Dix façons d'obtenir management buy-in supérieur à pirater votre entreprise

Des dizaines d'étapes clés existent pour l'obtention du buy-in et de parrainage qui vous avez besoin pour soutenir vos efforts de piratage éthique. Vous pouvez avoir besoin de les utiliser pour obtenir le soutien dont vous avez besoin.

Cultiver un allié et un sponsor

La vente de piratage éthique et de la sécurité de l'information pour la gestion ne sont pas quelque chose que vous voulez vous attaquer seul. Obtenez un allié - de préférence votre gestionnaire direct ou quelqu'un de plus dans l'organisation. Choisissez quelqu'un qui comprend la valeur de piratage éthique ainsi que la sécurité de l'information en général. Bien que cette personne pourrait ne pas être capable de parler pour vous directement, elle peut être considérée comme un commanditaire tiers impartial et vous donner plus de crédibilité.

Ne pas être un duddy fuddy

Pour faire un bon cas pour la sécurité de l'information et de la nécessité pour le piratage éthique, l'appui de votre cas avec les données pertinentes.

Cependant, ne pas souffler des choses hors de proportion pour le bien d'attiser la peur, l'incertitude et le doute. Concentrer sur l'éducation de gestion des conseils pratiques. Craintes rationnelles proportionnels à la menace sont très bien.

Démontrer comment l'organisation ne peut pas se permettre d'être piraté

Montrer comment l'organisation est dépendante sur ses systèmes d'information. Créer Et qu'est-ce qui se passerait si scénarios pour montrer ce qui peut arriver, comment la réputation de l'organisation peut être endommagé, et combien de temps l'organisation peut aller sans utiliser le réseau, les ordinateurs et les données.

Demandez aux gestionnaires de niveau supérieur ce qu'ils feraient sans leurs systèmes informatiques et de personnel informatique - ou ce qu'ils feraient si l'information de l'entreprise ou d'un client sensible a été compromise. Montrer des preuves anecdotiques du monde réel des attaques de pirates, y compris les logiciels malveillants, sécurité physique, et les questions d'ingénierie sociale, mais être positif à ce sujet.

Ne vous approchez pas négativement avec la gestion FUD. Plutôt, les tenir informés sur les événements de sécurité graves. Pour aider à la gestion concernent, trouver des histoires concernant des entreprises ou des industries similaires. (Une bonne ressource est le Privacy Rights Clearinghouse Établissement, Chronologie des violations de données.)

La direction du Salon que l'organisation t ont ce un hacker veut. Une idée fausse commune parmi ceux ignorants au sujet de l'information des menaces et des vulnérabilités de sécurité est que leur organisation ou le réseau est pas vraiment à risque. Assurez-vous de souligner les coûts potentiels de dommages causés par le piratage:

• Les coûts d'opportunité manqués

• Exposition de la propriété intellectuelle

• Les questions de responsabilité

• Les frais juridiques et les jugements

• Amendes liées à la conformité

• La perte de productivité

• 
  
  
  
  

  Les coûts d'intervention temps de nettoyage et d'incidents

• Les coûts de remplacement en cas de perte, exposée, ou endommagé informations ou systèmes

• Les coûts de la fixation d'une réputation ternie

Décrire les avantages généraux de piratage éthique

Parlez de la façon tests proactive peut aider à trouver les failles de sécurité des systèmes d'information qui pourraient normalement être négligée. Dites à la direction que les tests de sécurité de l'information dans le contexte de piratage éthique est une façon de penser comme les méchants de sorte que vous pouvez vous protéger contre les méchants.

Montrer comment l'Ethical Hacking aide spécifiquement l'organisation

Avantages de documents qui appuient les objectifs globaux de l'entreprise:

• Démontrer comment la sécurité peut être peu coûteux et peut économiser de l'argent de l'organisation dans le long terme.

• La sécurité est beaucoup plus facile et moins cher à construire à l'avant que d'ajouter plus tard.

• La sécurité ne doit pas être gênant et peut permettre à la productivité si elle est faite correctement.

Être impliqué dans les affaires

Comprendre l'entreprise - comment il fonctionne, qui sont les principaux acteurs, et ce que la politique sont impliqués:

• Aller à des réunions pour voir et être vu.

• Être une personne de valeur qui est intéressé à contribuer à l'entreprise.

• Apprenez à connaître votre opposition.

Établir votre crédibilité

Concentrez-vous sur ces trois caractéristiques:

• Soyez positif à propos de l'organisation et de prouver que vous avez vraiment dire des affaires.

• Faites preuve d'empathie avec les gestionnaires et leur montrer que vous comprenez du côté des entreprises et ce qu'ils sont contre.

• Pour créer une relation d'affaires positif, vous devez être digne de confiance.

Parlez sur le niveau de la direction

Personne est vraiment impressionné par technophile parler. Parlez en termes de l'entreprise. Cet élément clé de l'obtention de buy-in est en réalité partie d'établir votre crédibilité, mais mérite d'être inscrite par lui-même.

Lier les questions de sécurité aux processus d'affaires de tous les jours et les fonctions de l'emploi. Période.

Afficher la valeur dans vos efforts

Si vous pouvez démontrer que ce que vous faites la valeur des offres de l'entreprise sur une base continue, vous pouvez maintenir un bon rythme et ne pas avoir à plaider sans cesse pour garder votre programme de piratage éthique aller. Gardez ces points à l'esprit:

• Documenter votre implication dans l'informatique et de la sécurité de l'information, et créer des rapports en cours pour la gestion concernant l'état de la sécurité dans l'organisation. Donnez des exemples de gestion de la façon dont les systèmes de l'organisation seront garantis contre les attaques.

• Décrire des résultats tangibles comme une preuve de concept. Afficher l'évaluation de la vulnérabilité échantillon signale que vous avez lancé sur vos systèmes ou des fournisseurs d'outils de sécurité.

• Traiter les doutes, les inquiétudes et objections par la haute direction que les demandes pour plus d'informations. Trouvez les réponses et revenir armé et prêt à prouver votre solvabilité éthique-piratage.

Soyez flexible et adaptable

Préparez-vous pour le scepticisme et rejet au premier abord. Il arrive souvent, en particulier des gestionnaires de niveau supérieur, tels que les directeurs financiers et les directeurs généraux, qui sont souvent complètement déconnectés de la sécurité informatique et de l'organisation. Une structure de gestion du milieu qui vit à créer de la complexité est une partie du problème ainsi.

Ne pas être sur la défensive. La sécurité est un processus à long terme, pas un produit à court terme ou évaluation unique. Commencez petit - utiliser une quantité limitée de ressources, telles que le budget, les outils et le temps, et ensuite construire le programme au fil du temps.

Des études ont montré que de nouvelles idées présentées par hasard et sans pression sont pris en compte et avoir un taux plus élevé d'acceptation que les idées qui sont forcés sur des personnes sous un délai.