目次:
- 味方とスポンサーを育成する
- <! - 2 - >
- 組織の倫理的ハッキングが具体的にどのように役立つかを示します。
- セキュリティを安価にする方法を示し、長期的には組織の資金を節約できます。
- 会議に出席して見えるようにする。
- 組織について肯定的であり、あなたが本当にビジネスを意味することを証明します。
- セキュリティの問題を日常のビジネスプロセスや職務と関連づけます。期間。
- ITと情報セキュリティへの関与を文書化し、組織内のセキュリティの状態に関する管理のための継続的なレポートを作成します。
- 守らないでください。セキュリティは長期的なプロセスであり、短期的な製品や単一の評価ではありません。小規模に開始する - 予算、ツール、時間などの限られた量のリソースを使用し、時間の経過とともにプログラムを構築します。研究は、締め切りの下で人々に強制されるアイデアよりも、気軽に、そしてプレッシャーなしに提示される新しいアイデアが考慮され、受け入れ率が高いことを研究によって見出した。
バイインとスポンサーシップを獲得するためには、倫理的なハッキング活動をサポートするために必要な数十の重要なステップがあります。必要なバッキングを得るためにそれらを利用する必要があるかもしれません。
味方とスポンサーを育成する
倫理的ハッキングと情報セキュリティを経営者に売ることは、あなたが一人で取り組むことではありません。同盟国を獲得してください - あなたの直属のマネージャーまたは組織内の上位の人。倫理的なハッキングの価値と一般的な情報セキュリティを理解している人を選んでください。この人はあなたに直接話すことができないかもしれませんが、彼女は不公平な第三者スポンサーとみなされ、より信頼できるものになります。
<!情報セキュリティと倫理的なハッキングの必要性を立証するためには、関連するデータを使用してケースをサポートしてください。 - 1 - >しかし、恐怖、不確実性、そして疑念をかき立てるために、比例したものを吹き飛ばさないでください。実践的な助言を得て経営陣の教育に注力する。脅威に比例した合理的な恐怖は問題ありません。
組織がどのようにハッキングされる余裕がないかを示す
<! - 2 - >
組織が情報システムにどのように依存しているかを示します。何が起きる可能性があるか、組織の評判がどのように損なわれる可能性があるか、組織がネットワーク、コンピュータ、およびデータを使用せずに行くことができるかどうかを示すwhat-if シナリオを作成します。 上級管理職に、コンピュータシステムやIT担当者がいなくても何をするか、または機密性の高いビジネス情報やクライアント情報が漏洩した場合の対応について質問します。マルウェア、物理的セキュリティ、ソーシャルエンジニアリングの問題など、ハッカーの攻撃に関する実際の事例を示してください。
<! - 3 - >
経営陣にFUDを否定的にアプローチしないでください。むしろ、深刻なセキュリティの事実を知らせてください。経営陣が関連するのを助けるために、同様のビジネスまたは業界に関する話題を見つける。 (良い情報源は、Privacy Rights Clearinghouseのリスト、データ侵害の年表です。)組織はハッカーの望むものを
持っていることを管理者に示します。情報セキュリティの脅威と脆弱性に無知な人々の間でよく見かける誤解は、組織やネットワークが本当に危険にさらされていないということです。 逃した機会費用 知的財産権の暴露
-
責任問題
-
法的費用と判決
-
コンプライアンス関連罰金
-
紛失生産性
-
浄化時間とインシデント対応コスト
-
紛失、暴露、または損傷した情報またはシステムの交換コスト
-
傷ついた評判の修正コスト
-
倫理ハッキングの一般的な利点の概要
-
通常は見過ごされる可能性のある情報システムのセキュリティ脆弱性の発見にプロアクティブなテストがどのように役立つかについて説明します。倫理的なハッキングというコンテキストでの情報セキュリティテストは、悪質な人たちのように考えて、悪質な人たちから身を守ることができるということを経営陣に伝えてください。
組織の倫理的ハッキングが具体的にどのように役立つかを示します。
全体的なビジネス目標をサポートするメリットを文書化します。
セキュリティを安価にする方法を示し、長期的には組織の資金を節約できます。
セキュリティは、後で追加するよりもはるかに簡単で安価です。
-
セキュリティが不便である必要はなく、正常に完了していれば生産性を高めることができます。
-
安全な情報システムが整備されている場合、競争優位性のために新しい製品やサービスを提供する方法について話し合う。
-
州および連邦のプライバシーとセキュリティの規制が満たされている。
-
-
ビジネスパートナーと顧客の要件が満たされている。
-
マネージャーと会社は価値のあるビジネスとして出会います。
-
倫理的なハッキングと適切な修復プロセスは、組織が機密性の高い顧客やビジネス情報を保護していることを示しています。
-
詳細なセキュリティテストのコンプライアンス効果の概要を説明します。
-
ビジネスに参加する
-
-
ビジネスの仕組み、主要プレーヤーと政治関係を理解する。
会議に出席して見えるようにする。
ビジネスに貢献することに関心を持つ価値のある人物です。
-
あなたの野党を知ってください。
-
信頼性を確立する
-
次の3つの特性に焦点を当てます。
組織について肯定的であり、あなたが本当にビジネスを意味することを証明します。
経営陣と共感し、ビジネス面とそれが何であるかを理解していることを示します。
-
積極的なビジネス関係を構築するには、信頼できるものでなければなりません。
-
経営者のレベルで話す
-
本当に誰もテクニーク・トークに感動しません。ビジネス面で話す。バイインを取得するこの重要な要素は、実際にあなたの信頼性を確立することの一部ですが、それ自体で一覧表示する価値があります。
セキュリティの問題を日常のビジネスプロセスや職務と関連づけます。期間。
あなたの努力の価値を示す
あなたがやっていることがビジネス上の価値を継続的に提供していることを実証できれば、良いペースを維持し、倫理的なハッキングプログラムを続けることを絶えず訴える必要はありません。以下の点に留意してください。
ITと情報セキュリティへの関与を文書化し、組織内のセキュリティの状態に関する管理のための継続的なレポートを作成します。
組織のシステムが攻撃からどのように保護されるかの管理例を挙げてください。
-
概念実証としての具体的な結果の概要。 システムまたはセキュリティツールベンダーから実行したサンプルの脆弱性評価レポートを表示します。
-
上層部の疑義、懸念、異議をより多くの情報の要求として扱う。 答えを見つけて武装して戻って、あなたの倫理的なハッキングの価値を証明してください。
-
柔軟で適応性がある 最初は懐疑主義と拒絶反応に備えます。特に、CFOやCEOなどの上位レベルのマネージャーからは、多くの場合、IT部門や組織内のセキュリティから完全に切り離されています。複雑さを生み出すために生きる中規模の管理構造も問題の一環です。
守らないでください。セキュリティは長期的なプロセスであり、短期的な製品や単一の評価ではありません。小規模に開始する - 予算、ツール、時間などの限られた量のリソースを使用し、時間の経過とともにプログラムを構築します。研究は、締め切りの下で人々に強制されるアイデアよりも、気軽に、そしてプレッシャーなしに提示される新しいアイデアが考慮され、受け入れ率が高いことを研究によって見出した。
