¿Cuáles son las buenas maneras de educar sobre la seguridad de TI en una empresa?

21

Trabajo en una empresa en la que la seguridad es una preocupación de "un incendio, se olvida para siempre". El administrador configura una solución y rara vez la sigue y la mantiene. Como resultado, tenemos una política de seguridad que es un tipo de queso suizo: lleno de agujeros.

Por ejemplo:

  • las políticas de seguridad de contraseña requieren cambiar cada xx días sin retroceso, pero las cuentas cuyas contraseñas no se cambian se entregan a nadie para acceder a carpetas especiales y bases de datos, incluso a los internos que luego se van con la información inmutable
  • antivirus de escritorio y de red, pero no hay políticas contra unidades USB. Hasta ahora, la mayoría de los virus se detectan y el culpable es regañado, pero una vez con un día de 0 días es suficiente ...

Tengo la sensación de que la seguridad es una preocupación cosmética aquí; la gerencia quiere que se la vea haciendo algo, pero no está haciendo lo correcto, o no todo lo que se debe hacer.

Pensé en mostrarse sombrío para demostrar los problemas de una manera dramática, pero no creo que sea la manera correcta de educar a las personas sobre la seguridad en este contexto (tal vez en una compañía completamente centrada en la seguridad, donde todos entienden la situación ).

Así que me pregunto sobre una buena manera de hacer girar la necesidad de una estrategia de seguridad más resistente. No estoy en posición de señalar blogs y asesorar a expertos directos, porque la administración no habla inglés.

Estaba pensando en hacer un lanzamiento de ascensor con algunos reclamos dramáticos o una demostración de diez minutos de problemas existentes.

¿Qué piensas de estas ideas? ¿Hay formas recomendadas de señalar fallas de seguridad cuando se audita a un cliente para no alienarlo al decir básicamente que "ese es un trabajo a medias"? ¿Hay demostraciones particularmente efectivas (solo lanzar un cortafuego? Pero eso limita con el uso del sombrero gris) que recomendarías?

    
pregunta samy 19.11.2010 - 10:56
fuente

5 respuestas

10

Lo que me ha funcionado en varias ocasiones es pegar el siguiente cuadro en frente de la administración:

Despliegue la lista de amenazas (columna izquierda) y pregunte si creen que alguna de las personas descritas puede dañar el negocio.

Si es así, entonces puedes haber ganado una batalla. Ahora puede describir lo que se necesita para abordar cada una de esas amenazas.

@atdre hizo un gran comentario sobre esta tabla en una pregunta diferente:

  

No me gusta esto porque no transmite el poder de colusión o conspiración. La comunidad clandestina y la economía clandestina ponen a todos estos tipos en la misma sala juntos y les dan herramientas para comerciar. - atdre '

Por lo tanto, es posible que desee ampliar la lista de amenazas para incluir comunidades.

    
respondido por el Tate Hansen 20.11.2010 - 03:28
fuente
9

El lanzamiento de un ataque "simulado" contra la red de su empresa solo debe hacerse con un permiso explícito y por escrito de la alta gerencia, basado en un entendimiento del alcance de su trabajo y las limitaciones acordadas en los resultados de su ataque. De lo contrario, corre el riesgo de ser despedido por sabotaje, espionaje o simplemente por violar las reglas locales.

Pero, ¿cómo se obtiene ese permiso cuando no hay conciencia del problema? Ahí es donde tu idea de "lanzamiento de ascensor" es buena. Recomiendo llevarlo a las personas relevantes en la jerarquía de la empresa en el orden correcto , comenzando con el personal de TI antes de ir a la gerencia / nivel C / directores. La administración ha delegado la responsabilidad de las operaciones diarias a los administradores de sistemas, que son las personas que finalmente tendrán que realizar cambios. Presentar sus sugerencias como un edicto desde lo alto solo servirá para alejar a las personas cuyo trabajo es implementar esas sugerencias.

    
respondido por el user185 19.11.2010 - 14:32
fuente
2

La conversación sobre seguridad con las personas con dinero es siempre una conversación sobre riesgo. No haga lanzamientos de ascensores demasiado dramatizados, ni corra gritando sobre el fin del mundo. Esta es una forma fácil de desacreditarse fácilmente y, en general, ignorarse. En su lugar, hable con la empresa sobre lo que están tratando de lograr con sus sistemas y luego presente los riesgos actuales que están soportando como resultado de su (falta de) controles de seguridad.

Si puede convencer a la empresa de que están asumiendo un riesgo que les costará £ 10 millones por año en incidentes, que puede eliminar con un control de 100,000 € pa, no hay duda. Aprovecharán la oportunidad de reducir de forma económica su riesgo total.

Todo lo que el negocio gasta debe justificarse en el contexto del negocio. "No tenemos antivirus en nuestro servidor web público basado en Windows" no tiene sentido. "Somos vulnerables a que nuestro servicio se interrumpa una vez al año y cueste 2 millones de libras cada vez" es significativo.

Una vez que hayas construido tu nuevo y elegante conjunto de controles de seguridad, el desafío de mantenerlos en vigencia. La seguridad se trata tanto del proceso como de la tecnología. Una vez que haya convencido a la empresa de gastar algo de dinero para reducir su riesgo, el problema se convierte en una alteración de la percepción de que la seguridad es algo que compra . De hecho, es algo que haces .

    
respondido por el growse 19.11.2010 - 16:40
fuente
2

Un argumento importante: los desastres de seguridad no son preguntas que comienzan con "si". ¡Comienzan con "cuándo"!

Las políticas de seguridad correctas no eliminarán completamente los riesgos, porque es imposible. Pero reducirá drásticamente los riesgos y, por lo tanto, la tasa de desastres. Es una cuestión de inversión y retorno de la inversión, en realidad. Gasta dinero para que pierdas menos. Pensar debe ser el mismo que para un seguro de calidad.

    
respondido por el Alexis Dufrenoy 20.11.2010 - 14:35
fuente
1

Debe cuantificar el pago esperado: riesgo de riesgo * probabilidad de riesgo.

Esto supone que la persona con la que está hablando realmente se preocupa por el negocio. Eso puede sonar cínico, pero considere esto: la seguridad tiene un costo en dinero, entrenamiento, frustración. Estos se reflejan inmediatamente en la persona que implementa una mayor seguridad, pero las violaciones de seguridad y los desastres pueden no reflejarse en la persona. Si el jefe de esta persona solo ve los aspectos negativos (costo) para la seguridad y no culpa a las personas por los desastres, entonces no tiene sentido que esta persona aumente la seguridad.

Todo el gerente de Dilbert Pointy Head realmente estereotipa a cierto tipo de gerente. El tipo de gerente que es muy bueno en no ser culpado por nada, sino en dejar que la empresa se incendie.

Básicamente, si te enfrentas a este tipo de disfunción, tu tono debe concentrarse en cómo hace que el gerente se vea mal, y en cómo aumentar la seguridad sin hacer que el gerente se vea mal por perder dinero en seguridad ("¿firewalls? "Me he estado llevando muy bien y él va y desperdicia miles de dólares").

    
respondido por el rox0r 23.11.2010 - 17:40
fuente

Lea otras preguntas en las etiquetas