La responsabilidad de un gerente es gestionar el riesgo.
Cuando se descubrió un agujero de seguridad entre scripts en Gmail, esto presentaba un riesgo muy crítico que el equipo trabajó rápidamente para resolver. Debido a que hay millones de usuarios de Gmail, si escribiera una aplicación web que explotara esta falla, habría muchas posibilidades de que los usuarios de mi aplicación web estuvieran usando Gmail y pudieran tenerla abierta en otra pestaña. Por lo tanto, como un phisher, puede valer la pena construir una aplicación de este tipo para obtener acceso a los datos del usuario.
La pregunta que su gerente puede hacerse es: ¿Qué tan riesgoso es este agujero de seguridad? ¿Cuál es la probabilidad de que exista una aplicación web orientada a este agujero de seguridad en particular en este sitio en particular? ¿Cuál es el riesgo de que los empleados que visitan nuestro sitio web también utilicen este sitio web de terceros?
En mi experiencia, si su sitio no recibe una tonelada de tráfico, entonces no hay una tonelada de riesgo.
Su jefe puede estar pensando que el costo de oportunidad de no arreglar este agujero de seguridad en particular que puede o no ser un problema, es que en su lugar puede enfocar los recursos en actividades que ayudarán a hacer crecer el negocio y generar ingresos.
Dicho esto, hubo un problema muy similar a este en el que Github fue pirateado, y hay una pregunta sobre Gestión de proyectos SE que cubre este tema desde una perspectiva de gestión de proyectos. El usuario que hackeó Github estaba en una situación similar a la tuya, y sus privilegios de Github fueron suspendidos por un período de tiempo.
Mi pregunta para usted es la siguiente: ¿Qué sucede con su negocio si el sitio se cae? ¿Cuál es la probabilidad de que incluso veas este agujero de seguridad explotado?
Si elige continuar con esto, deberá objetivamente obtener evidencia de que esta es una amenaza muy real e inminente para la viabilidad del negocio.
Aquí hay algunas sugerencias para obtener evidencia de que este es un problema real:
-
Realice búsquedas en Google en busca de artículos de noticias, blogs u otras experiencias de compañías que hayan experimentado problemas importantes como resultado de un agujero de seguridad similar relacionado. Demuestre que este es un riesgo que vale la pena abordar en lugar de otras oportunidades comerciales.
-
Discuta con otro personal técnico del equipo y obtenga su opinión. Si el problema es realmente grave, debería poder encontrar otros que también lo respalden. De lo contrario, es posible que sus preocupaciones no estén justificadas o que tenga problemas importantes de seguridad en la cultura de su empresa.
-
Discuta otras opciones con su departamento de TI para reparar el agujero que involucra soluciones de solución más rápida que, aunque no son ideales, pueden mitigar el riesgo y darle tranquilidad sin romper la hucha corporativa. A veces, una pequeña cantidad de trabajo puede ayudar a eliminar parte del riesgo, si no todos.
Si los puntos anteriores no funcionan, entonces considero dejarlo pasar y saber que estos problemas solo serán una parte normal de la gestión de riesgos empresariales.