Spiega la sicurezza al datore di lavoro

Indirizziamo i tuoi punti uno per uno.

1. The 3rd party sent everyone in our company the same password in a company-wide e-mail.

Una password che tutti conoscono non è una password. È come lasciare la chiave sotto il tappetino, solo senza il tappetino per nasconderlo.

2. The app does not have a way to change the password.

Quindi, se perdi le chiavi o pensi che qualcun altro possa averle, non puoi cambiare i lucchetti - e dal punto 1, sappiamo che le tue chiavi sono già nelle mani di altre persone.

3. All of our usernames are predetermined and easily guessable.

Quindi, le persone che hanno le tue chiavi sanno anche dove vivi.

4. It's possible to login as anyone from any device into this app.

Metti insieme i primi tre: le altre persone hanno le tue chiavi, sanno dove vivi e non puoi cambiare le serrature - e sì, questo è il risultato. Chiunque può entrare in un posto che dovrebbe essere solo tuo. Per riciclare l'analogia dell'automobile del tuo datore di lavoro, chiede a tutti i dipendenti di bloccare le loro macchine, ma lascia le chiavi nella porta e poi parcheggia nel parcheggio della compagnia sotto un cartello con il loro nome.

E in più, ti sta chiedendo di farlo sul tuo telefono personale. Il tuo datore di lavoro non ha il diritto di toccare quel dispositivo. A seconda di cosa fa questa app, questo potrebbe esporre i tuoi dati personali a rischi a causa di un difetto di sicurezza di terze parti di cui non hai il controllo.

Anche se l'app di terze parti non è dannosa e non fa nulla che possa causare un rischio, non c'è garanzia che sia al 100% privo di difetti o bug accidentali che potrebbero causare una debolezza della sicurezza o presentare un'opportunità per alcuni altro malintenzionato da sfruttare. Considerata l'atroce gestione di pratiche di sicurezza di base di questa società di terze parti come "non inviare password per posta elettronica", "non riutilizzare le password" e "consentire sempre agli utenti di modificare le loro password", le probabilità che la loro app sia completamente sicura , sicuro e privo di vulnerabilità è piuttosto sottile.

Il mio consiglio è di provare a spiegare le implicazioni sulla sicurezza di un approccio basato sul rischio. Cosa potrebbe succedere se hai installato un'app con una sicurezza così scarsa? Non devi spiegare come sfruttare la scarsa sicurezza nell'app, ma solo esporre il rischio. L'impersonificazione da sola è una svolta molto significativa per molti manager, qualcuno potrebbe fare qualcosa di male e incolpare un'altra persona, anche se una burla potrebbe portare a gravi ripercussioni.

Secondo la mia esperienza, i manager devono bilanciare il rischio con benefici, e una volta che vedono cosa potrebbe andare storto cominciano a chiedersi se ne valga davvero la pena.

Mentre le analogie sono utili quando si spiegano concetti di base a qualcuno che non ha familiarità con il campo, essi danneggiano attivamente le discussioni professionali. Comprendi che ogni analogia è soggettiva e non rappresentativa di qualsiasi dettaglio specifico del campo. In realtà, l'analogia dell'automobile è particolarmente negativa perché confonde sicurezza e sicurezza. In conclusione, usa le analogie con cura e smetti di usarle nel momento in cui ti senti portato via.

Al contrario, vorrei chiedere al tuo datore di lavoro come affrontare le minacce specifiche che puoi identificare. Per uno, questa applicazione sembra essere vulnerabile alla rappresentazione. Dì al tuo capo come puoi usare questa app per fingere di essere qualcun altro e chiedergli quali contromisure saranno implementate per impedirlo.

Senza saperne di più sul tipo di dati a cui questo programma ha accesso, non posso davvero consigliarti, ma sembra terribile. Anche l'analogia del tuo capo contro la sicurezza è pessima: questo è uno dei molti modi in cui le violazioni iniziano.

Se, durante una verifica dopo essere stata violata, la tua azienda ha rivelato di avere standard di sicurezza scadenti ed estremamente incompetenti (come quello che sta suggerendo ora), potrebbe essere ritenuto responsabile per eventuali danni ai dati dei clienti.

• La terza parte ha inviato a tutti nella nostra azienda la stessa password in una e-mail aziendale. Incredibilmente comune, ma dipende da cosa viene utilizzato.

