Inhaltsverzeichnis:
- Einen Verbündeten und einen Sponsor kultivieren
- Sei kein fauler Dummkopf
- Demonstrieren Sie, wie sich die Organisation es nicht leisten kann, gehackt zu werden
- Allgemeine Vorteile von ethischem Hacken
- Zeigen Sie, wie ethisches Hacken speziell der Organisation hilft.
- In das Geschäft einsteigen
- Stellen Sie Ihre Glaubwürdigkeit fest
- Sprechen Sie auf Managementebene
- Zeigen Sie Wert in Ihren Bemühungen
- Sei flexibel und anpassungsfähig
Video: How to Set Up Shopify – Dropshipping with Oberlo 2024
Es gibt Dutzende von wichtigen Schritten, um das Buy-In und das Sponsoring zu erhalten, die Sie benötigen, um Ihre ethischen Hacking-Bemühungen zu unterstützen. Möglicherweise müssen Sie sie verwenden, um die benötigte Unterstützung zu erhalten.
Einen Verbündeten und einen Sponsor kultivieren
Ethisches Hacking und Informationssicherheit an das Management zu verkaufen, ist etwas, das man nicht alleine angehen möchte. Holen Sie sich einen Verbündeten - vorzugsweise Ihren direkten Manager oder einen höheren Mitarbeiter in der Organisation. Wählen Sie jemanden, der den Wert ethischen Hackens sowie die Informationssicherheit im Allgemeinen versteht. Obwohl diese Person nicht in der Lage ist, direkt für Sie zu sprechen, kann sie als unvoreingenommener Sponsor angesehen werden und Ihnen mehr Glaubwürdigkeit verleihen.
Sei kein fauler Dummkopf
Um ein gutes Argument für Informationssicherheit und die Notwendigkeit ethischen Hackens zu machen, stütze deinen Fall mit relevanten Daten.
Aber blas nichts aus Verhältnissen, um Angst, Unsicherheit und Zweifel aufzuregen. Konzentrieren Sie sich auf die Ausbildung des Managements mit praktischer Beratung. Rationale Ängste, die proportional zur Bedrohung sind, sind in Ordnung.
Demonstrieren Sie, wie sich die Organisation es nicht leisten kann, gehackt zu werden
Zeigen Sie, wie abhängig die Organisation von ihren Informationssystemen ist. Erstellen Sie Was-wäre-wenn -Szenarien, um zu zeigen, was passieren kann, wie die Reputation des Unternehmens beschädigt werden kann und wie lange die Organisation ohne die Verwendung von Netzwerk, Computern und Daten gehen kann.
Fragen Sie die Manager auf höherer Ebene, was sie ohne ihre Computersysteme und ihr IT-Personal tun würden - oder was sie tun würden, wenn sensible Geschäfts- oder Kundeninformationen gefährdet würden. Zeigen Sie reale anekdotische Beweise für Hacker-Angriffe, einschließlich Malware, physische Sicherheit und Social-Engineering-Probleme, aber seien Sie positiv darüber.
Gehen Sie mit FUD nicht negativ an die Verwaltung heran. Halten Sie sie vielmehr über ernsthafte Sicherheitsereignisse auf dem Laufenden. Um das Management zu unterstützen, finden Sie Berichte über ähnliche Unternehmen oder Branchen. (Eine gute Ressource ist die Auflistung der Datenschutzrechte-Clearinghäuser, Chronologie von Datenverletzungen.)
Zeige Management, dass die Organisation hat, was ein Hacker wünscht. Ein verbreiteter Irrtum unter denen, die Informationen über Sicherheitsbedrohungen und Sicherheitslücken nicht kennen, ist, dass ihre Organisation oder ihr Netzwerk nicht wirklich gefährdet ist. Achten Sie darauf, die potenziellen Kosten durch Hackerangriffe aufzuzeigen:
-
Verpasste Opportunitätskosten
-
Interectual Property
-
Haftungsfragen
-
Prozesskosten und Urteile
-
Compliance-bezogene Geldstrafen
-
Lost Produktivität
-
Bereinigungszeit und Kosten für Vorfallsreaktionen
-
Ersatzkosten für verlorene, exponierte oder beschädigte Informationen oder Systeme
-
Kosten für die Behebung eines beschädigten Rufs
Allgemeine Vorteile von ethischem Hacken
Wie proaktives Testen helfen kann, Sicherheitslücken in Informationssystemen zu finden, die normalerweise übersehen werden könnten.Sagen Sie dem Management, dass Tests zur Informationssicherheit im Zusammenhang mit ethischem Hacken eine Denkweise wie die Bösen sind, damit Sie sich vor den Bösewichten schützen können.
Zeigen Sie, wie ethisches Hacken speziell der Organisation hilft.
