私はセキュリティに基づくすべてのものの専門家であると主張しているわけではありませんが、デジタルセキュリティに関して何が許容され、何がそうでないかについては、十分に根拠のある知識があると思います。
内部ネットワークのセキュリティに関するいくつかの一般的なアドバイスをした後、物理的なアクセスベースの攻撃(つまり、攻撃者が内部ネットワークにアクセスできる)は非現実的であり、範囲外と見なされると会社からアドバイスを受けました。
DMZ内にあるゲストwifiシステムを持っている会社のため、それは彼らにとって問題ではないことを知らされました。彼らが理解または受け入れていないように見える主な見落としは、オフィスの外から、多くの人々が常にそれらを忘れているため、オフィスの壁に貼り付けられたプライベートwifiパスワードを一目で確認できることです。
火をつけなければ、私は彼らにこれが恐ろしい慣行であり、攻撃されたまたは侵害されたシステムがプライベートwifiに接続されていた場合、彼らは本当に自分自身を開放していることを受け入れるように苦労しています。
たとえば、顧客は会議のためにデバイスをオフィスに持ち込み、会議室で公に宣伝されているwifiパスワードを確認し、引き続きwifiに接続します。顧客のマシンは危険にさらされており、ビジネスの重要なデータを含むプライベート内部ネットワークへの完全なアクセス権があり、ドメインポリシーが不適切なため、大量の個人データにアクセスできます。
この状況に取り組む最善の方法について何か提案はありますか?
受動的なアプローチを取り、リスク評価を行います。セキュリティ管理は、リスク管理の一形態です。脅威や脆弱性を抱えている可能性のある資産があります。脆弱性を悪用する脅威はリスクであり、可能性と影響を計算(定量的)または推定(定性的)することによって計算されます(ほとんどの場合、それは高、中、低ですが、一部の組織は独自のものを持っています)。
まず、リスクを明らかにします。内部ネットワークにアクセスできる攻撃者の影響を導き出します。次に、可能性と技術的な複雑さを評価します。あなたの場合、難しいのはあなたの経営陣から賛同を得ることです。したがって、最初に行うことは参照を取ることです。自分がいるビジネスの種類、ビジネスの規模、業界のベストプラクティスガイドがすべきこと(NIST)の具体的な要件を見つけたら、見てください。このようなリスクを構造化することは、技術的な理由だけでなく、ビジネスへの明確な影響(これによってビジネスにどのようなコストがかかるのか)を確保することが重要です(結局のところ、ビジネスはそれがすべてであり、ITは単なる成功要因です) )。
あなたは英国出身であり、個人データのリスクがあると明確に思っているので、 データ保護法 をご覧ください。現在の環境に類似しているケースを参照して何が起こり得るかを示すことは常に興味深いことです。彼らが間違った決定をしたと見なされた場合(たとえば、これを修正しない場合)は、上層部の経営責任が個人的に説明できることを彼らが理解していることを確認してください。ただし、悪影響を与える可能性があるため、脅迫しないでください。
EU 一般データ保護規則 もあり、今年末に最終決定されます。 EUは、個人データの重大な管理ミスが発見された場合に、EUがグローバルターンオーバーの最大5%の企業に罰金を科すことを可能にします。
レポートを作成したら、それを経営陣(ビジネスの責任者、ITの責任者、および内部監査部門)に提示する必要があります。 それが簡単な部分です。ここで難しい部分があります:セキュリティを販売します。
あなたはこれを修正するためにあなたの上層部から賛同を得る必要があるでしょう、それは彼らが資源を使う必要があるのでおそらくお金がかかるでしょう。残念ながら、これを行うのは非常に困難です。セキュリティプロセスに利害関係者を関与させ、利害関係者にメリットを説明する必要があります。セキュリティプロセスにすべての従業員を参加させることが重要です。セキュリティ担当者は、セキュリティ機能の必要性と重要性を人々が理解しなければ、他者に販売することはできません。
現在、賛同を得るための最良の方法は、彼らに最初に理解させることです。直面する各問題の解決策を考えるようにしてください。良い代替案を思い付くことができれば、すでに中途半端です。あなたの場合、それはパスワードマネージャであるか、ドメイン資格情報(PEAP認証)を使用している可能性があります。私は、どのデバイスも内部ネットワークに許可するのが好きではありません。できれば、許可される唯一のデバイスは、会社が発行したものでなければなりません。
企業がリスクを承認することを決定する場合があることに注意してください。これは、彼らはリスクを認識しているが、何もしないことを選択することを意味します。結局、できることはたくさんあります。公平を期すために、人々がセキュリティの重要性を認識し始める前に重大な事件が発生することは珍しいことではありません。悲しいですが、難しい真実です。
