it-swarm-korea.com

회사의 IT 보안에 대해 교육하는 좋은 방법은 무엇입니까?

저는 보안이 "영원히 잊을 수있는 불"이 걱정되는 회사에서 일합니다. 관리자는 솔루션을 설정하고 거의 후속 조치를 취하고 유지 관리하지 않습니다. 결과적으로 우리는 일종의 스위스 식 보안 정책을 갖게되었습니다.

예를 들면 :

  • 역 추적없이 xx 일마다 변경해야하는 암호 보안 정책, 그러나 암호가 변경되지 않는 계정은 누구에게나 특수 폴더 및 데이터베이스에 액세스 할 수 있도록 전달됩니다.
  • 데스크톱 및 네트워크 바이러스 백신이지만 USB 드라이브에 대한 정책은 없습니다. 지금까지 대부분의 바이러스가 잡히고 범인은 꾸짖지 만 0 일을 한 번이면 충분합니다 ...

여기에서는 보안이 외관상의 문제라고 생각합니다. 경영진은 무언가를하는 모습을보고 싶어하지만 옳은 일을하고 있거나해야 할 모든 일을하지 않습니다.

나는 문제를 극적인 방식으로 보여주기 위해 그레이 헤팅에 대해 생각했지만, 이런 맥락에서 사람들에게 보안에 대해 교육하는 올바른 방법이 아니라고 생각합니다 (아마 모든 사람이 상황을 파악하는 완전히 보안에 초점을 맞춘 회사에서).

따라서보다 탄력적 인 보안 전략에 대한 요구를 돌릴 수있는 좋은 방법이 궁금합니다. 경영진은 영어를 사용하지 않기 때문에 블로그를 지적하고 전문가의 조언을 직접 할 수있는 위치에 있지 않습니다.

나는 극적인 주장이있는 엘리베이터 피치 나 기존 문제의 10 분 데모 중 하나를 생각하고 있었다.

이 아이디어에 대해 어떻게 생각하십니까? 클라이언트를 감사 할 때 보안 결함을 지적하여 기본적으로 "당신이 수행 한 작업의 절반 정도입니다"라고 말함으로써이를 소외시키지 않도록 권장하는 방법이 있습니까? 추천 할만한 특히 효과적인 데모가 있습니까 (방화 양을 시작하는 것입니까?하지만 회색으로 칠해져 있습니다)?

21
samy

저에게 여러 차례 효과가 있었던 것은 경영진 앞에 다음 차트를 붙이는 것입니다.

alt text

위협 목록 (왼쪽 열)을 살펴보고 설명 된 사람들이 비즈니스에 해를 끼칠 수있는 유형이 있는지 물어보십시오.

그렇다면 전투에서 승리했을 수 있습니다. 이제 각 위협을 해결하는 데 필요한 사항을 설명 할 수 있습니다.

@atdre는 다른 질문에 대해이 차트에 대한 훌륭한 의견을 남겼습니다.

나는 공모 나 음모의 힘을 전달하지 않기 때문에 이것을 좋아하지 않는다. 지하 공동체와 지하 경제는이 모든 사람들을 한 방에 모아 거래 도구를 제공합니다. – atdre`

따라서 커뮤니티를 포함하도록 위협 목록을 확장 할 수 있습니다.

10
Tate Hansen

회사 네트워크에 대한 "시뮬레이션 된"공격을 시작하려면 작업 범위에 대한 이해와 공격 결과에 대한 합의 된 제한 사항을 기반으로 고위 경영진의 명시적인 서면 허가를 받아야합니다. 그렇지 않으면 사보타주, 첩보 활동 또는 단순한 지역 규칙 위반으로 해고 될 위험이 있습니다.

