Ho bisogno di creare una vera motivazione per un discorso sulla sicurezza a un consiglio di amministrazione.
So che nel caso in cui un'impresa spedisca prodotti che ignorano (quindi conoscono e di proposito non si prendono cura), allora è ritenuta responsabile. Quello che ho sentito è che l'amministratore delegato è quello reso responsabile.
Ora, mi chiedo se qualcuno abbia letto o sia a conoscenza di un vero esempio di vita?
Dal punto di vista legale, una società è uno dei migliori "scudi di responsabilità" che puoi avere. È la propria entità che è, per la maggior parte degli scopi, l'entità con cui il resto del mondo interagisce quando interagiscono con chiunque sia autorizzato a rappresentarlo e prendere decisioni per suo conto. Esso, e non i suoi agenti, subisce l'onere di qualsiasi responsabilità legale per danni causati da azioni o inazioni della società o dei suoi agenti.
Pertanto, probabilmente non convincerai il team dirigente, o il consiglio di amministrazione, o persino il middle management, a sostenere alcuna responsabilità generale per violazione della sicurezza. Per fare ciò, dovresti dimostrare l'intenzione specifica di danneggiare; che un dirigente ha visto un nome su un elenco di clienti, non ha gradito quella persona o società e voleva far loro del male, il che a sua volta ha portato alla loro deliberata decisione di non correggere un noto difetto di sicurezza. Questo è quasi impossibile; puoi mostrare tutte le prove che vuoi, ma anche se hai una registrazione del CEO che dice di volere danneggiare gli interessi di questa persona, non puoi dimostrare che la decisione di un CEO di correggere o non correggere un difetto è stata motivato da questo; è tutto circostanziale (anche se una registrazione sarebbe molto lunga verso "la preponderanza delle prove").
Esistono, tuttavia, alcuni casi in cui determinate persone possono essere ritenute responsabili indipendentemente dalla società. Mia moglie, per esempio, lavora con i registri sanitari. Se ha mai detto a nessuno, a me, a qualsiasi dettaglio di quei dati, e questo è diventato pubblico, è la sua coda sulla linea per la violazione HIPAA, anche se il suo capo le ha detto che era OK o le ha persino ordinato di divulgare le informazioni. Lavoro per una società di monitoraggio degli allarmi; i nostri agenti del centro di allarme, se commettono l'errore sbagliato (anche in buona fede), possono essere ritenuti responsabili indipendentemente dalla società per danni e morte illecita. Sfortunatamente, succede. Ma questa responsabilità non si estende a chiunque non fosse al corrente degli eventi in quel momento, quindi sarà molto difficile dimostrare che un'azione da parte di un agente sul gradino più basso della scala aziendale implica l'amministratore delegato.
Dove puoi ferire un dirigente è dove è più importante; il loro portafoglio. I dirigenti in genere possiedono una partecipazione significativa nelle proprie società, che costituisce una fetta relativamente grande del loro patrimonio netto. La compagnia è il loro scudo, ma è anche il loro sostentamento, e ci vorrà un pestaggio se un difetto di sicurezza nei loro sistemi viene trovato, sfruttato e successivamente messo in stampa. Le corporazioni non possono andare in prigione, ma possono essere multate e citate in giudizio a "morte", ei dirigenti perdono tutto il denaro che avevano in azioni e opzioni aziendali.
Vuoi la prova che le aziende sono fallite per violazioni della sicurezza? DigiNotar, una società olandese che era un'autorità di certificazione SSL / TLS affidabile a livello mondiale, è stata compromessa nel luglio 2011 e apparentemente di nuovo alla fine di agosto dello stesso anno. Diversi certificati fraudolenti sono stati creati utilizzando i sistemi di DigiNotar, identificando il titolare del certificato come dominio valido di siti importanti come Google, Yahoo, Mozilla, WordPress e il progetto TOR. Questi certificati sono stati successivamente utilizzati negli attacchi MITM e in altre forme di ilarità. DigiNotar non sapeva quanti certificati sono stati emessi (il conteggio ha raggiunto rapidamente le centinaia, ora sappiamo che 531 certificati fraudolenti sono stati creati in questo attacco) e quindi non poteva garantire che fossero stati tutti revocati. Pertanto, Microsoft e la maggior parte dei principali produttori di browser hanno risposto semplicemente revocando la fiducia nel certificato radice affidabile di DigiNotar nel sistema operativo Windows e nei principali browser. La risposta di Apple è stata posticipata, ma ha anche aggiornato OSX / Safari per revocare il certificato radice di DigiNotar.
Inoltre, DigiNotar era responsabile di una delle CA intermedie utilizzate nel sistema di sicurezza del governo olandese. Si riteneva inoltre che tale certificato fosse compromesso ed è stato revocato da molti produttori di browser, e nella conseguente ilarità dei siti web governativi reali che hanno perso fiducia (immagina di navigare nel sito Web IRS e viene detto dal tuo browser che il sito potrebbe essere fraudolento; QUESTO è uno screenshot Avrei pagato per, ed è successo alla controparte olandese Tax and Customs Administration), il governo olandese è intervenuto il 3 settembre, ha preso il controllo delle operazioni di certificati di DigiNotar, ha trasferito tutti i siti governativi dai certificati DigiNotar a quelli firmati da CA senza compromessi e ha rilasciato una dichiarazione in cui si afferma che DigiNotar non emetterebbe più certificati SSL governativi. DigiNotar ha presentato istanza di fallimento lo stesso giorno.
Ci siamo quasi. Le conseguenze del caso "International phone" di News International produrranno azioni legali. C'è un caso interessante in cui durante l'indagine; molte delle prove furono rapidamente cancellate. Se una qualsiasi delle condanne si risolve in prigione, non lo sappiamo.
Guarda questo spazio.
Leggi altre domande sui tag security-theater