La responsabilità di un manager è di gestire il rischio.
Quando in Gmail è stato rilevato un buco di sicurezza cross-scripting, questo ha presentato un rischio molto critico che il team ha rapidamente risolto. Poiché ci sono milioni di utenti Gmail, se avessi scritto un'applicazione Web che sfruttasse questo difetto, ci sarebbero buone possibilità che gli utenti della mia applicazione Web stiano utilizzando Gmail e potrebbero averlo aperto in un'altra scheda. Quindi, come phisher, potrebbe valere la pena di costruire un'applicazione del genere per accedere ai dati degli utenti.
La domanda che il tuo manager potrebbe chiedersi è questa: quanto è rischioso questo buco di sicurezza? Qual è la probabilità che ci sia una applicazione Web là fuori che sta prendendo di mira questo particolare buco di sicurezza in questo particolare sito? Qual è il rischio che i dipendenti che visitano il nostro sito Web utilizzino anche questo sito Web di terzi?
Secondo la mia esperienza, se il tuo sito non riceve un sacco di traffico, allora non c'è un sacco di rischi.
Il tuo capo potrebbe pensare che il costo opportunità di non fissare questo particolare buco di sicurezza che può o meno essere un problema, è che lui o lei invece può concentrare risorse su attività che aiuteranno a far crescere il business e generare entrate.
Detto ciò, c'era un problema molto simile a quello in cui Github era stato violato, e c'è una domanda sulla gestione dei progetti SE che copre questo argomento dal punto di vista della gestione del progetto. L'utente che ha hackerato Github si trovava in una situazione simile a te e i suoi privilegi Github sono stati sospesi per un periodo di tempo.
La mia domanda è questa: cosa succede alla tua azienda se il sito non funziona? Qual è la probabilità che tu possa vedere sfruttato questo buco di sicurezza?
Se scegli di perseguire questo obiettivo, dovrai oggettivamente ottenere la prova che si tratta di una minaccia molto reale, imminente, alla redditività dell'azienda.
Ecco alcuni suggerimenti per ottenere prove che questo è un problema reale:
-
Esegui ricerche su Google alla ricerca di articoli di notizie, blog o altre esperienze di aziende che hanno riscontrato problemi importanti a causa di una simile lacuna di sicurezza correlata. Dimostra che questo è davvero un rischio che vale la pena affrontare al posto di altre opportunità di business.
-
Parla con il personale tecnico del team e ottieni informazioni. Se il problema è davvero grave, dovresti riuscire a trovare anche altri che possono supportarti. In caso contrario, le tue preoccupazioni non sono garantite o hai problemi di sicurezza nella cultura aziendale.
-
Descrivi altre opzioni con il tuo dipartimento IT per correggere le lacune che comportano soluzioni più rapide che, sebbene non ideali, possono mitigare il rischio e darti un po 'di tranquillità senza rompere il salvadanaio aziendale. A volte una piccola quantità di lavoro può contribuire ad eliminare parte del rischio, se non a tutti.
Se i punti di cui sopra non funzionano, allora considero che lasciar andare e sappia che questi problemi saranno solo una parte normale della gestione dei rischi aziendali.