たとえば、セキュリティプロジェクトに関する問題に直面しています。たとえば、昨年500(エンドポイントセキュリティ)のウイルス対策ライセンスを購入し、全員にインストールを強制するポリシーを作成しましたが、年末に、 50人のユーザーだけがウイルス対策を適切に使用していたことがわかりました。
この問題やその他のデジタルセキュリティについて話し合いましたが、経営陣は私たちをあまりサポートしていません。
経営陣から全面的なサポートを受けたいのですが、どうしたらいいのか迷っています。
追加情報:
例外はありますが、一般的にマネージャーは次の2つの理由のいずれかで対処します。
これを経営陣に適用して、主要な利害関係者が誰であるかを確認します。
利害関係者はすべて同じ人でも、別の個人でもかまいません。どちらにしても、これらはあなたが到達する必要がある人々です。それらに到達する方法については、管理を扱う最初のルールは問題を解決することなく、彼らに来るです。あなたが問題を彼らのひざの上に投げつけるならば、彼らはあなたが途中でそれを理解したときに戻ってくるようにあなたに告げるあなたを送るでしょう、一方あなたが解決策を持って彼らに来たならば、あなたはあなたが必要とするものを得る可能性がはるかに高いです。マネージャはあなたのために仕事をするために存在することを覚えておいてください、彼らは彼ら自身のためにもっと仕事をしたくないので、あなたが彼らのために仕事を生み出す何かで彼らに行くならば、彼らはあなたにすぐにそれを捨てます。また、事前に作業を行うことで、問題を理解でき、信頼性が高まります。
したがって、問題を修正する計画を立ててください。何がかかりますか?追加の援助のためのお金?トレーニングプログラム?修正方法と所要時間を把握します。 3つの簡単なスライドを含むPowerPointに入れ、主要な関係者の前に置きます。そのうちの1人に「問題を解決する」よう依頼してください。そうすることで、問題が修正されるまで責任を負います。 AVの取り込みを示す月次レポートの発行を開始し、関係者に配布します。
管理の動機を思い出してください。それは正しいことを行うことではなく、可視性についてです。問題を可視化し、彼らがそれを所有するようにします。
これは本当に情報セキュリティとビジネス目標の間のギャップを埋めることです。
今日のほとんどのセキュリティ部門にとって、情報セキュリティを取締役会に売り込む戦いは大きな課題です。通常、理事会メンバーは「良いセキュリティ」を気にせず、「良い十分なセキュリティ」を気にします。InfoSecはほとんどの組織で明確に定義されていることはほとんどなく、既知の標準もほとんどありません。セキュリティ投資の実証可能なリターンは、控えめに言っても、とらえどころのないものです。
あなたの目的は、取締役が何を懸念しているかを理解し、情報セキュリティが重要であるというメッセージを販売するための戦略を開発することです。これを達成するのに役立つかもしれないいくつかのポイント:
組織内の適切な人物を知る。CFO、CEO、または内部監査ディレクターと友好的に話し合うことで、取締役会への最善のアプローチ方法について優れた洞察を得ることができます。また、情報セキュリティについて議論するためのスペースを確保してください。これらは、会社の主要なリスクと保護対策についてCEOを最新の状態に保つための機会です。
会社に影響を与える可能性のある法規制について、CEOに最新情報を知らせてください。現在、情報保護は必須です。法律、規制、保険要件、および株主の期待により、情報保護がビジネス要件になりました。組織の報告構造に基づいて、CEOがInfoSecメッセージを取締役会に配信します。次に、CEO、そして取締役会の心をつかむ必要があります。
非常に日和見的であること。CEOは、取締役会に提示するものについて非常に選択的です。これを利用して、情報セキュリティを議題にすることができます。たとえば、よく知られているコンピュータ犯罪(例: 最近のHeartbleedの脆弱性 )は、注意を向ける必要があります。組織内のインシデントでも同じことができます。重大なコンピュータ違反が発生すると、次の四半期の数値が大幅に低下する可能性があることを示します。あなたは非常に具体的であり、数字の見積もりを提供する必要があります。