• L'app non ha un modo per cambiare la password. Ora è terribile. Cosa succede se uno di questi viene violato o un dipendente è scontento e se ne va?

• Tutti i nostri nomi utente sono predeterminati e facilmente ipotizzabili. In passato ho trovato molte di queste implementazioni sia in nomi utente sia in password. Con i nomi utente, queste cose sono da aspettarsi. Ad esempio, molte aziende impostano il tuo indirizzo email su lastfirst , first.last e altre varianti. Sarei più preoccupato per le password in questo caso.

• È possibile accedere come chiunque da qualsiasi dispositivo in questa app. Che cosa fa questa app? Conoscere meglio l'app ci consentirebbe di offrire un consiglio migliore.

Preoccupazioni per il "programma"

Ecco alcune cose che mi riguardano: l'ho già visto prima. Potrebbe essere completamente diverso, o potrebbe essere lo stesso. Prendi questo con un pizzico di sale.

Sembra che il tuo datore di lavoro stia cercando di chiedere a tutti di installare qualcosa sui loro telefoni cellulari personali in modo da poter monitorare l'utilizzo del telefono come un cavallo di Troia. Dì al tuo datore di lavoro che sarai più che felice di consentire questo se fornito un telefono aziendale.

Ricorda che non dovresti avere nulla di personale sul telefono della tua azienda. Il tuo datore di lavoro può e spiare in giro. Infatti, anche utilizzando l'e-mail di scambio dell'azienda sul tuo telefono personale puoi consentire al tuo datore di lavoro il pieno controllo su di esso . È proprio lì nelle autorizzazioni richieste quando provi a impostare l'email aziendale, anche se è sul tuo telefono personale. Non farlo.

Sono dell'opinione che il BYOD non dovrebbe essere consentito e che tutti i dispositivi che si connettono a una macchina dovrebbero appartenere al datore di lavoro. Personalmente, non utilizzerei il mio telefono o dispositivi personali sulla rete del mio datore di lavoro. Non vorrei introdurre accidentalmente un dispositivo vulnerabile alla rete e non vorrei che presentassero un'applicazione vulnerabile al mio dispositivo.

Il tuo telefono cellulare, la tua sicurezza

È il tuo telefono cellulare e hai il diritto di proteggerlo come tu vedi in forma. Tuttavia, potresti prendere in considerazione l'approccio opposto, dicendo che non sarà protetto affatto (vedi sotto).

Il loro cellulare, la loro sicurezza

Se la tua azienda richiede l'utilizzo di un dispositivo mobile per accedere ai dati aziendali, cosa che è giusta per loro, la società dovrebbe fornire quel dispositivo , protetto specifiche. In questo modo loro si assumono la responsabilità di proteggere la piattaforma su cui risiede la loro applicazione.

Politica di sicurezza dei dati aziendali

Guarda la tua politica di sicurezza aziendale e guardala dal punto di vista del responsabile della sicurezza aziendale:

Utilizzando il dispositivo, non è possibile garantire la sicurezza dei dati forniti dall'applicazione, né la sicurezza dell'applicazione stessa, in quanto il dispositivo non è una piattaforma protetta.

Qual è la politica della tua azienda per quanto riguarda i laptop? I portatili devono avere dischi rigidi crittografati? E essere protetto? Se è così, allora dovrebbero essere i telefoni, che indicano loro fornendo i propri dispositivi per questo scopo.

Capovolgi l'argomento - preoccupati di i loro dati

(Nota: potrebbe non funzionare se la tua azienda è veloce e libera con la sicurezza dei dati.)

Invece di dire che tieni il tuo dispositivo super sicuro, affermi invece che non può garantire che sia protetto , che altre persone possano accedervi e che non puoi assumerti la responsabilità di eventuali violazioni dei dati o perdita accidentale di dati.

Ad esempio, se questa applicazione riguarda in qualsiasi modo i dati PII , o potrebbe essere un vettore per ottenere dati PII se violato, il responsabile della sicurezza dei dati aziendali non può permetterselo, a meno che il tuo dispositivo non sia sotto il loro controllo - rendendolo il loro dispositivo.

Che cosa succede se il telefono è perso? A loro non importa che i loro dati siano accessibili? Che cosa succede se lasci che il tuo cuginetto Willy giochi con il tuo telefono, dimenticando che l'app è ancora aperta e disponibile e che i piccoli eliminano dati di Willy? Va bene?

