it-swarm-es.com

¿Cuáles son buenas formas de educar sobre la seguridad de TI en una empresa?

Trabajo en una empresa donde la seguridad es una preocupación de "fuego una vez olvidado para siempre". El administrador configura una solución y rara vez le da seguimiento y la mantiene. Como resultado, tenemos una política de seguridad que tiene algo de queso suizo: llena de agujeros.

Por ejemplo:

  • políticas de seguridad de contraseñas que requieren cambiar cada xx días sin retroceso, pero las cuentas cuyas contraseñas no se cambian se entregan a nadie para acceder a carpetas especiales y bases de datos, incluso pasantes que luego se van con la información que no cambia
  • antivirus de escritorio y de red, pero ninguna política contra las unidades USB. Hasta ahora, la mayoría de los virus se detectan y se regaña al culpable, pero una vez con un día 0 es suficiente ...

Tengo la sensación de que la seguridad es una preocupación cosmética aquí; la gerencia quiere que la vean haciendo algo, pero no está haciendo lo correcto, o no todo lo que debería hacerse.

Pensé en usar sombreros grises para demostrar los problemas de una manera dramática, pero no creo que sea la forma correcta de educar a la gente sobre la seguridad en este contexto (quizás en una empresa completamente centrada en la seguridad donde todos entienden la situación).

Así que me pregunto cuál es una buena manera de hacer girar la necesidad de una estrategia de seguridad más resistente. No estoy en condiciones de señalar blogs y consejos de expertos directos, porque la gerencia no habla inglés.

Estaba pensando en hacer un discurso de ascensor con algunas afirmaciones dramáticas o una demostración de diez minutos de problemas existentes.

¿Qué opinas de estas ideas? ¿Hay formas recomendadas de señalar fallas de seguridad al auditar para un cliente para no alienarlos diciendo básicamente "eso es un trabajo a medias lo que hizo"? ¿Hay demostraciones particularmente efectivas (¿simplemente lanzando una oveja firesheep? Pero que roza el sombreado gris) que recomendaría?

21
samy

Lo que me ha funcionado en varias ocasiones es pegar el siguiente gráfico delante de la dirección:

alt text

Repase la lista de amenazas (columna de la izquierda) y pregunte si creen que alguna de esas personas descritas puede dañar el negocio.

Si es así, es posible que haya ganado una batalla. Ahora puede describir lo que se necesita para abordar cada una de esas amenazas.

@atdre tuvo un gran comentario sobre este gráfico en una pregunta diferente:

No me gusta esto porque no transmite el poder de la colusión o la conspiración. La comunidad clandestina y la economía clandestina ponen a todos estos tipos en la misma habitación juntos y les dan herramientas para comerciar. - atdre`

Por lo tanto, es posible que desee ampliar la lista de amenazas para incluir comunidades.

10
Tate Hansen

El lanzamiento de un ataque "simulado" contra la red de su empresa solo debe realizarse con el permiso explícito y por escrito de la alta dirección, basado en la comprensión del alcance de su trabajo y las limitaciones acordadas sobre los resultados de su ataque. De lo contrario, corre el riesgo de que lo despidan por sabotaje, espionaje o simplemente por violar las reglas locales.

Pero, ¿cómo se obtiene ese permiso cuando no hay conciencia del problema? Ahí es donde su idea de "discurso de ascensor" es buena. Recomendaría llevarlo a las personas relevantes en la jerarquía de la empresa en el orden correcto, comenzando con el personal de TI antes de ir a la gerencia/nivel C/directores. La dirección ha delegado la responsabilidad de las operaciones diarias en los administradores de sistemas, que son las personas que, en última instancia, tendrán que realizar los cambios. Presentar sus sugerencias como un edicto de lo alto solo servirá para alienar a las personas cuyo trabajo es implementar esas sugerencias.

9
user185

La conversación sobre seguridad con las personas con dinero es siempre una conversación sobre riesgo. No hagas discursos de ascensor demasiado dramatizados ni corras gritando sobre el fin del mundo. Esta es una manera fácil de desacreditarse fácilmente y, en general, ignorarse. En su lugar, hable con la empresa sobre lo que están tratando de lograr con sus sistemas y luego presente los riesgos actuales que corren como resultado de sus (falta de) controles de seguridad.

Si puede convencer a la empresa de que corren un riesgo que les costará £ 10 millones al año en incidentes, que puede eliminar con un control de £ 100,000 al año, es una obviedad. Aprovecharán la oportunidad de reducir de forma económica su riesgo total.

Todo lo que gasta la empresa debe justificarse en el contexto de la empresa. "No tenemos antivirus en nuestro servidor web público basado en Windows" no tiene sentido. "Somos vulnerables a que se interrumpa nuestro servicio una vez al año, con un costo de £ 2 millones cada vez", es significativo.

Una vez que haya construido su nuevo y elegante conjunto de controles de seguridad, el desafío es mantenerlos efectivos. La seguridad se trata tanto de procesos como de tecnología. Una vez que haya convencido a la empresa para que gaste algo de dinero en reducir su riesgo, el problema se convierte en alterar la percepción de que la seguridad es algo que usted compra. De hecho, es algo que tú haces.

2
growse

Un argumento importante: los desastres de seguridad no son preguntas que comiencen con "si". ¡Empiezan con "cuándo"!

Las políticas de seguridad adecuadas no eliminarán completamente los riesgos, porque es imposible. Pero reducirá drásticamente los riesgos y, por lo tanto, la tasa de desastres. En realidad, es una cuestión de inversión y retorno de la inversión. Gaste dinero para perder menos. Pensar debe ser el mismo que para un seguro de calidad.

2
Alexis Dufrenoy

Tiene que cuantificar el pago esperado: riesgo de daño * riesgo de probabilidad.

Esto supone que la persona con la que está hablando realmente se preocupa por el negocio. Eso puede sonar cínico, pero considere esto: la seguridad tiene un costo en dinero, capacitación, frustración. Estos se reflejan inmediatamente en la persona que implementa una mayor seguridad, pero las violaciones de seguridad y los desastres pueden no reflejarse en la persona. Si el jefe de esta persona solo ve los aspectos negativos (costo) de la seguridad y no culpa a la gente por los desastres, entonces no tiene sentido que esta persona aumente la seguridad.

Todo el gerente de cabeza puntiaguda de Dilbert realmente estereotipa un cierto tipo de gerente. El tipo de gerente que es muy bueno para no ser culpado de nada, sino para dejar que la empresa se incendie.

Básicamente, si se enfrenta a este tipo de disfunción, su discurso debe concentrarse en cómo hace que el gerente se vea mal y cómo aumentar la seguridad sin hacer que el gerente se vea mal por malgastar dinero en seguridad ("¿firewalls? se lleva bien y se va y gasta miles de dólares ").

1
Bradley Kreider