it-swarm-es.com

¿Cuáles son algunas buenas listas de amenazas que se pueden utilizar para iniciar conversaciones con otras personas sobre lo que les preocupa?

Para comunicarse de manera efectiva con los dueños de negocios o ejecutivos sobre seguridad, específicamente sobre cómo las personas pueden dañar su negocio, a menudo es útil discutir qué tipos de personas les preocupan. ¿Cuáles son algunas buenas listas para iniciar tales conversaciones?

16
Tate Hansen

Pérdida de ingresos es la única amenaza de la que realmente necesita hablar con la gente de negocios. Enmarque el problema en términos de dinero y enfatice que el dinero se perderá si no se le da una alta prioridad a la seguridad. Explique que el dinero se puede perder de las siguientes formas:

  • Demandas por divulgación de información confidencial del usuario.
  • Mala publicidad, que daña la marca, lo que, a su vez, se traduce en pérdidas de ingresos.
  • Los procesos de pago no garantizados abren la posibilidad de demandas y también reducen las ventas.
  • Un sitio web que no funciona se refleja mal en el negocio, perjudica las conversiones y reduce el tráfico con el tiempo.

Es mejor tener un enfoque de gestión de riesgos para la seguridad para minimizar la posibilidad de que ocurran estos riesgos. Al final, costará menos ser proactivo que reactivo.

11
VirtuosiMedia

Como dice @VirtuosiMedia, proteger los ingresos es la "característica principal" de la seguridad de TI. Puede formular preguntas sobre amenazas en términos de costos:

  • ¿Cuánto costaría reemplazar ese servidor si fuera robado?
  • ¿Qué pasa con el costo de reemplazar los datos en el servidor?
  • ¿Cuál sería el costo de oportunidad en negocios perdidos durante el período de recuperación?
  • ¿Cuánto le costaría a la empresa si otra persona usara los datos robados?

... etc.

5
user185

Una de mis listas favoritas para iniciar este tipo de conversaciones fue creada por Intel IT Security.

De hecho, puede ser divertido recorrer la columna de la izquierda ("Etiqueta de agente") y discutir qué tipo de personas tienen más probabilidades de dañar su negocio. Luego, el juego consiste en decidir qué hacer para minimizar sus posibilidades de éxito.

alt text

Puede descargar el PDF para obtener más detalles: http://www.intel.com/it/pdf/threat-agent-library.pdf

5
Tate Hansen

Personalmente, comenzaría por hacer que los representantes de la empresa hablen sobre sus activos más valiosos . Las personas que no son profesionales de la seguridad generalmente tienen dificultades para descubrir las amenazas. Y es aún más difícil averiguar qué amenazas deberían importarles más ellos . Pero la mayoría de los buenos empresarios saben lo que es importante para su negocio: la reputación, sus productos, sus fuentes de ingresos, mantener los costos bajos. Y a la gente le encanta hablar sobre lo que les importa. Hágalos participar primero.

Luego, tome el ángulo del análisis de amenazas a través de los riesgos de esas cosas valiosas. Si esta es la discusión preliminar, no sabrá qué vulnerabilidades se pueden explotar todavía, pero pasar por amenazas a la luz del daño a los activos lo hace real.

En cuanto a las listas, tendría en mi bolsillo listas de amenazas para tipos de activos comunes. Por ejemplo:

  • reputación - las amenazas incluyen competidores que lanzan ataques maliciosos, errores de los empleados, piratas informáticos profesionales que buscan hacerse un nombre,
  • ingresos - ladrones que buscan poner los ingresos en su bolsillo trasero (pueden ser tanto dentro como fuera de la empresa), daños por demandas que provienen de una protección incorrecta de datos personales, daños por multas del gobierno regulador. cuerpos, etc.

Estaría preparado para adaptar cada lista a las necesidades del cliente. Si no está adaptando activamente la lista para dirigirse a la audiencia, dará la impresión de que la seguridad es un procedimiento de memoria.

5
bethlakshmi

Por lo general, doy dos ejemplos de pérdida de ingresos, tiempo de inactividad y multas de extremos opuestos de la escala: pérdida de $ 9 millones de Worldpay en 12 horas de un exploit muy simple y una pequeña empresa local, para asegurarme de que la audiencia no siente que no les pueda pasar.

4
Rory Alsop

Los ataques que Anonymous apunta a las grandes empresas está comenzando a ser un gran tema de conversación. Solía ​​despertar el interés de organizaciones interesadas en IP, DRM, derechos musicales, etc., pero en estos días Anonymous está en los medios lo suficiente con un amplio suficiente rango de objetivos = que la conversación tiene un gran atractivo.

También se presta bien no solo a la discusión basada en la seguridad de TI, sino también a temas que incluyen riesgo, recuperación de desastres y continuidad del negocio, gestión segura de datos, etc.

2
Rory Alsop