Adotta un approccio passivo e fai una valutazione del rischio. La gestione della sicurezza è una forma di gestione del rischio. Hai risorse che potrebbero avere minacce e vulnerabilità. Una minaccia che sfrutta una vulnerabilità è un rischio, che viene calcolato calcolando (quantitativo) o stimando (qualitativo) la probabilità e l'impatto (il più delle volte è alto, medio, basso ma alcune organizzazioni hanno il proprio).
Prima esponi il rischio. Si ottiene l'impatto di un utente malintenzionato che ha accesso alla rete interna. Quindi si valuta la probabilità e la complessità tecnica. Nel tuo caso, la parte difficile è acquistare dalla tua gestione. Quindi la prima cosa da fare è prendere dei riferimenti. Dai un'occhiata se trovi requisiti specifici per il tipo di attività in cui ti trovi, la dimensione della tua attività e le guide di best practice del settore che dovresti fare (NIST). È importante strutturare i rischi in questo modo, assicurando di avere sia i motivi tecnici, ma anche un chiaro impatto sul business (quanto costerebbe questo al business?) (Alla fine il business è di cosa si tratta, l'IT è solo un fattore abilitante ).
Poiché vieni dal Regno Unito e pensi chiaramente che esiste un rischio per i dati privati, dai un'occhiata alla legge sulla protezione dei dati . È sempre interessante mostrare cosa può accadere facendo riferimento a casi che hanno una somiglianza con il tuo ambiente attuale. Assicurati che capiscano che il management superiore può essere ritenuto personalmente responsabile se si ritiene che abbiano preso decisioni sbagliate (ad esempio non risolvendolo), ma non minacciarli perché ciò potrebbe avere un effetto negativo.
Esiste anche il regolamento generale sulla protezione dei dati dell'UE, che sarà finalizzato alla fine di quest'anno. Consente all'UE di multare le imprese fino al 5% del loro fatturato globale in caso di cattiva gestione dei dati personali.
Dopo aver creato il rapporto, è necessario presentarlo alla tua gestione, che è una persona responsabile per l'azienda e qualcuno responsabile per l'IT e il dipartimento di revisione interno. Questa è la parte facile. Ora arriva la parte difficile: vendere sicurezza .
Dovrai ottenere un buy-in dalla tua alta dirigenza per risolvere il problema, che molto probabilmente avrà un costo in quanto dovranno spendere risorse. Sfortunatamente è abbastanza difficile farlo, devi coinvolgere i tuoi stakeholder nel processo di sicurezza e spiegare loro i benefici. È importante coinvolgere tutti i dipendenti nel processo di sicurezza. Il responsabile della sicurezza non può vendere la necessità e l'importanza della funzione di sicurezza agli altri se la gente non lo capisce.
Ora il modo migliore per ottenere il buy-in è di farli capire prima. Assicurati di pensare a una soluzione per ogni problema che affronti, sei già a metà strada se riesci a trovare un'alternativa valida. Nel tuo caso potrebbero essere gestori di password o l'utilizzo di credenziali di dominio (autenticazione PEAP). Non sono un fan di consentire solo qualsiasi dispositivo nella rete interna, preferibilmente gli unici dispositivi consentiti dovrebbero essere quelli emessi dalla società.
Si noti che l'azienda può decidere di sottoscrivere il rischio. Ciò significa che sono consapevoli del rischio, ma scelgono di non fare nulla con esso. Alla fine c'è solo così tanto che puoi fare. Per essere onesti, non è raro che si verifichi un grave incidente prima che le persone inizino a vedere l'importanza della sicurezza. È triste, ma la dura verità.