Frage:
Wie kann ich ein Informationssicherheitsteam dazu bringen, zu erkennen, dass die übertriebenen Sicherheitsmaßnahmen die Sicherheit nur verringern?
cypher
2020-08-11 01:17:56 UTC
view on stackexchange narkive permalink

Zusammenfassung: Ich habe für ein kleines Startup gearbeitet, das von einem Mega-Unternehmen übernommen wurde. Die IT-Sicherheitsrichtlinien sind übertrieben, erhöhen jedoch nicht die Sicherheit und hindern mich an der Arbeit. Wie ändere ich das?

Zunächst ein Kontext: Das Startup (nennen wir es Tinyco), für das ich gearbeitet habe, wurde letztes Jahr von einem großen (tausende von Menschen) tech-orientierten Unternehmen gekauft (nennen wir es) it Megacorp zur leichteren Identifizierung) mit Büros auf der ganzen Welt. Ich leite ein Entwicklungsteam in dieser Firma. Ein Teil meiner Aufgaben, als wir noch Tinyco waren, umfasste viele sicherheitsrelevante Arbeiten. & Ich beherrsche diese Themen, aber seit dem Verkauf wurden diese Aufgaben an das engagierte Informationssicherheitsteam von Megacorp delegiert. Aufgrund der Art meiner Position bin ich in sicherheitsrelevanten Fragen immer noch weniger aktiv.

Das Problem ist, dass das Informationssicherheitsteam von Megacorp davon besessen zu sein scheint, zwei Dinge zu tun: Nein zu sagen und zu sagen Beschränken Sie alles, auf das sie nicht nein sagen, auf ein Niveau, das dem Nein entspricht. Beispiel:

  • Wir müssen eine Single Sign-On (SSO) -Lösung verwenden. An sich ist es eine gute Idee, aber das Problem ist, dass wir mehrere SSO-Lösungen verwenden müssen. Es gibt keinen technologischen Grund dafür; Es handelt sich lediglich um mehrere Konten bei demselben SSO-Anbieter, die jeweils an einem anderen Ort verwendet werden.
    • Dies negiert alle Sicherheitsvorteile von SSO und erhöht gleichzeitig die Komplexität. Dies bedeutet, dass Sie über mehr Kennwörter verfügen, um den Überblick zu behalten und eine höhere Chance zu haben einen zu vergessen / wiederzuverwenden / einen knacken zu lassen.
  • Das Informationssicherheitsteam lehnt es ab, eine Self-Service-Funktion zum Zurücksetzen von Passwörtern bereitzustellen. Stattdessen müssen alle Passwörter über IT-Tickets zurückgesetzt werden. Sie ignorieren die Tatsache, dass zum Öffnen eines IT-Tickets das Passwort erforderlich ist, das häufig zurückgesetzt werden muss, was häufig zu einem Problem mit Hühnern und Eiern führt, das erst behoben wird, nachdem die Person, die das Zurücksetzen des Passworts benötigt, ihren Chef (oder den Chef seines Chefs) fragt per Telefon und lassen Sie sie die Bürokratie im Büro bearbeiten.
    • Infolgedessen ist die IT jetzt daran gewöhnt, dass Personen, die Kennwortrücksetzungen für andere Personen anfordern, keine gute Sicherheitspraxis.
  • Wir haben kürzlich erfahren, dass alle Arbeits-Laptops so konfiguriert werden, dass eine Zwei-Faktor-Authentifizierung (in diesem Fall das Telefon des Benutzers) erforderlich ist, um sich bei ihnen anzumelden. Dies klingt wieder nach einer guten Idee, aber auf die Frage "Was tun Sie, wenn Ihr Telefon kaputt geht / verloren geht / gestohlen wird und sich nicht bei Ihrem Laptop anmelden kann?" Ihre Antwort lautet "Öffnen Sie ein Ticket dafür". Wenn Sie erneut gefragt werden, stellen Sie sicher, dass Sie verstehen, dass Sie kein Ticket dafür öffnen können, da Sie sich ohne Ihr Telefon nicht anmelden können und Sie niemanden kontaktieren können, um ein Ticket für Sie persönlich zu öffnen (aufgrund von COVID- 19, wir arbeiten alle remote) und Sie können niemanden anrufen (da Sie Ihr Telefon verloren haben). Die Antwort lautete "Wir haben viel darüber nachgedacht" und sie weigerten sich anzugeben, wie ein Mitarbeiter vorgehen soll Benachrichtigen Sie sie in diesem Fall über das Problem.
    • Wenn mein Telefon mit Unternehmensdaten gestohlen wird, kann ich niemanden wissen lassen, dass es aus der Ferne gelöscht werden muss, und ich kann mich nicht bei meinem Laptop anmelden Infolgedessen haben sie sich aus "Sicherheitsgründen" geweigert, Netzwerkänderungen usw. vorzunehmen, obwohl sie nicht erklären konnten, warum diese Änderungen ein Risiko darstellen.
    • Dies zwang alle dazu, einen Umweg zu machen, der oft weniger sicher ist, da der Job noch erledigt werden muss.
  • Es gibt viel mehr Fälle. Dies sind nur ein paar zufällige Beispiele aus meinem Kopf.

