Di tanto in tanto eseguo il pentesting e sono stato a una società finanziaria che si incontrava con i loro architetti, ecc., mi è stato comunicato che il loro "guru" per la sicurezza delle informazioni era venuto a bordo e ha provato a fare qualcosa di simile. Il risultato è stato orribile. Mi è stato detto che molti erano offesi dal modo in cui questa persona trasmetteva sicurezza e rischi. Ad es .: aveva ritagli di cartone di persone con pistole con verbosità come: "Questo criminale vuole la tua password, ecc."
Le aziende sono nel business per fare soldi. La sicurezza non ha alcun ROI tangibile e nessuna statistica di pitching (AV * EF = SLE) se è qualitativa o quantitativa. Le discussioni possono essere fatte a favore e contro questo e la Legge di Murphy vincerà tutti. Detto ciò, quale vantaggio ha un'azienda nel spendere risorse tangibili per un gioco.
A questo si è risposto, nel senso che, ho dedotto che si trattava di una questione riguardante le politiche e le procedure di sicurezza nel loro complesso. Il commento "hacme bank" potrebbe funzionare in un campo basato sulla sicurezza, potrebbe funzionare per illustrare il rischio di dire programmatori e sviluppatori web, ma per la persona media (receptionist, account manager), sarebbe come un cervo in fari (confuso ).
Un programma come questo, costerebbe (ore uomo, tempo trascorso lontano dal lavoro per i giochi, ecc.), quindi a meno che non si possa dimostrare che i membri del Consiglio (in una grande corp.), senior (CEO, CFO, ecc. ), che può fare soldi in qualche modo, non vedo che diventi una norma. Mentre puoi dire: "Può risparmiare" a un CEO, direttore operativo, CFO, è probabile che cercheranno una soluzione "tecnica" (firewall, proxy email, ecc.) Che è più economica di dover dire una quantità N di ore di lavoro perse in un gioco.
Fai i conti:
Big Corp (10,000 employees)
Security Game (1/2 hour of time)
Game Plays (once per quarter)
Employee Salary $7.25
Se tutti pagavano il salario minimo, il costo per gioco in salario sarebbe di $ 36.250,00 per trimestre, esclusi i costi per la creazione, eventuali server, potenziali perdite aziendali dovute a qualcuno che gioca, ecc. A questo ritmo, mantenendo le persone informato normalmente (una volta al trimestre) e costerebbe $ 145.000,00 solo sui salari. (7.25 [salary] * 10.000 [# di dipendenti] / 2 [ mezz'ora di tempo] * 4 [volte all'anno ] ) Un CEO / CFO / CTO cercherà immediatamente una tecnologia per risolvere questo problema. Ad esempio, un server proxy di posta elettronica per rilevare il phishing potrebbe costare $ 30.000,00, una e-mail veloce, non costa nulla. Non ha troppo senso finanziario per portare "giochi" nell'ambiente. Il business è solo quello, per fare soldi.