Come cambiare una cultura di "Sicurezza attraverso l'oscurità"

Naviga le tue risposte
9

Ho lavorato per un certo numero di organizzazioni in passato che utilizzano pratiche giustificate da ciò che descriverei come " Sicurezza attraverso l'oscurità " che include quanto segue:

  • L'hash a due vie deboli / vulnerabili delle password
  • Utilizzo di varie API / Utilità note a tutti per contenere vulnerabilità gravi
  • Varie forme di dati / offuscamento del codice
  • Sloppy / Nessuna gestione utente
  • L'uso continuato di password incredibilmente insicure
  • (L'elenco potrebbe continuare ...)

Spesso le correzioni a questi problemi non comportano un grande investimento / cambiamento e trovo facile ottenere le risorse allineate per risolverle. Il mio problema è nel giustificare qualsiasi potenziale correzione, quando queste pratiche sono contestate in genere le preoccupazioni vengono respinte con commenti come:

  • "solo il gruppo xyz ha accesso a quella rete / prodotto / macchina / login / qualunque"
  • "non è una grande preoccupazione" - La versione non dichiarata di:
  • "nessuno potrebbe indovinare / sapere testarlo"

Anche negli ambienti in cui la sicurezza è presa molto seriamente e gli audit sono una preoccupazione costante, ho sempre trovato difficile convincere gli altri (soprattutto i tipi non tecnici / manageriali) dell'importanza di progettare e mantenere sistemi che sono < a href="https://en.wikipedia.org/wiki/Secure_by_design"> sicuro per progettazione .

Ho scoperto che quando usi un esempio, le persone sono d'accordo con te in qualità di preside, ma la lezione non affonda mai davvero. Quando si confronta con una spiegazione esauriente del motivo per cui un particolare sistema / sottosistema è vulnerabile, la gestione ricade spesso su "non è una priorità in questo momento" (non posso difenderlo e non mi interessa) argomento, valido nel suo pieno, ma più volte che non piuttosto che identificare e registrare il problema, riflettere sulle lezioni apprese e stabilire un programma per soddisfare un determinato livello di conformità, la gestione spesso ignora qualsiasi prova contraria alla piena conformità, garantisce a tutte le parti correlate che il sistema precedentemente menzionato è "sicuro" e spedisce il prodotto.

Sono dell'opinione che sicurezza attraverso l'oscurità non sia efficace parte di un sistema sicuro e le risorse utilizzate da tali schemi sono utilizzate in modo migliore per altre parti dell'applicazione.

Ho scoperto nel corso della mia carriera che la parte più difficile di implementare un sistema sicuro non è convincere gli altri del valore di un sistema sicuro o di raccogliere le risorse necessarie, ma nel convincere gli altri di questo principio. Gli sforzi sono stati spesi su migliorare la sicurezza delle organizzazioni spesso si trasforma in crociate di un uomo piuttosto che cambiamenti sistematici ea lungo termine nella cultura e nella pratica.

A rischio di essere generici o generalmente basati sulle opinioni, quali sono le migliori strategie per insegnare agli altri il valore e il ragionamento che stanno dietro evitando "Sicurezza attraverso l'oscurità"?

    
posta David Rogers 12.12.2017 - 06:42
fonte

1 risposta

6

In questa situazione, probabilmente avrai bisogno della gestione per impostare gli standard e forzare il cambiamento. Ma devi comunicare alla direzione in un modo particolare.

Passaggio 1: eseguire una valutazione del rischio. Anche se un certo problema potrebbe non essere la migliore pratica, il costo della modifica è quello di salvare la società in denaro o ridurre il rischio a un punto sotto la soglia di rischio? Questo è qualcosa che può aiutare a gestire (potenzialmente) la gestione.

Passaggio 2: mostra in che modo altri team o aziende hanno evitato i problemi, ottenuto la fiducia dei clienti o visto il successo facendo le cose in modo diverso. Mostrare dove altre aziende hanno avuto problemi non funzionerà.

Fase 3: inizia con piccoli cambiamenti ottenendo un alleato (persona o gruppo) per passare attraverso il processo di cambiamento come un "pilota" con un supporto gestionale strong e visibile. Supportarli in qualsiasi modo abbiano bisogno per avere successo. Documenta le sfide e i successi e trasmettili al resto dei team.

Passaggio 4: misurare e documentare i benefici del cambiamento, sia in termini di vantaggi per i team di sviluppo, sia per la gestione e l'azienda nel suo complesso (se possibile).

Passaggio 5: chiedi a una squadra di volontari di provare il nuovo approccio su un altro pilota di piccole dimensioni ma più grande. Ripeti i passaggi 3 - 5.

Le 2 grandi cose che devi essere in grado di tracciare sono il vantaggio per il management di continuare a farlo (in termini comprensibili), e i benefici per i team di sviluppo di vogliono per fare questo (in termini che capiscono).

È facile cambiare la cultura se tutti ne traggono beneficio. Può essere molto difficile mostrare questi benefici in termini reali, ma vale la pena. Ho visto enormi cambiamenti in team e aziende in breve tempo utilizzando questo tipo di approccio.

    
risposta data 12.12.2017 - 09:10
fonte

Leggi altre domande sui tag

La richiesta di domande di sicurezza sui nuovi computer aggiunge sicurezza sui siti Web bancari? Qualcuno sta facendo delle chiamate a caso che falsificano il mio numero di telefono. Cosa fare?