I mange år har vi hørt sikkerhet fagfolk beklage måten de blir oppfattet. Begreper som "stedet der gode ideer gå til å dø" og "Institutt for no 'var ikke uvanlig for bare få år siden, da med henvisning til sikkerhetsfunksjonen
Men det er i endring -. Sakte, ifølge til mange sikkerhetsledere. Likevel, som risikoreduserende tiltak, og menneskene bak dem, få en bedre rep, utfordringer fortsatt eksisterer når det gjelder å formidle sikkerhet budskap til selskapets ledelse og ansatte brukere også.
Er din sikkerhet melding bli tapt?
unnlater å forholde seg til sikkerhet for alle
Unnlate å gjøre business case for sikkerhet
En rolle i kommunikasjons endres ofte
< .no>
Vi snakker tre IT-sikkerhet veteraner å lære å kommunisere din sikkerhetsstrategi i en bedrift. Her forteller de oss hva ikke anbefale å gjøre hvis du ønsker å få alle om bord Koppel mener alle i en organisasjon , ikke bare sikkerhetsteam, trenger å forstå hvordan sikkerheten fungerer for dem. Det betyr å lytte til brukeren smerte poeng og skape løsninger med det i tankene I en nylig initiativ til å implementere en løsning for identitetsadministrasjon, Koppel og hennes team fokusert på problemene brukere med å ha med den eksisterende infrastrukturen før du går fremover.: "Problemer som får tilgang raskt, synkronisering passord, og gi dem muligheten til å bruke programmer sjeldnere uten å miste tilgang. Ved å se på alle de tingene vi har gjort sitt arbeid enklere." Resultatet var å gi brukerne ett sted til gå og synkronisere alle passord på tvers av flere programmer. Koppel sa mens det nye systemet var ikke platina standard fra et sikkerhetsperspektiv, det betydelig forbedret sikkerhetssituasjonen i hele Kohler. Det er fordi mens brukerne bare måtte ha ett passord, ble det nødvendig å være et sterkt passord, noe mange ble forsømme å bruke før. "Nå når jeg setter meg ned med folk i hele selskapet og fortelle dem jeg m personen bak det, sier de: "Åh, du er den! ' og er vanligvis veldig fornøyd, "sier Koppel. "Hvis vi kan løse problemer for brukeren, kan vi også gi dem strammere sikkerhetskontroller og de har ikke noe imot." Roger Dixon, leder informasjonssikkerhet med global investment management selskap Invesco, er ansvarlig for en sikkerhetsavdeling som spenner over hele verden. "Mitt team er spredt rundt om i verden," forklarte han. "Når du kommuniserer du alltid ha utfordringer språk. Og hver region er under ulike trykk i den posisjonen." Dixon sa kultur forskjeller mener hans meldinger må formidles på flere måter å unngå krenkelser eller misforståelser. En melding som kan være grei i Nord-Amerika kan sees i et helt annet lys i andre land. En one-size-fits-all tilnærming vil føre til problemer, sier han. "Du kan ha utilbørlig aktivitet, en politikk brudd oppstår et sted i virksomheten, og du trenger for å sette ut en melding for å ta det," han sa. "I Nord-Amerika kan du komme unna med en" opphøre og avstå 'budskap å stoppe aktiviteten. Men en "opphøre og avstå" har en litt annen konnotasjon når du bruker det i Storbritannia. I Storbritannia vil de ser det som en juridisk begrep. For ansatte der det kunne bli sett på som IT-sikkerhetsavdeling sette på airs med et juridisk begrep for en enkel policy brudd. Der du kan komme unna med en sterkere begrep i USA, betyr det ikke nødvendigvis gå over i annen kulturer. " Dixon sa at det er viktig å trekke på ansatte innenfor ulike regioner for å bidra til å kommunisere i et område-hensiktsmessig måte. Vi snakker tre IT-sikkerhet veteraner å lære å kommunisere din sikkerhetsstrategi i en bedrift. Her forteller de oss hva ikke anbefale å gjøre hvis du ønsker å få alle om bord Som profilen sikkerhet er i Virksomheten har steget betydelig det siste tiåret, så har status CSO (Chief Security Officer) blant ledere. Men Dixon sa at til tross for økt fokus på sikkerhet, både ledere og ansatte glasur over når teknisk diskusjon begynner. Folk utenfor sikkerhetsavdeling er bare ute etter noen å gi det til dem når det gjelder de kan forstå, sa han. "De forventer å få et sikkerhetsspørsmål til sikkerhet og få et svar som er relatert til virksomheten, ikke hvordan den forholder seg til det, "sier han. "Du må være i stand til å presentere og bringe sikkerhet på tvers av alle deler av organisasjonen." Dixon sa han finner mest suksess når han tar tilnærming av bare å forklare andre hva risikoen de står overfor, og hva potensielle utfall kan være for ikke å ta banen sikkerhet legger ut. Koppel ekko Dixon tanker og sa at hun alltid jobber for å formidle budskapet om at