他の人が実行した作業を活用(そして影響を与えよう)します。内部監査部門の作業は通常非常に価値があります。外部監査とセキュリティテストサービスも非常に役立ちます。 ISPとして、あなたは ISAE監査 の対象となる可能性があります。それらを使用して、ニーズと懸念をボードにプッシュします。たとえば、最近、大企業の情報セキュリティガバナンス監査を実施しました。クライアントは内部監査部門で、CSO /セキュリティ部門が非公式に「採用」して、取締役会に前進させました。
あなたの会社にとって情報セキュリティがいかに付加価値になり得るかを指摘してください。強力なセキュリティはセールスポイントになり得ます。 ISPとして、潜在的な顧客へのセールスポイントとしてセキュリティの姿勢を確実に促進できます。
InfoSecへの投資を正当化するために、財務および意思決定プロセスの一般に認められている手法を使用します。経営幹部はROIに基づいてお金を使います。 、非常に現実的ですが、恐れています。必ずしも簡単なことではありません-利用可能なソリューションはしばしば数値による分析に向かないことが多いですが、最善の方法は、InfoSec投資のリターンの客観的で定量化された見積もりを提示することです。
ベンチマーク、パブリックレポート(例 Verizon DBIR 、 Cisco Annual Security Report )または実施された調査を使用して同僚と比較する有名な企業による。
適切な組織を持つことも決定します。これには、明確に定義された情報セキュリティガバナンス、管理および組織モデル、レポート機能などが含まれます。
あなたの成功の鍵は、CEOや他の主要な執行役員を通じて取締役と強い関係を築くことにかかっています。情報セキュリティがビジネスリーダーの成功を支援し、生産性、収益性、成長に貢献するサービスであることを強調します。それは取締役の心を喜ばせるメッセージです。
理論は、metricsを使用してサポートを受けることです:ドル(またはユーロまたは円)セキュリティの背後にあります。マネージャーは管理します:観察された状況と到達する目標に基づいて決定を行います。これらの目標は、多くの場合(少なくとも部分的に)金銭的条件で表現されます。したがって、マネージャーは、これが努力に値するかどうかに基づいて、セキュリティコントロール(たとえば、ウイルス対策)の使用をサポート/資金提供/実施することを決定します。前述のセキュリティ対策は、全体として、費やしたよりも多くのお金をもたらすはずです。
セキュリティはリスクを扱うため、測定基準では、恐れられるイベントの発生確率と関連するコストの両方を考慮する必要があります。コストはマルチフォームです。例えばビジネスの評判がどれほど損なわれているかに関連し、推定が難しいことで有名な「イメージコスト」があります。次に、想定されるセキュリティ管理(アンチウイルスなど)も、それぞれの固有のコスト(アンチウイルスライセンスだけでなく、追加のシステム管理者の時間、アンチウイルスと既存のソフトウェアとの非互換性によって発生するオーバーヘッドなど)の両方で見積もる必要があります。攻撃の確率または攻撃によって暗示されるコストをどの程度減少させると予想されるか。
ここでの主な概念はnumbersです。定量的に。マネージャーは数字を求めています。 「ファジー推定」(つまり、野生の推測)を行う必要がある場合は、より多くの数値を生成します。推定値を数値およびとして、信頼性の推定値を与えます。以前の見積もりの。
practiceはもちろん少し異なります。マネージャーも人間です。彼らは決定する必要がありますが、彼らはそれを好きではありません。彼らが実際に好むのは、最高情報セキュリティ責任者が詳細な分析を行い、最終的に1枚のスライドに2進法を選択することです。これを行うと、多くのコストを節約できます。そうしないと、結果に直面します。
マネージャーの使命はdecideですが、本当にやりたいのはapproveまたはrejectマネージャーの生活を楽にする場合、マネージャーからのサポートが得られます。これには、最終的な「はい」または「いいえ」のスタンプを除くすべての決定作業が含まれます。
ビジネスがすべてであることに注意してください。提案された戦略またはポリシーが組織の最終的な目標とどの程度一致しているかに基づいて、決定が行われます。これらの目標はさまざまですが、多くの場合、「お金を稼ぐ。たくさんある」と表現できます。
(完全な開示:私は、セキュリティソフトウェアを構築し、ソフトウェアを安全に開発するサブ機能として、ソフトウェアペンテストおよびセキュリティチームを構築および実行しています。会社は以下のサービス推奨事項のいずれにもリストされていません。)
セキュリティチームまたはペンテストチームを構築する必要がありますか?