    • Ich habe mehrmals versucht, mit dem Leiter des Informationssicherheitsteams darüber zu sprechen, aber er sagt immer wieder: "Wir müssen hier einen zufälligen Sicherheitsstandard einfügen , um dies zu tun", obwohl die Mehrheit von Die Dinge, die ich oben erwähnt habe (und die er in diesem Vortrag angesprochen hat), sind nicht Teil eines Sicherheitsstandards, den er erwähnt hat.

    Ich bin ernsthaft ratlos, was ich noch tun soll, da dies negative Auswirkungen hat meine Arbeit. Ich habe gerade heute mehr als eine Stunde gezählt und mich nur mit sicherheitsrelevanten Einschränkungen befasst, und das ist nicht ungewöhnlich oder selten, was erheblich mehr ist als damals, als wir bei Tinyco waren, und gleichzeitig fühlt es sich erheblich weniger sicher an. Wie kann ich das Informationssicherheitsteam dazu bringen, dies zu sehen?

    Kommentare sind nicht für eine ausführliche Diskussion gedacht.Diese Konversation wurde [in den Chat verschoben] (https://chat.stackexchange.com/rooms/111721/discussion-on-question-by-cypher-how-to-get-infosec-team-to-see-that-ihr-über).
    Zehn antworten:
    Dan Is Fiddling By Firelight
    2020-08-11 01:32:59 UTC
    view on stackexchange narkive permalink

    Wenn Sie keine Geschäftsleitung sind, können Sie realistisch gesehen nichts tun, um die Politik eines Mega-Unternehmens zu beeinflussen, und die Vollstrecker, mit denen Sie sprechen können, können auch nichts ändern.

    Leider Sie haben die Wahl, entweder das Leben mit der BS zu akzeptieren, die sie sich ausgedacht haben, oder nach einem weniger dilbertesken Arbeitgeber zu suchen.

    Erfahrungen wie die, die Sie derzeit durchmachen, sind eine Seite warum viele Menschen fast ihre gesamte Karriere in Unternehmen ähnlicher Größe arbeiten. Die andere Hälfte dieser Gleichung sind Menschen, die die Art und Weise, wie große Unternehmen Dinge tun, mögen und nicht in der Lage sind, mit dem Chaos eines kleinen Unternehmens im freien Lauf umzugehen.

    In der Tat, und der Kulturwandel ist für jemanden, der es gewohnt ist, in einem Startup mit einer starken Just-do-it-Einstellung zu arbeiten, am beunruhigendsten.Ihr Megacorp schätzt eindeutig den Gehorsam gegenüber der Politik, wenn es darum geht, Dinge zu erledigen.Entweder lernst du damit zu leben und wirst ein weiterer gerechter Auftragnehmer, bis du dich nach oben gearbeitet hast, oder du gehst weiter.
    +1.Das ist der Grund, warum Startup-Leute oft nach Buyouts kehren.Große Korps kaufen kleine, weil sie saugen und nicht mehr innovativ sind.Jetzt sind Sie auf dieser Seite der Mauer.Treten Sie dagegen, einige von Ihnen müssen wegen goldener Handschellen bleiben, aber sonst ist es neue Startzeit.
    @mxyzplk-SEstopbeingevil yup.Ich habe in kleinen und mittleren Unternehmen gearbeitet, und obwohl ich bereit wäre, in Zukunft zu einem mittelständischen zurückzukehren, glaube ich nicht, dass ich jemals zu einem Megacorp gehen möchte.
    @mxyzplk-SEstopbeingevil Sie haben so Recht mit den goldenen Handschellen, ich hätte vor langer Zeit Schluss gemacht, wenn es für mich finanziell nicht sehr vorteilhaft gewesen wäre, noch ein paar Jahre zu bleiben
    Sie können Ihrem Vorgesetzten und seinem Vorgesetzten bis hin zum CEO Bericht erstatten, wie das Sicherheitssystem Sie Zeit und Mühe ohne klaren Nutzen kostet.
    @Michael können Sie auch in die Leere schreien, und es wird so viel Gutes tun.Wenn die Richtlinien, die die Geschäftsleitung zugunsten von X gegenüber Y eingeführt hat, einen großen Teil der Belegschaft betreffen, ist sich die Geschäftsleitung bereits bewusst und hat entschieden, dass X für das Unternehmen wichtiger ist als Y. Beschwerden über eine neue Einstellung beiDie Minion- oder Junior-Management-Ebene wird nichts erreichen, es sei denn, Sie sind hartnäckig genug, um sie als Unruhestifter zu bezeichnen.
    @cypher "Ruhe und Weste".Oder gestohlen aus einem Kommentar hier, den ich vergessen habe: "Früher dachte ich, Dilbert sei eine Satire. Jetzt weiß ich, dass es ein Dokumentarfilm ist."
    Option 3: Tun Sie, was Sie wollen, um Ihre Arbeit erledigen zu können.Sie werden gelegentlich mit Ihrem Chef und einer verärgerten Securi-Drohne zusammentreffen, in der Sie ruhig Ihre Gründe für die Umgehung ihrer Maßnahmen darlegen, vielleicht eine Ohrfeige bekommen und dann so weitermachen, wie Sie waren.Solange du nützlicher bist als nervig, werden sie dich nicht feuern.(Quelle: meine illustre "Karriere")
    Dilbertesque ist ein Wort, das ich öfter verwenden muss
    Chris
    2020-08-11 02:24:34 UTC
    view on stackexchange narkive permalink