sikkerheten forstår det store bildet av virksomheten. "Vi ser på alle forretningsprosesser," sier hun. "Vi er bare å sette i en brannmur og prøver å hindre dem fra å gjøre det de må gjøre." "Den største lærdommen Jeg har lært er timing, "sier John Kirkwood, Global CISO av Royal Ahold. Før sin nåværende jobb, Kirkwood jobbet ved American Express og Credit Suisse. Han husker en tid da hans sikkerhet meldingen ble ignorert av de fleste - så 11. september terrorangrepene skjedde. Flere høyprofilerte virus laget deres innvirkning snart etter. De som en gang ignorerte ham tror han er ganske smart nå, sa Kirkwood. Men heller enn å føle en følelse av selvtilfreds tilfredshet, sa han det lærte ham noe om plukke kamper. "Hvis du sier det rette til rett person til rett tid vil du få mye bevegelse," han sier. "Hvis du ikke er bevisste på når en organisasjon er mottakelige, vil du finne at meldingen vil gå tapt." Kirkwood peker på PCI-relatert teknologi som et eksempel, og sa han visste i mange år det var noe organisasjoner bør investere i for sin egen beskyttelse. Men det var ikke før krav til samsvar varmet opp og brudd ble overskrifter som virksomheten begynte å ha en interesse. "For noen år siden, hvis jeg sa at vi trenger å bruke noen millioner til å gjøre dette, ville jeg har vært en paria. Noen kaller global informasjonssikkerhet den "Man of La Mancha" rolle. Du er alltid mot vindmøller. Men hvis du velge dine kamper i henhold til timing, vil du være svært vellykket. Du kan ikke kjempe alt hver dag. " Vi snakker tre IT-sikkerhet veteraner å lære å kommunisere din sikkerhetsstrategi i en bedrift. Her forteller de oss hva ikke anbefale å gjøre hvis du ønsker å få alle om bord Kirkwood sa han mentalt forbereder møter ved å gå over e-post, finne ut hvilken rolle han vil bli kalt opp for å spille blant medarbeidere den dagen, og skreddersy sin tilnærming tilsvarende. "Skal jeg være en leder, en rådgiver? Eller kanskje en utgiver av dårlige nyheter? Det varierer, men jeg trenger ikke å være ledende i alle tilfeller. jeg har ikke til å være lærer eller rådgiver i alle tilfeller. Men jeg må ha den muligheten, fordi jeg vil være bedt om å gjøre de ulike rollene til forskjellige tider. " Koppel enig. Hun sa at hun krever hennes team å vite mer enn sikkerhet hvis de ønsker å jobbe for henne fordi de vil spille ulike roller i hele selskapet som sikkerhetsrepresentanter. "De trenger å forstå nettverk, for å forstå mange ting. Fordi av det, kan de ofte komme inn og gi meg beskjed om ikke-tekniske grupper prøver å løse ting i bakover måter, eller kanskje ikke forstå de valgene de gjør med noen av leverandørene de arbeider med. Så vi kan komme i og ikke bare adresse sikkerhet, men prøver og gjøre det en bedre løsning og prosess " Noen ganger kan du gjøre vårt ytterste på effektiv kommunikasjon, men det vil ikke gjøre litt forskjell. Det er fordi det er tider da det å være en god sikkerhet leder innebærer forståelse kommunisere er ikke verdt din energi. Dixon sa han tilbrakte to år i en stilling, stanger hodet mot veggen, prøver å kommunisere sikkerhet betydning, bare for å finne lederskap kunne ikke vare mindre. Dixon følte organisasjonen var egentlig bare ute etter en gallionsfigur for brann når noe gikk galt, så han dro. "Jeg fulgte ikke min gut og tilbrakte to år ikke er i stand til å gjøre hva jeg trengte å gjøre ", sier Dixon. "Når du gjør [Jobb] intervjuer og diskutere hva bedriften er, med mindre selskapet og ledelsen har en viss forståelse og støtte for sikkerhet, det spiller ingen rolle hvor god du er, er du ikke kommer til å komme noen vei med sikkerhet. " Se også: Hvordan overvåke de ansattes PCer
Mistake. 2: forsømmes å forholde sikkerheten til alle
Mistake 3: Sviktende å forstå kulturelle forskjeller
Er din sikkerhet melding bli tapt? Anmeldelser
unnlater å forholde seg til sikkerhet for alle
Unnlate å gjøre business case for sikkerhet
En rolle kommunikasjons endringer i ofte
Mistake. 4: Sviktende å gjøre business case for sikkerhet
Feil 5: forsømmes å innse at timing er nøkkelen
Er din sikkerhet melding bli tapt?
unnlater å forholde seg til sikkerhet for alle
Unnlate å gjøre business case for sikkerhet
En rolle i kommunikasjon endres ofte
Mistake. 6: Glemme at din rolle endres ofte
Mistake. 7: Sviktende å gjenkjenne når kommunikasjon er en sløsing med tid
Small-business IT råd
Se alle sikkerhetsnyheter
Er din sikkerhet melding bli tapt?
unnlater å forholde seg til sikkerhet for alle
Unnlate å gjøre business case for sikkerhet
En rolle i kommunikasjons endres ofte