質問:
理解するための背景が不足している経営管理に関連する技術的概念をどのように説明できますか?
Anthony
2016-07-12 08:19:56 UTC
view on stackexchange narkive permalink

私はIT監査人です。会社で使用しているビジネスアプリケーションについて、完了したセキュリティレビュー/監査のレポートを作成しています。 MITM(中間者)とパスワードの安全でないハッシュに関連する弱点を発見しました。

このアプリケーションは、社会保障番号を含むがこれに限定されない個人情報を含むかなり機密性の高い情報を保存および処理します。明らかに、このデータの性質を考えると、セキュリティと機密性は非常に重要です。 TLSバージョン1.3による強力な暗号化がなければ、情報は転送中に開示または変更される可能性があります。

私の質問は、技術的な詳細を説明せずに、ビジネスに対するこのリスクを経営陣に説明するにはどうすればよいですか?私の目標は、この点で行動を起こすことに関して知識に基づいた決定を下すリスクを経営陣に理解させることです。

Security.stackexchange.comの方が適しています。 VTC
@technik Empire、私はIT監査人であり、これらのレポートの作成は私の職務の一部です。
@Paparazziの問題はセキュリティに関するものではなく、それをどのように説明するかです。
この質問はメタで議論されています:http://meta.workplace.stackexchange.com/questions/3795/how-is-this-communication-question-too-broad
四 答え:
Philip Kendall
2016-07-12 10:05:39 UTC
view on stackexchange narkive permalink

ここであなた自身の質問にほぼ答えました:

ビジネスに対するこのリスクを管理者に説明するにはどうすればよいですか

フレーズを書く必要がありますこれらの用語でのあなたの報告:第三者がそれらのSSNを手に入れたら、 どうなるでしょうか?その正確な答えはわかりませんが、それは「お客様が私たちのビジネスへの信頼をすべて失う」ことと「規制当局が私たちに大量のレンガを非常に高いところから落とす」ことの組み合わせです。技術的なバックグラウンドを持たないマネージャーにとっても、どちらも明らかに悪い結果です。

Monica Cellio
2016-07-12 20:22:16 UTC
view on stackexchange narkive permalink

この回答が言うように、最初に、コンプライアンス、販売への影響、評判の悪さ、倫理など、マネージャーに関連する方法で結果を説明します。さらに、技術的の側面を、少なくとも高レベルで、同僚からマネージャー、さらにVCRを使用してテレビ番組を視聴しているテッドおじさんまで誰にでも説明できるはずです。 。

たとえば、 MitM攻撃に関するWikipediaのページの始まりは次のとおりです。

暗号化とコンピュータセキュリティでは、man-in-the-ミドルアタック(MitM、MiMアタック、MitMA、またはすべて大文字を使用した同じものと略されることが多い)は、攻撃者が互いに直接通信していると信じている2者間の通信を密かに中継し、場合によっては変更する攻撃です。

(Wikipediaは、専門的なトピックのアクセス可能な説明を探すのに適した場所です。)

技術的な知識を必要としない理解。名前が示すように、ユーザーと彼が通信していると思うサーバーの間に「男」(エージェント)がいることを説明しています。次に、例を使用して、何が起こり、攻撃者がどのようにアクセスするかを説明します(Wikipediaページのように)。高レベルから始めて、マネージャーの質問があなたの言うことを導きます。彼はおそらく暗号化アルゴリズムやDNSSEC、証明書のピン留めの詳細を気にしないので、技術的な詳細を先導しないでください。 (彼が気にかけている場合、彼はあなたに知らせます。)

あなたがこの会話をしている理由は、おそらくあなたが彼に決定を下す必要があるからです。彼にその決定を下すためのツールを提供し、彼が尋ねた場合追加情報を提供する準備をします(または、彼が何かを誤解しているなどの理由で明らかにそれを必要とします)が、彼があなたの問題ではなく彼の問題に集中できるようにします。

Old_Lamplighter
2016-07-12 17:33:20 UTC
view on stackexchange narkive permalink

私は、強力な技術者から文字通り物事をオンにする方法を知らない人々まで、あらゆるレベルの技術的能力の人々と話すことができて嬉しかったです。

技術者と技術者以外の人と話すための最良の方法は、次のとおりです。しないでください。

アナロジーは、効果を理解できる用語に変換するための唯一の方法です。

たとえば、PCメモリとHDDメモリの違いは何か、それぞれは何をするのかと尋ねられたことがあります。私は机とファイルキャビネットの例えを使いました。私はその人に、大きな机があれば、ファイルキャビネットに行く前にたくさんのものを置くことができると言いましたが、そうするときは、それを行うために取り組んでいることをやめる必要があります。机はあなたの記憶であり、ファイルキャビネットはあなたのハードドライブです。メモリが多いほど、コンピュータがHDDに移動する頻度が少なくなり、動作が速くなります。これは、作業を停止して常にファイルキャビネットに移動する必要がある場合と同じです。

管理者に対しても同様のアプローチを取ります。暗号化はロックであり、データは彼らの家の内容のようなものであることを説明します(より大きな影響を与えるには家族の家を使用します)。また、アマチュアでさえ侵入して家族を盗んだり傷つけたりするために玄関のドアに安価なロックをかけたくないのと同じように、スクリプトキディでさえも破ることができる安価な暗号化(ロック)は必要ありません。会社またはその顧客を介して傷つけます。

Peter M
2016-07-12 08:36:39 UTC
view on stackexchange narkive permalink

まず第一に、機密情報をそのように保存している場合、その情報の保存方法に関する何らかの外部規制に準拠する必要がある可能性があります。そのような場合、あなたは単にあなたが従わないことを経営陣に言い、従わないことに対する罰則を指摘することができます。彼らは彼らのためにその部分を理解するためにあなたにお金を払っているので、あなたは彼らに核心を説明する必要はありません。

第二に、あなたが規制された業界にいない場合(しかしあなたはそうあるべきだと思われます)その後、管理の技術的な詳細を教えることはできません。結局のところ、技術的な詳細がそれほど興味深いと感じた場合、彼らは管理を追求しなかったでしょう。頼りになるのは類推であり、単純であり、優れています。

ステップ1と2の後、経営陣がそれでも耳を傾けたくない場合は、そこで働くことについてどのように感じているかについて判断を下す必要があります。 。

「彼らが技術的な詳細をそれほど興味深いと思ったら、彼らは経営陣を説得しなかっただろう」と反対票を投じた。マネージャーが技術的なものに興味を持てないことを意味するものは何もありません。おそらく、彼らは技術よりも管理が*優れている*のかもしれません。


このQ&Aは英語から自動的に翻訳されました。オリジナルのコンテンツはstackexchangeで入手できます。これは、配布されているcc by-sa 3.0ライセンスに感謝します。
Loading...