会社のITセキュリティについて教育する良い方法は何ですか？

会社のネットワークに対して「シミュレートされた」攻撃を仕掛けるのは、あなたの仕事の範囲と攻撃結果に対する合意された制限の理解に基づいて、上級管理職の明示的な書面による許可を得た場合にのみ行うべきです。それ以外の場合は、妨害行為、スパイ行為、または単に単純な違反ローカルルールのために解雇される危険があります。

しかし、問題を認識していないときに、どのようにそのような許可を得るのですか？ 「エレベーターピッチ」のアイデアがいいところです。それを会社の階層の関連する人々に持って行くことをお勧めします正しい順序で、あなたが管理/ Cレベル/ディレクターに行く前にITスタッフから始めます。経営陣は、日常の運用に対する責任を、最終的に変更を行う必要のあるシステム管理者に委任しています。上からの勅令として提案を提示することは、それらの提案を実装することが仕事である人々を疎外するのに役立ちます。

お金を持っている人とのセキュリティについての会話は常にリスクについての会話です。過度にドラマ化されたエレベーターピッチを行ったり、世界の終わりを叫んで走ったりしないでください。これは、簡単に信用を失い、一般に無視される簡単な方法です。代わりに、彼らがシステムで何を達成しようとしているのかについてビジネスに話し、セキュリティコントロールの欠如（結果）の結果として彼らが抱えている現在のリスクを提示します。

インシデントで1000万ポンドの費用がかかるリスクを抱えていることをビジネスに納得させることができれば、10万ポンドの管理で排除できるので、それは非常に簡単です。彼らは、総リスクを安く削減する機会に飛びつくでしょう。

ビジネスが費やすすべてのものは、ビジネスのコンテキストで正当化される必要があります。 「WindowsベースのパブリックWebサーバーにウイルス対策はありません」は意味がありません。 「年に1回、毎回200万ポンドの費用でサービスが中断される可能性があります」は意味があります。

豪華な新しい一連のセキュリティコントロールを構築したら、それらを有効に保つことが課題です。セキュリティは、テクノロジーだけでなくプロセスについても重要です。リスクを軽減するためにいくらかお金を使うことをビジネスに確信させたら、問題はセキュリティがあなたが何かであるという認識を変えるようになります購入。実際には、それはあなたがdoするものです。

主要な議論の1つ：セキュリティ災害は「if」で始まる質問ではありません。彼らは「いつ」で始まる！

適切なセキュリティポリシーは、不可能であるため、リスクを完全に排除することはできません。しかし、それは劇的にリスク、ひいては災害の発生率を下げるでしょう。それは本当に投資と投資収益率の問題です。お金を使って損を減らしましょう。考え方は質の高い保険と同じでなければなりません。

予想される支払いを定量化する必要があります：リスクのダメージ*リスクの可能性。

これは、あなたが話している人が実際にビジネスを気にかけていることを前提としています。それは皮肉に聞こえるかもしれませんが、これを考慮してください：セキュリティにはお金、トレーニング、フラストレーションのコストがあります。これらはセキュリティの強化を実装する人物にすぐに反映されますが、セキュリティ違反や災害はその人物に反映されない場合があります。この人の上司がセキュリティのマイナス面（コスト）だけを見て、災害のせいに人々を責めない場合、この人がセキュリティを高めることは意味がありません。

ディルバート・ポインティヘッドのマネージャー全体は、本当にあるタイプのマネージャーをステレオタイプ化しています。何に対しても非難されるのではなく、会社を炎上させることを非常に得意とする種類のマネージャー。

基本的に、この種の機能不全に直面している場合は、マネージャーがセキュリティの見栄えを悪くする方法、およびマネージャーをセキュリティの無駄遣いに見苦しく見せずにセキュリティを向上させる方法に集中する必要があります（「ファイアウォール？順調に進んでいくと、彼は何千ドルものお金を浪費します」）。