ここの数人の回答者は内部侵入テストについて言及しましたが、そのようなチームの構築と維持は、多くの組織、特にセキュリティビジネスに携わっていない中小企業にとっては不可能から困難です。これらのスキルを採用することは困難です。内部スタッフをトレーニングすることを選択した場合、トレーニングの金銭的および機会コストに加えて、増加した損耗リスクを負うことになります。リスクは、スキルが習得されると、そのようなスキルを持つスタッフは業界で高い需要があるため、他の多くの企業がそれらのスキルに最高額を支払う用意があるので、ほとんどの企業はそのようなスタッフからの減少を経験します。 (ところで、私はあなたのスタッフにセキュリティについてトレーニングすることをお勧めしますが、必ずしも「ペンテストチームを構築する」ために必要なものほど深く投資する必要はありません。)
コアビジネスに集中できるように、サードパーティを雇います。
あなたの規模の企業に対する私の推奨は、侵入テストを専門とする企業のスキルを採用することです。これはあなたの経営者や経営者の目に正当性をもたらします。 「ITのセキュリティ担当者」がセキュリティを改善する必要があると私たちに告げるのではなく、Fortune 1000企業などのセキュリティ保護を支援する企業から来ています。
ペンテスト会社の例には、Core Security、Offensive Security、Trustwave、 Cigital-そのCEO(Gary McGuire)は、ソフトウェアのセキュリティについて文字通り「本を書いた」。混乱を避けるために、探しているサービスを「ネットワーク侵入テスト」と呼びます。 (「ネットワーク」という用語は、「ソフトウェア侵入テスト」とは区別されます。「侵入テスト」で一般的な検索を行うと、以前に新しいソフトウェアのテストに特化した多くの企業が見つかるので、これは重要ですそれはリリースされており、たまたま「侵入テスト」と呼ばれています。私は個人的にソフトウェアセキュリティテストのその側面を「脆弱性分析」と呼んでいますが、それはセキュアソフトウェア開発ライフサイクルの別の投稿である必要があります。)
違反の成功で幹部を驚かせないでください。
最も重要なことは、テストを開始する前に、CxOまたはボードレベルの誰かに事前に通知され、関与するようにすることです。 (それ以外の場合は、会社が具体的に実行することを要求しなかった場合、これらのタイプの攻撃は違法であるため、法的問題を招いています。)
ペンテストは、実際の問題が存在することを示す良い方法です。優れたペンテスターは、問題の深刻度を示すために、実際にシステムに違反し、プライベートデータを取得します。しかし、ペンテストのサポートを得るのに十分な関心をどのように生み出しますか?次の方法を使用して、アンチウイルスの展開、ペンのテスト、またはインフラストラクチャの強化、リスクの制御、および顧客の保護のために実行する必要がある正当な作業のサポートを得ることができます。
サポートの生成方法
1。競合他社から身を守りながら、リスクと責任を制限したいという会社の自然な願望に訴える
ほんのいくつかの例...
