web-dev-qa-db-ja.com

プライバシーとセキュリティの重要性について上司を説得する

私は、プライバシーとITセキュリティを同じように重視しない会社で働いています。それは誰も文句を言わずにこの方法で動作するために使用されている比較的小さな会社です。従業員は気にしていないようで(そう思われます)、顧客はわかりません。問題のいくつかは次のとおりです。

  • 印刷されたパスワード、顧客の名前と住所
  • これらのドキュメントを破棄しない
  • ほとんどのシステムで同じパスワード
  • などなど.

これらの点は深刻な問題であり、顧客と評判の両方に大きな損害を与える可能性があることを指摘しました。しかし、私はただのオタクなITセキュリティの学生なので、彼らは私を真剣に受け止めません。彼らにアプローチし、これが受け入れられないことを彼らに納得させる最良の方法は何ですか?私は頑固にすべてのドキュメントを細かく削り続けます。

この投稿 のように思えますが、同じとは思いません。ただし、間違っている場合は、複製としてマークしてください。

privacycorporate-policy
4
toom

あなたの会社がヨーロッパで働いているなら、GDPRが5月に開始され、個人データの漏洩を抱えるすべての会社が世界の収入の約4%を法の追求と処罰を受ける可能性があることを彼に伝えてください。

より具体的には、小さな構造であることは何年も前にかなり安全でした。しかし、今日、ほとんどのハッカーはランサムウェアを起動したり、ビットコインマイニング(サーバーがすぐに停止したり、電気の請求書が恐ろしくなったりする)を行うために(安全ではないため)小さな構造物を狙っています。

ほとんどの場合、ガバナンス監査中に、私は尋ねます:

  • あなたがそれを失うことができないほど敏感なのは何ですか?
  • メール
  • ...いいえ、メールではありません。Exchangeサーバーを緩めると邪魔になりますが、会社はまだ存在します。
  • うーん
  • eRPを失うとどうなりますか?
  • ERP?
  • すべて、請求書、連絡先など、誰かがこのサーバーを壊したと想像してください
  • ERPなしでは、それを行わないでください。誰が私たちに支払わなければならないか、何を提供しなければならないか、それは重要です
  • はい、そうです。わかりましたので、影響があります。可能性は何ですか? ERPはパスワードが不正であるため、完全に安全ではありません。そのため、誰かがそれを解読しようとすると、彼は成功します
  • はい、でも誰も私たちを攻撃しません
  • これが最後のポイントです:発生。誰かが邪魔したいと思う頻度はどれくらいですか(邪悪な従業員、元研修生、ハッカー)?あなたは本当に絶対に言うことはできませんか?私はそうは思いません、決して存在しません。 7年に1回ですか?さて、それは頻繁ではありません...しかし、それが来るとき、あなたはあなたの会社全体を失います。あなたの会社はどの程度評価されていますか? 1 000 000?さて、セキュリティの年間予算は1000000/7です:140k
3
Sibwara

私が取るかもしれないアプローチは、あなたが主題を研究しているので、あなたはそれをもう少し調査するつもりであり、彼または彼女を繰り返しながら、あなたが見つけたものに基づいていくつかの情報を彼に送ることを「上司」に受動的に伝えることです情報セキュリティに関する現在のスタンス。多くの場合、あなたはビジネス/雇用などで自分の立場を売り渡さなければなりません。そして、組織の非常にジュニアな人としてこれを行う良い方法は、「ボス」が彼らのように感じるような方法であなたのスタンスを置くことですあなたを助けています(研究/研究などを進めることを可能にすることによって)

これは、あなたの考えを書面で非常に明確に表現し、いくつかの非常に信頼できる情報源を引用する方法を提供しますIE expert social proof

私はおそらくこのサイトから始めるでしょう:

https://www.ftc.gov/tips-advice/business-center/guidance/protecting-personal-information-guide-business

「ftc.gov」ドメイン全体が彼または彼女の注意を引くと思います。そこから、ビジネスに適用されるいくつかの原則について説明します(多分 Gramm–Leach–Bliley法 金融サービスを提供する場合、具体的にはセーフガードルールですか?)

また、「このガイドラインのため、ドキュメントを細断処理します」と記載します。

https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-88r1.pdf

商務省の一部であるNISTからリリースされています(必要に応じてリンク)

...

心に留めておくべきことは、十分な情報を提示すれば、これらすべての問題を修正するための最も有能な人物になる可能性が高いということです。そうする準備をしてください。

3
they

残念ながら、中小企業はセキュリティを真剣に考えていません。私は小さな会社で働いていて、セキュリティについて話したとき、上司の反応は「あまり集中しないでください。これは銀行ではありません!」でした。

労働者としてできることは、意識を高めることだけです。リスクを受け入れるか拒否するかを決定するのは経営者次第です。あなたがする必要があるのは、それから得られる利益に対するセキュリティのコストを実証することです。それは経営者が世界を見る方法です-費用/利益比は何ですか?リスクを負う価値はありますか?

事実から始めます。最近のプライバシー侵害と、それが問題の会社に何をもたらしているかを調べてください。次に、何が起こったのか、それがどのように防止できたのか、そして会社が現在何をしているのかという点で会社に何がかかったのかを比較します。経営陣が明確な白黒の言葉で「この会社は私たちが行っていることを実行しました。500,000四球のコストがかかりました。500四球のコストがあれば、それを防ぐことができます。」これはリスクとコストを示しています。ここで、言語管理が特定する言語について話します。

結局、これを真剣に受け止めるのは経営者次第です。私たち技術専門家は、適切な技術的アプローチを知っています。今、私たちは、ビジネスが継続することを保証するために、適切なサービスとプロセスに関する管理を教育する必要があります。

1
baldPrussian