Adopte un enfoque pasivo y realice una evaluación de riesgos. La gestión de la seguridad es una forma de gestión de riesgos. Usted tiene activos que pueden tener amenazas y vulnerabilidades. Una amenaza que explota una vulnerabilidad es un riesgo, que se calcula mediante el cálculo (cuantitativo) o la estimación (cualitativa) de la probabilidad y el impacto (la mayoría de las veces es alta, media, baja, pero algunas organizaciones tienen la suya).
Primero expones el riesgo. Deriva el impacto de un atacante que tiene acceso a la red interna. Entonces evalúas la probabilidad y la complejidad técnica. En su caso, la parte difícil es obtener la aceptación de su gestión. Así que lo primero que hay que hacer es tomar referencias. Eche un vistazo si encuentra requisitos específicos para el tipo de negocio en el que se encuentra, el tamaño de su negocio y lo que las guías de mejores prácticas de la industria dicen que debería hacer (NIST). Es importante estructurar sus riesgos de esta manera, asegurando que tenga las dos razones técnicas, pero también un claro impacto en el negocio (¿qué va a costar esto al negocio?) (Al final, el negocio es de lo que se trata, TI es solo un facilitador ).
Como usted es del Reino Unido y piensa claramente que existe un riesgo para los datos privados, eche un vistazo a la Ley de protección de datos . Siempre es interesante mostrar lo que puede suceder al referirse a casos que guardan una similitud con su entorno actual. Asegúrese de que entiendan que la alta gerencia puede ser responsabilizada personalmente si se considera que tomaron decisiones equivocadas (por ejemplo, no arreglar esto), pero no las amenace ya que esto puede tener un efecto adverso.
También se encuentra el Regulación general de protección de datos de la UE, que se finalizará a finales de este año. Le permite a la UE multar a las empresas hasta el 5% de su facturación global en caso de que se encuentre una mala gestión de los datos personales.
Después de que haya realizado el informe, debe presentarlo a su gerencia, que es una persona responsable del negocio y una persona responsable de TI, así como su departamento de auditoría interna. Esa es la parte fácil. Ahora viene la parte difícil: vender seguridad .
Necesitará la participación de su alta gerencia para solucionar este problema, que probablemente costará dinero ya que necesitarán gastar recursos. Desafortunadamente, es muy difícil hacerlo, debe involucrar a sus partes interesadas en el proceso de seguridad y explicarles los beneficios. Es importante involucrar a todos los empleados en su proceso de seguridad. El ejecutivo de seguridad no puede vender la necesidad y la importancia de la función de seguridad a otros si las personas no la comprenden.
Ahora, la mejor manera de conseguir la aceptación es hacer que primero se entiendan. Asegúrese de pensar en una solución para cada problema que enfrenta, ya está a mitad de camino si puede encontrar una buena alternativa. En su caso, podría ser un administrador de contraseñas o el uso de credenciales de dominio (autenticación PEAP). No soy un fanático de permitir que cualquier dispositivo ingrese a la red interna, preferiblemente los únicos dispositivos permitidos deberían ser los emitidos por la compañía.
Tenga en cuenta que la empresa puede decidir aprobar el riesgo. Esto significa que están conscientes del riesgo, pero eligen no hacer nada con él. Al final solo hay tanto que puedes hacer. Para ser justos, no es raro que ocurra un incidente grave antes de que las personas empiecen a ver la importancia de la seguridad. Es triste, pero la dura verdad.