Dokumentieren Sie Vorteile, die die allgemeinen Unternehmensziele unterstützen:
-
Zeigen Sie, wie Sicherheit kostengünstig sein kann und das Unternehmen langfristig Geld sparen kann.
-
Die Sicherheit ist viel einfacher und billiger, als später hinzuzufügen.
-
Sicherheit muss nicht unpraktisch sein und Produktivität ermöglichen, wenn sie ordnungsgemäß ausgeführt wird.
-
-
Besprechen Sie, wie neue Produkte oder Dienstleistungen angeboten werden können, um einen Wettbewerbsvorteil zu erzielen, wenn sichere Informationssysteme vorhanden sind.
-
Staatliche und bundesstaatliche Datenschutz- und Sicherheitsvorschriften werden erfüllt.
-
Geschäftspartner- und Kundenanforderungen werden erfüllt.
-
Führungskräfte und Unternehmen kommen als Unternehmen würdig rüber.
-
Ethisches Hacken und der geeignete Korrekturprozess zeigen, dass die Organisation sensible Kunden- und Geschäftsinformationen schützt.
-
-
Beschreiben Sie die Compliance-Vorteile von eingehenden Sicherheitstests.
In das Geschäft einsteigen
Das Unternehmen verstehen - wie es funktioniert, wer die Hauptakteure sind und welche Politik involviert ist:
-
Gehen Sie zu Meetings, um zu sehen und gesehen zu werden.
-
Sei eine Person von Wert, die daran interessiert ist, einen Beitrag zum Geschäft zu leisten.
-
Kenne deinen Widerstand.
Stellen Sie Ihre Glaubwürdigkeit fest
Konzentrieren Sie sich auf diese drei Merkmale:
-
Seien Sie der Organisation positiv gegenüber und beweisen Sie, dass Sie wirklich geschäftlich denken.
-
Machen Sie sich mit Managern einverstanden und zeigen Sie ihnen, dass Sie die geschäftliche Seite verstehen und wissen, worauf sie sich einlassen.
-
Um eine positive Geschäftsbeziehung zu schaffen, müssen Sie vertrauenswürdig sein.
Sprechen Sie auf Managementebene
Niemand ist wirklich so beeindruckt von Technikgesprächen. Sprechen Sie in Bezug auf das Geschäft. Dieses Schlüsselelement des Erhaltens von Buy-in ist tatsächlich Teil der Etablierung Ihrer Glaubwürdigkeit, aber verdient es, von selbst aufgelistet zu werden.
Beziehen Sie Sicherheitsprobleme auf alltägliche Geschäftsprozesse und Auftragsfunktionen. Zeitraum.
Zeigen Sie Wert in Ihren Bemühungen
Wenn Sie nachweisen können, dass das, was Sie tun, einen kontinuierlichen Geschäftswert bietet, können Sie ein gutes Tempo beibehalten und müssen nicht ständig dafür plädieren, Ihr ethisches Hacking-Programm am Laufen zu halten. Beachten Sie folgende Punkte:
-
Dokumentieren Sie Ihre Beteiligung an der IT- und Informationssicherheit und erstellen Sie für das Management fortlaufende Berichte über den Sicherheitsstatus in der Organisation. Geben Sie Managementbeispiele an, wie die Systeme der Organisation vor Angriffen geschützt werden.
-
Konkrete Ergebnisse als Machbarkeitsnachweis skizzieren. Zeigen Sie Beispiele für Berichte zur Schwachstellenbewertung an, die Sie auf Ihren Systemen oder von Anbietern von Sicherheitsprogrammen ausgeführt haben.
-
Behandeln Sie Bedenken, Bedenken und Einwände des oberen Managements als Anfragen nach weiteren Informationen. Finde die Antworten und gehe bewaffnet zurück, um deine ethische Hacking-Würdigkeit zu beweisen.
Sei flexibel und anpassungsfähig
Bereiten Sie sich zunächst auf Skepsis und Ablehnung vor.Es passiert viel, vor allem von höheren Managern wie CFOs und CEOs, die oft völlig von IT und Sicherheit in der Organisation getrennt sind. Auch eine mittlere Managementstruktur, die Komplexität schafft, ist Teil des Problems.
Verteidige dich nicht. Sicherheit ist ein langfristiger Prozess, kein kurzfristiges Produkt oder eine Einzelbewertung. Beginnen Sie klein - verwenden Sie eine begrenzte Menge an Ressourcen wie Budget, Tools und Zeit, und erstellen Sie das Programm dann im Laufe der Zeit.
Studien haben ergeben, dass neue Ideen, die beiläufig und ohne Druck präsentiert werden, berücksichtigt werden und eine höhere Akzeptanz haben als Ideen, die Menschen innerhalb einer Frist aufgezwungen werden.
