Personalmente, inizierei a convincere i rappresentanti dell'azienda a parlare dei loro beni più preziosi . Le persone che non sono professionisti della sicurezza in genere hanno difficoltà a capire le minacce. E ancora più difficile capire quali minacce dovrebbero essere più importanti per loro . Ma la maggior parte degli uomini d'affari sa cosa è importante per la propria attività: la reputazione, i prodotti, i flussi di entrate, mantenendo bassi i costi. E la gente ama parlare di ciò che conta per loro. Falli coinvolgere per primi.
Quindi prendi l'angolo dell'analisi della minaccia attraverso i rischi per quelle cose valutate. Se questa è la discussione preliminare, non saprai quali vulnerabilità possono ancora essere sfruttate - ma passare attraverso le minacce alla luce del danno alle risorse lo rende reale.
Per quanto riguarda gli elenchi, avrei nella mia tasca posteriore elenchi di minacce per tipi di beni comuni. Ad esempio:
-
reputazione : le minacce includono i concorrenti che lanciano malware
attacchi, errori dei dipendenti,
hacker professionisti che cercano di fare
un nome per se stesso,
-
entrate - le persone che cercano di mettere entrate nella loro tasca posteriore (possono trovarsi all'interno e all'esterno dell'azienda), danni da cause legali derivanti da una scorretta protezione dei dati personali, danni da multe da parte del governo regolare. corpi, ecc.
Sarei pronto a personalizzare ogni lista per adattarla al cliente. Se non si adatta attivamente l'elenco per rivolgersi al pubblico, si avrà l'impressione che la sicurezza sia una procedura automatica.