¿Cómo convencer a mi administración de un riesgo de seguridad física?

Adopte un enfoque pasivo y realice una evaluación de riesgos. La gestión de la seguridad es una forma de gestión de riesgos. Usted tiene activos que pueden tener amenazas y vulnerabilidades. Una amenaza que explota una vulnerabilidad es un riesgo, que se calcula mediante el cálculo (cuantitativo) o la estimación (cualitativa) de la probabilidad y el impacto (la mayoría de las veces es alta, media, baja, pero algunas organizaciones tienen la suya).

Primero expones el riesgo. Deriva el impacto de un atacante que tiene acceso a la red interna. Entonces evalúas la probabilidad y la complejidad técnica. En su caso, la parte difícil es obtener la aceptación de su gestión. Así que lo primero que hay que hacer es tomar referencias. Eche un vistazo si encuentra requisitos específicos para el tipo de negocio en el que se encuentra, el tamaño de su negocio y lo que las guías de mejores prácticas de la industria dicen que debería hacer (NIST). Es importante estructurar sus riesgos de esta manera, asegurando que tenga las dos razones técnicas, pero también un claro impacto en el negocio (¿qué va a costar esto al negocio?) (Al final, el negocio es de lo que se trata, TI es solo un facilitador ).

Como usted es del Reino Unido y piensa claramente que existe un riesgo para los datos privados, eche un vistazo a la Ley de protección de datos . Siempre es interesante mostrar lo que puede suceder al referirse a casos que guardan una similitud con su entorno actual. Asegúrese de que entiendan que la alta gerencia puede ser responsabilizada personalmente si se considera que tomaron decisiones equivocadas (por ejemplo, no arreglar esto), pero no las amenace ya que esto puede tener un efecto adverso.

También se encuentra el Regulación general de protección de datos de la UE, que se finalizará a finales de este año. Le permite a la UE multar a las empresas hasta el 5% de su facturación global en caso de que se encuentre una mala gestión de los datos personales.

Después de que haya realizado el informe, debe presentarlo a su gerencia, que es una persona responsable del negocio y una persona responsable de TI, así como su departamento de auditoría interna. Esa es la parte fácil. Ahora viene la parte difícil: vender seguridad .

Necesitará la participación de su alta gerencia para solucionar este problema, que probablemente costará dinero ya que necesitarán gastar recursos. Desafortunadamente, es muy difícil hacerlo, debe involucrar a sus partes interesadas en el proceso de seguridad y explicarles los beneficios. Es importante involucrar a todos los empleados en su proceso de seguridad. El ejecutivo de seguridad no puede vender la necesidad y la importancia de la función de seguridad a otros si las personas no la comprenden.

Ahora, la mejor manera de conseguir la aceptación es hacer que primero se entiendan. Asegúrese de pensar en una solución para cada problema que enfrenta, ya está a mitad de camino si puede encontrar una buena alternativa. En su caso, podría ser un administrador de contraseñas o el uso de credenciales de dominio (autenticación PEAP). No soy un fanático de permitir que cualquier dispositivo ingrese a la red interna, preferiblemente los únicos dispositivos permitidos deberían ser los emitidos por la compañía.

Tenga en cuenta que la empresa puede decidir aprobar el riesgo. Esto significa que están conscientes del riesgo, pero eligen no hacer nada con él. Al final solo hay tanto que puedes hacer. Para ser justos, no es raro que ocurra un incidente grave antes de que las personas empiecen a ver la importancia de la seguridad. Es triste, pero la dura verdad.

Hay diferentes maneras de lidiar con esto, desde cuestionables éticas pero altamente efectivas, hasta completamente pasivas.

Si realmente quiere mostrarles que los ataques físicos funcionan, interrumpa durante su próximo pentest. No me refiero a "agarrar una palanca", sino más bien entrar al vestíbulo, pasar por la recepción y caminar directamente a sus oficinas. Si requieren tarjetas con llave, el portón trasero está "al teléfono" y sosteniendo una taza de café. Sube a tu contacto y cuéntale lo que acabas de hacer. Solo sugiero esto si tienes una buena relación con el cliente, ya que está empujando los límites de la conducta ética.

