Abbiamo sperimentato un fenomeno molto interessante negli ultimi 6 mesi e cioè che alcuni dipendenti hanno trovato e segnalato ai nostri team di sicurezza alcuni problemi di sicurezza molto cruciali. Stavamo pensando di incoraggiare questo tipo di comportamento (pensiamo che i dipendenti dovrebbero essere in grado di sentirsi a proprio agio nel segnalare le vulnerabilità di sicurezza che hanno identificato) ma non sono sicuro di come farlo.
Il modo migliore è il riconoscimento: dopo che un problema di sicurezza è stato identificato o corretto, invia loro un modello di premio per email e CC nel loro manager. Il loro valore è quello di poter fare riferimento a questo articolo nelle recensioni e nelle discussioni con i dirigenti.
Descrivi cosa è considerato un problema di sicurezza e cosa non provare a filtrare il rumore.
Aggiungi un altro livello a questo con un sistema di ricompensa: ogni mese o trimestre fornisce una consapevolezza a coloro che hanno segnalato problemi di sicurezza. Basare il numero di giornalisti dei giornalisti, la gravità del rapporto di emissione o a caso. Assicurati che le comunicazioni vadano a livello di azienda o di dipartimento per il vincitore del trimestre e del mese + di quanto hanno ricevuto come ricompensa.
Idealmente, quello che stai cercando di fare è creare campioni di sicurezza in azienda, in modo che non solo riportino problemi, ma influenzino quelli che li circondano per farlo.
Nella mia esperienza, gli utenti non segnalano problemi di sicurezza a causa di un paio di motivi:
Per combattere i motivi sopra esposti, potresti provare due cose:
Ho coperto un incidente di una società che inviava le informazioni della carta di credito via e-mail attraverso la loro rete interna. Dopo che sono stati violati, ho intervistato i dipendenti per ottenere maggiori informazioni su quando hanno iniziato questo processo di condivisione di dati sensibili via email. I dipendenti mi hanno detto una data e poi il 75% di loro, senza che me lo chiedessi, mi ha detto che pensavano che fosse sempre una cattiva idea. Quindi la domanda è rimasta, perché non hai detto niente?
Era principalmente a causa dei numeri 2 e 3 sopra. È necessario chiarire che l'obiettivo della sicurezza è migliorare la postura generale dell'organizzazione. Sottolinea l'importanza che gli utenti non sono il problema, ma la cattiva cultura della sicurezza deve cambiare nel suo complesso. Questo alla fine è responsabilità e problemi del management.
Ciò di cui hai bisogno è sviluppare una cultura che rilevi problemi di sicurezza e risponda ad essa.
Un modo semplice per ottenere la palla rotante è gestendo lo sfondo dei desktop dei computer della tua organizzazione, in modo che mostrino nuovi argomenti di sicurezza ogni uno o due giorni. Quando l'utente esegue il login e attende il completamento del login, lo sfondo apparirà mostrando un'infografica ben progettata su un problema di sicurezza che non è difficile da comprendere per l'utente medio.
A tempo puoi iniziare a trovare nuovi modi per sviluppare questa cultura come workshop, sistema di premiazione, ecc ...
Leggi altre domande sui tag disclosure threat-mitigation threats bug-bounty