チームのセキュリティ偏執狂をどのように推論し、協力しますか?
実用主義と安全保障の絶対主義的見方のバランスをとる方法の問題は、 ここですでに議論されています です。しかし、その質問の具体的な変形に対する答えが必要です。
あなたは、アプリケーションチームのアプリのセキュリティ問題を支援するために雇われたセキュリティエキスパートです。チームのメンバーの1人は、「十分なだけでは不十分」というアプローチをとり、完璧なセキュリティシステムを実装したいと考えています。彼は、製品が動作するプラットフォームは根本的に安全ではないことをすでに決めており、誰かが聞いているとき(そして、そうでない場合でも)にこの主張を繰り返します。提案された緩和戦略はどれも十分ではありません。彼は、製品によってサポートされる活動のリスクを特定して削減することに関心がありません。彼は絶対的なセキュリティに興味があります。プロジェクトの予算が限られていて、期待される収益が限られているというような問題から抜け出す方法:完了する必要がある完全にまたはそれする価値はありません。
残念ながら、この人物は上級管理職の耳を持っているので、権威に訴えることはうまくいきません。セキュリティ要件の議論が解決策なしで回転しているため、プロジェクトは停滞しています。どのように進めますか?
通常のリスク管理ステートメントを検討してください。
100ドルを保護するために1000ドルを費やさないでください
今、それは幹部が彼らが望むものが1000ドルかかることを知らない状況にすぎないかもしれません。彼らは100 $の価値しか保護していないことに気づいていない可能性が高いです。
その場合、大きな恐ろしい単語「セキュリティ」の恐怖に伴う可能性のある漠然とした不安感を置き換えるために、いくつかの難しい数値を提供する方法論を実装しようとすることを検討できます。
財政面で責任を負いたい場合は、実際のコスト、リスク、および利益を理解するよう努めるべきです。私は彼らとその議論をしようとさえしますWordsecurityを使用せずに、それらを混乱させ、苛立たせているようです。 。
彼らはそれを理解していないので、彼らは彼らのデューデリジェンスをすることを心配している、そして/またはanythingがうまくいかない場合に責任を負う可能性が高いです。彼らはこれを効果的に行う方法を示す必要がありますが、それでも「十分に十分」である必要があります-ハッキングされることはなく、公正なトレードオフにする必要があります。 doハッキングされたとしても、評判が損なわれないように(または他の同様の放射性降下物)、彼らは勤勉を果たしたというもっともらしい証拠が必要です。
[〜#〜] fair [〜#〜] を使用することをお勧めします。これは、特定のリスクに値札を付けるための定量的な方法です。
も参照してください: "リスクをどのように比較しますか...?"
どちらの方法でも、これにより、会話を「セキュリティ」の柔らかく、とげのある、不安な感じから、コスト、利益、およびお金についての難しい話に変えることができるはずです。常に お金を見せて に戻してください。
最悪の場合、何も解決しない場合は、高価で段階的な複数年計画をまとめます。あなたがそれらを見るように、それを重要なものに優先順位をつけて、あなたが忘れたがっていたであろう問題を晩年に遅らせます。
ほとんどの組織では、後の作業はとにかく完了しません。そして、たとえそうであっても、このようにして、あなたはまだ彼らに正しいことをさせることができ、彼らは安心感にお金を費やしています-これは時には重要でもあります。
最良の部分は、フェーズにあるため、フェーズ間に再調整ステップを計画に組み込むことができることです。これを完全なセキュリティライフサイクルのプラットフォームとして使用します...必要に応じて重要でないフェーズを再調整し続け、他の重要なビットを絞り込みます。
時には物事が失敗しなければならず、これはそれらの時代のように聞こえます。私があなたの状況を読んでいるとき、あなたは部下と上司の両方が完全なウサギの穴を追いかけて問題のあるプロジェクトを確保する責任があります。したがって、これはさまざまな意味で「道路の車線」の問題です。上級管理職は、あなたを通して働くことなく、スタッフによる非現実的な計画に魅了されることを選択しました。それはいくつかのレベルで非常にイライラすることがあります。
これを教育の瞬間と考えて、あなたが再びここに来ることを覚えておいてください(会社がこれをめぐって戦わなければ)。チームが1つの声で話す必要があると感じていることをスタッフに知らせます。大部分は決定チェーンをスキップしたために、崖から抜け出したことを上司に知らせます。リーダーシップに対する最善のアドバイスを手に入れ、それを与えます。あなたが彼らに耳を傾けることができないなら、彼らは実際にはあなたの先輩なので、コースを変更しないという彼らの特権であると考えてください。
これが予想どおりに進んだ場合、おそらく将来の決定はより論理的な方法で行われます。そうでない場合、組織は運命づけられており、それ以上の失敗を防ぐことはほとんどできません。いずれにせよ、先輩が決めていない問題について、自分の役割と能力の限界を、自分が同意できない方法で理解できる場所を支援することがポイントです。
ここでのビジネスの利点は、私が採用されたセキュリティの専門家であれば、誰かが私の予算に同意してくれることです。
それはさておき、すべてのセキュリティの決定は実際にはビジネスリスクの決定に基づいている必要があり、世界の最善の意志があれば、ITはその決定とほとんど関係がないはずです。決定に関連する問題。
その観点から、私は常にビジネス戦略-> IT戦略->セキュリティ戦略から始まるアプローチを採用してきたため、組織はIT資産だけでなくすべての資産にわたって完全なリスクレジスターを持っている場合、引数は次のようになります。
- アプリケーションXが悪用されることによる限定的なリスクと影響は何ですか?
- その数字の何パーセントをソリューションに割り当てたいですか?
- その予算を考えると、どのソリューションが最適/最も適切ですか?
また、予算は1回限りのコスト、リソースコストのローリングなどになる可能性がありますが、いずれにしても、ビジネスによるリスクの測定とビジネスレベルでの意思決定に帰着します。
現実の世界では、大多数の企業がセキュリティコストを効率的に(または実際には安価に)実装したいので、あまり問題はありませんでしたが、ITが非常に自律的で強力であることに慣れている奇妙な組織では、教育が必要ですそして文化の変化。
私が考えることができる3つの例では、セキュリティの偏執狂は実際のリスクとより統合されるのではなく、うまく調整されずに去っていきました。
私は、理事会がセキュリティの偏執狂を信じているという奇妙なケースでは、これを回避する唯一の現実的な方法は、同じ規模で同じ業界の他の組織が何をしているかを例に挙げ、彼らが数値を比較できるようにすることだと思います。
どのように進めますか?
彼にセキュリティ対策を施してください。プラットフォームに関する詳細なホワイトペーパーまたは貿易調査を依頼してください。実行しているアプリケーションのタイプに応じてCVEを確認してもらいます。彼に複雑さの指標を生成し、動的分析ツールを実行してもらいます。彼がやりたい仕事を彼に与えることによって彼を幸せにします。彼の仕事を区分けし、チームの他のメンバーを使用して優先順位に焦点を当てます。議題、議事録、限られたオープンディスカッションで高度に構造化された会議に招待されます。彼を除外したり、隔離したりしないでください。特に経営陣の耳があるため、彼はそれに気づき、敵対的な行動を取る可能性があります。あなたが彼の心を変えることができないなら、それから彼の影響を弱める。