Poviem otvorene: táto otázka mi nedá spávať. Ako odprezentovať riziká spojené s informačnou bezpečnosťou pre top manažment? Čo im povedať a ako im to podať?
Pamätám sa na situáciu u klienta - sedeli sme spolu s IT manažérom. O obchod tam moc ani nešlo, prezentovali sme výsledky auditu. Po ozrejmení najzávažnejších rizík (konkrétne prevzatie kontroly nad domain controllerom) sa manažér pohodlne vystrel v kresle a zahlásil: "Tak za toto vyhodím admina".
Samozrejme sme hneď začali vysvetľovať, že predsa nemôže jednať takýmto spôsobom, veď neexistuje firma, kde by bolo všetko v najlepšom poriadku. Nakoniec sa nám ho podarilo presvedčiť, aby toho nešťastníka neprepustil. Poznám ho osobne, je sám na viac než 10 servrov. Typický preťažený admin.
Dnes aj viem, že šok na zákazníka pôsobí niekedy opačne. Ak mu vysvetlíme najvačšie hrozby, spravidla povie, že keď je to teda tak, ani audity ani nič iné mu nepomôže a tak vraj škoda peňazí...
A tak v noci, keď normálni ľudia spia, ja rozmýšľam nad tým, ako presvedčiť ľudí z manažmentu, aby pochopili nutnosť vzdelávania svojich adminov a životnú dôležitosť auditov, nie pre mňa, ale pre ich vlastný biznis. Ak niekto z vás má nejaký nápad, dajte mi vedieť.
Ako prezentovať riziká manažmentu?
10.06.2008 09:26:59
Komentáre