web-dev-qa-db-ja.com

会社のITセキュリティについて教育する良い方法は何ですか?

私は、セキュリティが「永遠に忘れる火」の懸念事項である会社で働いています。管理者はソリューションをセットアップし、フォローアップして保守することはほとんどありません。その結果、私たちは一種のスイス風のセキュリティポリシーを手に入れました:穴だらけです。

例えば:

  • バックトラッキングなしでxx日ごとに変更する必要のあるパスワードセキュリティポリシー。ただし、パスワードが変更されないアカウントは、特別なフォルダーやデータベースにアクセスするために誰にでも渡されます。
  • デスクトップとネットワークのウイルス対策、ただしUSBドライブに対するポリシーはありません。これまでのところ、ほとんどのウイルスが捕らえられ、犯人は叱られましたが、0日で1回で十分です...

ここではセキュリティは表面的な問題であると感じています。経営陣は何かをしているのを見たいと思っていますが、正しいことをしているわけではありません。

私は問題を劇的に示すために灰色のハッチングについて考えましたが、この状況でセキュリティについて人々を教育するのは正しい方法ではないと思います(おそらく、誰もが状況を把握する完全にセキュリティ重視の企業で)。

したがって、より弾力性のあるセキュリティ戦略の必要性をスピンさせるための良い方法を考えています。経営陣は英語を話さないので、私はブログや直接の専門家のアドバイスを指摘する立場にはありません。

私はいくつかの劇的な主張のあるエレベーターピッチまたは既存の問題の10分のデモのいずれかを行うことを考えていました。

これらのアイデアについてどう思いますか?クライアントの監査時にセキュリティの欠陥を指摘し、基本的に「それはあなたがした半分底のある仕事だ」と言ってそれらを疎外させないようにするための推奨される方法はありますか?特に効果的なデモ(ファイアシープを起動するだけですか?しかし、灰色のハッチングの境界)をお勧めしますか?

21
samy

私にとっていくつかの機会でうまくいったのは、経営陣の前に次のチャートを貼り付けることです。

alt text

脅威のリスト(左の列)を実行し、説明されている種類の人がビジネスに害を及ぼす可能性があるかどうかを彼らが信じるかどうか尋ねます。

もしそうなら、あなたは戦いに勝ったかもしれません。これらの脅威のそれぞれに対処するために何が必要かを説明できます。

@atdreは別の質問でこのチャートについて素晴らしいコメントをしました:

共謀や陰謀の力が伝わらないので、私はこれが好きではありません。アンダーグラウンドコミュニティとアンダーグラウンドエコノミーは、これらすべての人を同じ部屋にまとめ、取引するためのツールを提供します。 – atdre`

したがって、脅威のリストを拡張して、コミュニティを含めることもできます。

10
Tate Hansen

会社のネットワークに対して「シミュレートされた」攻撃を仕掛けるのは、あなたの仕事の範囲と攻撃結果に対する合意された制限の理解に基づいて、上級管理職の明示的な書面による許可を得た場合にのみ行うべきです。それ以外の場合は、妨害行為、スパイ行為、または単に単純な違反ローカルルールのために解雇される危険があります。

しかし、問題を認識していないときに、どのようにそのような許可を得るのですか? 「エレベーターピッチ」のアイデアがいいところです。それを会社の階層の関連する人々に持って行くことをお勧めします正しい順序で、あなたが管理/ Cレベル/ディレクターに行く前にITスタッフから始めます。経営陣は、日常の運用に対する責任を、最終的に変更を行う必要のあるシステム管理者に委任しています。上からの勅令として提案を提示することは、それらの提案を実装することが仕事である人々を疎外するのに役立ちます。

9
user185

お金を持っている人とのセキュリティについての会話は常にリスクについての会話です。過度にドラマ化されたエレベーターピッチを行ったり、世界の終わりを叫んで走ったりしないでください。これは、簡単に信用を失い、一般に無視される簡単な方法です。代わりに、彼らがシステムで何を達成しようとしているのかについてビジネスに話し、セキュリティコントロールの欠如(結果)の結果として彼らが抱えている現在のリスクを提示します。

インシデントで1000万ポンドの費用がかかるリスクを抱えていることをビジネスに納得させることができれば、10万ポンドの管理で排除できるので、それは非常に簡単です。彼らは、総リスクを安く削減する機会に飛びつくでしょう。

ビジネスが費やすすべてのものは、ビジネスのコンテキストで正当化される必要があります。 「WindowsベースのパブリックWebサーバーにウイルス対策はありません」は意味がありません。 「年に1回、毎回200万ポンドの費用でサービスが中断される可能性があります」は意味があります。

豪華な新しい一連のセキュリティコントロールを構築したら、それらを有効に保つことが課題です。セキュリティは、テクノロジーだけでなくプロセスについても重要です。リスクを軽減するためにいくらかお金を使うことをビジネスに確信させたら、問題はセキュリティがあなたが何かであるという認識を変えるようになります購入。実際には、それはあなたがdoするものです。

2
growse

主要な議論の1つ:セキュリティ災害は「if」で始まる質問ではありません。彼らは「いつ」で始まる!

適切なセキュリティポリシーは、不可能であるため、リスクを完全に排除することはできません。しかし、それは劇的にリスク、ひいては災害の発生率を下げるでしょう。それは本当に投資と投資収益率の問題です。お金を使って損を減らしましょう。考え方は質の高い保険と同じでなければなりません。

2
Alexis Dufrenoy

予想される支払いを定量化する必要があります:リスクのダメージ*リスクの可能性。

これは、あなたが話している人が実際にビジネスを気にかけていることを前提としています。それは皮肉に聞こえるかもしれませんが、これを考慮してください:セキュリティにはお金、トレーニング、フラストレーションのコストがあります。これらはセキュリティの強化を実装する人物にすぐに反映されますが、セキュリティ違反や災害はその人物に反映されない場合があります。この人の上司がセキュリティのマイナス面(コスト)だけを見て、災害のせいに人々を責めない場合、この人がセキュリティを高めることは意味がありません。

ディルバート・ポインティヘッドのマネージャー全体は、本当にあるタイプのマネージャーをステレオタイプ化しています。何に対しても非難されるのではなく、会社を炎上させることを非常に得意とする種類のマネージャー。

基本的に、この種の機能不全に直面している場合は、マネージャーがセキュリティの見栄えを悪くする方法、およびマネージャーをセキュリティの無駄遣いに見苦しく見せずにセキュリティを向上させる方法に集中する必要があります(「ファイアウォール?順調に進んでいくと、彼は何千ドルものお金を浪費します」)。

1
Bradley Kreider