Hai due cose di base che devi risolvere:
1) Soddisfa le attuali best practice per la sicurezza delle informazioni nella tua organizzazione?
Ci sono molte buone risorse incluso il Microsoft Baseline Analyzer e l'uso di risorse come NIST e SANS.
-
Se la tua organizzazione è abbastanza grande per un ambiente AD, è probabile che abbia bisogno e dovrebbe avere un'assicurazione in caso di perdita di dati. La maggior parte delle agenzie di assicurazione richiedono una certa base, altrimenti il vostro SOL al momento del risarcimento e buona fortuna con il contenzioso.
-
Tornando al contenzioso, pisciare gli standard poveri imposta anche la tua organizzazione per cause legali da più fonti. E.G Dipendente, clienti, venditori, ecc. Se il livello C è stato reso consapevole, non ha fatto nulla e ha cercato di incolpare te o la tua squadra, avresti anche una causa di licenziamento illecita, ecc.
2) Quali sono i tuoi rischi?
Sicurezza delle informazioni è molto simile ai rischi finanziari, è necessario comprendere i propri obiettivi, ciò che è accettabile per la propria organizzazione e ciò che è necessario ridurre. Tendiamo a guardare questo attraverso quantitativo e qualitative rischio.
Per essere sinceri, i Livelli C non si preoccupano veramente di evitare un attacco specifico, si preoccupano che il rischio specifico si riduca a livelli gestibili. Ad esempio, non dirai al CEO che hai migliorato la sicurezza richiedendo e utilizzando solo certificati SSL di terze parti da verisign o ovunque. Dite loro che avete ridotto il rischio di attacco MITM e implementato le politiche per gestire il rischio. I certificati di terze parti sono la rappresentazione quantitativa di tale rischio e i tuoi server che lo utilizzano sono la sua esposizione.
A proposito, questo non sta cercando di aggirare un problema o che il tuo livello C è denso per comprendere SSL / TLS. È comunicare con loro nella lingua con cui hanno familiarità e qualsiasi persona d'affari buona si trova a rischio.
Per il tuo esempio particolare, semplificare le autorizzazioni è una funzione tecnica per ridurre il rischio:
- ridurre i problemi di fornitura che espongono a rischi aggiuntivi?
- esposizione di informazioni privilegiate agli utenti non autorizzati?
- tutto?
Questi sono gli elementi di cui vogliono sentire parlare, le modifiche che apporti sono i tuoi dati per ridurre tale rischio, anche questo è un modo estremamente semplificato di guardare a questo.