Sauf si vous êtes un cadre supérieur, vous ne pouvez vraiment rien faire pour influencer la politique d'une méga société, et les responsables de l'application avec lesquels vous pouvez parler ne peuvent rien changer non plus.

Malheureusement, vos choix sont soit d'accepter de vivre avec le BS ou de chercher un employeur moins Dilbertesque.

Les expériences comme celle que vous vivez actuellement sont d'un côté pourquoi de nombreuses personnes travaillent presque toute leur carrière dans des entreprises de taille similaire. L'autre moitié de cette équation concerne les gens qui aiment la façon de faire des grandes entreprises, ne pouvant pas gérer le chaos en roue libre d'une petite entreprise.

Vous vous plaignez aux mauvaises personnes.

Vous venez d'une start-up, donc je suppose deux choses:

1. Votre entreprise a été rachetée, grâce à l'expertise de ses employés. Normalement, les start-ups ont très peu de main-d'œuvre par rapport à Megacorp. Megacorp pourrait donc facilement copier votre produit en peu de temps, mais ce n'est pas le cas, car ils seraient toujours en retard.
2. Les employés de grandes entreprises pensent qu'ils savent mieux, car ils travaillent pour une grande entreprise et vous ne l'avez pas fait. Donc, votre expertise et vos processus seront ignorés.

Si vous essayez d'apporter des changements de bas en haut, votre culture de travail se dissoudra dans la bureaucratie de Megacorp.

Transmettez-le à votre responsable

Vous avez besoin d'aide pour protéger votre façon de travailler, par conséquent, transmettez les problèmes à votre responsable. Ne parlez pas de nous contre eux, mais montrez clairement l'impact. Pas d'enrobage de sucre, pas de "Je peux le faire fonctionner" ou similaire autorisé. Vous n'êtes pas en mesure de résoudre ce problème vous-même.

Le meilleur cas serait si Megacorp accepte d'essayer une nouvelle approche et adopte vos idées. Le deuxième mieux est que vous pouvez gagner du temps pendant lequel vous pouvez travailler de manière autonome jusqu'à ce que "les choses soient réglées".

Continuez d'appuyer sur

changements immédiats. L'approche standard de Megacorp consiste à organiser une réunion, à discuter du problème, à faire un plan, puis à tout oublier, car ils ont d'autres tâches hautement prioritaires. Cela peut créer l’opportunité de prendre les devants en aidant le responsable officiel occupé.

Si vous voulez vraiment changer quelque chose, vous avez besoin d’endurance. Assurez-vous donc de votre motivation, sinon vous pourriez plus tard sentir que vous avez perdu votre temps.

Lorsque vous remplissez vos feuilles de temps (parce que vous travaillez maintenant pour big megacorp, je suppose que vous devez le faire maintenant), assurez-vous d'enregistrer toutes les heures pendant lesquelles vous ne faisiez pas de travail réel mais étiez occupé par les problèmes que vous mentionnez. Cela ne résoudra certainement pas vos problèmes immédiatement, mais si quelque chose est réellement fait avec ces feuilles de temps, peut-être que quelqu'un en haut de la chaîne le remarquera et agira.

Moi-même, je travaille dans le domaine de la cybersécurité depuis près de 7 ans. Je conviens avec vous que les contrôles de sécurité que vous mentionnez, tels que l'authentification unique (SSO) et l'authentification multifacteur (MFA), sont une bonne idée lorsqu'ils sont correctement déployés .

Je voudrais commencer par reconnaître qu'une sécurité adéquate est essentielle et que les contrôles de sécurité que vous avez mentionnés sont une bonne idée en théorie. Lancez la conversation sur les sujets d'accord - celui du "quoi". Cela montrera que vous, en tant que professionnel de la sécurité, n'êtes pas contre l'idée d'un niveau approprié de cybersécurité. Là où il semble que vous n'êtes pas d'accord, c'est la façon dont ces contrôles de sécurité sont mis en œuvre