a。 会社または役員の責任。CEOおよび取締役会は、ビジネスリスクが存在することを知っていたことが示され、実際に責任があった場合、個人的に責任を問われる可能性があります。リスクを修復するものは何もありません。そのため、これを(穏やかに)コミュニケーションに活用できます。彼らが自己評価の必要性に乗り込んだら、彼らは会社の敷地の物理的なペンのテストを実施することを選ぶかもしれません。 (つまり、消防隊員になりすましてフロントデスクを通り過ぎてから、「消防検査」中に、すべてのマシンに、その電話のホームにキーロギングUSBスティックをインストールします。)
b。 PCI-DSSからのコストまたは収益の損失。クレジットカードを通じて支払いを受け取る場合、PCI-DSSの「標準」では、特定のセキュリティソリューションを実装する必要があります。ビジネスインフラストラクチャ内。クレジットカード会社は、詐欺的な取引の責任をクレジットカード会社からお客様(顧客対応ビジネス)に移す方法としてこれを考え出しました。監査を受けることになっている場合(そして私が現在監査を受けている中規模のビジネスを扱っている場合)、セキュリティを評価および実装するために、サードパーティのセキュリティベンダーまたはマネージドサービスプロバイダーを連れてくる必要がある場合があります。自分で行うよりもはるかに高いコストで、または問題を修正し、独立した監査に支払ったことを証明できるまで、Visa、MC、Amexによる処理から切り離されるリスクがあります。これはますます多くのビジネスに現れる現実の責任であるため、自分でこれについてより多くの情報を求める必要があります。
c。 ダウンタイムと政府の介入による収益への影響
FBIは、自宅に電話をかけるマルウェア感染の兆候がないかインターネットトラフィックを監視します。私はFBIが企業に連絡し、彼らのネットワークが感染していると彼らに伝えたいくつかの事例に関与してきました。ここでのリスクは、悪用されたシステムが駆除されるまで、コンピューターを没収したり、バックボーンドロップを遮断したりする可能性があることです。あなたはISPなので、コロコロになっている場合は、コロコロ施設からFBIに対処するための要員を配置するための費用が発生する可能性があります。独自のデータセンターを実行している場合、フォレンジックが実行されている間、サーバーまたはラックが消えるか、少なくともしばらくの間オフラインになることがわかります。このダウンタイムはビジネスに壊滅的な影響を与える可能性があります。
d。 競合攻撃競合他社が攻撃者のサービスを利用してネットワークをDDOSし、顧客に悪影響を及ぼす可能性があることをご存知ですか?または、機密のビジネスロードマップ情報、または価格、ベンダー、顧客リストを入手するために、内部システムへのアクセスを試みることもできます。
e。 ハッカー-別名「セキュリティリサーチャー」(私たちの純粋主義者にとって、はい、これらは実際には「クラッカー」と呼ばれていますが、今のところは専門用語に固執しましょう。)保護されていないネットワーク、または保護が不十分なエンドポイントは、ブラックハット、グレーハット、またはホワイトハットハッカーのターゲット(しゃれた意図)になる可能性があります。言い換えると、独立したサードパーティは、楽しみや利益のためにシステムを侵害する方法を見つける可能性があります。
結果には次のものが含まれます:
銀行のログイン認証情報の侵害、または直接アクセスされた(所有された)内部システムを通じて盗まれた会社の資金。
システムに違反があり、顧客データ(パスワード、クレジットカード番号など)が盗まれたことを顧客に通知する必要がある。
身代金の支払いを攻撃者と交渉して、暗号化された重要な内部システムへのアクセスを取り戻し、ロックアウトして支払いを強制する必要があります。
「セキュリティ研究者」と交渉して、内部システムにパッチを適用するか、セキュリティホールを閉じるための十分な時間を確保してから、境界セキュリティまたは多層防御メカニズムを打ち破った情報を「公開」する必要があります。より積極的な「研究者」は、概念実証ツールまたは攻撃を複製する方法の詳細な指示さえ提供し、他の研究者が発見を検証できるようにします(ハッカーは実際に攻撃のために新しく開示された情報を利用します)。
追加する1つの重要なポイント:「IT Security Manager」のタイトルを引き受けることにより、上記の結果のいずれかが実際に発生した場合に注意する必要があります、幹部は「どのようにしてこれを実現させたのですか?」そのような状況では、セキュリティポリシーとプログラムのサポートを要求する過去の提案を覚えていない可能性があります。