Assumendo il ruolo di proteggere i loro dati, stai facendo un caso aziendale che usare i telefoni cellulari personali per ospitare i dati aziendali è una pessima decisione commerciale.

Una cosa che molte persone perdono di vista (su entrambi i lati del recinto), quando si parla di sicurezza, è:

Che cosa stai proteggendo?

Ho diversi account "protetti" da una password facile da indovinare. Questo perché, se viene hackerato, non mi interessa.

La password protegge il telefono o protegge i dati dell'azienda? Se devi conoscere la password, allora indovinerò la successiva. Se è così, il fatto che sia sul tuo telefono è in qualche modo una falsa pista: il tuo telefono non è a rischio. In effetti, l'utilizzo dell'app non aumenta il rischio di nessuno: se non lo usi mai, il rischio rimane.

Qual è il valore dei dati, se è stato rubato o modificato, alla società? Che danno può essere fatto?

Se ci sono poche o nessuna conseguenze per l'uscita di questi dati, deglutisci il tuo orgoglio e vai avanti.

In casi come questi, a meno che la sicurezza non sia il tuo lavoro, potresti avere poca influenza su questo software. Metti per iscritto le tue preoccupazioni: che una persona non autorizzata possa facilmente copiare / modificare qualsiasi dato (a seconda di cosa fa l'app), indicare le potenziali imbarazzo / perdite per la società / i clienti persi (se appropriato). . Preparati a essere ignorato e, se lo fai, accettalo. Conservare una copia della lettera / e-mail, per ogni evenienza.

Spero che questo sia ovvio:

NON FARE! SOTTO OGNI CIRCOSTANZA! HACK IL SISTEMA DA MOSTRARE PUO 'ESSERE FATTO! ANCHE SOLO UN PO 'PICCOLO! (a meno che tu non sia esplicitamente autorizzato dalla compagnia a farlo!)

È allettante per molte persone "mostrare" i rischi. Gli amministratori di sicurezza imbarazzanti (o chiunque!) Che sono cattivi nel loro lavoro è un modo terribile per renderti riconoscente - anche se probabilmente dovrebbero esserlo.

Supponendo che l'app fornisca l'accesso ad alcune informazioni private, dovresti fornire una prova di concetto al tuo datore di lavoro. Chiedigli un permesso ufficiale in anticipo per farlo (fare una cosa del genere senza permesso potrebbe metterti nei guai, a seconda delle politiche della tua azienda). Dopo aver ottenuto l'autorizzazione, mostragli quanto facilmente puoi accedere utilizzando le sue credenziali e ottenere l'accesso a informazioni private.

Inoltre, senza il consenso esplicito di ogni dipendente, la società non dovrebbe avere alcun diritto di installare alcun tipo di dati sui telefoni cellulari personali dei dipendenti.

Il problema, che potrebbe non essere affatto un problema, a seconda di cosa effettivamente fa l'app, è che puoi accedere come qualcun altro e qualcun altro può accedere come te. La password non cambia mai, quindi molto presto le persone che non lavorano più in azienda possono ancora accedere come qualcuno che lavora ancora lì.

La cosa spaventosa è che la società di terze parti utilizza le password nonostante le password siano inutili in questo caso. Se tutti hanno la stessa password, non dovrebbe esserci una password. Questo è spaventoso perché mostra che la società non comprende la sicurezza e non dovrebbe essere considerata attendibile con dati riservati.

In poche parole, se l'app è lì solo per capire chi porta la torta per festeggiare qualcosa, a chi piace che tipo di torta e per evitare che troppe torte vengano portate nello stesso giorno, sei bravo. Tuttavia, se l'app viene utilizzata per dati riservati come il monitoraggio delle prestazioni e le recensioni, la tua azienda potrebbe presto trovarsi in difficoltà legali. Nonostante ciò che fa la terza parte, deve essere ovvio per la tua azienda che i dati non sono sicuri, quindi parte della responsabilità spetta a loro.

