Convincere il capo sull'importanza della privacy e della sicurezza

4

Lavoro per un'azienda che non apprezza la privacy e la sicurezza IT nello stesso modo in cui lo faccio io. È una società relativamente piccola che è abituata a lavorare in questo modo senza che nessuno si lamenti. I dipendenti non (sembrano) preoccuparsi e i clienti non ne hanno idea. Alcuni dei problemi sono:

  • Password stampate, nome e indirizzi dei clienti
  • Non distruggere questi documenti
  • Stessa password per la maggior parte dei sistemi
  • ecc. ecc.

Ora ho sottolineato che questi punti sono un problema serio e possono causare gravi danni sia al cliente che alla reputazione dell'azienda. Tuttavia non mi prendono sul serio dal momento che sono solo il nerd studente di sicurezza IT. Qual è il modo migliore per affrontarli e convincerli che ciò è inaccettabile? Continuo ostinatamente a distruggere tutti i documenti sperando che altri seguiranno, senza fortuna fino ad ora.

Anche se sembra molto simile questo post non credo è lo stesso. Comunque sentiti libero di contrassegnarlo come duplicato se sbaglio.

    
posta toom 04.04.2018 - 13:52
fonte

3 risposte

3

se la tua compagnia lavora in Europa, digli che a maggio verrà lanciato il GDPR e che ogni azienda che ha una perdita di dati personali può subire perseguimenti e sanzioni penali circa il 4% dei redditi mondiali.

Più specificamente, essere una piccola struttura era abbastanza sicuro anni fa. Ma oggi, la maggior parte degli hacker sta prendendo di mira piccole strutture (perché non sono sicure) per lanciare ransomware o fare operazioni di bitcoin mining (il che può causare la morte dei server rapidamente e la fattura dell'elettricità essere spaventosa).

il più delle volte, durante un audit di governance, chiedo:

  • Che cosa è così sensibile da non poterlo perdere?
  • Le email
  • ... no, non le e-mail, se perdi il server di scambio è inquietante ma la tua azienda esiste ancora
  • hummm
  • Cosa succede se perdi il tuo ERP?
  • perdere l'ERP?
  • Tutto, la fattura, i contatti, ecc. Immagina che qualcuno interrompa questo server
  • ho no non farlo, senza ERP non sappiamo chi deve pagarci, cosa dobbiamo consegnare, è fondamentale
  • si lo è. Va bene così hai l'impatto. Qual è la probabilità? L'ERP non è abbastanza sicuro perché la password è sbagliata, quindi se qualcuno tenta di romperlo, supererà
  • sì ma nessuno ci attaccherà
  • questo è l'ultimo punto: l'occorrenza. Quante volte qualcuno vorrà disturbarti (impiegato malvagio, ex tirocinante, hacker)? Puoi davvero dire mai? Io non la penso così, mai non esiste. Una volta ogni 7 anni? Ok, non capita spesso ... ma quando arriverà, perderai la tua intera compagnia. Quanto vale la tua azienda? 1 000 000? Va bene così il tuo budget annuale per la sicurezza è 1000000/7: 140k
risposta data 04.04.2018 - 14:43
fonte
3

Un approccio che potrei prendere è quello di dire passivamente al "boss" che, dal momento che stai studiando l'argomento, lo studierai un po 'di più e gli invierai alcune informazioni in base a ciò che trovi, mentre reiterate la sua attuale posizione in materia di sicurezza delle informazioni. Un sacco di volte, devi vendere la tua posizione in affari / occupazione / etc, e un buon modo per farlo come una persona molto giovane in qualsiasi organizzazione è posizionare la tua posizione in un modo che faccia sentire "il capo" come loro ti stanno aiutando (permettendoti di ricercare / far progredire i tuoi studi / etc)

Questo ti dà un modo per articolare i tuoi pensieri molto bene nella scrittura e citare alcune fonti molto credibili, IE esperto social prova.

Probabilmente inizierei con questo sito:

link

Mi permetto di indovinare che tutta la faccenda del dominio "ftc.gov" catturerà la sua attenzione. Da lì, esponi alcuni dei principi che si applicano alla tua attività (forse il Gramm-Leach-Bliley act se offri servizi finanziari, in particolare la regola Safeguards?)

Includere "I shred documents a causa di questa linea guida":

link

che viene rilasciato dal NIST, che fa parte del Dipartimento del Commercio (link se lo desideri)

...

Qualcosa da tenere a mente è che una volta presentate sufficienti informazioni, probabilmente sarete la persona più qualificata per risolvere tutti questi problemi; essere pronti a farlo.

    
risposta data 05.04.2018 - 14:03
fonte
1

Sfortunatamente le piccole aziende non prendono sul serio la sicurezza. Ho lavorato in una piccola azienda e quando ho parlato di sicurezza, la risposta del mio capo è stata "Non essere così concentrato. Questa non è una banca!"

Come lavoratore, l'unica cosa che puoi fare è aumentare la consapevolezza. Sta al management decidere se accettare il rischio o rifiutarlo. Quello che dovrete fare è dimostrare il costo della sicurezza contro i benefici che ne riceveranno. Ecco come la direzione vede il mondo: qual è il rapporto costi / benefici? vale la pena assumere il rischio?

Vorrei iniziare con i fatti. Scopri alcune recenti violazioni della privacy e quanto è costato all'azienda in questione. Quindi confronta ciò che è accaduto, come avrebbe potuto essere prevenuto e quanto costasse all'azienda in termini di ciò che la tua azienda sta attualmente facendo. Assicurati che la direzione veda chiaramente i termini in bianco e nero "Questa azienda ha fatto quello che stiamo facendo, costa loro 500.000 quatloon, per un costo di 500 quatloon, possiamo evitare che ciò accada". Questo mostra il rischio e il costo, e ora stai parlando con una gestione della lingua con.

Alla fine, spetta al management prenderlo sul serio. Noi come professionisti tecnici conosciamo il giusto approccio tecnico da adottare; ora abbiamo bisogno di educare la direzione sui giusti servizi e processi per assicurare che il business continui.

    
risposta data 04.04.2018 - 19:42
fonte

Leggi altre domande sui tag