    Sie beschweren sich bei den falschen Leuten.

    Sie kommen von einem Start-up, also nehme ich zwei Dinge an:

    1. Mitarbeiter großer Unternehmen glauben, sie wissen es besser, weil sie für ein großes Unternehmen arbeiten und du hast es nicht getan. Ihr Fachwissen und Ihre Prozesse werden daher ignoriert.
      2. ol>

      Wenn Sie versuchen, Veränderungen von unten nach oben herbeizuführen, löst sich Ihre Arbeitskultur in der Bürokratie von Megacorp auf.

      Eskalieren Sie zu Ihrem Manager

      Sie benötigen Unterstützung, um Ihre Arbeitsweise zu schützen. Eskalieren Sie daher die Probleme zu Ihrem Manager. Machen Sie es nicht über uns gegen sie, sondern zeigen Sie deutlich die Auswirkungen. Kein Zuckerüberzug, kein "Ich kann es zum Laufen bringen" oder ähnliches erlaubt. Sie sind nicht in der Lage, dies selbst zu beheben.

      Der beste Fall wäre, wenn Megacorp sich bereit erklärt, einen neuen Ansatz zu versuchen und Ihre Ideen zu übernehmen. Das zweitbeste ist, dass Sie sich etwas Zeit kaufen können, in der Sie unabhängig arbeiten können, bis "die Dinge geklärt sind".

      Drücken Sie weiter

      Erwarten Sie nicht sofortige Änderungen. Der Standardansatz in Megacorp besteht darin, ein Meeting einzurichten, das Problem zu diskutieren, einen Plan zu erstellen und dann alles zu vergessen, da sie andere Aufgaben mit hoher Priorität haben. Dies könnte die Möglichkeit schaffen, die Führung zu übernehmen, indem Sie der vielbeschäftigten offiziellen Führung helfen.

      Wenn Sie wirklich etwas ändern möchten, benötigen Sie Ausdauer. Seien Sie sich also Ihrer Motivation sicher, sonst könnten Sie später das Gefühl haben, Ihre Zeit verschwendet zu haben.

    Genau so geht das.Schieben Sie es zu den Leuten, die etwas dagegen tun können.Sobald das Management feststellen kann, wie sich die Politik auf den Umsatz auswirkt, wird Megacorp das Alter erreichen.Wir sind gerade in einer ähnlichen Situation.
    Diese.Das Wichtigste dabei ist insbesondere, die Auswirkung auf das Endergebnis zu dokumentieren: Wie viele Stunden / Woche werden dafür verschwendet?Die anderen Aspekte (die Dinge weniger sicher als mehr) sind viel, viel schwieriger zu pushen, weil * niemand * möchte, dass jemand außerhalb seines Teams ihnen sagt, dass sie ihre Arbeit falsch machen.Es kann jedoch als eine Frage des Risikomanagements betrachtet werden: Ist das Risiko (Mitarbeiter verliert das Telefon, kann nicht anrufen, kann sich nicht anmelden, um es jemandem mitzuteilen) den Sicherheitsvorteil wert (dies ist ihre Entscheidung, nicht die OPs).Dann gehen Sie ein Risiko ein * Minderung *: Stellen Sie sicher, dass die Mitarbeiter eine Telefonnummer haben ...
    ... dass * nicht * nur auf ihrem Telefon, das sie von einem anderen Telefon aus anrufen können, um eine Flagge über das verlorene Telefon zu hissen (und Zugriff auf ihren Laptop zu erhalten), wahrscheinlich durch Angabe einer für sie spezifischen PINsie merken sich.
    @T.J.Crowder Erinnerst du dich auswendig an die Telefonnummer deines Chefs, damit du ihn anrufen kannst, falls dein Telefon verloren geht?Ich weiß es verdammt noch mal nicht ... Ich behalte es auf meinem Telefon mit Backups in der Cloud, auf die von meinem Laptop aus zugegriffen werden kann ... beides kann ich nicht verwenden, wenn mein Telefon verloren geht / beschädigt / gestohlen wird
    @cypher - Nein, ich nicht;Die meisten Leute tun es nicht.Aus diesem Grund sagte ich, dass die Schadensbegrenzung darin bestehen würde, sicherzustellen, dass die Mitarbeiter eine Nummer haben, die nicht nur auf ihrem Telefon ist.Weil die Leute es sonst nicht tun.Einige IT-Abteilungen haben eine Telefonnummer, die sie für diesen Zweck am Laptop selbst anbringen, sowie den Zweck "Bitte anrufen, wenn gefunden".Der Punkt ist nicht der Mechanismus, sondern die Tatsache, dass eine explizite Risikominderung erforderlich ist.
    Eskalation ist hier der Schlüssel.Manchmal muss es jedoch auf vielen Ebenen eskaliert werden, um eine Person zu erreichen, die befugt ist, sich damit zu befassen.Daher sind genaue Details zu den Risiken, wenn die Dinge nicht behoben werden, und die Auswirkungen auf das Endergebnis in Dollar (oder einer anderen lokalen Währung) bei einer Eskalation wichtig.
    Ja, das ist die Antwort.Ich war auch im letzten Jahr in einer ähnlichen (wenn auch zum Glück nicht ganz so absurden) Situation und so wird es gemacht.Ich würde mich bei der IT von Megacorp beschweren und nichts tun.Wenn ich dem Präsidenten von tinyco erkläre, warum die Richtlinien x, y und z mich daran hindern, meine Arbeit zu erledigen, und somit die Entwicklung der lukrativen Produkte a und b verhindert, werden die Richtlinien x, y und z ausgesetzt (atam wenigsten für uns) ziemlich schnell.
    thieupepijn
    2020-08-11 02:11:43 UTC
    view on stackexchange narkive permalink

