Table des matières:
- Cultiver un allié et un sponsor
- Ne soyez pas un fuddy duddy
- Montrez comment l'organisation ne peut pas se permettre d'être piratée
- Décrire les avantages généraux du piratage éthique
- Montrer comment le piratage éthique aide spécifiquement l'organisation
- S'impliquer dans l'entreprise
- Établissez votre crédibilité
- Parler au niveau de la direction
- Montrez la valeur de vos efforts
- Soyez flexible et adaptable
Vidéo: Pourquoi créer votre entreprise à coté de vos études ou de votre job - conférence à l'école 42 2025
Des dizaines d'étapes clés existent pour obtenir le buy-in et le sponsoring dont vous avez besoin pour soutenir vos efforts de piratage éthique. Vous devrez peut-être les utiliser pour obtenir le support dont vous avez besoin.
Cultiver un allié et un sponsor
Vendre le piratage éthique et la sécurité de l'information à la direction n'est pas quelque chose que l'on veut aborder seul. Obtenez un allié - de préférence votre directeur direct ou quelqu'un de plus haut dans l'organisation. Choisissez quelqu'un qui comprend la valeur du piratage éthique ainsi que la sécurité de l'information en général. Bien que cette personne ne soit pas en mesure de parler directement pour vous, elle peut être considérée comme une tierce partie impartiale et vous donner plus de crédibilité.
Ne soyez pas un fuddy duddy
Pour défendre la sécurité de l'information et le piratage éthique, soutenez votre cas avec des données pertinentes.
Cependant, ne faites pas sauter des choses hors de proportion dans le but d'éveiller la peur, l'incertitude et le doute. Focus sur l'éducation de la gestion avec des conseils pratiques. Les craintes rationnelles proportionnelles à la menace sont bonnes.
Montrez comment l'organisation ne peut pas se permettre d'être piratée
Montre à quel point l'organisation est dépendante de ses systèmes d'information. Créez des scénarios what-if pour montrer ce qui peut arriver, comment la réputation de l'organisation peut être endommagée et combien de temps l'organisation peut aller sans utiliser le réseau, les ordinateurs et les données.
Demandez aux gestionnaires de niveau supérieur ce qu'ils feraient sans leurs systèmes informatiques et leur personnel informatique - ou ce qu'ils feraient si des informations commerciales ou client sensibles étaient compromises. Montrez des preuves anecdotiques réelles d'attaques de pirates informatiques, y compris des logiciels malveillants, des problèmes de sécurité physique et d'ingénierie sociale, mais soyez positif à ce sujet.
N'approchez pas la gestion négativement avec FUD. Au contraire, gardez-les informés sur les événements de sécurité graves. Pour aider la direction à établir des relations, trouver des histoires concernant des entreprises ou des industries similaires. (Une bonne ressource est la liste de Clearinghouse des droits de la vie privée, Chronologie des violations de données.)
Montrez à la direction que l'organisation a ce que veut un pirate informatique. Une idée fausse commune parmi ceux qui ignorent les menaces et les vulnérabilités en matière de sécurité de l'information est que leur organisation ou leur réseau n'est pas vraiment à risque. N'oubliez pas d'indiquer les coûts potentiels des dommages causés par le piratage:
-
Coûts d'opportunité manqués
-
Exposition de propriété intellectuelle
-
Problèmes de responsabilité
-
Frais juridiques et jugements
-
Amendes liées à la conformité
-
Perdus productivité
-
Temps de nettoyage et coûts de réponse aux incidents
-
Coûts de remplacement des informations ou systèmes perdus, exposés ou endommagés
-
Coûts de la correction d'une réputation ternie
Décrire les avantages généraux du piratage éthique
sur la façon dont les tests proactifs peuvent aider à trouver des failles de sécurité dans les systèmes d'information qui pourraient normalement être négligés.Dites à la direction que les tests de sécurité de l'information dans le contexte du piratage éthique sont une façon de penser comme les méchants afin que vous puissiez vous protéger contre les méchants.