Se hai bisogno di un'analogia, questi file possono essere archiviati in un armadietto, all'interno dell'ufficio della società, e solo selezionare persone hanno una chiave, o i file sono memorizzati in una scatola di cartone nella caffetteria - e la caffetteria è aperta a il pubblico generale.

per i principianti, dovresti dirgli che è il tuo telefono cellulare personale e non ha il diritto di fare casino con il tuo telefono.

usando l'analogia della tua auto, l'app sembra che l'auto usi un lucchetto chiuso (spero che l'abbia scritto correttamente) e il fatto che tutti abbiano la stessa password che non può essere cambiata dà loro una chiave scheletro, quindi tutto ciò che rimane è indovina dove hai lasciato la tua auto (alias il tuo nome utente), che non è così difficile per le persone all'interno dell'azienda e poi rubare la tua auto.

in questo momento memorizzare le password con un hash salato è lo standard minimo in questi giorni, quindi non conterebbe molto sulla tua sicurezza, ma come descrizione per la tua auto mega-sicura descriverò un fattore 3 (password + chiave + biometrc ) lock.

IMHO prima di tutto quando parli con capi alti - inizia con delle perdite. A loro non piacciono, ma per ottenere un effetto desiderabile, devi fare una valutazione davvero BUONA di ogni perdita, in $. I vettori più efficaci, secondo la mia pratica, sono:

1. Costi delle forze dell'ordine Quali sanzioni in base alle quali la legge è applicabile alla tua azienda se le cose vanno male. Crea una lista completa, legge + "importo della penale"

2. Perdite PR. Per calcolare che basta prendere i dati di profitto di un'azienda e dimezzarli, perché uno scenario di concorrenti (s) prende il posto attuale della società sul mercato a causa della perdita di reputazione / danni.

3. Costi di recupero per pt.1 e 2 Sì, ogni danno richiede una riparazione! E costa un po 'di soldi, di solito

Ma non fermarti qui! Inoltre DEVE fornire un piano molto dettagliato con un diagramma di Gantt allegato su come fare le cose a posto: tempo e costi, passo dopo passo

E fai un numero nella diapositiva finale, falle confrontare. Ha funzionato molte volte per me, ma hai bisogno di investire una buona parte del tuo tempo e della tua pazienza rendendo tutti quei piccoli dadi e bulloni che lavorano insieme come un orologio svizzero.

Recentemente sono andato in pensione da dieci anni di assistenza sanitaria I.T. preceduto da sedici in difesa. Nell'assistenza sanitaria, un audit annuale ha rilevato che l'app avrebbe gravi conseguenze spiacevoli con i rating di qualità pubblici imposti dal governo. In difesa, una scoperta casuale che potrebbe mandare qualcuno in prigione.

Se il mio datore di lavoro mi ha chiesto di metterlo sul mio telefono, oltre a sottolineare quanto sopra, suggerirei al manager che qualcuno che ha infastidito gli farà accedere con il nome del manager, pubblicare materiale pornografico e licenziare il manager.

Questo è tutto sulla valutazione del rischio. Questo dovrebbe essere un concetto chiave per un manager. Ha bisogno di capire i rischi - non i tecnicismi, ma il rischio reale. Quindi spiegalo in questo modo:

Fatto: tutti hanno lo stesso formato di password e nome utente e non possono cambiarlo.

I rischi:

• Gli ex dipendenti insoddisfatti potevano accedere come chiunque e leggere i messaggi di chiunque, o inviare messaggi sotto il nome di chiunque.

• I dipendenti attuali potrebbero abusare del sistema effettuando il login come altri utenti per "scherzare" a vicenda, ad esempio inviando messaggi "dal capo".

Se il tuo capo non vuole che accada una di queste cose, allora deve risolvere immediatamente il problema con la password.

Il rischio di ex dipendente scontento è probabilmente il più significativo: se licenzi qualcuno dovrebbe essere facile revocare tutti i diritti di accesso, ma se sanno come accedere come chiunque altro in azienda, quindi revocare i loro diritti ha vinto " Fare qualsiasi cosa per impedire loro di divulgare tutti i segreti della tua azienda al tuo concorrente che li ha appena assunti.

Non hai rivelato per cosa verrà utilizzata l'app, a parte un vago commento sui "social media interni". La gravità del rischio per l'azienda dipenderà da (a) quante persone lo utilizzano, (b) dal livello di anzianità delle persone che lo usano e (c) dal tipo di informazioni che vengono inviate attraverso di esso.

Ad esempio, se l'app è destinata allo staff semplicemente per avere un posto in cui chattare tra loro, il rischio è inferiore rispetto a quando la direzione intende utilizzarlo per inviare informazioni riservate al personale.

C'è ancora un rischio, anche se a prescindere, perché anche nel caso più benevolo sarebbe comunque un'opportunità aperta per l'ingegneria sociale.