    Achten Sie beim Ausfüllen Ihrer Arbeitszeittabellen (da Sie jetzt für Big Megacorp arbeiten, nehme ich an, dass Sie dies jetzt tun müssen) darauf, alle Stunden zu registrieren, in denen Sie keine eigentliche Arbeit geleistet haben, aber mit den von Ihnen genannten Problemen beschäftigt waren. Es wird Ihre Probleme sicherlich nicht sofort lösen, aber wenn tatsächlich etwas mit diesen Arbeitszeittabellen gemacht wird, wird es vielleicht jemand in der Kette bemerken und Maßnahmen ergreifen.

    Ich glaube nicht, dass die meisten Arbeitszeittabellensysteme die Verwendung von benutzerdefinierten Codes zulassen. Wenn Sie also einen Code verwenden, den Sie nicht verwenden oder für einen Code überbuchen sollen, wird dieser wahrscheinlich unbemerkt bleiben.
    Tinyco hatte möglicherweise (wenn überhaupt) Freetext-Zeitberichte, aber Megacorp hat mit ziemlicher Sicherheit feste Zeitcodes ohne solche Flexibilität.
    Wenn Sie dies getan haben, wird Ihr direkter Manager Sie höchstwahrscheinlich bitten, nur für bestimmte genehmigte Codes zu buchen, da an die Codes, die Sie buchen, kein Budget angehängt ist.Das Problem wird nicht höher eskaliert.Arbeitszeittabellen sind immer Lügen und spiegeln immer das Budget wider, das den Projekten zugewiesen wurde, und nicht die tatsächlich geleistete Arbeit.
    Arbeitszeittabellen müssen im Allgemeinen die Abrechnung der Anstrengungen zur Erreichung der Ziele widerspiegeln, einschließlich aller Arten von Overhead-Aktivitäten (Besprechungen, technische Probleme usw.), die erforderlich waren.Es sollte keine "alle Stunden, in denen Sie keine eigentliche Arbeit geleistet haben" geben, denn wenn diese "Sicherheitsmaßnahmen" beispielsweise bedeuten, dass Sie vier Stunden gebraucht haben, um eine (was sollte) eine fünfminütige Änderung vorzunehmen,Dann muss die Arbeitszeittabelle angeben, dass die Änderung vier Stunden "gekostet" hat. Diese Stunden waren tatsächliche Arbeit, die Sie ausführen mussten, um diese Änderung durchzuführen.
    Anthony
    2020-08-11 08:54:30 UTC
    view on stackexchange narkive permalink

    Ich selbst arbeite seit fast 7 Jahren im Bereich Cybersicherheit. Ich stimme Ihnen zu, dass die von Ihnen erwähnten Sicherheitskontrollen wie Single Sign On (SSO) und Multi-Faktor-Authentifizierung (MFA) eine gute Idee sind, wenn sie ordnungsgemäß bereitgestellt werden .

