Als Informationssicherheitskollege mit ähnlichen Aufgaben als IT-Prüfer spüre ich Ihren Schmerz. :) Unsere Arbeit ist in einem Unternehmen aus einem bestimmten Grund nicht "beliebt", da wir dafür verantwortlich sind, Vermögenswerte zu schützen und die Einhaltung der Sicherheitsbestimmungen zu überwachen. Hervorragende Arbeit, um das Risiko zu erkennen, auch wenn es unwahrscheinlich ist, dass ein Insider böswillige Absichten hat und eine potenzielle Bedrohung für die Sicherheit darstellt.
Sie können absolut nicht zurückweichen, wenn Sie konfrontiert werden um bei Ihrer Arbeit effektiv zu bleiben. Sicherheitsrisiken sind nichts, worüber das Management oder leitende Angestellte normalerweise sprechen möchten. Lernen Sie also zuerst, ein gewisses Maß an Konflikten zu akzeptieren, das der Art Ihres Jobs innewohnt.
Trotzdem ist die vorläufige Liste von @dlb ein guter Anfang. Aus dieser Liste können Sie einige inhärente Risiken ableiten, die mit der privilegierten Administratorrolle verbunden sind. Es ist ziemlich einfach, einige aufzulisten und wie er seine Aktionen verbergen kann:
Das Risiko für die Vertraulichkeit von Datenlecks
Die Der Insider-Administrator kopiert einige sensible Finanzdaten und sendet sie elektronisch aus dem Unternehmen an sich selbst oder einen Konkurrenten. Wettbewerbsinformationen gehen verloren, und der wirtschaftliche Wert der verlorenen Daten kann erheblich sein, möglicherweise sogar das Überleben des Unternehmens.
Das Risiko der Integrität durch nicht autorisiertes Löschen von Daten
Der Administrator beschließt, einige in der Datenbank verwendete Daten zu löschen oder auf andere Weise zu manipulieren mit gespeicherten Daten. Jetzt wurde die Datenintegrität beeinträchtigt und die daraus resultierende möglicherweise falsche Finanzberichterstattung kann zu hohen Bußgeldern führen.
Das Risiko für die Verfügbarkeit durch verschiedene DOS / DDOS-Methoden
Anwendungen, die von Finanzunternehmen verwendet werden, sind häufig zeitkritisch, beispielsweise zur Erfassung von Buchhaltungstransaktionen oder zur Verarbeitung extrem zeitkritischer Asset-Trades auf dem Markt. Ein Angriff, der zum Verlust der Fähigkeit legitimer Benutzer und / oder Kunden führt, auf die Anwendung zuzugreifen, ist ein Verlust aufgrund der Opportunitätskosten der zusätzlichen Zeit, die für die Verarbeitung der ursprünglichen Arbeit erforderlich ist.
Beispiel Informationen darüber, wie der Insider-Administrator seine Aktionen verbergen kann
- Löschen oder manipulieren Sie Überwachungsprotokolle, in denen seine Aktivitäten aufgezeichnet sind.
- Deaktivieren oder manipulieren Sie Anwendungsalarme Möglicherweise vorhandene Funktionen
Machen Sie das Management auf den Unterschied zwischen dem inhärenten Risiko , den Sicherheitsrisiken, die vor der Implementierung von Schutzmaßnahmen bestehen, und dem Restrisiko , das Sicherheitsrisiko, das nach der Implementierung von Sicherheitsmaßnahmen (technisch, administrativ und / oder physisch) bestehen bleibt, ist mein erster Vorschlag an Sie. Verwenden Sie spezifische, konkrete Beispiele für inhärente Risiken und die damit verbundenen Auswirkungen, ähnlich den hier angegebenen Beispielen.
Ohne Sicherheitsvorkehrungen kann jedes der im vorhergehenden Absatz genannten Risiken leicht Auswirkungen auf dieses Finanzsystem haben und zu Verlusten führen An die Firma. Dies bringt mich zu meinem zweiten Vorschlag: Schulung des Managements und anderer nicht sicherheitsbewusster Personen, wie Schutzmaßnahmen wie DLP zur Minderung von Sicherheitsrisiken eingesetzt werden können . Als Beispiel:
Durch die DLP-Implementierung reduzieren wir das Risiko einer Exfiltration sensibler Daten.
Wenn Sie neue Sicherheitskontrollen erläutern oder vorschlagen, die implementiert werden sollen, zitieren Sie Ihre Untersuchungen, um zu zeigen, warum die Implementierung dieser bestimmten Kontrolle / dieses Prozesses die Cybersicherheit verbessert - denken Sie hier an CIA. Lesen Sie Best Practices unter Verwendung von Quellen wie NIST, SANS usw. Dies zeigt, dass Ihre Empfehlungen nicht willkürlich sind, sondern auf soliden Argumenten beruhen. Es ist auch wichtig zu betonen, dass Sie und Ihr Team nicht dazu da sind, die Arbeit anderer zu erschweren, sondern mit ihnen zusammenzuarbeiten, um die Betriebssicherheit zu verbessern. Zeigen Sie, wie gute Sicherheitspraktiken dem Unternehmen zugute kommen - verbesserten Kunden Vertrauen, weniger Ausfallzeiten usw.
Schließlich geht es bei der IT-Sicherheit um Risiken und die Akzeptanz oder Minderung solcher Risiken. Möglicherweise hat Ihr Management einen großen Appetit auf Sicherheitsrisiken und ist bereit, Sicherheitsrisiken im Zusammenhang mit dieser Anwendung zu akzeptieren. Alternativ kann die Kontrollumgebung / der Ton an der Spitze des Unternehmens lasch sein. Das heißt, das Management drängt möglicherweise zurück, weil es ihnen einfach egal ist . Denken Sie an die Kontrollumgebung (oder deren Fehlen) in Unternehmen wie Enron, WorldCom, Tyco.
In beiden Fällen müssen Sie möglicherweise akzeptieren, dass Sie in der Lage sind, Änderungen einzuleiten Eingeschränkt durch Unternehmenskultur und Betriebsphilosophie. Wenn das Management des Unternehmens keine Maßnahmen zur Behebung der festgestellten Schwachstellen ergreifen kann, sollten Sie Ihre Mitteilung an diese dokumentieren, um nachzuweisen, dass Sie Ihre Due Diligence durchgeführt haben. Trotzdem haben wir als IT-Sicherheitsexperten unsere Arbeit erledigt, was das Management Ihres Unternehmens vorhat. Manchmal reicht es aus, eine Warnung zu geben /
Wenn Sie Ihrem Management wirklich die potenziellen Kosten zeigen möchten, die entstehen, wenn eine von Ihnen entdeckte Sicherheitslücke nicht behoben wird, müssen Sie ihnen möglicherweise zeigen, was passieren kann, wenn solche Schwachstellen von Bedrohungsagenten wie verärgerten Insidern, Wettbewerbern usw. ausgenutzt werden. Beispiele wie dieses oder diese sollten ziemlich anschaulich sein.