Inhoudsopgave:
- Ontwikkel een bondgenoot en een sponsor
- Wees geen fuddy duddy
- Laat zien hoe de organisatie het zich niet kan veroorloven om gehackt te worden
- De algemene voordelen van ethisch hacken schetsen
- Laat zien hoe ethisch hacken specifiek de organisatie helpt
- Doe mee met het bedrijf
- Bepaal uw geloofwaardigheid
- Spreken op managementniveau
- Toon waarde in uw inspanningen
- Wees flexibel en aanpasbaar
Video: HIDDEN TEACHINGS of the Bible That Explain Manifestation, Consciousness & Oneness (POWERFUL Info!) 2024
Er zijn tientallen belangrijke stappen nodig om de buy-in en sponsoring te verkrijgen die u nodig hebt om uw ethische hackinginspanningen te ondersteunen. Mogelijk moet u deze gebruiken om de achtergrond te krijgen die u nodig hebt.
Ontwikkel een bondgenoot en een sponsor
Het verkopen van ethische hacking en informatiebeveiliging aan het management is niet iets dat u alleen wilt aanpakken. Krijg een bondgenoot - bij voorkeur je directe manager of iemand hoger in de organisatie. Kies iemand die de waarde van ethisch hacken begrijpt, evenals informatiebeveiliging in het algemeen. Hoewel deze persoon mogelijk niet direct voor u kan spreken, kan zij worden gezien als een onpartijdige externe sponsor en u meer geloofwaardigheid geven.
Wees geen fuddy duddy
Om een goed voorbeeld te zijn van informatiebeveiliging en de noodzaak van ethisch hacken, ondersteun je je zaak met relevante gegevens.
Blaas spullen echter niet buiten proportie omwille van het aanwakkeren van angst, onzekerheid en twijfel. Focus op het opleiden van management met praktisch advies. Rationele angsten die in verhouding staan tot de dreiging zijn prima.
Laat zien hoe de organisatie het zich niet kan veroorloven om gehackt te worden
Laat zien hoe afhankelijk de organisatie is van haar informatiesystemen. Maak what-if scenario's om te laten zien wat er kan gebeuren, hoe de reputatie van de organisatie kan worden beschadigd en hoe lang de organisatie kan gaan zonder gebruik te maken van het netwerk, computers en gegevens.
Vraag managers op het hoogste niveau wat ze zouden doen zonder hun computersystemen en IT-personeel - of wat ze zouden doen als gevoelige bedrijfs- of klantinformatie zou worden aangetast. Toon realistisch anekdotisch bewijs van hackeraanvallen, inclusief malware, fysieke beveiliging en social engineering, maar wees er positief over.
Het management niet negatief benaderen met FUD. In plaats daarvan houdt u hen op de hoogte van ernstige beveiligingsgebeurtenissen. Help het management om zich te verhouden door verhalen te vinden over vergelijkbare bedrijven of bedrijfstakken. (Een goede bron is de Clearinghouse-lijst met privacyrechten, Chronologie van gegevensverstoringen.)
Beheer weergeven dat de organisatie wel heeft wat een hacker wil. Een veelgehoorde misvatting bij degenen die onwetend zijn over bedreigingen van informatiebeveiliging en kwetsbaarheden is dat hun organisatie of netwerk niet echt in gevaar is. Zorg ervoor dat u wijst op de potentiële kosten van schade veroorzaakt door hacking:
-
Gemiste opportuniteitskosten
-
Blootstelling van intellectuele eigendom
-
Aansprakelijkheidskwesties
-
Juridische kosten en oordelen
-
Compliantie-gerelateerde boetes
-
Verloren productiviteit
-
Kosten van opschonen en incidenten
-
Vervangingskosten voor verloren, ontblote of beschadigde informatie of systemen
-
Kosten voor het herstellen van een beschadigde reputatie
De algemene voordelen van ethisch hacken schetsen
Talk over hoe proactieve tests kunnen helpen bij het vinden van beveiligingskwetsbaarheden in informatiesystemen die normaal over het hoofd worden gezien.Vertel management dat testen van informatiebeveiliging in de context van ethisch hacken een manier van denken is zoals de slechteriken, zodat u uzelf kunt beschermen tegen slechteriken.