    Zunächst möchte ich anerkennen, dass die richtige Sicherheit von entscheidender Bedeutung ist und dass die von Ihnen erwähnten Sicherheitskontrollen theoretisch eine gute Idee sind. Starten Sie das Gespräch zu den Themen der Vereinbarung - dem des "Was". Dies wird zeigen, dass Sie als Sicherheitsexperte nicht gegen die Idee eines angemessenen Maßes an Cybersicherheit sind. Wenn Sie nicht einverstanden sind, werden diese Sicherheitskontrollen implementiert

    . Da Sie anscheinend eine technische Rolle spielen, würde ich auf Ihr technisches Fachwissen zurückgreifen, um die Änderungen hervorzurufen Sie wünschen. Zeigen Sie ihnen, wie ein geeigneter SSO-Anbieter mit den verschiedenen Identitätsprotokollen (z. B. SAML) funktionieren soll. Zeigen Sie ihnen das mögliche Angriffsszenario, in dem ein Bedrohungsakteur, z. B. ein böswilliger IT-Mitarbeiter, das Konto eines anderen Benutzers gefährden und sich dann mithilfe des aktuellen Prozesses zum Zurücksetzen fehlerhafter Kennwörter als dieser ausgeben kann. Letztendlich möchten Sie, dass das Management absolut klar ist, dass Ihre Bedenken konkrete Konsequenzen haben , die sich negativ auf Ihre Arbeit auswirken. Es ist entscheidend, dass Sie Ihre Bedenken nachweisen können, dass sie tatsächlich realisierbar und nicht nur phantasievoll sind.

    Möglicherweise können Sie diese konkreten Konsequenzen sogar demonstrieren, wenn Sie das Management davon überzeugen können, dass Sie das System mit einem White-Hat "hacken"."Gib mir deinen Laptop? Lass uns so tun, als wäre ich ein böswilliger Angestellter, der ihn gestohlen hat."
    Am nächsten kam mir eine E-Mail, die ich einmal an die Unternehmenssicherheit gesendet hatte und sagte: "Ich habe diese E-Mail erhalten, die behauptet, von der Unternehmenssicherheit zu stammen, und mich gebeten, XXXX zu tun. Das scheint nicht sehr sicher zu sein, weil JJJJ. Ist die E-Mail tatsächlich von Ihnen gekommen?", oder war es von einem Hacker? Und übrigens, wie würde ich für das nächste Mal wissen, dass E-Mails, die behaupten, aus Unternehmenssicherheit zu stammen, echt sind? ".
    JazzmanJim
    2020-08-11 01:58:39 UTC
    view on stackexchange narkive permalink

    Alles dokumentieren. Wie viel Zeit verbringst du mit 'X' oder 'Y' oder 'Z'? Stellen Sie alles in geschäftliche Begriffe - wie viel Zeit wird aufgewendet und was kostet das Geschäft?

    Sie können keine schnellen Änderungen vornehmen. Große Organisationen sind wie ein Schlachtschiff, das ewig braucht, um die Richtung zu ändern.

    wberry
    2020-08-11 22:26:24 UTC
    view on stackexchange narkive permalink

    Sie entdecken, wie es ist, in einem großen Unternehmen zu arbeiten. Die von Ihnen beschriebenen Probleme werden so lange fortgesetzt, bis die Führungskraft, die das Sicherheitsteam beaufsichtigt, und der Architekt dieses Teams sich einig sind, dass ein Problem vorliegt, ein finanziertes Projekt zur Lösung des Problems erhalten und im Laufe des Kurses eine Lösung einführen können von mindestens mehreren Monaten.

    Gewöhnen Sie sich also an Ihre Situation, denn es wird für eine Weile so sein, egal wie richtig Sie sind. Machen Sie sich in der Zwischenzeit keine Sorgen im Rücken eines anderen. Dies wäre eine großartige Möglichkeit, Ihre Aussichten auf Beförderung oder sogar seitliche Rollenwechsel bei MegaCorp einzuschränken.

    Suchen Sie stattdessen eine Herausforderung, die Sie lösen möchten, die das Management von Ihnen lösen möchte, und nehmen Sie diese Herausforderung an und geh danach. Die Sicherheitsrichtlinien sind nur ein Teil der Umgebung, in der Sie arbeiten müssen. Wenn sie Probleme verursachen, stellen Sie sicher, dass Ihre Stakeholder über sie informiert sind und wissen, wie Sie mit ihnen arbeiten möchten. Und dann weiter.

    Diese Probleme sind nicht spezifisch für große Unternehmen. Startups können und sollten auch strenge Verfahren zum Zurücksetzen von Kennwörtern, Rollentrennungen und die Notwendigkeit haben, die Kennwortauthentifizierung zu vermeiden.
    @eckes Während Startups möglicherweise dieselben Probleme haben, sind der Raum für mögliche Lösungen und die Möglichkeiten für organisatorische Änderungen völlig unterschiedlich.In einer kleinen Organisation sollten Sie in der Lage sein, Fehler in Richtlinien, die Sie betreffen, zu diskutieren und zu beheben. In großen Organisationen ist dies häufig (abhängig von Ihrer Rolle in der Hierarchie) nicht möglich.
    fraxinus
    2020-08-11 16:28:41 UTC
    view on stackexchange narkive permalink

    In den meisten Fällen ist dies nicht möglich.

