Nel fumetto di Scott Adam Dilbert il Boss dai capelli a punta non ha nome perché Scott Adam voleva che i suoi lettori riferissero il personaggio del boss ai boss noti ai lettori.
Ciò viene messo in evidenza perché (e purtroppo) molti professionisti della sicurezza delle informazioni incontrano spesso atteggiamenti ingenui da parte della direzione esecutiva simili a quelli esposti da Dilbert a capo con i capelli a punta - come ad esempio:
We've had no cyber-security breaches in the last fiscal last year. Why do you suggest we need to spend more on cyber-security? Since there seems to be no threat, isn't there room to shift funds away from cyber-security?
Questa logica è come " La banca non è stata rubata da anni, quindi non ha bisogno di guardie di sicurezza! "
Ho trovato almeno 1 strategia per influenzare atteggiamenti come questo: che sta enfatizzando i rischi di attenuazione Return-On-Investment (ROI) è sempre inferiore a quello di accettando il rischio in primo luogo (cioè " Un'oncia di prevenzione vale un chilo di cura! ")
DOMANDA :
Since it's clear all effective information security strategies starts with executive management "buy-in", what strategies have folks found to be effective in changing some of these naive attitudes held by senior management towards appreciating the true nature of these risk, and in cultivate a corresponding appetite for investing in risk-mitigation?