Innehållsförteckning:
- Odla en allierad och en sponsor
- Var inte en lerig duddy
- Demonstrera hur organisationen inte har råd att hackas
- Beskriv de allmänna fördelarna med etisk hacking
- Visa hur etiskt hacking specifikt hjälper organisationen
- Ta del i verksamheten
- Uppnå din trovärdighet
- Tala på ledningens nivå
- Visa värde i dina ansträngningar
- Var flexibel och anpassningsbar
Video: 97% Owned - Economic Truth documentary - How is Money Created 2024
Dussintals viktiga steg finns för att få den inköp och sponsring som du behöver för att stödja dina etiska hacking-insatser. Du kan behöva använda dem för att få det stöd du behöver.
Odla en allierad och en sponsor
Att sälja etisk hacking och informationssäkerhet till ledningen är inte något du vill ta itu med ensam. Få en allierad - helst din direkta chef eller någon högre i organisationen. Välj någon som förstår värdet av etiskt hacking samt informationssäkerhet i allmänhet. Även om den här personen kanske inte kan prata direkt för dig, kan hon ses som en opartisk sponsor från tredje part och ge dig mer trovärdighet.
Var inte en lerig duddy
För att göra ett bra fall för informationssäkerhet och behovet av etisk hacking, stödja ditt ärende med relevanta uppgifter.
Slå dock inte ut saker i proportion för att röra upp rädsla, osäkerhet och tvivel. Fokusera på att utbilda ledningen med praktiska råd. Rationella rädslor som är proportionella mot hotet är bra.
Demonstrera hur organisationen inte har råd att hackas
Visa hur beroende organisationen är på sina informationssystem. Skapa vad-om scenarier för att visa vad som kan hända, hur organisationens rykte kan skadas och hur länge organisationen kan gå utan att använda nätverket, datorerna och data.
Ställ chefer på högre nivå vad de skulle göra utan sina datorsystem och IT-personal - eller vad de skulle göra om känslig affärs- eller kundinformation skulle äventyras. Visa verkliga anekdotiska bevis på hackerattacker, däribland problem med skadlig kod, fysisk säkerhet och socialteknik, men var positiv om det.
Rör inte hanteringen negativt med FUD. Snarare, hålla dem informerade om allvarliga säkerhetshändelser. För att hjälpa hanteringen att relatera, hitta historier om liknande företag eller branscher. (En bra resurs är Listan för integritetsrättigheter, Chronology of Data Breaches.)
Visa ledning som organisationen har har vad en hacker vill ha. En vanlig missuppfattning bland de okunniga om hot och sårbarhet för informationssäkerhet är att deras organisation eller nätverk inte äventyras. Var noga med att påpeka de potentiella kostnaderna för skador som orsakats av hackning:
-
Missade kostnader för kostnader
-
Exponering av immateriell äganderätt
-
Ansvarsfrågor
-
Juridiska kostnader och bedömningar
-
Efterlevnadsrelaterade böter
-
Förlorade produktivitet
-
Rengöringstid och incidenskostnadskostnader
-
Ersättningskostnader för förlorad, exponerad eller skadad information eller system
-
Kostnader för att fixa ett känt rykte
Beskriv de allmänna fördelarna med etisk hacking
Diskussion om hur proaktiv testning kan hjälpa till att hitta säkerhetsproblem i informationssystem som normalt kan förbises.Berätta förvaltningen att informationssäkerhetsprovning i samband med etisk hacking är ett sätt att tänka som de dåliga killarna så att du kan skydda dig från de dåliga killarna.
Visa hur etiskt hacking specifikt hjälper organisationen
Dokumentfördelar som stöder de övergripande affärsmålen:
-
Demonstrera hur säkerhet kan vara billigt och kan spara organisationens pengar på lång sikt.
-
Säkerhet är mycket lättare och billigare att bygga upp framför än att lägga till senare.
-
Säkerhet behöver inte vara obekvämt och kan möjliggöra produktivitet om den är korrekt.
-
-
Diskutera hur nya produkter eller tjänster kan erbjudas för en konkurrensfördel om säkra informationssystem finns på plats.
-
Statliga och federala sekretess- och säkerhetsbestämmelser är uppfyllda.
-
Affärspartner och kundkrav är nöjda.
-
Chefer och företag står över som företag värda.
-
Etisk hackning och lämplig saneringsprocess visar att organisationen skyddar känslig kund- och affärsinformation.
-
-
Redovisa överensstämmelsefördelarna med fördjupad säkerhetstestning.
Ta del i verksamheten
Förstå verksamheten - hur den fungerar, vilka nyckelaktörer är och vilken politik som är inblandad:
-
Gå till möten för att se och ses.
-
Var en värdefull person som är intresserad av att bidra till verksamheten.
-
Känn din motstånd.
Uppnå din trovärdighet
Fokusera på dessa tre egenskaper:
-
Var positiv om organisationen och bevisa att du verkligen menar affärer.
-
Empathize med chefer och visa dem att du förstår företagsidan och vad de står emot.
-
För att skapa ett positivt affärsförhållande måste du vara trovärdig.
Tala på ledningens nivå
Ingen är verkligen så imponerad av techie talk. Tala när det gäller verksamheten. Detta viktiga element i att erhålla inköp är faktiskt en del av att skapa din trovärdighet, men förtjänar att vara upptagen av sig själv.
Koppla säkerhetsproblem till vardagliga affärsprocesser och arbetsfunktioner. Period.
Visa värde i dina ansträngningar
Om du kan visa att det du gör gör affärsmässigt kontinuerligt, kan du behålla en bra takt och behöver inte ständigt hävda att ditt etiska hackingprogram fortsätter. Håll dessa punkter i åtanke:
-
Dokumentera ditt engagemang i IT- och informationssäkerhet och skapa pågående rapporter för hanteringen angående säkerhetssituationen i organisationen. Ge ledningsexempel på hur organisationens system kommer att säkras från attacker.
-
Beskriv konkreta resultat som ett bevis på konceptet. Visa exempel på sårbarhetsbedömningar som du har kört på dina system eller från säkerhetsverktygsleverantörerna.
-
Behandla tvivel, oro och invändningar från den överordnade ledningen som begäran om mer information. Hitta svaren och gå tillbaka beväpnad och redo att bevisa din etiska hacking värdighet.
Var flexibel och anpassningsbar
Förbered dig för skepticism och avslag först.Det händer mycket, särskilt från chefer på högre nivå som CFOs och VD, som ofta är helt kopplade från IT och säkerhet i organisationen. En mellanhanteringsstruktur som lever för att skapa komplexitet är också en del av problemet.
Bli inte defensiv. Säkerhet är en långsiktig process, inte en kortsiktig produkt eller en enda bedömning. Börja små - använd en begränsad mängd resurser, till exempel budget, verktyg och tid, och bygg sedan programmet över tiden.
Studier har funnit att nya idéer presenteras tillfälligt och utan tryck beaktas och har högre acceptans än idéer som tvingas på människor inom en tidsfrist.