    Diese "Infosec" -Personen werden dafür bezahlt, gelobt und befördert, dass sie keine Verstöße haben, die auf ihre eigenen Fehler zurückzuführen sind.

    Verstöße im Allgemeinen sind nicht schlecht für sie - solange sie die Schuld auf jemand anderen übertragen können. Darüber hinaus können sie die Sicherheitsverletzung missbrauchen, um mehr Budget und mehr Macht zu erhalten.

    Die Halbierung (oder schlimmer noch) der Prodiktivität aller anderen ist nicht ihr Problem. Das obere Management schwört normalerweise die nächste "Sicherheitsmaßnahme" ab, die allen auferlegt wird, und lockert die Richtlinien für sie. Sie sehen nicht die Last, alles auf einmal einzuhalten. Der normale Mitarbeiter hat nicht den gleichen Luxus und die Produktivität leidet unter dem Effekt des gekochten Frosches.

    * "Verstöße im Allgemeinen sind nicht schlecht für sie - solange sie die Schuld auf jemand anderen übertragen können." * - Ich frage mich, ob der Infosec-Typ bei der Arbeit deshalb einmal fulminiert hat, als ich ihm per E-Mail Informationen schickte, aus denen hervorgeht, dass die StaatssicherheitDie Dienste hatten die Verwendung unangemessen komplexer Kennwörter mit ständigen Änderungen, die er implementieren wollte, abgelehnt, da sie die Sicherheit verringerten und die Benutzer dazu zwangen, Muster zu verwenden oder sie aufzuschreiben.Zu der Zeit habe ich es als reine Arroganz angesehen, aber im Nachhinein vielleicht ist es, weil ich etwas aufgezeichnet und geschrieben habe, das ihn daran hindern würde, später Mitarbeiter zu beschuldigen.
    @Steve Das ist * immer noch * Arroganz;nur von einer anderen Art.
    Old Nick
    2020-08-11 19:14:49 UTC
    view on stackexchange narkive permalink

    Versteh mich nicht falsch, ich bin auch Entwickler und habe selbst in Organisationen wie dieser gearbeitet, aber Sie haben kaum eine Chance, Dinge zu ändern (Nach meiner eigenen Erfahrung können Sie möglicherweise kleine Änderungen vornehmen, aber im Allgemeinen, Sie werden nicht in der Lage sein, grundlegende Änderungen vorzunehmen. Lernen Sie also entweder, damit zu leben, oder finden Sie etwas anderes, das Ihnen gefällt.

    Große Unternehmen haben aufgrund der finanziellen Sanktionen von tendenziell restriktive Sicherheitsrichtlinien es falsch zu verstehen ist so schwer. Neben der Bedrohung durch böswillige Angriffe kann es je nach Branche zu extrem hohen Strafen für Sicherheitsverletzungen kommen.

    Unternehmen legen Wert darauf, Geld zu verdienen, und Störungen bis zum Tag eines Softwareentwicklers sind vorzuziehen. Sagen wir, wir zahlen eine Unmenge Ransomware.

    Bei einem Megacorp, bei dem ich gearbeitet habe, wurde mir gesagt, wir könnten nicht von einer bekannten, aber sinnlos teuren und veralteten Datenbanklösung zu einer moderneren Open-Source-Lösung wechseln, weil "wenn wir verklagt werden, wird ein Richter eher auf der Seite stehen."uns, wenn wir X verwenden, aber uns bestrafen, wenn wir Y verwenden "war die Antwort, die ich bekam.
    chasly - reinstate Monica
    2020-08-12 16:28:19 UTC
    view on stackexchange narkive permalink

    Ich bin davon überzeugt, dass ich so hoch wie möglich und zu der wohlwollendsten Person gehen kann, die Sie finden können.

    Beachten Sie bei der Verwendung interner E-Mails, dass dies mit ziemlicher Sicherheit von jemandem überwacht wird. Ich würde mich über die PA der Person mit einem einfachen kurzen gedruckten Memo nähern, das den vorgeschlagenen Punkt zeigt, den Sie ansprechen möchten. Kopieren Sie es an die erforderlichen Personen, bevor Sie es senden, damit Sie nicht hinter ihren Rücken gehen. Wenn sie Einwände erheben, sagen Sie: "Schauen Sie, das ist wichtig und wir kommen nicht weiter. Wenn jemand nicht bemerkt, dass ich muss höher gehen."

