Omówmy Twoje punkty jeden po drugim.

1. Strona trzecia wysłała wszystkim w naszej firmie to samo hasło w e-mailu obejmującym całą firmę.
ol>

Hasło, które wszyscy znają, nie jest hasłem. To tak, jakby zostawić klucz pod matą, tylko bez maty, aby go ukryć.

2. Aplikacja nie ma możliwości zmiany hasła.

Więc jeśli kiedykolwiek zgubisz klucze lub myślisz, że ktoś może je mieć, nie możesz zmienić zamków - a od punktu 1 wiemy, że Twoje klucze są już w rękach innych ludzi.

3. Wszystkie nasze nazwy użytkowników są z góry określone i łatwe do odgadnięcia.

Zatem osoby, które mają Twoje klucze, wiedzą również, gdzie mieszkasz.

4. W tej aplikacji można zalogować się jako każdy z dowolnego urządzenia.

Połącz pierwsze trzy - inni ludzie mają Twoje klucze, wiedzą, gdzie mieszkasz i nie możesz zmienić zamków - i tak, to jest wynik. Każdy może dostać się do miejsca, które powinno być tylko twoje. Aby poddać recyklingowi analogię do samochodu Twojego pracodawcy, prosi wszystkich pracowników, aby zamknęli samochody, ale zostawili kluczyki w drzwiach, a następnie zaparkowali na firmowym parkingu pod tabliczką z ich nazwiskiem.

A na dodatek to wszystko, prosi Cię o zrobienie tego na Twoim osobistym telefonie. Twój pracodawca nie ma prawa dotykać tego urządzenia. W zależności od tego, co robi ta aplikacja, może to narażać Twoje dane osobowe na ryzyko z powodu luki w zabezpieczeniach innej firmy, nad którą nie masz kontroli.

Nawet jeśli aplikacja innej firmy nie jest złośliwa i nie robi niczego, co powoduje ryzyko, nie ma gwarancji, że jest w 100% wolna od przypadkowych usterek lub błędów, które mogą spowodować osłabienie zabezpieczeń lub stanowić okazję dla niektórych inna złośliwa strona do wykorzystania. Biorąc pod uwagę okropne podejście tej firmy zewnętrznej do podstawowych praktyk bezpieczeństwa, takich jak „nie wysyłaj haseł e-mailem”, „nie używaj ponownie haseł” i „zawsze zezwalaj użytkownikom na zmianę ich haseł”, istnieje prawdopodobieństwo, że ich aplikacja będzie całkowicie bezpieczna , bezpieczny i wolny od luk wygląda na dość szczupły.

Moja rada jest taka, aby spróbować wyjaśnić konsekwencje dla bezpieczeństwa wynikające z podejścia opartego na ryzyku. Co by się stało, gdybyś zainstalował aplikację z tak słabym zabezpieczeniem? Nie musisz wyjaśniać, jak wykorzystać słabe zabezpieczenia w aplikacji, ale po prostu narażaj się na ryzyko. Samo podszywanie się pod inne osoby jest dla wielu menedżerów bardzo istotnym wyłączeniem, ktoś może zrobić coś złego i obwinić inną osobę, nawet jako żart może to prowadzić do poważnych konsekwencji.

Z mojego doświadczenia wynika, że ​​menedżerowie muszą zrównoważyć ryzyko z korzyściami, a kiedy zobaczą, co może pójść nie tak, zaczynają się zastanawiać, czy naprawdę warto.

Chociaż analogie są przydatne przy wyjaśnianiu podstawowych pojęć komuś zupełnie niezaznajomionemu z daną dziedziną, aktywnie szkodzą profesjonalnym dyskusjom. Zrozum, że każda analogia jest subiektywna i niereprezentatywna jakichkolwiek szczegółów specyficznych dla danej dziedziny. W rzeczywistości analogia do samochodu jest szczególnie zła, ponieważ myli bezpieczeństwo i ochronę. Podsumowując, ostrożnie używaj analogii i przestań ich używać, gdy poczujesz się nieswojo.

Zamiast tego zapytałbym twojego pracodawcę, jak radzić sobie z określonymi zagrożeniami , które możesz zidentyfikować. Po pierwsze, ta aplikacja wydaje się być podatna na podszywanie się. Powiedz szefowi, jak możesz używać tej aplikacji, aby udawać kogoś innego, i zapytaj go, jakie środki zaradcze zostaną zastosowane, aby temu zapobiec.

