Dez maneiras de obter Superior Management Buy-In para cortar o seu negócio
existem dezenas de passos-chave para a obtenção do buy-in e patrocínio que você precisa para apoiar seus esforços de hacking ético. Você pode precisar utilizá-los para obter o apoio de que necessita.
Menu
- Cultive um aliado e um patrocinador
- Não seja um duddy fuddy
- Demonstrar como a organização não pode dar ao luxo de ser cortado
- Delinear os benefícios gerais de hacking ético
- Mostrar como ethical hacking ajuda especificamente a organização
- Envolva-se no negócio
- Estabelecer a sua credibilidade
- Falar em nível de gestão
- Mostrar valor em seus esforços
- Ser flexível e adaptável
Cultive um aliado e um patrocinador
Venda de hacking ético e segurança da informação para a gestão não é algo que você quer resolver sozinho. Obter um aliado - de preferência o seu gerente direto ou alguém mais alto na organização. Escolha alguém que entende o valor de hacking ético, bem como a segurança da informação em geral. Embora esta pessoa pode não ser capaz de falar para você diretamente, ela pode ser vista como um patrocinador de terceiros imparcial e dar-lhe mais credibilidade.
Não seja um duddy fuddy
Para fazer um bom caso para a segurança da informação ea necessidade de hacking ético, apoiar o seu caso com dados relevantes.
No entanto, não explodir coisas fora de proporção por causa de agitar medo, incerteza e dúvida. Concentre-se em educar a gestão de conselhos práticos. medos racionais proporcionais à ameaça são muito bem.
Demonstrar como a organização não pode dar ao luxo de ser cortado
Mostram quão dependente a organização está em seus sistemas de informação. Crio e se cenários para mostrar o que pode acontecer, como a reputação da organização podem ser danificados, e por quanto tempo a organização pode ir sem usando a rede, computadores e dados.
Peça gerentes de nível superior o que faria sem seus sistemas de computador e pessoal de TI - ou o que eles fariam se o negócio ou cliente informação sensível foi comprometida. Mostram evidências do mundo real de ataques de hackers, incluindo malware, segurança física, e questões de engenharia social, mas ser positivo sobre isso.
Não se aproxime de gestão negativamente com FUD. Em vez disso, mantê-los informados sobre os acontecimentos graves de segurança. Para ajudar a gestão de relacionar, encontrar histórias sobre empresas ou indústrias similares. (Um bom recurso é o Privacy Rights Clearinghouse perfil, Cronologia das violações de dados.)
Mostrar a gestão que a organização faz tem o que um hacker quer. Um equívoco comum entre aqueles ignorantes sobre as ameaças à segurança da informação e vulnerabilidades é que a sua organização ou rede não é realmente em risco. Certifique-se de apontar os custos potenciais de danos causados por hackers:
custos de oportunidade perdida
Exposição da propriedade intelectual
questões de responsabilidade
Os custos legais e julgamentos
multas relacionadas à conformidade
perda de produtividade
custos de resposta tempo de limpeza e incidentes
Os custos de reposição de informação ou sistemas perdidos, expostos ou danificado
Custos de fixação de uma reputação manchada
Delinear os benefícios gerais de hacking ético
Fale sobre como testes pró-ativa pode ajudar a encontrar vulnerabilidades de segurança dos sistemas de informação que normalmente pode ser negligenciado. Diga gestão de que os testes de segurança da informação no contexto de hacking ético é uma maneira de pensar como os caras maus, para que você pode se proteger contra os maus.
Mostrar como Ethical Hacking ajuda especificamente a organização
benefícios de documentos que suportam os objetivos gerais de negócios:
Demonstrar como a segurança pode ser barato e pode salvar o dinheiro da organização no longo prazo.
A segurança é muito mais fácil e mais barato para construir a frente do que para adicionar mais tarde.
Segurança não tem de ser inconveniente e pode permitir que a produtividade se for feito corretamente.
Discutir como novos produtos ou serviços podem ser oferecidos para uma vantagem competitiva se os sistemas de informação seguro estão no lugar.
Os regulamentos estaduais e federais de privacidade e de segurança são cumpridos.
requisitos de parceiros de negócios e clientes estão satisfeitos.
Os gerentes e a empresa se deparar como um negócio digno.
hacking ético e do processo de remediação apropriado mostrar que a organização está a proteger clientes e informações comerciais sensíveis.
Delinear os benefícios de conformidade de testes de segurança em profundidade.
Envolva-se no negócio
Entender o negócio - como ele funciona, quem são os jogadores-chave, e que a política estão envolvidos:
Ir às reuniões para ver e ser visto.
Seja uma pessoa de valor que está interessado em contribuir para o negócio.
Conheça a sua oposição.
Estabelecer a sua credibilidade
Concentre-se sobre estas três características:
Seja positivo sobre a organização e provar que você realmente quer dizer negócio.
Empatia com os gestores e mostrar-lhes que você entenda o lado do negócio eo que eles estão enfrentando.
Para criar qualquer relação comercial positivo, você deve ser confiável.
Falar em nível de gestão
Ninguém é realmente impressionado com techie talk. Falar em termos de negócio. Este elemento-chave da obtenção de buy-in é na verdade parte de estabelecer a sua credibilidade, mas merece ser listado por si só.
Relacionar as questões de segurança nos processos de negócios todos os dias e funções de trabalho. Período.
Mostrar valor em seus esforços
Se você puder demonstrar que o que você está fazendo valor ofertas de negócios em uma base contínua, você pode manter um bom ritmo e não ter que implorar constantemente para manter o seu programa de hacking ético indo. Manter estes pontos em mente:
Documentar o seu envolvimento em segurança da informação TI e e criar relatórios em curso para a gestão sobre o estado da segurança na organização. Dê exemplos de como sistemas da organização será assegurada de ataques de gestão.
Esboço resultados tangíveis como uma prova de conceito. Mostrar a avaliação da vulnerabilidade amostra de relatórios executados em seus sistemas ou a partir dos fornecedores de ferramentas de segurança.
Trate as dúvidas, preocupações e objeções pela administração superior como pedidos de mais informações. Encontre as respostas e voltar armado e pronto para provar seu valor ético-hacking.
Ser flexível e adaptável
Prepare-se para o ceticismo e rejeição em primeiro lugar. Isso acontece muito, especialmente de gerentes de nível superior, tais como os CFOs e CEOs, que são muitas vezes completamente desconectadas de TI e de segurança na organização. A estrutura de gestão do meio que vive para criar complexidade é uma parte do problema também.
Não fique na defensiva. A segurança é um processo de longo prazo, não um produto de curto prazo ou de avaliação único. Comece pequeno - usar uma quantidade limitada de recursos, tais como orçamento, ferramentas e tempo, e então construir o programa ao longo do tempo.
Estudos descobriram que novas ideias apresentadas casualmente e sem pressão são considerados e têm uma maior taxa de aceitação de ideias que são forçados sobre as pessoas com um prazo.