    Hier ist Was ich schreiben könnte:

    Lieber VIP

    Ich verstehe, dass TinyCo aufgrund des Fachwissens übernommen wurde, das wir unsicher sind, aber es gibt einen Bereich, in dem dieses Fachwissen nicht vorhanden ist

    Insbesondere gibt es ein oder zwei wichtige Sicherheitsanforderungen, die für die heutige Welt aktualisiert werden müssen. Ich bin jedoch auf von MegaCorp geerbte Legacy-Regeln gestoßen, die mich daran hindern, diese Maßnahmen voranzutreiben. Sie würden nicht nur die Datensicherheit verbessern, sondern meiner Meinung nach auch viel Zeit und Geld sparen.

    Ich frage mich, ob Sie in Betracht ziehen würden, mich mit einem Megacorpsecurity-Experten in Verbindung zu setzen, damit ich diese Ideen und uns offiziell einreichen kann Können Sie sich bei Ihnen melden?

    Mit freundlichen Grüßen

    Verschlüsselung

    Was dies bewirkt

    Es macht die wichtige Person darauf aufmerksam, ohne Arbeit für sie zu erstellen .

    Der einzige MegaCorp-Sicherheitsexperte, den sie namentlich kennen, wird es tun Sei der Top-Typ. Der VIP muss ihnen lediglich eine Nachricht senden: "Bitte prüfen Sie dies und melden Sie sich zurück." Dann ist es von ihrem Schreibtisch.

    Warnung

    Sie dürfen den VIP zu keinem Zeitpunkt mit technischen Gesprächen über SSO- oder IT-Tickets bombardieren - sie haben wahrscheinlich keine Idee, was das sind. Wenn sie technisch orientiert sind, können sie Sie um eine technische Zusammenfassung bitten, wenn sie dies wünschen.

    Was könnte richtig gehen

    1. Sie könnten Ihre Karriere erheblich beschleunigen, wenn sich herausstellt, dass Ihre Vorschläge dem Unternehmen viel Zeit- und Geldverschwendung ersparen. Der VIP kennt jetzt Ihren Namen.

    2. Es sät den Samen im großen Korps, dass Sie kein Junior-Lakai sind, sondern ein Gleicher, dessen Ideen zählen. P. >

    3. Es kann sogar dazu führen, dass MegaCorps-Mitarbeiter Sie konsultieren müssen, bevor sie mit etwas Neuem fortfahren.

      4. ol>

      Was könnte schief gehen

      Ich glaube nicht, dass ein großes Risiko besteht, denn wenn der VIP Sie ignoriert oder nur "Sprechen Sie mit Ihrem direkten Chef" sagt, haben Sie nicht verloren etwas. Wenn der VIP jedoch wohlwollend und klug ist und Ihnen hilft, wird sich niemand streiten.

      Haftungsausschluss

      Jede Handlung oder Untätigkeit hat Risiken und Konsequenzen . Ich persönlich glaube nicht, dass mein Vorschlag einen Nachteil hat, aber Sie müssen alle Risiken für sich selbst abwägen. Ist jahrelange Frustration besser als eine etwas riskante Handlung?

      Zufällige Gedanken

      Verwenden Sie möglicherweise kein privates Memo, aber vermeiden Sie es, jemandem über den Kopf zu gehen Sagen Sie ihnen, dass Sie direkt mit dem VIP kommunizieren werden, da derzeit aufgrund von Regeln keine Fortschritte erzielt werden. Wenn sie Einwände erheben, sagen Sie erneut: "Aber das ist wirklich wichtig und wir kommen nicht weiter." Wenn sie immer noch Einwände erheben, nehmen Sie den moralischen Standpunkt ein: "Es tut mir leid, aber die aktuelle Situation kostet das Unternehmen Zeit und Geld. Ich würde meine Pflicht nicht erfüllen, wenn ich sie nicht anfechten würde. Ich habe keine Option." / p>

      Niemals eine Person oder Abteilung beschuldigen - Sie versuchen nicht, Menschen in Schwierigkeiten zu bringen. Legen Sie immer die Vorteile und Verbesserungen dar, die Ihr System bieten wird.

    Dies zu tun ist ein sehr langer Weg, aber Sie würden diese Chancen erheblich verbessern, indem Sie eine Berechnung für verlorene Zeit und Geld anhängen.Zum Beispiel, wie viele Personen müssen das Passwort zurücksetzen, wie viel Zeit wird verschwendet (Menschen, die nicht arbeiten können), wann immer eine benötigt wird, und wie hoch sind die Kosten für diese Zeit in Ingenieurstunden?
    X X
    2020-08-13 13:19:10 UTC
    view on stackexchange narkive permalink

    Machen Sie sich bereit, mit Management- und Sicherheitsmitarbeitern zu sprechen.
    Aber stellen Sie zunächst sicher, dass Sie mit allen Personen mit der "Sprache" sprechen, die sie am besten verstehen.

    Gesprächszeit und Geld "mit Ihrem höheren Management . Sprechen Sie nicht viel darüber, wie / warum es unsicher ist. Sie können nicht damit befasst sein. Das Management ist mehr besorgt darüber, wie viel Zeit / Geld es kostet oder wie viel verloren geht - und so sollten Sie sprechen. Um sich darauf vorzubereiten, beantworten Sie zuerst diese Fragen.