これに対処するには、疑わしい倫理的ではあるが非常に効果的なものから完全に受動的なものまで、さまざまな方法があります。
本当に物理攻撃が機能することを彼らに示したい場合は、次のペンテスト中に侵入してください。 「バールをつかむ」という意味ではなく、ロビーに入り、受付を通り過ぎて、オフィスにまっすぐ入って行きます。キーカードが必要な場合は、「電話」でコーヒーを飲みながらテールゲートをかけます。あなたの連絡先に行き、あなたが今したことを彼に話しなさい。倫理的な行動の境界を押し広げているので、クライアントと良好な関係を築いている場合にのみ、これを提案します。
中立的には、攻撃は組織外の人々に限定されないことを彼に説明することができます。悪意のある内部関係者は、被害を受ける前に特定することが難しく、大量の機密データを入手できる傾向があるため、金融機関における最大のセキュリティ問題の1つです。 Morrisonのリークなど、特別なアクセス権のない完全に技術者ではないスタッフが会社のスタッフに関する大量の個人情報を盗むことができたなど、実際の例でポイントをバックアップします。影響を明確にします。PRの悪夢、多大な財政支出(IRコスト、スタッフの信用報告書カバー、直接的な収益の損失)、およびスタッフの士気の低下。
実用的なアプローチを取りたい場合は、財政上のリスクの観点から検討するように彼に伝えます。データが漏洩した場合に、ビジネスに直接かかる費用を尋ねます(組織の王冠に顧客の種類のデータを合わせます)。コードなど)と、インシデント対応と関連するPRのすべてを実行するのにかかる費用。その合計値は、内部のペンテストのコストよりも数桁大きくなる可能性があります。今、それをギャンブルとして表現します。彼らは予見可能な将来(たとえば、2〜3年)に飛び出さない金額を賭けています。次に、代替案を表現します。内部のペンテストに費やす費用を数桁少なくすれば、違反の可能性and予想コストが下がります。
または、受動的なアプローチをとります。書面で、どこかに、彼らが悪い習慣に従っているというあなたの意見を書いたことに注意してください。彼らにリスクを受け入れさせてください-結局のところ、それは完全に彼ら次第です。彼らが将来ポップされない場合は、ラッキーです。彼らがポップされた場合は、電話をかけてください。彼らは今聞いているでしょう。
ここにいくつかの良いアイデアがあります。もう少し追加したいだけで、まだ「コメント」権限を持っていません。
1.)IT業界では、テクノロジーの観点から物事を検討します。 ビジネスの観点からそれを見る可能性が高いと確信させる必要がある人々。あなたは彼らのためにそれを明確な$$$$の数字に入れることができる必要があります。これは実際には比較的簡単です。
Risk = Cost of Breach * Probability
これらの数値をどこで取得するかはあなた次第ですが、それらは印刷された提案書に文書化する必要があります。そこにはたくさんの情報源があります。たとえば、Ponemon Instituteは毎年研究を行っています。彼らは盗まれたレコードごとに201ドルのコストを見積もります。所有しているデータの種類や業界などに基づいて数値を調整する必要があります。要点は、この方法で侵入した場合の最悪のシナリオを理解することです。 (例えば、すべての顧客記録が盗まれる)それはいくらかかりますか? (私たちには1500人の顧客がいます。顧客あたり$ 201で、コストは$ 301,500になります。)
次に、その数を取り、これが今年発生する確率を掛けます。繰り返しますが、これには多くの推測作業と推測が必要です。あなたの業界とあなたの会社に当てはまるいくつかの情報源を見つけてください。他の人が上で与えた提案に基づいてこの数を減らしてください。 (たとえば、あなたのペンテストは、ランダムな人が侵入し、パスワードを取得し、外に出ることが非常に簡単であることを示しています。)したがって、昨年、業界の5%がセキュリティイベントを経験したとしても、セキュリティは他の同様の企業と同等ではなく、おそらくその倍の可能性です。この場合、式は次のようになります。
Risk = $301,500 * 10%
Risk = $30,150
よくタイプされた1ページの紙で上司にそれを示すことができれば、リスクを軽減するためにそれまでの予算を簡単に獲得できるはずです。それは彼らの言語を話すことです。
2つ目のポイントは、PRINTEDレポートを強調した理由と結び付けたいと思いました。可能であれば、上司が見たことを認める報告書に物理的な署名を付けるように要求してください。彼はあなたがそれを真剣に受け止めている(そしてそれに基づいて行動する可能性が高い)ことを理解し、ハッキングされた場合(ない場合)にビッグCYAを取得します。
幸運を!