Laat zien hoe ethisch hacken specifiek de organisatie helpt
Documentvoordelen die de algemene bedrijfsdoelen ondersteunen:
-
Laat zien hoe beveiliging goedkoop kan zijn en op de lange termijn het geld van de organisatie kan besparen.
-
Beveiliging is veel eenvoudiger en goedkoper om voor te bouwen dan om later toe te voegen.
-
Beveiliging hoeft niet ongelegen te zijn en kan productiviteit mogelijk maken als het goed wordt gedaan.
-
-
Bespreek hoe nieuwe producten of services kunnen worden aangeboden voor een concurrentievoordeel als er beveiligde informatiesystemen zijn.
-
Aan overheids- en federale privacy- en beveiligingsregels is voldaan.
-
Zakenpartners en klantbehoeften zijn tevreden.
-
Managers en het bedrijf zijn zakelijk waardig.
-
Ethisch hacken en het juiste herstelproces laten zien dat de organisatie gevoelige klant- en bedrijfsinformatie beschermt.
-
-
Geef een overzicht van de compliance-voordelen van diepgaande beveiligingstests.
Doe mee met het bedrijf
Begrijp het bedrijf - hoe het werkt, wie de belangrijkste spelers zijn en wat de politiek is:
-
Ga naar vergaderingen om te zien en gezien te worden.
-
Wees waardevol en geïnteresseerd in het bijdragen aan het bedrijf.
-
Ken uw tegenstand.
Bepaal uw geloofwaardigheid
Focus op deze drie kenmerken:
-
Wees positief over de organisatie en bewijs dat u het echt menens bent.
-
Meeleven met managers en laten zien dat u de zakelijke kant begrijpt en waar zij tegen opkomen.
-
Om een positieve zakelijke relatie te creëren, moet u betrouwbaar zijn.
Spreken op managementniveau
Niemand is echt zo onder de indruk van techneut. Praten in termen van het bedrijf. Dit sleutelelement van het verkrijgen van buy-in is eigenlijk een onderdeel van het vaststellen van uw geloofwaardigheid, maar verdient het op zichzelf te worden vermeld.
Breng beveiligingsproblemen in verband met alledaagse bedrijfsprocessen en functies. Periode.
Toon waarde in uw inspanningen
Als u kunt aantonen dat wat u doet, voortdurend toegevoegde waarde biedt voor uw bedrijf, kunt u een goed tempo aanhouden en hoeft u niet voortdurend te pleiten om uw ethische hackprogramma te blijven gebruiken. Houd rekening met het volgende:
-
Documenteer uw betrokkenheid bij IT en informatiebeveiliging en maak doorlopende rapporten voor het beheer met betrekking tot de staat van beveiliging in de organisatie. Geef managementvoorbeelden van hoe de systemen van de organisatie worden beveiligd tegen aanvallen.
-
Geef tastbare resultaten als een proof of concept. Geef voorbeelden van kwetsbaarheidsbeoordelingen weer die u op uw systemen of leveranciers van beveiligingshulpprogramma's hebt uitgevoerd.
-
Behandel twijfels, zorgen en bezwaren van het hogere management als verzoeken om meer informatie. Vind de antwoorden en ga gewapend terug en klaar om te bewijzen dat u ethisch verantwoord bent.
Wees flexibel en aanpasbaar
Bereid jezelf eerst voor op scepticisme en afwijzing.Het gebeurt veel, vooral van managers op het hoogste niveau zoals CFO's en CEO's, die vaak volledig zijn losgekoppeld van IT en beveiliging in de organisatie. Een middenkaderstructuur die leeft om complexiteit te creëren, is ook een partij bij het probleem.
Niet verdedigend worden. Beveiliging is een langdurig proces, geen product op korte termijn of een enkele beoordeling. Begin klein - gebruik een beperkt aantal bronnen, zoals budget, hulpmiddelen en tijd, en bouw het programma vervolgens op.
Studies hebben aangetoond dat nieuwe ideeën die nonchalant en zonder druk worden gepresenteerd, worden beschouwd en een hogere acceptatiegraad hebben dan ideeën die mensen onder een deadline worden opgedrongen.