2。認知度を高める
a。社内でセキュリティ情報を共有します。ビジネスに最も当てはまるセキュリティトピックを選択するカスタムウィークリーニュースレターを作成し、リスクまたは個人への適用性の個人的な分析を、ユーザーまたは会社が防止のために何ができるかとともに追加します。リアルタイムの情報源については、セキュリティ業界の専門家(Eric KrebsまたはBruce Schneierが優れている)またはソリューションプロバイダー(優れたフィード/ブログには、TripWireの「The State Of Security」、Symantecの「Threat Intel」、Kasperskyのブログが含まれます。 「Securelist」、Googleの「オンラインセキュリティブログ」など)。
b。独自の侵入テストまたは脆弱性分析を実施して、攻撃に対して脆弱なシステムを強調表示します。 Metasploit(素晴らしい、広く使用されているが、本を入手してガイドする)やCore Impact(高価)などのネットワークの脆弱性を悪用しようとするツールを選ぶことをお勧めします。また、Cenzic Hailstormなどの脆弱性の存在を単にフラグするペンテストまたは脆弱性分析アプリ(上記のペンテスト会社Trustwaveが最近取得)も調べる必要があります。結果はおそらくあなたを驚かさないでしょうが、ユーザーのマシンに対する攻撃の成功のレポートを電子メールで送信すると、ユーザーを驚かせるでしょう。
これらのテストからの集計レポートと統計は、セキュリティテクノロジープログラムに関するマネージャー、ユーザー、および幹部に影響を与えるために使用する適切な一連のインテリジェントデータポイントを提供します。これは、「独立した/サードパーティのペンテストを定期的に実施する」ための議論と計画の良い出発点でもあります。
詳細
追加の優れた情報源:
[〜#〜] cert [〜#〜]: http://www.cert.org/information-for/system-administrators/
[〜#〜] nist [〜#〜](セキュリティ標準、セキュリティとリスク管理のフレームワーク):: http://csrc.nist.gov /
[〜#〜] iso [〜#〜](セキュリティ基準):(3つ以上のリンクを投稿するのに十分な評判がないようですので、 Altavistaする必要があります^ H ^ H ^ H ^ HI Googleを意味します:))
別の質問に直接回答するには、具体的には、「情報セキュリティや情報管理専用の役割/機能はありますか?」:
セキュリティの「位置」、「チーム」、または「役割」は、会社やセグメントによって異なります。非常に大規模な企業には、[〜#〜] ciso [〜#〜](最高情報セキュリティ責任者)とそれぞれの組織がある場合があります。より頻繁に私はInfoSec(情報セキュリティ、通常はIT組織の一部として、場合によってはオペレーションまたはCOO組織の一部として)を使用し、時々NetSecおよびAppSec(それぞれネットワークセキュリティおよびアプリケーションセキュリティ)。一部の企業は、別の運用機能としてインシデントレスポンス(攻撃や違反を検出して対応し、攻撃後のフォレンジックを実施)も分割します。あなたの役割では、あなたの役割の周りにInfoSecモニカーをラップすることで利益を得られるように思えます。
頑張ってくださいAkam!
[TL; DR?T * B]
まったくお勧めできませんそうでない場合は完全に違法であり、推奨されません、最悪のシナリオが起きるピープルアップ。
内部セキュリティを優先する特定の大規模組織では、ポリシーを実施するためにさまざまなことを行います。間違いなく行われる最善かつ最も強力なことには、セキュリティチームがシステムをテストするために内部で実行した実際の承認済み(キーワード)エクスプロイトが含まれます。これは 侵入テスト または略してペンテストとして知られています。明示的な会社の承認があれば、理論ではなく実際に会社のセキュリティをテストするために他のことを行うことができます。
これらの内部の許可された「攻撃」が適切に実行され、許可を使用して、企業はセキュリティポリシーを実際にテストし、実行することができます。
セキュリティチームが意識を高め、セキュリティへのより積極的な関与を促進するために、内部で何ができるかを示すいくつかの劇的な例を次に示します。
ボブは彼の会社のセキュリティチームで働いています。ボブは、社内の電子メールアドレス宛にスパムメールを作成するシステムをセットアップします。スパムメッセージでは、ボブは会社のロゴが付いたメッセージを慎重に作成します。このメッセージでは、会社のメンバーのパスワードが漏洩したというセキュリティ上の問題が発生したため、すべてのユーザーがパスワードを変更することを推奨しています。