Comme vous semblez être dans un rôle technique, je ferais appel à votre expertise technique pour obtenir les changements tu désires. Montrez-leur comment un fournisseur SSO approprié avec les différents protocoles d'identité (par exemple: SAML) est censé fonctionner. Montrez-leur le scénario d'attaque possible dans lequel un acteur menaçant, tel qu'un employé informatique malveillant, peut compromettre le compte d'un autre utilisateur, puis se faire passer pour lui, en utilisant le processus actuel de réinitialisation de mot de passe rompu. En fin de compte, vous voulez que la direction soit absolument claire que vos préoccupations ont de réelles conséquences tangibles qui ont un impact négatif sur votre travail. Être en mesure de démontrer que vos préoccupations sont réellement réalisables, et pas seulement fantaisistes, est essentiel.

Documentez tout. Combien de temps vous passez sur «X» ou «Y» ou «Z». Mettez tout en termes commerciaux - combien de temps est passé et ce que cela coûte à l'entreprise.

Vous ne pourrez pas apporter de modifications rapides. Les grandes organisations sont comme un cuirassé qui met une éternité à changer de direction.

Vous découvrez ce que c'est que de travailler dans une grande entreprise. Les problèmes que vous décrivez se poursuivront jusqu'à ce que le dirigeant qui supervise l'équipe de sécurité et l'architecte de cette équipe conviennent tous deux qu'il y a un problème, obtiennent un projet financé pour résoudre le problème et soient en mesure de déployer une solution au cours du cours. au moins plusieurs mois.

Alors, habituez-vous à votre situation, car ça va être comme ça pendant un moment, peu importe à quel point vous avez raison. En attendant, ne vous faites pas de douleur dans les fesses de quelqu'un d'autre. Ce serait un excellent moyen de limiter vos perspectives de promotion ou même de changements latéraux de rôle chez MegaCorp.

Au lieu de cela, trouvez un défi que vous souhaitez résoudre, que la direction souhaite que vous résolviez, et acceptez ce défi et allez-y. Les politiques de sécurité ne sont qu'une partie de l'environnement dans lequel vous devez opérer. Si elles vous posent des problèmes, assurez-vous que vos parties prenantes les connaissent et comment vous comptez travailler avec elles. Et puis continuez.

Dans la plupart des cas, vous ne pouvez pas.

Ces personnes "infosec" sont payées, félicitées et promues pour ne pas avoir de violations qui sont traçables jusqu'à leurs propres échecs.

Les infractions en général ne sont pas mauvaises pour eux - tant qu'ils peuvent rejeter la faute sur quelqu'un d'autre. De plus, ils peuvent abuser de la brèche pour obtenir plus de budget et plus de puissance.

Réduire de moitié (ou pire) la prodictivité de tous les autres n'est pas leur problème. La haute direction jure généralement de la prochaine «mesure de sécurité» imposée à tout le monde et assouplit la politique pour eux. Ils ne voient pas le fardeau de tout se conformer à la fois. L'employé ordinaire n'a pas le même luxe et la productivité souffre de l'effet grenouille bouillie.

Ne vous méprenez pas, je suis aussi développeur et j'ai moi-même travaillé dans des organisations comme celle-ci, mais vous avez très peu de chances de changer les choses (d'après ma propre expérience, vous pourrez peut-être faire de petits changements, mais en général, vous ne serez pas en mesure d'apporter des changements fondamentaux) alors apprenez à vivre avec ou peut-être trouvez-vous quelque chose de plus à votre goût.

Les grandes entreprises ont tendance à mettre en place des politiques de sécurité restrictives en raison des pénalités financières de se tromper sont si graves. En plus de la menace d'attaques malveillantes, selon votre secteur d'activité, il peut y avoir des sanctions réglementaires extrêmement lourdes pour les failles de sécurité.

Les organisations se soucient de gagner de l'argent et il est préférable d'interrompre la journée d'un développeur de logiciel, disent payer un milliard de dollars en ransomware.

Je suis partisan d'aller aussi haut que possible et vers la personne la plus bienveillante que vous puissiez trouver.

