Comments 7
"И по каждому пункту будет результат" - в виде заявления в ОМВД? ) УК РФ запрещает рассылать фишинг без разрешения владельца ресурса. И если вы не ЛПР, то есть не обладаете доверенностью на принятие таких решений, то ваша должность не позволяет вам принимать решение о проведении атаки на адреса сотрудников. Аккуратнее с такими активностями. А то компания может остаться совсем без безопасника ;)
Конечно, вероятность заявления в ОМВД нужно учитывать. Но проведение подобных учений действительно необходимо для оценки актуальности рисков ИБ и выявления потенциальных узких мест. Согласование данных действий со службой ИТ и безопасниками - обязательно
В голове всплыл пример)
1. Крупнейший регистратор доменов GoDaddy допустил утечку персональных данных в 2021 году.
2. В 2020 году GoDaddy протестировал своих сотрудников и отправил всем тестовую фишинговую рассылку. Попалось около 500 сотрудников, после чего сотрудники сказали, что это было жестоко, что это нарушает их права и непонятно для чего же это:)
Мне кажется, что вам стоит по другому говорить с руководством. Смотрите, я понимаю, что вы эксперт в своем вопросе, но ... начиная с определенного момента (просто вы не указали, с каким конкретно руководством вы общаетесь), разговор идет исключительно в терминах денег, сроков, ресурсов и прочего низменного :). Просто потому, что менеджементу, причем любому, вообще по фиг на технику, и это правильно.
Поэтому любая подача инфы, в которой не будет денег и остального заранее обречена на провал. Детали того, как вы ломали корпоративный wi-fi не интересны даже 99% процентам ИТшников, что уже говорить о менежменте
Поэтому, если вы хотите, чтобы что-то делалось, то надо сделать простую вещь (причем всегда):
описываются benefits
описываются costs
описываются сроки
После чего уже более менее понятно, стоит делать или нет. Если положительная часть перевешивает расходную, сроки вменяемые, тогда можно искать ресурсы (по тем процесам, которые в организации есть) и делать. Если нет - сорри, менеджмент разумно и правильно добро нет даст.
Поэтому вы как эксперт должны (возиможно не сами) оценить все указанное выше, т.е. трансформировать ваши экспертные знания в термины менеджмента.
Теперь к деталям
Оценка сроков и стоимости достаточно проста. Вы как эксперт, либо знаете как это сделать, либо с помощью "зала" получаете оценку. Ну может не сами (все таки проектировать решения часто не функция ИТ-безопасности), но ваш вклад тут должен быть значимым. Для оценки пользы вам надо банально оценить риск, который как известно упрощенно равен вероятность умножить на масштаб трагедии :) Тут уже думайте, ищите статистику и прочее. Вам нужнее :)
И вот когда вы получите все составляющие менеджерского решения - есть шансы на успех.
Конечно, в больших конторах часто все сложнее и проще одновременно, есть бюджетирование, есть процедуры как начинать и делать проекты, но это просто значит, что эти процедуры надо знать и действовать по ним. Но все равно, какие бы они не были - все сведется к менеджерским терминам.
Конечно, ИТ-бепопасность может идти более комплексным путем, доказав "раз и навсегда" что такой риск должен быть закрыт, и получить право "запрещать" и "требовать исправить" просто найдя косяки. Но это уже системная работа, и если она сделана - то ничего такого, что вы предлагаете делать не надо, так как в рамках выполнения системной работы будут и детализированы требования, выполнение которых автоматом закроет риски. Но, судя по вашему посту, вашей организации до этого уровня крайне далеко
По этому примеру - ну, скажем так. Я даже не знаю, что бы вы хотели получить принеся такие данные. Ну честно.
Есть один очень действенный способ - вашу организацию должен купить крупный холдинг. После этого на вас свалится столько требований, что вы забудите обо всем на свете :)
Мужик хочет, чтоб ему выделили денег на написание стратегического плана кибербезопасности и стратегической защиты стратегии безопасности, но руководитель его не понял.
Я помню когда все писали стратегические годовые планы маркетинга и складывали в стол.
Как показать руководству, что есть проблемы в информационной безопасности?