Come vendere la sicurezza ai C-LevelUn ebook per preparare la tua tattica e ottenere il budget
per vincere nel Campionato della Sicurezza
Infosec
How to Sell InfoSec to the C-Suite
2
My BIGSecurity Plan
Serve che tutta la squadra ti segua se vuoi farla funzionare al meglio. Ma qualche volta gli IT Manager possono sentirsi soli in difesa. Pensiamo alla sicurezza di rete. Hai messo in piedi la migliore difesa possibile, ma ora hai bisogno di più soldi, strumenti e supporto.
Ecco che entra in gioco questo ebook.
Ti accompagneremo attraverso i passi che devi
compiere per analizzare la tua situazione, mettere
insieme una tattica, e presentarla con successo
ai C-level. E poiché non sempre si vince alla
prima gara, ti forniremo anche un piano B.
Partiamo!
Ebook Checklist4 Parla con i responsabili di reparto. Di quali risorse di rete hanno bisogno per assolvere ai loro obiettivi?
4 Qual è l’impatto se una Divisione perde risorse di rete? 4 Qualisonoicostifissi(costiattualio perdite di fatturato) se i sistemi critici vengono hackerati? 4 Stima anche i costi variabili (ripercussionisullareputazione, brandesoddisfazionedelcliente).4 Cogli questa opportunità per spiegare ituoipianidisicurezzae ottenere consenso.
3
How to Sell InfoSec to the C-Suite
Step 1. Analisi della situazionePrima che tu esca dagli spogliatoi, devi conoscere chi è il tuo avversario. Un’analisi dell’impatto sul business ti aiuta a comprendere cosa è importante per il buon funzionamento della tua azienda, e quindi cosa potrebbe essere a rischio.
4
How to Sell InfoSec to the C-Suite
Step 2. Training DayHai stabilito qual è il rischio se la tua azienda perde l’accesso a sistemi critici a causa di un indicente di sicurezza. Ora è tempo per un audit della sicurezza per cercare le vulnerabilità. Puoi farlo da solo o affidarti ad esperti che ti possano aiutare.
Playbook Checklist4 Cerca società esterne e strumenti online per effettuare un security audit.
4 Creaunapolicyperlasicurezzainformatica:deveregolareogniaspetto,daquanto spesso le password dovrebbero essere cambiate a come i dipendenti posso accedereremotamenteallerisorseaziendali.
4 Ottienil’approvazionediquestapolicydaaltriDipartimenticosìchepossano proattivamenteaiutareaproteggeregliassetaziendali.
4 Rivedieaggiornalepolicyannualmente,includendolasicurezzainformatica,gliNDA,leAUP,ecc.
4 Mantieniinfunzionel’azienda.Ottienil’approvazioneprimadifarequalsiasiinterventosuunaproblematica.
4 Pianificacomeintendiconvertireirisultatideltuoauditininformazionicomprensibilieutiliperagire.
How to Sell InfoSec to the C-Suite
5
Come trovare risorse di audit:
4 Parla con il tuo auditor esterno su come rivederelatuasicurezzainformatica.
4 Ottieni qualche nome dalle community di sicurezzaedagliattualipartnertecnologici.
4 Chiedi a persone tecniche e sui siti di social networking come LinkedIn.
4 Ricercaonline“servizidivalutazionedellavulnerabilità”,“serviziditestdipenetrazione”,“rilevamentodegliincidentieservizidirisposta”,o“gestionedell’esposizionealleminacce”.
Mantenersi aggiornati
Resta aggiornato sui rischi e le possibili soluzioni. Segui forum e report sulla sicurezza, e consultali regolarmente.
InformationWeek’s DarkReading http://www.darkreading.com
Internet Storm Center https://isc.sans.edu
KrebsonSecurity krebsonsecurity.com
Naked Security https://nakedsecurity.sophos.com
Reading Room http://www.sans.org/reading-room
Schneier on Security https://www.schneier.com
WatchGuard Security Center http://watchguardsecuritycenter.com
How to Sell InfoSec to the C-Suite
6
Step 3. Continua la tua partitaSottoponi il tuo programma di sicurezza a scansioni. Anche i migliori programmi di sicurezza presentano problemi, quindi se non trovate nulla, c’è una buona probabilità che qualcosa sia sbagliato.
Ebook Checklist4 Faiunaricerca.Leggieparlacongli
esperticosìda
sapere quale genere di strumenti di scansione hai bisogno.
4 Primadieseguirequalsiasiscansione,ottieniprima
l’approvazione.
4 Assicuratidiconoscereglistrumentiequalieffetti
potrebbero avere sul business.
4 Analizzaledimensionidellareteestimailtemporichiesto
per la sua scansione.
4 Eseguilescansioni,schedulandoiltempodimanutenzione
della rete se necessario.
How to Sell InfoSec to the C-Suite
7
Esercizi per l’allenamento
Strumenti di scansione della sicurezza open source e di alta qualità sono ampiamente disponibili online gratuitamente. Inizia con uno strumento di uso generale e passa a scansioni specialistiche in base alle necessità.
Strumenti generalisti NMAPèunmappatoredireteeunsoftwareperilfingerprinting
http://nmap.org
OpenVASèunoscannerdellevulnerabilità http://www.openvas.org
Strumenti specialistici
ZedAttackProxy(ZAP)èunostrumentopertrovarevulnerabilitànelleapplicazioniweb https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
SqlmapèunostrumentoditestdipenetrazionecheautomatizzailprocessodirilevamentodegliattacchiSQLinjection
http://sqlmap.org
Ebook Checklist4 Rivedi i report del tuo audit e quelli discansione.Prioritarizzaiproblemibasandotisull’importanzadell’assetela probabilità che il vettore dell’attacco venga sfruttato.