Soyez conscient lorsque vous utilisez le courrier électronique interne que quelqu'un le surveille presque certainement. J'approcherais via l'AP de la personne, avec un simple mémo imprimé montrant le point proposé que vous souhaitez faire valoir. Copiez-le aux personnes requises avant de l'envoyer afin de ne pas y aller dans leur dos. S'ils s'y opposent, dites: "Écoutez, c'est important et nous n'allons nulle part. À moins que quelqu'un ne le remarque, je vais devoir monter plus haut."

Voici ce que je pourrais écrire:

Cher VIP

Je comprends que TinyCo a été repris en raison de l'expertise que nous avons en insécurité, mais il y a un domaine dans lequel cette expertise n'est pas encore pleinement utilisé.

Plus précisément, il y a une ou deux exigences de sécurité importantes qui doivent être mises à jour pour le monde d'aujourd'hui. Cependant, j'ai rencontré des règles héritées de MegaCorp qui m'empêchent de faire avancer ces mesures. Non seulement ils amélioreraient la sécurité des données, mais ils permettraient à mon avis d'économiser beaucoup de temps et d'argent.

Je me demande si vous envisagez de me mettre en contact avec un expert de Megacorpsecurity afin que je puisse soumettre officiellement ces idées et nous pouvez vous faire un rapport?

Cordialement

chiffrement

Qu'est-ce que cela fait

Cela le signale à la personne importante sans créer de travail pour elle .

Le seul expert en sécurité de MegaCorp qu’elle connaîtra par son nom être le meilleur gars / gal. Tout ce que le VIP a à faire est de leur envoyer un message disant: "Veuillez examiner ceci et faire un rapport." Ensuite, il est hors de leur bureau.

Attention

Vous ne devez à aucun moment bombarder le VIP avec des discussions techniques sur les tickets SSO ou IT - Ils n'en ont probablement pas idée de ce que ce sont. S'ils ont l'esprit technique, ils peuvent vous demander un résumé technique s'ils le souhaitent.

Ce qui pourrait bien aller

1. Vous pourriez finir par accélérer considérablement votre carrière si vos suggestions s'avéraient faire gagner beaucoup de temps et d'argent à l'entreprise. Le VIP connaît maintenant votre nom.

2. Cela sème la graine dans l'esprit du grand corps que vous n'êtes pas un laquais junior mais que vous êtes un égal dont les idées comptent.

3. Cela peut même amener les gens de MegaCorps à vous consulter vous avant de procéder à quoi que ce soit de nouveau.

Ce qui pourrait mal tourner

Je ne pense pas qu'il y ait beaucoup de risque car si le VIP vous ignore ou dit simplement "Parlez à votre supérieur immédiat", vous n'avez pas perdu n'importe quoi. Si toutefois le VIP est bienveillant et intelligent et vous facilite, personne ne va discuter.

Clause de non-responsabilité

Chaque action ou inaction comporte des risques et des conséquences . Personnellement, je ne pense pas qu'il y ait un inconvénient à ma suggestion, mais vous devez peser les risques pour vous-même. Est-ce que des années de frustration valent mieux que de prendre une action légèrement risquée?

Pensées aléatoires

N'utilisez peut-être pas de mémo privé, mais évitez de dépasser la tête de qui que ce soit en leur disant que vous allez communiquer directement avec le VIP car il n'y a pas de progrès actuellement à cause des règles . Encore une fois, s'ils s'y opposent, dites "Mais c'est vraiment important et nous n'allons nulle part". S'ils s'objectent toujours, alors adoptez la morale élevée, "Je suis désolé mais la situation actuelle coûte du temps et de l'argent à l'entreprise. Je ne ferais pas mon devoir si je ne le conteste pas. Je n'ai pas le choix"

Ne blâmez jamais une personne ou un service - Vous n'essayez pas de causer des ennuis aux gens. Présentez toujours les avantages et les améliorations que votre programme offrira.

Préparez-vous à parler aux responsables de la gestion et de la sécurité.
Mais avant tout, assurez-vous de parler avec tout le monde avec la "langue" qu'ils comprennent le plus.