그러나 문제에 대한 인식이 없을 때 어떻게 그러한 허가를 얻습니까? 그것이 당신의 "엘리베이터 피치"아이디어가 좋은 곳입니다. 경영진/C- 레벨/이사에게 가기 전에 IT 직원부터 시작하여 회사 계층의 관련 사람들에게 가져가는 것이 좋습니다 .올바른 순서로. 경영진은 일상적인 작업에 대한 책임을 궁극적으로 변경해야하는 시스템 관리자에게 위임했습니다. 당신의 제안을 높은 곳에서 칙령으로 제시하는 것은 그러한 제안을 실행하는 일을하는 사람들을 소외시키는 데에만 기여할 것입니다.

9
user185

돈을 가진 사람들과 보안에 대한 대화는 항상 위험에 대한 대화입니다. 지나치게 드라마틱 한 엘리베이터 피치를하거나 세상의 종말에 대해 비명을 지르며 뛰어 다니지 마십시오. 이것은 쉽게 신용을 잃고 일반적으로 무시되는 쉬운 방법입니다. 대신, 시스템으로 달성하려는 목표에 대해 비즈니스에 이야기 한 다음 보안 제어 (부족)로 인해 발생하는 현재 위험을 제시하십시오.

만약 당신이 사고로 인해 1 천만 파운드의 비용을 지불 할 위험을 감수하고 있고, 10 만 파운드의 제어로 제거 할 수 있다는 것을 비즈니스에 확신시킬 수 있다면 당연한 일입니다. 그들은 총 위험을 저렴하게 줄일 수있는 기회에 뛰어들 것입니다.

비즈니스가 지출하는 모든 것은 비즈니스 맥락에서 정당화되어야합니다. "공용 Windows 기반 웹 서버에 바이러스 백신이 없습니다"는 의미가 없습니다. "매번 2 백만 파운드의 비용이 드는 1 년에 한 번 서비스 중단에 취약합니다"는 의미가 있습니다.

멋진 새 보안 제어 세트를 구축 한 후에는이를 효과적으로 유지해야합니다. 보안은 기술뿐만 아니라 프로세스에 관한 것입니다. 기업이 위험을 줄이는 데 약간의 돈을 쓰도록 설득하면 문제는 보안이 당신의 무언가라는 인식을 바꾸게됩니다 .구매. 사실, 그것은 당신이 do 무언가입니다.

2
growse

한 가지 주요 주장 : 보안 재해는 "if"로 시작하는 질문이 아닙니다. "언제"로 시작합니다!

올바른 보안 정책은 불가능하기 때문에 위험을 완전히 제거하지 못합니다. 그러나 그것은 위험과 재난의 비율을 크게 낮출 것입니다. 실제로 투자와 투자 수익의 문제입니다. 돈을 쓰면 손실이 줄어 듭니다. 생각은 양질의 보험과 동일해야합니다.

2
Alexis Dufrenoy

예상 지불금을 수량화해야합니다 : 위험 피해 * 위험 가능성.

이것은 당신이 말하는 사람이 실제로 사업에 관심이 있다고 가정합니다. 그것은 냉소적으로 들릴 수 있지만 이것을 고려하십시오. 보안에는 비용, 교육, 좌절이 있습니다. 이는 보안 강화를 구현하는 사람에게 즉시 반영되지만 보안 위반 및 재난은 사람에게 반영되지 않을 수 있습니다. 이 사람의 상사가 보안에 대한 부정적 (비용) 만보고 재난에 대해 사람들을 탓하지 않는다면이 사람이 보안을 강화하는 것은 의미가 없습니다.

전체 딜버트 뾰족한 감독은 특정 유형의 감독을 고정 관념으로 삼는다. 아무 것도 비난받지 않고 회사를 불 태우는 데 아주 능숙한 관리자.

기본적으로 이런 종류의 기능 장애에 맞서면 관리자를 어떻게 나쁘게 만드는지, 그리고 관리자가 보안에 돈을 낭비하지 않고 보안을 강화하는 방법에 집중해야합니다 ( "방화벽? 잘 지내고 그는 수천 달러를 낭비합니다. ").

1
Bradley Kreider