4 Usalatuaanalisidell’impattosulbusinessperprioritarizzareirischiinmodoappropriato.Unavulnerabilitàelevata in un sito di prova potrebbe essere meno importante che un rischio moderato in un sistema critico.4 Identificaqualielementirichiedonomenosforziorisorsepermitigarli.4 Sviluppa un piano per rimediare insieme alle persone interessate partendo dall’analisi di impatto sul business.
How to Sell InfoSec to the C-Suite
8
Step 4. Cartellino GialloOra che hai scoperto dove risiedono i problemi, è tempo di risolverli. Le decisioni su cosa fare (o non fare) dovrebbero basarsi sulla gravità della vulnerabilità, la possibilità che questa venga sfruttata, e l’esposizione che potrebbe causare.
How to Sell InfoSec to the C-Suite
9
Step 5. Concentrati e tira fuori la grintaE’ tempo di mettere in pratica ciò su cui ti sei allenato. Fare una presentazione ai C-Level può sembrare come disputare la Champions League, ma questo è il tuo terreno di gioco. Se il Management non comprende i rischi, il tuo compito è quello di educarli.
Ebook Checklist4 Riconoscileproblematiched
isicurezzachestairiportando.
4 Presenta i rischi in termini che il Management possa
comprendereechesonospecificidelbusiness.
4 Nonusarestatistichefuorvianticometatticaperincuterepau
ra.
4 Sii trasparente su ciò che hai già fatto.
4 Spiega come hai esaurito le attuali risorse e cosa ti serve ora.
4 Identificachitipuòsupportaredaimeetingconimanagerde
llevariebusinessunit.
4 Siiripetitivofinchénonottieniilsupportodicuihaibisogno.
Quel che abbiamonon funziona.
Dobbiamo risolvereil problema ora.
Ho unpiano!
How to Sell InfoSec to the C-Suite
10
Consigli per avere successo
4 Nonprodurre
reportgrezzi.
Contestualizzap
eraiutarei
manager a comprendere le tue
decisioni
4 Fai presente i requisiti di
sicurezzaacuio
ccorre
attenersi sulla base delle leggi e
regolamentazion
ivigenti.
4 Creareportsp
ecificiperciascu
na
business unit
Documenta il processo Spiega ogni rischioRealizzaauditSeilrischioèaccettabileQuando sono stati effettuati Come mitigarloPartecipazionedistakeholder CosaaccadràsenonlofaiPassiperrimediareCostiesforzistimati
Report e StatisticheAggiorna e distribuisci regolarmente report che includano un breve sommario focalizzato sulle esigenze dell’azienda.
How to Sell InfoSec to the C-Suite
11
Step 6. Il campionato non è finito finchè non è concluso
La sicurezza è importante, ma il tuo C-Level deve bilanciare iniziative di business per competere, sfide e costi. Non puoi ottenere tutto ciò che chiedi subito. Sii preparato.
Ebook Checklist4 Mantieniaggiornati
ituoireportcosì
sarai preparato quando vieni chiamato
in causa.
4 Usastrumentigratuitierimediaadogni
problematica che puoi.
4 Aggiungiazionidirimedioaituoi
report distribuiti regolarmente.
4 Si pronto a mostrare i progressi dalla tua
ultimapresentazione.
4 Senonpuoirisolvereunproblema,
elencaleopzioni:accettareilrischio,
assegnarerisorse,ometteregliasseta
rischiooffline.
How to Sell InfoSec to the C-Suite
12
Step 7. Dai il massimo e gioca le tue carte miglioriUna volta che sei pronto per implementare nuovi servizi di sicurezza, assicurati che il tuo team sia ben equipaggiato per la sfida. WatchGuard può aiutarti con una suite completa di prodotti con prestazioni al massimo per rispondere alle esigenze di aziende di ogni dimensione.
XTM 2520 Grandi enterprise e
data center
XTM 5 Series Medie aziende ed
enterprise distribuite
XTM 800 & 1500 Series
Grandi enterprise distribuite
XTM 2 & 3 Series Small office, filiali e
hotspot wireless
Firebox M400 & M500
Medie aziende ed enterprise distribuite
Firebox® T10 Small office/home office
e negozi
Firebox M440 Opzione multi porte
*XTM2520:World’sfastest,greenest1rackunitUTMFirewall
How to Sell InfoSec to the C-Suite
13
About Watchguard WatchGuard® Technologies, Inc. è leader globale di soluzioni di sicurezza integrate e multifunzione che combinano in modo intelligente hardware, funzionalità di sicurezza Best-of-Breed e strumenti di gestione basati su policy. WatchGuard fornisce una protezione facile da usare ma potente a centinaia di migliaia di aziende in tutto il mondo. I prodotti WatchGuard sono supportati dal LiveSecurity®Service, un programma innovativo di supporto. La sede centrale di WatchGuard si trova a Seattle, Washington, mentre uffici sono presenti in America del Nord, America Latina, Europa e Asia. Per maggiori informazioni visitare il sito www.watchguard.it.
Nessuna garanzia espressa o implicita è fornita dal presente documento. Tutte le specifiche sono soggette a cambiamenti e qualsiasi funzionalità, feature o prodotto futuro sarà fornito se e quando disponibile. ©2015 watchGuard Technologies, Inc. Tutti i diritti riservati. WatchGuard, il logo WatchGuard, Fireware, e LiveSecurity sono marchi registrati di WatchGuard Technologies, Inc. Tutti gli altri marchi sono di proprietà dei loro rispettivi proprietari.
WatchGuard Italia Viale Cesare Giulio Viola, 27
00148 Roma Tel: +39 06.6020.1221
[email protected] www.watchguard.it