    • Wie viel Zeit es dauert von dir pro Monat? (Geben Sie auch die "blockierte" Zeit an.)
    • Wie viel Zeit benötigt das Team (oder die Organisation) pro Monat ?
    • Wie viel Arbeit kann es sein stattdessen getan? (z. B. Aufgaben, Funktionen, Story-Punkte)

    Wenn die Zeit / der Monat sehr gering ist, ist es vielleicht besser, nicht darauf zu setzen.
    Aber wenn es merklich groß und / oder ist Blockiert das Team - machen Sie es!
    Stellen Sie sicher, dass Sie die Zeit in sichtbare Arbeits- oder Geldeinheiten umwandeln, bevor Sie mit Ihren Managern sprechen.
    Zum Beispiel: Probleme werden von gesehen jedes Mitglied des Teams einmal im Monat. Die Reparatur dauert 2-3 Stunden. Wenn das Team 10 Mitglieder hat, würde dies 20 bis 30 Stunden pro Monat leisten, was 2 bis 4 vollen Arbeitstagen entspricht. Dies kann übersetzt werden in:
    "Das Team verliert 3 volle Arbeitstage pro Monat, weil es blockiert wird zu diesen Problemen. "
    " Wir können 5 weitere Funktionen mit höherer Priorität pro Monat implementieren, wenn wir diese Probleme nicht haben. "

    Sprechen Sie mit Ihren Sicherheitsleitern über" Sicherheit " / stark>. Sprechen Sie nicht viel darüber, wie unpraktisch es für Sie oder Ihr Team ist. Es ist ihnen vielleicht egal, bei Sicherheit geht es nicht um Bequemlichkeit. Sie sind besorgt darüber, wie sicher / unsicher es ist, wie wenig (oder gar keine) Arbeit sie tun sollten, um es zu überwinden.

    • Nach Lösungen suchen. Schreiben Sie die Probleme auf. Dann recherchieren Sie jeden von ihnen und bereiten Sie Lösungen vor (in Ihrem Kopf oder schriftlich), wie es gemacht werden soll. Sie müssen klar darstellen, welche Probleme Sie beheben möchten und wie sie behoben werden können, um konstruktive Gespräche zu führen.
    • Schätzungen. Wenn möglich, zählen Sie, wie viel Zeit für die Implementierung der einzelnen Fixes benötigt wird. Wenn möglich, wenden Sie sich an Kollegen mit guter Sicherheit (in Ihrem Team oder in einem anderen Korps). Wenn die Implementierungszeit gering ist, weniger als die Zeit, die Sie / Ihr Team (pro Monat) benötigen, verwenden Sie diesen Punkt in Ihren Gesprächen . Stellen Sie sicher, dass die Schätzungen realistisch sind. Dies kann zu einem entscheidungskritischen Argument werden.

    Treffen vereinbaren . Sprechen Sie mit dem Manager und dem Sicherheitsteam und vereinbaren Sie dann ein Treffen mit den Beteiligten. Am Ende läuft alles auf folgende Fragen hinaus: "Wie viel wird es kosten?", "Ist es die Kosten wert?", "Werden wir mehr Geschäftswert gewinnen, wenn wir es tun?". Seien Sie bereit für diese Fragen. Und wenn sich die Kosten definitiv lohnen, wird das Management das Sicherheitsteam nach einer Weile weiterleiten.

    Nach alledem benötigen Sie Geduld. Seien Sie bereit, die obigen Schritte einige Male durchzugehen.

    • Zählen Sie weiterhin Statistiken . Notieren Sie die Zeit, zu der Sie (oder Ihre Teamkollegen) blockiert sind - in Ihren Notizen und in Berichten. Sie werden es in Ihren nächsten Gesprächen brauchen. Sobald Sie genügend "Zahlen" haben, werden Ihre Vorschläge bemerkt. Das Gegenteil ist ebenfalls möglich - Sie können feststellen, dass es aus geschäftlicher Sicht die "Kosten" (je nach Problem) nicht wert ist.
    • Gehen Sie nicht "gegen", sondern "reparieren" . Verwenden Sie keine destruktiven Schuldzuweisungen und Beschwerden. Solche Handlungen werden als Indikatoren für Inkompetenz und Nichtprofessionalität angesehen und können sich negativ auf Ihre Karriere auswirken.
    • Erhöhen Sie sie weiter - konsequent und konstruktiv . Die Änderung wird am nächsten Tag nicht stattfinden. Abhängig von Ihrer Unternehmensgröße kann es Monate dauern.

    Wenn Sie Erfolg haben, wird dies letztendlich als Führungsakt angesehen und wirkt sich positiv auf Ihre Karriere aus. Vergessen Sie nicht, die Ergebnisse in wenigen Monaten zu teilen :)



    Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 4.0-Lizenz, unter der er vertrieben wird.
    Loading...