Come convincere il tuo capo dell'importanza della sicurezza IT

Naviga le tue risposte
16

Sai come posso rendere più efficaci i miei reclami / consigli sulla sicurezza? O come potrei convincere il mio capo della sicurezza IT?

Ci sono un paio di buone pratiche conosciute nel campo della sicurezza IT. Il mio capo sembra ignaro di tutti loro.

Ora sto lavorando in una piattaforma medica con dati reali su pazienti, prescrizioni e offre funzionalità per prescrivere farmaci e così via. Non ho una vasta conoscenza delle leggi sulla protezione dei dati, ma penso che le condizioni mediche siano tra le più sensibili.

Ho lavorato a questo progetto solo per 2 settimane, ma queste sono alcune delle cose che ho trovato:

Nel mio terzo giorno ho trovato un'iniezione SQL che consente di accedere come medico (vero dottore). Quando ho informato il mio capo, mi ha detto che andava bene, che avrebbero cambiato il login presto . In altre parole, l'iniezione è ancora lì.

Memorizziamo la password in testo semplice. Quando mi sono lamentato ha detto che il collettivo medico è davvero speciale e andrebbero persi se quando premevano "recupera password" ne viene creato uno nuovo invece di dare loro la vecchia password.

Almeno memorizziamo i (altri) dati sensibili crittografati, come la storia medica, penso che siano obbligati per legge.

Ed è solo la mia seconda settimana. È scoraggiante vedere come i miei consigli cadono nel vuoto ... Ma penso che sia mio dovere avvertire le vulnerabilità che trovo.

    
posta eversor 16.08.2012 - 10:24
fonte

4 risposte

8

Qui ci sono diversi problemi.

La tua preoccupazione immediata sembra essere che non sei riuscito a convincere un individuo della necessità di una maggiore sicurezza. Fissaggio che risolverà il problema - ma potrebbe essere una grande montagna da scalare. La risposta di Greg Dolph copre già questo aspetto.

Il problema qui è che il tuo datore di lavoro sta producendo un prodotto che non è adatto allo scopo e può causare gravi danni al tuo datore di lavoro, agli utenti del prodotto e ad altre parti. A meno che l'organizzazione che ti impiega è il tuo capo (e non abbia altri stakeholder / shareholder), allora dovresti almeno fare in modo che altri responsabili delle decisioni chiave sappiano che hai preoccupazioni che il tuo capo pensa siano infondata.

È encomiabile che tu ti preoccupi della sicurezza dei sistemi su cui stai lavorando e hai fatto il primo passo per risolvere il problema. Ma se questo diventa più ampiamente conosciuto, allora è probabile che i responsabili del processo decisionale (o forse anche quelli responsabili dell'applicazione della legge / della politica) vorranno essere visti agire, cioè devi coprire le retrovie. Cerca di assicurarti di aver notato eventuali discussioni verbali, preferibilmente minuziose. Ottieni copie di tutte le email da qualche parte a cui puoi accedervi.

Non minacciare. Non blandire. Stai calmo. Sii persistente. Conserva i record.

    
risposta data 16.08.2012 - 15:02
fonte
5

Il modo migliore per andare è indicare il tuo capo alle leggi, ai regolamenti del settore e ai casi reali in cui le aziende hanno perso le loro camicie ei dirigenti sono usciti o sono stati mandati in prigione per averli violati. Nulla motiva i dirigenti come il rischio personale. Fallo applicare a loro , non solo alla società. Puoi parlare delle migliori pratiche e degli standard del settore, o anche di come gli audit richiedono queste cose, ma a loro non importa se non mostri che non preoccuparsi delle cose potrebbe diventare davvero brutto per loro.

    
risposta data 16.08.2012 - 11:00
fonte
4

La mia raccomandazione è di mostrare al tuo capo quali implicazioni ciò possa avere per la sua attività. Soprattutto sottolinea il fatto che se sei stato attaccato e le informazioni vengono divulgate (puoi fornirgli esempi di altre società che sono state violate come Linkedin o Yahoo) la reputazione della sua compagnia è in gioco.

Specialmente quando si tratta di dati medici sensibili. Ricorda anche che lui (sì, lui personalmente) può essere ritenuto responsabile di una violazione se fosse stato informato che non ha fatto abbastanza per proteggere il sistema. (Si potrebbe anche dire perché è stato informato in anticipo che c'era una violazione, ma che potrebbe essere considerata troppo di una minaccia).

Come dice symbbean, non minacciare e conservare i record.

    
risposta data 16.08.2012 - 15:41
fonte
4

L'archiviazione delle password in testo in chiaro viola le leggi della legge HIPAA e probabilmente il testo.

Questo documento sulle migliori pratiche per la gestione delle password HIPAA afferma:

H. Application developers must ensure their programs contain the following security precautions:

  1. Dovrebbe supportare l'autenticazione dei singoli utenti, non dei gruppi.
  2. Non memorizzare le password in testo chiaro o facilmente reversibili modulo.
  3. Dovrebbe fornire una sorta di gestione dei ruoli, ad esempio un utente può assumere le funzioni di un altro senza dover conoscere il la password di altri.
  4. Dovrebbe supportare TACACS +, RADIUS e / o X.509 con sicurezza LDAP recupero, ove possibile.

Tuttavia, l'attuale testo della legge HIPAA non entra in dettagli tecnici. Non parla molto della gestione delle password (oltre a dire che dovrebbe essere indirizzata) ma dichiara in 164.306 (a) (Requisiti generali degli standard di sicurezza)

(2) Protect against any reasonably anticipated threats or hazards to the security or integrity of such information.

Questa è una minaccia ragionevolmente anticipata facilmente mitigata.

Se il rispetto della legge non funziona e tu sei un venditore che vende un prodotto, nota che questa "caratteristica" sta causando la perdita delle vendite. Molti ospedali (io lavoro in uno) hanno alti reparti IT / informatici con un background IT ragionevole e durante le fasi di revisione del prodotto testeranno il funzionamento delle reimpostazioni della password e vesteranno i prodotti ed eviteranno il fornitore in futuro se scopriamo che invia indietro password in chiaro.

    
risposta data 16.08.2012 - 20:26
fonte

Leggi altre domande sui tag

Cosa si ottiene tagliando l'ultimo blocco sul dispositivo? Perché i filtri XSS dovrebbero evitare la barra in avanti?