En el terreno intermedio, podría explicarle que los ataques no se limitan a personas ajenas a la organización. Los miembros malintencionados son uno de los mayores problemas de seguridad en las organizaciones financieras, ya que son difíciles de identificar antes de hacer daño y tienden a obtener grandes cantidades de datos confidenciales. Respalde sus puntos con ejemplos del mundo real, como la filtración de Morrison hace un tiempo, donde un miembro del personal completamente no técnico sin acceso especial pudo robar grandes cantidades de información personal sobre el personal de la compañía. Aclare el impacto: pesadilla de RP, desembolso financiero significativo (costos de IR, cobertura de informe de crédito para el personal, pérdida directa de ingresos) y debilitamiento de la moral del personal.

Si desea adoptar un enfoque pragmático, dígale que lo mire desde una perspectiva de riesgo fiscal: pregúntele cuánto le costaría directamente al negocio si se filtraran los datos (adapte el tipo de datos a las joyas de la corona de la organización). - clientes, código, lo que sea) y cuánto costaría hacer toda la respuesta al incidente y las relaciones públicas asociadas. Es probable que esa cifra total sea varios órdenes de magnitud mayor que el costo de un pentest interno. Ahora, expréselo como la apuesta: están apostando esa cantidad de dinero que no se les hará estallar en el futuro previsible (por ejemplo, 2-3 años). Luego, exprese la alternativa: gaste varios órdenes de magnitud menos para un pentest interno, y los costos esperados de y de la brecha disminuyen.

Alternativamente, tome el enfoque pasivo. Tenga en cuenta por escrito, en algún lugar, que ha expresado su opinión de que están siguiendo malas prácticas. Que acepten el riesgo: después de todo, depende de ellos. Si no se hacen estallar en el futuro, suerte ellos. Si se hacen estallar, llámalos. Estarán escuchando ahora.

Varias buenas ideas aquí. Solo quiero agregar un par más y todavía no tengo derechos de 'comentario':

1.) Nosotros en TI miramos las cosas desde un punto de vista tecnológico. Las personas que necesita para convencerlo probablemente lo vean desde el punto de vista de business . Necesitas poder ponerlo en números de $ $ $ $ para ellos. Esto es en realidad relativamente fácil.

Risk = Cost of Breach * Probability

El lugar donde obtenga estos números depende de usted, pero deben estar documentados en su propuesta IMPRESA. Hay muchas fuentes por ahí. Por ejemplo, el Instituto Ponemon hace un estudio anual. Ellos estiman un costo de $ 201 por récord robado. Deberá ajustar los números según el tipo de datos que tenga, la industria, etc. El punto es que usted averigua cuál es el peor de los casos en caso de ser penetrado a través de este método. (por ejemplo, todos nuestros registros de clientes son robados) ¿Cuánto costaría eso? (Tenemos 1500 clientes. A $ 201 por cliente, el costo sería de $ 301,500).

Ahora tome ese número y multiplíquelo por la probabilidad de que esto suceda este año. Nuevamente, esto va a requerir mucho trabajo de suposiciones y suposiciones. Encuentre algunas fuentes que se aplican a su industria y a su empresa. Mitigue este número basándose en las sugerencias que otros han dado anteriormente. (por ejemplo, su pentest demuestra que es MUY fácil para una persona al azar ingresar, obtener la contraseña y salir). Entonces, si el 5% de la industria tuvo un evento de seguridad el año pasado, pero estima que es MÁS vulnerable debido a que la seguridad no está a la par con otras compañías similares, tal vez el doble de probabilidad. En este caso su fórmula se convierte en:

Risk = $301,500 * 10%

Risk = $30,150

Si puede mostrárselo a su jefe en un documento de una sola página BIEN EL TIPO, debería poder obtener fácilmente un presupuesto de hasta ese punto para mitigar el riesgo. Se trata de hablar su idioma.

El segundo punto en el que quería relacionar la razón por la que enfaticé un informe IMPRIMIDO. Si es posible, insista en obtener una firma física en el informe que reconozca que el jefe lo ha visto. Él entenderá que lo estás tomando en serio (y es más probable que actúe en consecuencia) y tienes un BIG CYA cuando (no si) te piratean.

¡Buena suerte!