Qué hacer cuando encuentra un agujero de seguridad en el sitio de su compañía

13

He encontrado un gran agujero de seguridad en uno de los sitios públicos de mi empresa. Este es nuestro primer sitio público que se convirtió desde un sitio de intranet. Se lo comenté a mi jefe y, en esencia, se encogieron de hombros, diciendo que se necesitaría mucho trabajo para reconfigurar el sitio y hacerlo seguro.

Esto realmente me ha molestado y he pensado en explotar el agujero para mostrar los efectos de que esto podría suceder si un hacker lo alcanzara. Probablemente esta no sea la mejor idea, ya que los efectos podrían costarme mi trabajo si no algo peor.

¿Qué cosas puedo hacer para mostrar la magnitud de la situación a la gerencia?

    
pregunta Jim 09.05.2012 - 04:24

2 respuestas

13

La responsabilidad de un gerente es gestionar el riesgo.

Cuando se descubrió un agujero de seguridad entre scripts en Gmail, esto presentaba un riesgo muy crítico que el equipo trabajó rápidamente para resolver. Debido a que hay millones de usuarios de Gmail, si escribiera una aplicación web que explotara esta falla, habría muchas posibilidades de que los usuarios de mi aplicación web estuvieran usando Gmail y pudieran tenerla abierta en otra pestaña. Por lo tanto, como un phisher, puede valer la pena construir una aplicación de este tipo para obtener acceso a los datos del usuario.

La pregunta que su gerente puede hacerse es: ¿Qué tan riesgoso es este agujero de seguridad? ¿Cuál es la probabilidad de que exista una aplicación web orientada a este agujero de seguridad en particular en este sitio en particular? ¿Cuál es el riesgo de que los empleados que visitan nuestro sitio web también utilicen este sitio web de terceros?

En mi experiencia, si su sitio no recibe una tonelada de tráfico, entonces no hay una tonelada de riesgo.

Su jefe puede estar pensando que el costo de oportunidad de no arreglar este agujero de seguridad en particular que puede o no ser un problema, es que en su lugar puede enfocar los recursos en actividades que ayudarán a hacer crecer el negocio y generar ingresos.

Dicho esto, hubo un problema muy similar a este en el que Github fue pirateado, y hay una pregunta sobre Gestión de proyectos SE que cubre este tema desde una perspectiva de gestión de proyectos. El usuario que hackeó Github estaba en una situación similar a la tuya, y sus privilegios de Github fueron suspendidos por un período de tiempo.

Mi pregunta para usted es la siguiente: ¿Qué sucede con su negocio si el sitio se cae? ¿Cuál es la probabilidad de que incluso veas este agujero de seguridad explotado?

Si elige continuar con esto, deberá objetivamente obtener evidencia de que esta es una amenaza muy real e inminente para la viabilidad del negocio.

Aquí hay algunas sugerencias para obtener evidencia de que este es un problema real:

  • Realice búsquedas en Google en busca de artículos de noticias, blogs u otras experiencias de compañías que hayan experimentado problemas importantes como resultado de un agujero de seguridad similar relacionado. Demuestre que este es un riesgo que vale la pena abordar en lugar de otras oportunidades comerciales.

  • Discuta con otro personal técnico del equipo y obtenga su opinión. Si el problema es realmente grave, debería poder encontrar otros que también lo respalden. De lo contrario, es posible que sus preocupaciones no estén justificadas o que tenga problemas importantes de seguridad en la cultura de su empresa.

  • Discuta otras opciones con su departamento de TI para reparar el agujero que involucra soluciones de solución más rápida que, aunque no son ideales, pueden mitigar el riesgo y darle tranquilidad sin romper la hucha corporativa. A veces, una pequeña cantidad de trabajo puede ayudar a eliminar parte del riesgo, si no todos.

Si los puntos anteriores no funcionan, entonces considero dejarlo pasar y saber que estos problemas solo serán una parte normal de la gestión de riesgos empresariales.

    
respondido por el jmort253 09.05.2012 - 04:46
10

Si tiene capital, presione para programar una reunión semanal o mensual para revisar los problemas de seguridad y luego esto puede ser un tema en esa agenda. Mover el enfoque del tema en particular al área general es a menudo una técnica efectiva.

Si no tienes capital, sigue adelante.
Has planteado el problema a la gerencia y han pasado. Puedes intentarlo de nuevo si es importante para ti. Y de nuevo si es realmente importante. Si es realmente muy importante, consiga otro trabajo y explique por qué a los posibles empleadores. Los que valoran más la ética probablemente la apreciarán.

También tenga en cuenta que si ha planteado el problema y ha obtenido un no, ahora se enfrenta al cambio de opinión de la gente, lo cual es muy difícil. Iría por el camino de lograr que estén de acuerdo con usted y le dé un sí. p.ej. "Ambos queremos que la empresa tenga éxito". Sí. "Sé que a ambos nos importa la seguridad". Sí. "Sabemos que tenemos un presupuesto muy limitado para abordar dichos artículos". Sí. Obtenga algunos de estos y luego comience a orientarse hacia algún programa para realizar las correcciones de seguridad.

Otro enfoque 'más suave' es aceptar que no tienes tiempo / recursos para hacer esto ahora. Pero, ¿puedes presionar para que se llegue a un acuerdo en una fecha en la que se abordará? Puede ser en una semana, o un mes, o 6 meses. Por lo general, el tiempo vuela y luego estás allí.

    
respondido por el Michael Durrant 09.05.2012 - 05:15

Lea otras preguntas en las etiquetas