Convencer al jefe de la importancia de la privacidad y la seguridad

Navega tus respuestas
4

Trabajo para una empresa que no valora la privacidad y la seguridad de TI de la misma manera que yo. Es una pequeña empresa relativa que está acostumbrada a trabajar de esta manera sin que nadie se queje. Los empleados no parecen preocuparse y los clientes no tienen idea. Algunos de los problemas son:

  • Contraseñas impresas, nombre y direcciones de los clientes
  • No destruir estos documentos
  • La misma contraseña para la mayoría de los sistemas
  • etc. etc.

Ahora señalé que estos puntos son un problema grave y pueden causar daños importantes tanto a los clientes como a la reputación de la empresa. Sin embargo, no me toman en serio ya que solo soy el nerd de seguridad de TI. ¿Cuál es la mejor manera de acercarse a ellos y convencerlos de que esto es inaceptable? Sigo obstinadamente destruyendo todos los documentos con la esperanza de que más me sigan, sin suerte hasta ahora.

A pesar de que parece mucho como esta publicación no creo es lo mismo. Sin embargo, siéntase libre de marcarlo como un duplicado si me equivoco.

    
pregunta toom 04.04.2018 - 13:52
fuente

3 respuestas

3

Si su empresa está trabajando en Europa, dígale que en mayo se lanzará el GDPR y que todas las empresas que tengan una fuga de datos personales pueden sufrir la persecución de la ley y penalizar alrededor del 4% de los ingresos mundiales.

Más específicamente, ser una pequeña estructura era bastante seguro hace años. Pero hoy en día, la mayoría de los piratas informáticos están apuntando a estructuras pequeñas (porque no son seguras) para lanzar ransomware o realizar minería de bitcoins (lo que puede causar que sus servidores se mueran rápidamente y que su factura de electricidad sea aterradora).

la mayor parte del tiempo, durante una auditoría de gobierno, pregunto:

  • ¿Qué es tan sensible que no puedes perderlo?
  • Los correos electrónicos
  • ... no, no los correos electrónicos, si pierde el servidor de Exchange es molesto pero su compañía aún existe
  • hummm
  • ¿Qué pasa si pierdes tu ERP?
  • perdiendo el ERP?
  • Todo, la factura, los contactos, etc. Imagina que alguien rompe este servidor
  • No, no hagas eso, sin ERP no sabemos quién debe pagarnos, qué debemos entregar, es fundamental
  • sí lo es. Está bien, así que tienes el impacto. ¿Cuál es la probabilidad? El ERP no es del todo seguro porque la contraseña es mala, por lo que si alguien intenta romperla, tendrá éxito.
  • sí, pero nadie nos atacará
  • este es el último punto: la ocurrencia. ¿Con qué frecuencia alguien querrá molestarlo (empleado malvado, ex aprendiz, hacker)? ¿Realmente puedes decir nunca? No lo creo, nunca no existe. ¿Una vez cada 7 años? Está bien, no es frecuente ... pero cuando llegue, perderás toda tu compañía. ¿Cuánto se valora su empresa? 1 000 000? De acuerdo, su presupuesto anual de seguridad es de 1000000/7: 140k
respondido por el Sibwara 04.04.2018 - 14:43
fuente
3

Un enfoque que podría tomar es decirle pasivamente a "el jefe" que, dado que estás estudiando el tema, lo vas a investigar un poco más y que le enviarás información basada en lo que encuentres, al mismo tiempo que reiteras Su posición actual sobre el tema de seguridad de la información. Muchas veces, tiene que vender su posición en negocios / empleo / etc., y una buena manera de hacerlo como persona muy joven en cualquier organización es posicionar su postura de una manera que haga que "el jefe" se sienta como si estuviera. lo están ayudando (permitiéndole investigar / avanzar sus estudios / etc)

Esto le da una manera de articular sus pensamientos muy bien por escrito y citar algunas fuentes muy creíbles, IE experto social prueba .

Probablemente comenzaría con este sitio:

enlace

Me atrevería a suponer que todo el dominio "ftc.gov" llamará su atención. A partir de ahí, explique algunos de los principios que se aplicarían a su negocio (tal vez Gramm – Leach – Bliley actúe si ofrece servicios financieros, específicamente la regla de Salvaguardias?)

E incluya "destruyo documentos debido a esta guía":

enlace

publicado por el NIST, que forma parte del Departamento de Comercio (enlaces si lo desea)

...

Algo que se debe tener en cuenta es que una vez que presente la información suficiente, probablemente sea la persona más calificada para solucionar todos estos problemas; prepárate para hacerlo.

    
respondido por el they 05.04.2018 - 14:03
fuente
1

Lamentablemente, las pequeñas empresas no toman en serio la seguridad. Trabajé en una pequeña empresa y cuando mencioné la seguridad, la respuesta de mi jefe fue: "No te preocupes tanto. ¡Esto no es un banco!"

Como trabajador, lo único que puedes hacer es crear conciencia. Depende de la administración determinar si aceptar el riesgo o rechazarlo. Lo que deberá hacer es demostrar el costo de la seguridad frente a los beneficios que se le otorgarán. Así es como la gerencia ve el mundo: ¿cuál es la relación costo / beneficio? ¿Vale la pena asumir el riesgo?

Empezaría con los hechos. Descubra algunas violaciones recientes a la privacidad y lo que le ha costado a la compañía en cuestión. Luego compare lo que sucedió, cómo pudo haberse evitado y cuánto le costó a la empresa en términos de lo que su empresa está haciendo actualmente. Asegúrese de que la administración vea en términos claros en blanco y negro "Esta compañía hizo lo que estamos haciendo. Les costó 500,000 quatloons. Por un costo de 500 quatloons, podemos evitar que eso suceda". Eso muestra el riesgo y el costo, y ahora estás hablando con un idioma con el que se identifica la administración.

Al final, depende de la administración tomar esto en serio. Nosotros, como profesionales técnicos, conocemos el enfoque técnico correcto que debemos tomar; ahora necesitamos educar a la administración sobre los servicios y procesos correctos para garantizar que el negocio continúe.

    
respondido por el baldPrussian 04.04.2018 - 19:42
fuente

Lea otras preguntas en las etiquetas

Use la minería para evitar ataques DDOS en websocket: ¿Es esta una solución viable? ¿Cómo auditar el JavaScript escrito por otra persona antes de incluirlo en mi sitio?