-
Starke Authentifizierung und Verschlüsselung auf einem separaten Server, der eine kleine Teilmenge der Daten enthält, möglicherweise jedoch nicht alle vertraulichen Daten. Härten Sie nach Bedarf zusätzliche Steuerelemente aus und fügen Sie sie hinzu. Es kann hilfreich sein, nur dem Server mit den vertraulichen Daten zu erlauben, Daten an den Server zu senden, auf den öffentlich zugegriffen werden kann, und alle Pakete vom öffentlich zugänglichen Server zu blockieren, der auf den Server zurückgreift, der die vertraulichen Daten enthält (Einweg-Firewall-Regel).
-
Erstellen Sie einen sicheren Front-End-Server, auf den von überall aus zugegriffen werden kann und der den Zugriff auf den Back-End-Server kontrolliert. Härten Sie hier nach Bedarf zusätzliche Steuerelemente ab und fügen Sie sie hinzu.
-
Härten Sie den Server selbst und stellen Sie gegebenenfalls eine WAF oder andere Steuerelemente davor bereit.
-
Denken Sie an andere kreative Lösungen, die von den tatsächlichen Bedürfnissen Ihres Chefs abhängen (Ihre Frage ist nicht spezifisch für die tatsächlichen Bedürfnisse).
ol> Unabhängig davon, welche Option ausgewählt ist, müssen Sie den Zugriff auf das System protokollieren und überwachen. Es ist ratsam, sich mit Ihrem Chef in Verbindung zu setzen, nachdem das System Verbindungen aus anderen Ländern (oder zumindest IPs, die offensichtlich nicht von Personen stammen, die mit Ihnen zusammenarbeiten) erhalten hat, und ihm die globalen Verbindungen zum System zu zeigen. Manchmal ist dieses reale Feedback erforderlich, damit die Menschen das Risiko verstehen.
Nutzen Sie dies als Gelegenheit, Ihren Chef zu erziehen , aber tun Sie dies auf sehr bescheidene Weise, indem Sie sich strikt an reale Daten halten. Möglicherweise hatte er zu viele Leute, die ihm mit Angst, Unsicherheit und Sicherheit Sicherheit verkauften Zweifel (FUD) und hören möglicherweise einfach nichts, was ähnlich klingt, unabhängig davon, wie legitim diese Informationen sind. Vorsicht vor FUD-Müdigkeit. Wenn er oder sie ihre Grenze erreicht hat, hat alles, was Sie in dieser Hinsicht sagen, den gewünschten gegenteiligen Effekt. In diesem Fall besteht Ihre beste Lösung darin, sachliche Daten zu liefern und ihm zu ermöglichen, zu eigenen Schlussfolgerungen zu gelangen.
Seien Sie hier ein Problemlöser, geben Sie Ihrem Chef Lösungen und nicht nur Gründe, nein zu sagen. Haben Sie keine Angst, teure Lösungen vorzuschlagen, die Sie für zu teuer halten Für das Unternehmen ist Ihr Chef möglicherweise in Ordnung, wenn er die Funktionalität für ihn oder sie schnell weiterentwickelt. Halten Sie die Sicherheit jedoch nach Möglichkeit langfristig so kostengünstig wie möglich (vermeiden Sie wiederkehrende Kosten, die in wirtschaftlich schwierigen Zeiten gesenkt werden können). Betrachten Sie dies als eine Gelegenheit für Sie, mehr Sicherheit zu schaffen, indem Sie das Geschäft aktivieren, anstatt es zu bekämpfen. Wenn Sie zeigen, dass Sie das Geschäft stärken und die Anforderungen in Bezug auf die Fortschritte des Geschäfts oder des Geschäfts stärken können Wie sich die Dinge auf das Geschäft auswirken könnten, erhalten Sie von Menschen wie Ihrem CEO eine viel bessere Antwort. Es ist auch wichtig zu verstehen, wann das Unternehmen in Eile ist. Es ist nicht ungewöhnlich, dass ein Unternehmen mehr Geld für eine Lösung zahlt oder Dinge genehmigt, die es sonst möglicherweise nicht genehmigt, wenn es einen Mehrwert bietet und schnell bereitgestellt werden kann. Zu diesem Zweck hilft es Ihnen auch, zu wissen, wann Anfragen zeitlich festgelegt werden müssen, und die Dringlichkeit der Projekte im Flug zu verstehen.
Stellen Sie sich diesen Teil des Geschäfts als Kampfkunst vor. Sie möchten die Energie Ihres Gegners nutzen und an einen Ort umleiten, an den er gehen soll, während Sie gleichzeitig Ihren eigenen Energieverbrauch minimieren. Wenn Sie schnell den Wunsch erfüllen können, dies zugänglich zu machen, ist jetzt möglicherweise ein guter Zeitpunkt, um viel mehr Sicherheit zu schaffen. Geschwindigkeit ist hier wichtig und Sie müssen sich einkaufen, solange es sozusagen heiß ist.
Schließlich sollten Sie sich darüber im Klaren sein, dass Sie dies als Geschäftsproblem, bei dem Sie helfen können, viel besser angehen können und nicht nur ein technisches Sicherheitsproblem. Beginnen Sie ebenfalls damit, zusätzliche Sicherheitsanforderungen zu suchen und zu antizipieren, und bringen Sie sie frühzeitig zu Ihrem Chef, damit Sie wie jemand aussehen, der dem Unternehmen hilft, anstatt als Hindernis für den Fortschritt. Dieses Framing erreicht das gleiche Ziel, sorgt jedoch für schnellere und konfliktärmere Sicherheit.
Ergänzung nach dem ursprünglichen Beitrag: Eine Sache, die auch für Sie hilfreich sein kann, ist, eine langfristige Sicherheits-Roadmap zu erstellen und diese mit Ihrer Organisation zu teilen. Was dies bedeutet, ist für jede Organisation unterschiedlich, aber es ist sehr wichtig, die Arbeit zu zeigen, die Sie derzeit nicht ausführen, und auch die Arbeit, die Ihre Organisation möglicherweise niemals intern erledigt (kleine Start-ups haben weniger wahrscheinlich forensische Teams im Haus ). Der Grund dafür ist, dass Sie dazu beitragen, sich weiterzubilden und Erwartungen an Ihr Führungsteam zu setzen. Dies ist etwas, was viele Sicherheitsteams im Kopf haben, aber wenn Sie einen Plan formalisieren und einen Weg nach vorne aufzeigen, können Sie sich mehr für Ihr Sicherheitsprogramm einkaufen. Ein großer Teil davon befasst sich mit Kommunikation und einer gemeinsamen geschäftlichen Vision, ein anderer Teil mit der Aufklärung der Geschäftsleitung darüber, wo sie risikobehaftet sind. Ich finde, dass die Visualisierung der Sicherheitsschulden Ihres Unternehmens den Menschen hilft, automatisch nachdenklichere Entscheidungen zu treffen.