Temps de conversation " et de l’argent »avec votre haute direction . Ne parlez pas beaucoup de comment / pourquoi il n'est pas sûr. Ils peuvent ne pas s'en préoccuper. La direction est plus préoccupée par le temps / l'argent que cela coûte ou combien est perdu - et c'est ainsi que vous devez parler.Pour vous y préparer, répondez d'abord à ces questions.

• Combien de temps cela prend de vous par mois? (incluez également le temps "bloqué")
• Combien de temps cela prend à l ' équipe (ou organisation) par mois ?
• Combien de travail peut être fait au lieu de cela? (par exemple, tâches, fonctionnalités, points d'histoire)

Si le temps / mois est très petit, il vaut peut-être mieux ne pas y aller.
Mais s'il est sensiblement grand et / ou bloque l'équipe - foncez!
Assurez-vous de traduire le temps en unités de travail ou d'argent visibles, avant de parler à vos responsables.
Par exemple: les problèmes sont vus par chaque membre de l'équipe une fois par mois. Cela prend 2-3 heures pour réparer. Si l'équipe compte 10 membres, cela ferait 20 à 30 heures par mois, soit 2 à 4 jours ouvrables complets. Cela peut donc se traduire par:
"L'équipe perd 3 jours ouvrables complets par mois pour avoir été bloquée sur ces problèmes. "
" Nous pouvons mettre en œuvre 5 autres fonctionnalités de priorité plus élevée par mois si nous ne rencontrons pas ces problèmes. "

Parlez de la" sécurité "avec vos responsables de la sécurité . Ne parlez pas beaucoup de la façon dont cela est gênant pour vous ou votre équipe. Ils ne s'en soucient peut-être pas, la sécurité n'est pas une question de commodité. Ils sont préoccupés par le degré de sécurité / non-sécurité, le moindre (ou pas) travail qu'ils devraient faire pour y remédier.

• Rechercher des solutions. Notez les problèmes. Recherchez ensuite chacun d'eux et préparez des solutions (dans votre esprit ou écrites) sur la façon dont cela devrait être fait. Vous devez avoir une représentation claire des problèmes que vous souhaitez résoudre et de la manière dont ils peuvent être résolus afin d'avoir des conversations constructives.
• Estimations. Si possible, comptez le temps nécessaire pour implémenter chaque correctif. Si possible, consultez des partenaires qui sont bons en sécurité (dans votre équipe ou dans un autre corps) Si le temps de mise en œuvre est petit, inférieur au temps qu'il vous faut / à l'équipe (par mois), utilisez ce point dans vos conversations . Assurez-vous que les estimations sont réalistes. Cela peut devenir un argument de décision.

Organiser des réunions . Parlez avec le responsable, l'équipe de sécurité, puis organisez une réunion avec les parties concernées. En fin de compte, tout se résumera à ces questions: "Combien cela coûtera-t-il?", "Cela vaut-il le coût?", "Aurons-nous plus de valeur commerciale si nous le faisons?" Soyez prêt pour ces questions. Et si cela en vaut vraiment la peine, la direction commencera à pousser l'équipe de sécurité après un certain temps .

Après tout, vous aurez besoin de patience. Soyez prêt à suivre les étapes ci-dessus plusieurs fois. En outre,

• Continuez à compter les statistiques . Notez le temps que vous (ou vos coéquipiers) êtes bloqué - dans vos notes et dans vos rapports. Vous en aurez besoin lors de vos prochains entretiens. Dès que vous aurez suffisamment de "chiffres", vos propositions commenceront à être remarquées. Le contraire est également possible - vous remarquerez peut-être que du point de vue commercial, cela ne vaut pas le "coût" (selon le problème).
• N'allez pas "contre", optez pour "réparer" . N'utilisez pas de reproches et de plaintes destructeurs. De tels actes sont considérés comme des indicateurs d'incompétence, de non-professionnalisme et peuvent avoir un impact négatif sur votre carrière.
• Continuez à la soulever - de manière cohérente et constructive . Le changement ne se produira pas le lendemain. Cela peut prendre des mois selon la taille de votre entreprise.

En fin de compte, si vous réussissez, cela sera considéré comme un acte de leadership et aura un impact positif sur votre carrière. N'oubliez pas de partager les résultats dans quelques mois :)