職場でよくあるように、一部の同僚はメールを無視し、一部はスパムフォルダーにバウンスされたために受信しません。一部のユーザーは実際にパスワードを変更してしまいますが、手動で会社にアクセスします直接ウェブサイト。
しかし、スーはメールに記載されているリンクをクリックします。リンクをクリックすると、会社のメインWebサイトとほとんど同じように見える注意深く作成されたWebページに移動します。スーは自分のパスワードを変更し、現在のパスワードと新しいパスワードを提供します。送信を押すと、パスワード変更要求が失敗し、後で再試行するページが表示されます。
ボブの受信トレイに、自分が設定した偽のミラーサイトからのスーのパスワードが記載された新しいメールがあります。
上記の例が発生すると、会社はポリシーが従業員によって適切に支持されているかどうかを確認できます。適切に行われると、会社のマネージャーや上層部に何が起こったのかを通知でき(できれば従業員の名前は触れないでください)、従業員は個人的にミスに直面する可能性があります。このようにして、従業員と経営陣の両方が、会社のセキュリティポリシーが理由があることを知りました。どちらの当事者も、可能であれば災害のエッジにいることを経験し、それが外部ではなく内部で行われたことを安心します。
ボブは仕事を終え、会社のセキュリティは維持され、会社の一般人と上層部の両方が効果を感じ、すべての関係者の組織のセキュリティの考え方を強化しました。
このようにして、セキュリティは実際には潜在的なものではなく、何かであると見なされます。
アリスは会社のセキュリティ部門で働いています。アリスは、会社のデータベース管理システムに重大な脆弱性があると通知された後、システム管理チームに通知し、できるだけ早く問題を修正するように依頼します。
2週間後、アリスはエクスプロイトを記憶し、DBMSに対して承認されたテストを実行して、問題にまだパッチが適用されているかどうかを判断します。この問題にはまだパッチが適用されておらず、悪用される可能性のあるユーザーに開かれたままであることが判明しています。
上司からの承認を得て、アリスはエクスプロイトを使用して、データベースのユーザーテーブルに新しい行を挿入します。その後、エクスプロイトを使用してその値を取得します。彼女は戻り値をキャプチャし、セキュリティチームの上司に通知します。
会議が呼び出され、システム管理チームは、恥ずかしくない方法で悪用によって引き起こされた「損害」を示されます。したがって、システム管理チームは実際の脅威を認識し、会社の管理者はセキュリティチームが組織に提供する固有の価値を確認できます。
この例では、承認された内部関係者に「攻撃」を実行させることで誰もがどのように利益を得ているかも明らかです。管理チームが勝利し、セキュリティチームが勝利し、システム管理チームは、エクスプロイトへのパッチ適用を維持することの重要性を認識しています。
TL; DR:多くの場合は可能ではありませんが、積極的にセキュリティを見つけて「悪用」するアクティブなペンテストおよびソーシャルエンジニアリングテストのセキュリティチームがいます組織の穴は、組織にセキュリティリアルをもたらします。
私は先週、50億ドル規模の企業の元最高情報セキュリティ責任者と個人的に話していましたが、彼は他の幹部にセキュリティプロジェクトの資金を承認してもらう彼の戦略について述べました。
彼は、さまざまな要素(訴訟、災害復旧のための労力、ブランドの損傷など)を示すように注意しながら、起こり得る損失を金額に換算するのに多くの時間を費やしましたが、非常に高レベルでした。
それから彼は本質的に言うでしょう"この脆弱性の潜在的な損失は私たちに$ Xの損害を引き起こしますが、それが起こる前に今それを修正するために私たちに$ Yしかかかりません。私はこの資金を承認する必要があります、またはこれが許容可能なリスクであると感じた場合はサインオフしてください。)。
Verizon Data Breach レポートなどのソースも参照して、あなたのような会社でのインシデントの可能性とコストを調べます。
あなたのケースは私のものに似ています。
セキュリティポジションもセキュリティも担当していませんでしたが、システム管理者として参加してから1週間以内に、セキュリティポジションを「作成」しました。
どうやったの?セキュリティ管理の欠如の結果について経営陣に恐れを植え付ける。また、本番サーバー上でWeb Shellを見つけたときに、この恐怖はさらに強まりました。
追加情報: