Indholdsfortegnelse:
- Dyrk en allieret og en sponsor
- Vær ikke en fuddy duddy
- Demonstrere hvordan organisationen ikke har råd til at blive hacket
- Skitsere de generelle fordele ved etisk hacking
- Vis, hvordan etisk hacking specifikt hjælper organisationen
- Bliv involveret i virksomheden
- Opret din troværdighed
- Taler på ledelsens niveau
- Vis værdi i din indsats
- Vær fleksibel og tilpasningsbar
Video: Nuclear Power and Bomb Testing Documentary Film 2024
Der findes dusinvis af vigtige trin for at opnå den buy-in og sponsorering, som du har brug for til at støtte din etiske hacking. Du skal muligvis bruge dem til at få den støtte, du har brug for.
Dyrk en allieret og en sponsor
At sælge etisk hacking og informationssikkerhed til ledelsen er ikke noget, du vil tackle alene. Få en allieret - helst din direkte manager eller nogen højere i organisationen. Vælg en person, der forstår værdien af etisk hacking samt informationssikkerhed generelt. Selvom denne person måske ikke kan tale direkte til dig, kan hun ses som en upartisk tredjeparts sponsor og give dig mere troværdighed.
Vær ikke en fuddy duddy
For at gøre et godt tilfælde for informationssikkerhed og behovet for etisk hacking, understøt din sag med relevante data.
Blæser ikke ting ud af proportioner for at røre op for frygt, usikkerhed og tvivl. Fokus på at uddanne ledelsen med praktiske råd. Rationel frygt proportional med truslen er fint.
Demonstrere hvordan organisationen ikke har råd til at blive hacket
Vis, hvor afhængig organisationen er på sine informationssystemer. Opret hvad-hvis scenarier for at vise, hvad der kan ske, hvordan organisationens omdømme kan blive beskadiget, og hvor længe organisationen kan gå uden at bruge netværket, computere og data.
Spørg øverste ledere hvad de ville gøre uden deres computersystemer og it-personale - eller hvad de ville gøre, hvis følsomme forretnings- eller kundeoplysninger blev kompromitteret. Vis virkelige anekdotiske beviser for hackerangreb, herunder malware, fysisk sikkerhed og samfundsmæssige problemer, men vær positivt over det.
Forbind ikke ledelsen negativt med FUD. I stedet holde dem informeret om alvorlige sikkerhedshændelser. For at hjælpe ledelsen vedrører, find historier vedrørende lignende virksomheder eller brancher. (En god ressource er fortegnelsen Privacy Rights Clearinghouse, Chronology of Data Breaches.)
Vis ledelse, at organisationen har, hvad en hacker ønsker. En fælles misforståelse blandt de uvidende om informationssikkerhedstrusler og sårbarheder er, at deres organisation eller netværk ikke er virkelig i fare. Sørg for at påpege de potentielle omkostninger fra skader forårsaget af hacking:
-
Manglende muligheder for omkostninger
-
Eksponering af intellektuel ejendomsret
-
Ansvarsspørgsmål
-
Juridiske omkostninger og domme
-
Compliance-relaterede bøder
-
Mistet produktivitet
-
Oprydningstid og hændelsesresponsudgifter
-
Udskiftningsomkostninger for tabte, eksponerede eller beskadigede oplysninger eller systemer
-
Omkostninger ved fastsættelse af et tarnished reputation
Skitsere de generelle fordele ved etisk hacking
Talk om, hvordan proaktiv test kan hjælpe med at finde sikkerhedsproblemer i informationssystemer, der normalt ikke kan overses.Fortæl ledelsen om, at informationssikkerhedsprøvning i forbindelse med etisk hacking er en måde at tænke på som onde, så du kan beskytte dig selv mod de onde.
Vis, hvordan etisk hacking specifikt hjælper organisationen
Dokumentfordele, som understøtter de overordnede forretningsmål:
-
Demonstrere, hvordan sikkerhed kan være billig og kan spare organisationens penge i det lange løb.
-
Sikkerhed er meget nemmere og billigere at bygge op foran end at tilføje senere.
-
Sikkerhed behøver ikke at være ubelejligt og kan muliggøre produktivitet, hvis det er gjort korrekt.
-
-
Diskuter, hvordan nye produkter eller tjenester kan udbydes til en konkurrencemæssig fordel, hvis der findes sikre informationssystemer.
-
Statlige og føderale regler om beskyttelse af personlige oplysninger og sikkerhed er opfyldt.
-
Forretningspartner og kundernes krav er opfyldt.
-
Ledere og virksomheden støder på virksomhed som værdig.
-
Etisk hacking og den passende afhjælpningsproces viser, at organisationen beskytter følsomme kunde- og forretningsoplysninger.
-
-
Skitsere overholdelsesfordelene ved dybtgående sikkerhedstest.
Bliv involveret i virksomheden
Forstå virksomheden - hvordan den fungerer, hvem de vigtigste aktører er, og hvad politik er involveret:
-
Gå til møder for at se og blive set.
-
Vær en værdig person, der er interesseret i at bidrage til virksomheden.
-
Kend din modstand.
Opret din troværdighed
Fokus på disse tre karakteristika:
-
Vær positiv på organisationen og bevis på, at du virkelig mener forretning.
-
Empathize med ledere og vise dem, at du forstår business side og hvad de er imod.
-
For at skabe et positivt forretningsforhold, skal du være troværdig.
Taler på ledelsens niveau
Ingen er virkelig så imponeret over techie talk. Tal i forhold til virksomheden. Dette nøgleelement ved at indhente buy-in er faktisk en del af etableringen af din troværdighed, men fortjener at blive noteret af sig selv.
Forbind sikkerhedsproblemer med hverdagens forretningsprocesser og jobfunktioner. Periode.
Vis værdi i din indsats
Hvis du kan demonstrere, at det, du laver, giver forretningsmæssig værdi løbende, kan du opretholde et godt tempo og ikke hele tiden kræve at holde dit etiske hackingprogram i gang. Vær opmærksom på disse punkter:
-
Dokumentér dit engagement i it- og informationssikkerhed og lav løbende rapporter til ledelsen vedrørende sikkerhedstilstanden i organisationen. Giv ledelseseksempler på, hvordan organisationens systemer sikres mod angreb.
-
Skitsér konkrete resultater som et bevis på konceptet. Vis eksempelrapport om sårbarhed, du har kørt på dine systemer eller fra sikkerhedsværktøjsleverandørerne.
-
Behandle tvivl, bekymringer og indsigelser fra øverste ledelse som anmodninger om mere information. Find svarene og gå tilbage væbnede og klar til at bevise din etiske hackingværdighed.
Vær fleksibel og tilpasningsbar
Forbered dig på skepsis og afvisning først.Det sker meget, især fra øverste ledere som CFO'er og administrerende direktører, der ofte er fuldstændig afbrudt fra it og sikkerhed i organisationen. En mellemledelsesstruktur, der lever for at skabe kompleksitet, er også en del af problemet.
Må ikke blive defensiv. Sikkerhed er en langsigtet proces, ikke et kortsigtet produkt eller en enkelt vurdering. Start små - brug en begrænset mængde ressourcer, såsom budget, værktøjer og tid, og bygg derefter programmet over tid.
Undersøgelser har fundet ud af, at nye ideer præsenteres tilfældigt og uden pres overvejes og har en højere acceptgrad end ideer, der er tvunget på mennesker inden for en frist.
