Dez maneiras de obter Superior Management Buy-In para cortar o seu negócio

existem dezenas de passos-chave para a obtenção do buy-in e patrocínio que você precisa para apoiar seus esforços de hacking ético. Você pode precisar utilizá-los para obter o apoio de que necessita.

Cultive um aliado e um patrocinador

Venda de hacking ético e segurança da informação para a gestão não é algo que você quer resolver sozinho. Obter um aliado - de preferência o seu gerente direto ou alguém mais alto na organização. Escolha alguém que entende o valor de hacking ético, bem como a segurança da informação em geral. Embora esta pessoa pode não ser capaz de falar para você diretamente, ela pode ser vista como um patrocinador de terceiros imparcial e dar-lhe mais credibilidade.

Não seja um duddy fuddy

Para fazer um bom caso para a segurança da informação ea necessidade de hacking ético, apoiar o seu caso com dados relevantes.

No entanto, não explodir coisas fora de proporção por causa de agitar medo, incerteza e dúvida. Concentre-se em educar a gestão de conselhos práticos. medos racionais proporcionais à ameaça são muito bem.

Demonstrar como a organização não pode dar ao luxo de ser cortado

Mostram quão dependente a organização está em seus sistemas de informação. Crio e se cenários para mostrar o que pode acontecer, como a reputação da organização podem ser danificados, e por quanto tempo a organização pode ir sem usando a rede, computadores e dados.

Peça gerentes de nível superior o que faria sem seus sistemas de computador e pessoal de TI - ou o que eles fariam se o negócio ou cliente informação sensível foi comprometida. Mostram evidências do mundo real de ataques de hackers, incluindo malware, segurança física, e questões de engenharia social, mas ser positivo sobre isso.

Não se aproxime de gestão negativamente com FUD. Em vez disso, mantê-los informados sobre os acontecimentos graves de segurança. Para ajudar a gestão de relacionar, encontrar histórias sobre empresas ou indústrias similares. (Um bom recurso é o Privacy Rights Clearinghouse perfil, Cronologia das violações de dados.)

Mostrar a gestão que a organização faz tem o que um hacker quer. Um equívoco comum entre aqueles ignorantes sobre as ameaças à segurança da informação e vulnerabilidades é que a sua organização ou rede não é realmente em risco. Certifique-se de apontar os custos potenciais de danos causados ​​por hackers:

• custos de oportunidade perdida

• Exposição da propriedade intelectual

• questões de responsabilidade

• Os custos legais e julgamentos

• multas relacionadas à conformidade

• perda de produtividade

• custos de resposta tempo de limpeza e incidentes

• Os custos de reposição de informação ou sistemas perdidos, expostos ou danificado

• Custos de fixação de uma reputação manchada

Delinear os benefícios gerais de hacking ético

Fale sobre como testes pró-ativa pode ajudar a encontrar vulnerabilidades de segurança dos sistemas de informação que normalmente pode ser negligenciado. Diga gestão de que os testes de segurança da informação no contexto de hacking ético é uma maneira de pensar como os caras maus, para que você pode se proteger contra os maus.

Mostrar como Ethical Hacking ajuda especificamente a organização

benefícios de documentos que suportam os objetivos gerais de negócios:

• Demonstrar como a segurança pode ser barato e pode salvar o dinheiro da organização no longo prazo.

• A segurança é muito mais fácil e mais barato para construir a frente do que para adicionar mais tarde.

• Segurança não tem de ser inconveniente e pode permitir que a produtividade se for feito corretamente.

Discutir como novos produtos ou serviços podem ser oferecidos para uma vantagem competitiva se os sistemas de informação seguro estão no lugar.

Os regulamentos estaduais e federais de privacidade e de segurança são cumpridos.

requisitos de parceiros de negócios e clientes estão satisfeitos.

Os gerentes e a empresa se deparar como um negócio digno.

hacking ético e do processo de remediação apropriado mostrar que a organização está a proteger clientes e informações comerciais sensíveis.

Delinear os benefícios de conformidade de testes de segurança em profundidade.

Envolva-se no negócio

Entender o negócio - como ele funciona, quem são os jogadores-chave, e que a política estão envolvidos:

• Ir às reuniões para ver e ser visto.

• Seja uma pessoa de valor que está interessado em contribuir para o negócio.

• Conheça a sua oposição.

Estabelecer a sua credibilidade

Concentre-se sobre estas três características:

• Seja positivo sobre a organização e provar que você realmente quer dizer negócio.

• Empatia com os gestores e mostrar-lhes que você entenda o lado do negócio eo que eles estão enfrentando.

• Para criar qualquer relação comercial positivo, você deve ser confiável.

Falar em nível de gestão

Ninguém é realmente impressionado com techie talk. Falar em termos de negócio. Este elemento-chave da obtenção de buy-in é na verdade parte de estabelecer a sua credibilidade, mas merece ser listado por si só.

Relacionar as questões de segurança nos processos de negócios todos os dias e funções de trabalho. Período.

Mostrar valor em seus esforços

Se você puder demonstrar que o que você está fazendo valor ofertas de negócios em uma base contínua, você pode manter um bom ritmo e não ter que implorar constantemente para manter o seu programa de hacking ético indo. Manter estes pontos em mente:

• Documentar o seu envolvimento em segurança da informação TI e e criar relatórios em curso para a gestão sobre o estado da segurança na organização. Dê exemplos de como sistemas da organização será assegurada de ataques de gestão.

• Esboço resultados tangíveis como uma prova de conceito. Mostrar a avaliação da vulnerabilidade amostra de relatórios executados em seus sistemas ou a partir dos fornecedores de ferramentas de segurança.

• Trate as dúvidas, preocupações e objeções pela administração superior como pedidos de mais informações. Encontre as respostas e voltar armado e pronto para provar seu valor ético-hacking.

Ser flexível e adaptável

Prepare-se para o ceticismo e rejeição em primeiro lugar. Isso acontece muito, especialmente de gerentes de nível superior, tais como os CFOs e CEOs, que são muitas vezes completamente desconectadas de TI e de segurança na organização. A estrutura de gestão do meio que vive para criar complexidade é uma parte do problema também.

Não fique na defensiva. A segurança é um processo de longo prazo, não um produto de curto prazo ou de avaliação único. Comece pequeno - usar uma quantidade limitada de recursos, tais como orçamento, ferramentas e tempo, e então construir o programa ao longo do tempo.

Estudos descobriram que novas ideias apresentadas casualmente e sem pressão são considerados e têm uma maior taxa de aceitação de ideias que são forçados sobre as pessoas com um prazo.