ottenere grandi quantità di dati sensibili. Sostenete i vostri punti con esempi del mondo reale, come la fuga di Morrison qualche tempo fa, in cui un membro del personale completamente non tecnico senza accesso speciale era in grado di rubare grandi quantità di informazioni personali sullo staff dell'azienda. Rendere chiaro l'impatto: incubo PR, notevole esborso finanziario (costi IR, copertura del rapporto di credito per il personale, perdita diretta di entrate) e indebolimento del morale del personale.

Se vuoi prendere l'approccio pragmatico, digli di guardarlo dal punto di vista del rischio fiscale: chiedigli quanto costerebbe direttamente all'azienda se i dati fossero trapelati (adattare il tipo di dati ai gioielli della corona dell'org - clienti, codice, qualunque cosa) e quanto costerebbe fare tutte le risposte agli incidenti e le PR associate. È probabile che tale cifra totale sia di diversi ordini di grandezza superiore al costo di un pentest interno. Ora, esprimilo come la scommessa: stanno scommettendo quella somma di denaro che non verranno scoperti nel prossimo futuro (per esempio, 2-3 anni). Quindi esprimi l'alternativa: spendi diversi ordini di grandezza in meno per un pentest interno e la tua probabilità di violazione e i costi previsti diminuiscono.

In alternativa, prendi l'approccio passivo. Nota per iscritto, da qualche parte, che hai espresso la tua opinione che stanno seguendo le cattive pratiche. Lascia che accetti il rischio - dopo tutto, è assolutamente a loro. Se non vengono spuntati in futuro, li fortunati. Se vengono scoccati, chiamali. Stanno ascoltando ora.

    
risposta data 01.04.2015 - 09:30
fonte
2

Diverse buone idee qui. Voglio solo aggiungere un altro paio e non ho ancora i diritti di "commento":

1.) Noi dell'IT guardiamo le cose da un punto di vista tecnologico. Le persone che devi convincere probabilmente lo guardano da un punto di vista aziendale . Devi essere in grado di metterlo in chiaro numeri $$$$ per loro. Questo è in realtà relativamente facile. 

Risk = Cost of Breach * Probability

Dove ottieni questi numeri dipende da te, ma dovrebbero essere documentati nella tua proposta STAMPATA. Ci sono molte fonti là fuori. Ad esempio, l'Istituto Ponemon fa uno studio annuale. Stimano un costo di $ 201 per record rubato. Avrai bisogno di aggiustare i numeri in base al tipo di dati che hai, al settore, ecc. Essendo il punto, ti rendi conto di quale sia lo scenario peggiore se penetrato con questo metodo. (ad esempio, tutti i nostri record dei clienti vengono rubati) Quanto costerebbe? (Abbiamo 1500 clienti. A $ 201 per cliente, il costo sarebbe $ 301.500.)

Ora prendi quel numero e moltiplicalo per la probabilità che questo accada quest'anno. Di nuovo questo richiederà molto lavoro di supposizione e supposizione. Trova alcune fonti che si applicano al tuo settore e applica alla tua azienda. Mitigare questo numero in base ai suggerimenti che altri hanno fornito in precedenza. (ad es. il tuo pentimento mostra che è MOLTO facile per una persona casuale entrare, ottenere la password ed uscire.) Quindi se il 5% del settore ha avuto un evento di sicurezza l'anno scorso, ma ritieni che tu sia PIÙ vulnerabile perché il tuo la sicurezza non è alla pari con altre società simili, forse la probabilità è doppia. In questo caso la formula diventa: 

Risk = $301,500 * 10%

Risk = $30,150

Se riesci a mostrarlo al tuo capo in un documento WELL-TYPED a pagina singola, dovresti riuscire a ottenere un budget fino a tale importo per mitigare il rischio. Parla solo della loro lingua.

In secondo luogo, volevo creare legami con la ragione per cui ho sottolineato un rapporto STAMPATO. Se possibile, insistere per ottenere una firma fisica sul rapporto che riconosce che il capo l'ha visto. Capirà che lo prendi sul serio (ed è più probabile che agisca su di esso) e hai un BIG CYA quando (non se) sei stato violato.

Buona fortuna!

    
risposta data 03.04.2015 - 01:39
fonte

Leggi altre domande sui tag

Una CA intermedia può essere considerata affidabile come una CA radice autofirmata? Come devono essere memorizzate le password se devono essere recuperabili?