Diez maneras de conseguir management buy-in superior para hackear tu negocio

Existen docenas de pasos clave para obtener el buy-in y el patrocinio que se necesita para apoyar sus esfuerzos de hacking ético. Puede que tenga que utilizarlos para obtener el respaldo que necesita.

Cultivar un aliado y un patrocinador

La venta de hacking ético y seguridad de la información a la gestión no es algo que usted quiere hacer frente por sí solo. Obtener un aliado - preferentemente a su jefe directo o alguien superior en la organización. Elija a alguien que entiende el valor de hacking ético, así como seguridad de la información en general. Aunque esta persona podría no ser capaz de hablar por usted directamente, se la puede ver como patrocinador imparcial de terceros y darle más credibilidad.

No seas un duddy

Para hacer un buen caso para seguridad de la información y la necesidad de hacking ético, apoyar su caso con los datos pertinentes.

Sin embargo, no soplar cosas fuera de proporción por el bien de provocar el miedo, la incertidumbre y la duda. Centrarse en la educación de gestión con consejos prácticos. Temores racionales proporcionales a la amenaza están bien.

Demostrar cómo la organización no puede permitirse el lujo de ser hackeado

Mostrar cómo depende la organización está en sus sistemas de información. Crear y si escenarios para mostrar lo que puede suceder, cómo la reputación de la organización puede estar dañado, y el tiempo que la organización puede ir sin el uso de la red, las computadoras y de datos.

Pregunta a los gerentes de nivel superior lo que iban a hacer sin sus sistemas informáticos y el personal de TI - o lo que harían si la información de negocio o cliente sensible se vio comprometida. Mostrar evidencia anecdótica en el mundo real de los ataques de piratas informáticos, incluyendo malware, seguridad física, y las cuestiones de ingeniería social, pero ser positivo al respecto.

No se acerque a la gestión negativamente con FUD. Más bien, mantenerlos informados sobre los acontecimientos de seguridad graves. Para ayudar a la gestión de relacionarse, encontrar historias con respecto a las empresas o industrias similares. (Un buen recurso es la Privacy Rights Clearinghouse perfil, Cronología de filtraciones de datos.)

Mostrar la gestión que la organización hace tiene lo que quiere un hacker. Un error común entre los ignorantes acerca de información de amenazas y vulnerabilidades de seguridad es que su organización o red no es realmente en peligro. Asegúrese de señalar los posibles costos de los daños causados ​​por la piratería:

  • Costos de oportunidad perdida

  • La exposición de la propiedad intelectual

  • Cuestiones de responsabilidad

  • Los costos legales y juicios

  • Multas de cumplimiento relacionados

  • La pérdida de productividad

  • Costos de respuesta de tiempo de limpieza e incidentes

  • Los costos de reposición por pérdida, expuesto o dañado información o sistemas

  • Los costos de la fijación de una mala reputación

Esquema de los beneficios generales de hacking ético

Hable acerca de cómo proactiva prueba puede ayudar a encontrar vulnerabilidades de seguridad en los sistemas de información que normalmente podría pasarse por alto. Dile a la gestión que las pruebas de seguridad de la información en el contexto de hacking ético es una forma de pensar como los malos, para que pueda protegerse de los malos.

Mostrar cómo Ethical Hacking ayuda específicamente a la organización

Beneficios de documentos que apoyan los objetivos generales de la empresa:

  • Demostrar cómo la seguridad puede ser de bajo costo y puede ahorrar dinero a la organización en el largo plazo.

  • La seguridad es mucho más fácil y más barato construir en la delantera de añadir más tarde.

  • Seguridad no tiene por qué ser un inconveniente y puede permitir que la productividad si se hace correctamente.

  • Discuta cómo los nuevos productos o servicios que se pueden ofrecer una ventaja competitiva si los sistemas de información segura están en su lugar.

    • Se cumplan las regulaciones estatales y federales de privacidad y seguridad.

    • Requisitos de los socios de negocios y los clientes están satisfechos.

    • Los gestores y la empresa vienen a través como negocio digno.

    • Hacking ético y el proceso de remediación apropiada muestran que la organización es la protección de la información confidencial de sus clientes y los negocios.

    • Describir los beneficios de cumplimiento de las pruebas de seguridad en profundidad.

    • Participe en el negocio

      Entender el negocio - cómo funciona, quiénes son los actores principales son, y lo que la política se trata de:

      • Ir a las reuniones para ver y ser visto.

      • Ser una persona de valor que esté interesado en contribuir al negocio.

      • Conozca a su oposición.

      Establecer su credibilidad

      Concéntrese en estas tres características:

      • Sea positivo acerca de la organización y demostrar que realmente habla en serio.

      • Identifíquese con gerentes y mostrarles que usted entiende el lado del negocio y lo que está en contra.

      • Para crear una relación comercial positiva, debe ser digno de confianza.

      Habla en el nivel de gestión

      Nadie es realmente tan impresionados con la charla techie. Hable en términos de negocio. Este elemento clave de la obtención de buy-in es en realidad parte de establecer su credibilidad, pero merece ser catalogada por sí mismo.

      Relacionar los problemas de seguridad a los procesos de negocio de todos los días y las funciones de trabajo. Periodo.

      Mostrar valor en sus esfuerzos

      Si usted puede demostrar que lo que está haciendo el valor del negocio ofrece en forma permanente, puede mantener un buen ritmo y no tener que suplicar constantemente para mantener su programa de hacking ético ir. Mantenga estos puntos en cuenta:

      • Documente su participación en TI y seguridad de la información, y crear informes en curso para la gestión en relación con el estado de la seguridad en la organización. Dar ejemplos de gestión de cómo se fijan los sistemas de la organización de los ataques.

      • Esquema resultados tangibles como una prueba de concepto. Mostrar evaluación de la vulnerabilidad de la muestra reporta se le han acabado en los sistemas o de los proveedores de herramientas de seguridad.

      • Trate a dudas, preocupaciones y objeciones por la alta dirección como las solicitudes de más información. Encuentra las respuestas y volver armado y listo para demostrar su solvencia ético-piratería.

      Ser flexible y adaptable

      Prepárate para el escepticismo y el rechazo al principio. Sucede mucho, sobre todo a partir de los gerentes de nivel superior, como los directores financieros y directores generales, que son a menudo totalmente desconectados de TI y la seguridad en la organización. Una estructura de mandos intermedios que vive para crear complejidad es parte en el problema también.

      No ponga a la defensiva. La seguridad es un proceso a largo plazo, no un producto a corto plazo o la evaluación individual. Comience con algo pequeño - utilizar una cantidad limitada de recursos, tales como el presupuesto, herramientas, y el tiempo, y luego construir el programa a través del tiempo.

      Los estudios han encontrado que las nuevas ideas presentadas casualmente y sin la presión se consideran y tienen una mayor tasa de aceptación de ideas que se ven obligados a la gente bajo una fecha límite.




      » » » » Diez maneras de conseguir management buy-in superior para hackear tu negocio