Qual è il limite tra sicurezza delle informazioni e controllo di qualità per quanto riguarda l'integrità?

Naviga le tue risposte
2

Ero in una recente controversia con il CIO su questo (lavoro come un ufficiale di InfoSec).

Si è verificato un problema quando uno dei nostri sviluppatori ha pubblicato un codice errato in produzione a causa di un errore dell'utente (errore di tipo copia-incolla).

Ciò ha comportato un comportamento software errato, in particolare per la visualizzazione di informazioni finanziarie errate ai clienti.

Il CIO mi ha chiesto di prendere in carico questo problema in quanto ciò può essere considerato una violazione di Integrity. D'altra parte, per me questo sembra più un problema di controllo qualità, tuttavia non posso discutere sul bit di Integrity, in più potrebbe facilmente far parte della nostra valutazione del rischio per la sicurezza delle informazioni.

Gradirei le tue idee e opinioni su questo.

    
posta jonna_983 24.01.2018 - 12:04
fonte

2 risposte

1

, si tratta di un problema di controllo qualità. , è un problema infosec. Dove disegnare le linee di responsabilità dipende dalla tua organizzazione e da dove e come vogliono disegnare le linee e consentire alle persone di influenzare il cambiamento .

In alcune organizzazioni, la sicurezza fisica ricade sotto l'ufficiale di InfoSec (il CISSP utilizzato per includere i meccanismi di sicurezza antincendio e di blocco delle porte come parte del corpus di conoscenze). Se è lì che l'org vuole mettere quel livello di supervisione e autorità, allora è grandioso. Fintanto che sono risorse in accordo con la responsabilità di cui sono incaricate.

Non vedo alcuna necessità di una disputa. Se il CIO vuole che questo sia sotto la tua responsabilità, allora accettalo e traccia le risorse necessarie per gestire questo ruolo. InfoSec dovrebbe essere incorporato in più funzioni in più org.

Lo scenario peggiore è che il CIO non vede il valore in nessuna modifica o svista e il problema continua senza controllo (l'ho visto succedere troppe volte). Il fatto che il di di CIO voglia gestito questo problema sia una buona cosa! Le tue discussioni dovrebbero concentrarsi su come non su chi .

    
risposta data 24.01.2018 - 13:46
fonte
1

Sono d'accordo che non è proprio infosec, ovviamente non hai il personale per esaminare il codice da solo o fare da solo il controllo qualità. Tuttavia, le tue capacità e la tua posizione dovrebbero essere adeguate per affrontare il problema a livello gestionale. Vorrei concentrarmi sui controlli e far sapere al CIO che stai percorrendo questa strada. Tieni riservati i dettagli dell'indagine.

In che modo il codice ha superato la revisione paritaria? Possono dimostrare che la revisione tra pari (oi vostri simili processi) sono stati documentati, le persone sono state addestrate e le procedure seguite? Stanno regolarmente chiedendo al loro vicino di "+1 me!" senza una cultura di controllo effettivo? Dev ha avuto un post-mortem del fallimento? Hanno suggerimenti o nuovi processi per impedire che ciò accada di nuovo?

Il controllo di qualità ha eseguito un test automatico? Perché o perché no? Ha raccolto il bug? Perché non faceva parte della loro copertura di test. Sarà aggiunto alla copertura del test? Quando?

Controlla che i log di controllo corrispondano alla storia degli sviluppatori e del controllo qualità. Se le storie non corrispondono, fai altre domande.

Alla fine di tutto, dovresti avere un rapporto con raccomandazioni e risultati. Il CIO può chiamare una riunione di revisione. Chiederei privatamente al CIO se vuoi mettere la paura nella leadership per questa "violazione". Se non stai attento alla tua documentazione e ti limiti la lingua rispetto ai risultati, ovviamente i tuoi pari ti odieranno per sempre, ma questo è un lato oscuro delle indagini interne su infosec.

IMHO, la direzione del QC dovrebbe porre queste domande, ma dato che non hanno preso posizione per affrontare il problema, il CIO potrebbe non avere fiducia in questa leadership.

Tutte queste informazioni dovrebbero essere conservate in quanto potrebbero essere utili come prova della tua dilligence nell'indagare su un problema di sicurezza nel codice. Rivolgilo al CIO, ripulisci i dettagli eccessivi, aggiungi le tue attività di correzione e aggiungilo ai tuoi record.

    
risposta data 24.01.2018 - 12:31
fonte

Leggi altre domande sui tag

Rompendo un binario interattivo di mips I CVE e gli EDB sono normalmente difficili da riprodurre? [chiuso]