Montrer comment le piratage éthique aide spécifiquement l'organisation
Documenter les avantages qui soutiennent les objectifs généraux de l'entreprise:
-
Démontrer comment la sécurité peut être peu coûteuse et peut faire économiser de l'argent à long terme.
-
La sécurité est beaucoup plus facile et moins chère à construire à l'avant qu'à ajouter plus tard.
-
La sécurité ne doit pas être gênante et peut permettre une productivité si elle est correctement effectuée.
-
-
Discutez de la façon dont de nouveaux produits ou services peuvent être offerts pour un avantage concurrentiel si des systèmes d'information sécurisés sont en place.
-
Les réglementations fédérales et provinciales en matière de confidentialité et de sécurité sont respectées.
-
Les exigences du partenaire et du client sont satisfaites.
-
Les gestionnaires et l'entreprise sont considérés comme des entreprises dignes.
-
Le piratage éthique et le processus de correction approprié montrent que l'organisation protège les informations confidentielles des clients et des entreprises.
-
-
Décrire les avantages liés à la conformité aux tests de sécurité approfondis.
S'impliquer dans l'entreprise
Comprendre l'entreprise - comment elle fonctionne, quels sont les principaux acteurs et quelles politiques sont impliquées:
-
Aller aux réunions pour voir et être vu.
-
Soyez une personne de valeur qui est intéressée à contribuer à l'entreprise.
-
Connaissez votre opposition.
Établissez votre crédibilité
Concentrez-vous sur ces trois caractéristiques:
-
Soyez positif au sujet de l'organisation et prouvez que vous êtes vraiment sérieux.
-
Faites preuve d'empathie avec les responsables et montrez-leur que vous comprenez le côté métier et ce qu'ils affrontent.
-
Pour créer une relation d'affaires positive, vous devez être digne de confiance.
Parler au niveau de la direction
Personne n'est vraiment impressionné par la technique. Parlez en termes de l'entreprise. Cet élément clé de l'obtention du buy-in fait en fait partie de l'établissement de votre crédibilité, mais mérite d'être répertorié par lui-même.
Reliez les problèmes de sécurité aux processus métier et aux tâches quotidiennes. Période.
Montrez la valeur de vos efforts
Si vous pouvez démontrer que ce que vous faites offre une valeur commerciale permanente, vous pouvez maintenir un bon rythme et ne pas avoir à constamment plaider pour que votre programme de piratage éthique continue. Gardez ces points à l'esprit:
-
Documentez votre implication dans la sécurité informatique et la sécurité de l'information, et créez des rapports continus pour la direction concernant l'état de la sécurité dans l'organisation. Donnez des exemples de gestion de la façon dont les systèmes de l'organisation seront protégés des attaques.
-
Décrire les résultats tangibles comme preuve de concept. Afficher des exemples de rapports d'évaluation des vulnérabilités que vous avez exécutés sur vos systèmes ou auprès des fournisseurs d'outils de sécurité.
-
Traiter les doutes, les préoccupations et les objections de la haute direction en tant que demandes d'informations supplémentaires. Trouvez les réponses et revenez armé et prêt à prouver votre valeur éthique.
Soyez flexible et adaptable
Préparez-vous au scepticisme et au rejet au début.Cela arrive souvent, surtout chez les cadres supérieurs, tels que les directeurs financiers et les directeurs généraux, qui sont souvent complètement déconnectés de l'informatique et de la sécurité dans l'organisation. Une structure de gestion intermédiaire qui vit pour créer de la complexité est également une partie du problème.
Ne soyez pas sur la défensive. La sécurité est un processus à long terme, pas un produit à court terme ou une évaluation unique. Commencer petit - utiliser une quantité limitée de ressources, telles que le budget, les outils et le temps, puis construire le programme au fil du temps.
Des études ont montré que les nouvelles idées présentées de manière désinvolte et sans pression sont considérées et ont un taux d'acceptation plus élevé que les idées qui sont imposées aux personnes en retard.
