¿Cómo razonaría y trabajaría con el paranoico de seguridad en su equipo?

Considere la declaración de administración de riesgos habitual:

  

No gastes 1000 $ para proteger 100 $

Ahora, podría ser una situación en la que los ejecutivos no sepan que lo que quieren costará $ 1000; más probable es que no se den cuenta de que solo están protegiendo el valor de $ 100.

Si ese es el caso, podría considerar intentar implementar una metodología que proporcione algunos números difíciles, para reemplazar el vago sentimiento de inquietud que puede acompañar el temor a la gran palabra de miedo "SEGURIDAD". Si quieren ser fiscalmente responsables, deben tratar de entender los costos, riesgos y beneficios reales. Incluso trataría de tener esa discusión con ellos sin usar la palabra security , lo que parece confundirlos e irritarlos.

También es probable que, dado que no lo entienden, estén preocupados por cumplir con su diligencia debida y / o puedan ser responsables (ya sea de manera personal o corporativa) si cualquier cosa sale mal. Necesitan que se les muestre cómo hacer esto de manera efectiva, y aún así deben ser "lo suficientemente buenos", no para nunca ser pirateados, sino para que sea una compensación justa. Incluso si lo hacen son pirateados, necesitan una prueba plausible de haber cumplido con su diligencia, para no dañar su reputación (u otras consecuencias similares).

Recomiendo usar FAIR , que es una metodología cuantitativa para poner un precio a riesgos específicos.
También vea: "¿Cómo compara los riesgos ...?"

De cualquier manera, esto debería permitirle cambiar la conversación de la sensación de "seguridad" suave, espinosa e incómoda a una conversación dura sobre los costos, los beneficios y el dinero. Llévala siempre a mostrándoles el dinero .

En el peor de los casos, si nada más funciona, arme un plan de varios años costoso y gradual. Haga que priorice las cosas importantes, como las ve, y demore para los años posteriores los problemas que hubiera preferido evitar.
En la mayoría de las organizaciones, las cosas posteriores nunca se harán de todos modos. E incluso si lo hace, de esta manera, todavía está haciendo que hagan lo correcto, y están gastando dinero en la sensación de seguridad, lo que, a veces, también es importante.

La mejor parte es que, al estar en fases, puede incorporar en el plan un paso de reajuste, entre fases. Use esto como plataforma para un ciclo de vida completo de seguridad ... Puede seguir reajustando las fases sin importancia según sea necesario, para comprimir otras partes importantes.

A veces las cosas deben fallar y esto suena como una de esas veces. Mientras leo tu situación, estás a cargo de asegurar un proyecto problemático con subordinados y superiores persiguiendo un agujero de conejo de perfección. Así que esto es, en muchos sentidos, un problema de "carriles en la carretera". La alta dirección ha elegido fascinarse con los planes poco realistas de su personal sin trabajar a través de usted. Eso puede ser muy frustrante en varios niveles.

Considere esto como un momento de enseñanza y recuerde que volverá a estar aquí (si la compañía no se preocupa por esto). Hágale saber a su personal que cree que el equipo debe hablar con una sola voz. Hágales saber a sus jefes que se dirigen a un precipicio debido en gran parte a saltarse la cadena de decisión. Ten tu mejor consejo para el liderazgo en la mano y dalo. Si no puede hacer que escuchen, considere que es su prerrogativa no cambiar de rumbo, ya que en realidad son sus superiores.

Si esto sucede como espera, tal vez las decisiones futuras se tomarán de una manera más lógica. Si no, la organización está condenada y usted puede hacer muy poco para evitar más fallas. De cualquier manera, el punto es ayudarlo en lo que pueda y comprender los límites de su función y capacidad en los temas que sus superiores hayan decidido de una manera con la que no está de acuerdo.     

Un aspecto positivo del negocio aquí es que si soy el experto en seguridad contratado, alguien de más edad habrá acordado mi presupuesto, y eso ya me da algo de tracción.

Aparte de eso, cada decisión de seguridad debe basarse realmente en una decisión de riesgo empresarial y con la mejor voluntad en el mundo. La TI debe tener poco que ver con esa decisión, además de poder detallar los riesgos involucrados en varias opciones técnicas y explicar los problemas de implementación asociados con las decisiones.

Desde esa perspectiva, siempre he optado por un enfoque que comienza con la estrategia empresarial - > Estrategia de TI - > La estrategia de seguridad es tal que cuando una organización tiene un registro completo de riesgos en todos sus activos (no solo en los activos de TI), el argumento se convierte en:

• ¿Cuál es el riesgo calificado y el impacto de la aplicación X que está siendo explotada?
• ¿Qué porcentaje de esa cifra queremos presupuestar para una solución?
• ¿Qué solución es la mejor / la más adecuada teniendo en cuenta ese presupuesto?

Y el presupuesto podría ser costos únicos, costos de recursos renovables, etc., pero de cualquier manera se reduce a medir el riesgo de la empresa y tomar una decisión a nivel empresarial.

En el mundo real, no he tenido demasiados problemas, ya que la mayoría de las empresas quieren implementar el costo de seguridad de manera efectiva (o incluso barata) pero en la extraña organización en la que TI estaba acostumbrada a ser muy autónoma y poderosa, tiene Requiere algo de educación y un cambio de cultura.

En tres casos en los que puedo pensar, el paranoico de la seguridad no se ajustó bien y se fue, en lugar de integrarse más al riesgo del mundo real.

Creo que en el extraño caso en que la junta directiva cree que es paranoico en la seguridad, la única manera real sería dar ejemplos de lo que otras organizaciones están haciendo en la misma industria y en la misma industria y ayudarles a comparar cifras. p>     

  

¿Cómo moverías las cosas?

Dale trabajo de seguridad para hacer. Solicite un informe detallado o un estudio de comercio en plataformas. Haga que revise las CVE para el tipo de aplicación que está haciendo. Haz que genere métricas de complejidad y ejecute herramientas de análisis dinámico. Hazlo feliz dándole el trabajo que quiere hacer. Comparte el trabajo con él y utiliza al resto del equipo para que se centre en tus prioridades. Organice reuniones a las que está invitado, altamente estructurado, con una agenda, actas y un debate abierto limitado. No lo excluyas ni lo aisles. Notará eso y puede tomar medidas antagónicas, especialmente porque tiene el oído de la gerencia. Si no puedes cambiar de opinión, entonces reduce su efecto.