Nie wiedząc więcej o typach danych, do których ten program ma dostęp, nie mogę ci doradzić, ale brzmi to jak okropne praktyki bezpieczeństwa. Analogia twojego szefa do bezpieczeństwa jest również bardzo zła: jest to jeden z wielu sposobów, w jakie pojawiają się naruszenia.

Jeśli podczas audytu po włamaniu okaże się, że Twoja firma ma gorsze i skrajnie niekompetentne standardy bezpieczeństwa (takie jak to, co teraz sugeruje), może zostać pociągnięty do odpowiedzialności za jakiekolwiek uszkodzenia danych klientów.

• Strona trzecia wysłała wszystkim w naszej firmie to samo hasło w e-mailu obejmującym całą firmę. Szokująco powszechne, ale zależy od tego, do czego jest ono używane.

• Aplikacja nie ma możliwości zmiany hasła. To jest okropne. Co się stanie, jeśli któryś z nich zostanie zhakowany lub pracownik jest niezadowolony i odchodzi?

• Wszystkie nasze nazwy użytkownika są z góry określone i łatwe do odgadnięcia. Ja ' w przeszłości natknąłem się na kilka takich implementacji zarówno w nazwach użytkowników, jak i hasłach. W przypadku nazw użytkowników można się spodziewać takich rzeczy. Na przykład wiele firm ustawia Twój adres e-mail na lastfirst , first.last i inne odmiany. W tym przypadku bardziej martwiłbym się hasłami.

• W tej aplikacji można zalogować się jako każdy z dowolnego urządzenia. Co robi ta aplikacja? Więcej informacji o aplikacji pozwoliłoby nam zaoferować lepsze porady.

Obawy dotyczące „programu”

Oto kilka rzeczy, które mnie niepokoją: Widziałem to przed. Może być zupełnie inny lub taki sam. Traktuj to z przymrużeniem oka.

Wygląda na to, że pracodawca próbuje poprosić wszystkich o zainstalowanie czegoś w swoich osobistych telefonach komórkowych, aby mogli monitorować korzystanie z telefonu jak koń trojański. Powiedz swojemu pracodawcy, że z przyjemnością pozwolisz na to, jeśli będziesz mieć telefon służbowy.

Pamiętaj, że telefon służbowy nie powinien mieć nic osobistego. Twój pracodawca może i będzie węszyć. W rzeczywistości nawet korzystanie z firmowej poczty wymiany na telefonie osobistym może pozwolić pracodawcy pełną kontrolę nad nim . Znajduje się w żądanych uprawnieniach, gdy próbujesz skonfigurować firmową pocztę e-mail, nawet jeśli znajduje się ona na Twoim telefonie osobistym. Nie rób tego.

Uważam, że BYOD nie powinno być dozwolone, a wszystkie urządzenia łączące się z maszyną powinny należeć do pracodawcy. Osobiście nie korzystałbym z telefonu osobistego ani urządzeń w sieci pracodawcy. Nie chciałbym przypadkowo wprowadzić do sieci wrażliwego urządzenia i nie chciałbym, aby wprowadzali oni wrażliwą aplikację na moje urządzenie.

Twój telefon komórkowy, Twoje bezpieczeństwo

To Twój telefon komórkowy i masz prawo go zabezpieczyć według własnego uznania. Możesz jednak rozważyć odwrotne podejście - stwierdzenie, że w ogóle nie będzie zabezpieczone (patrz poniżej).

Ich telefon komórkowy, ich bezpieczeństwo

Jeśli Twoja firma wymaga, abyś korzystał z urządzenia mobilnego w celu uzyskania dostępu do danych firmowych, do czego ma prawo, wówczas firma powinna dostarczyć to urządzenie zabezpieczone zgodnie z ich specyfikacjami. W ten sposób biorą odpowiedzialność za zabezpieczenie platformy, na której znajduje się ich aplikacja.

Polityka bezpieczeństwa danych korporacyjnych

Spójrz na swoje firmową politykę bezpieczeństwa i spójrz na to z punktu widzenia korporacyjnego specjalisty ds. bezpieczeństwa:

Korzystając z Twojego urządzenia, nie są w stanie zapewnić bezpieczeństwa danych, które aplikacja dostarcza, ani samej aplikacji samo w sobie, ponieważ Twoje urządzenie nie jest zabezpieczoną platformą.

Jaka jest polityka Twojej firmy dotycząca laptopów? Czy laptopy muszą mieć zaszyfrowane dyski twarde? I być zabezpieczonym? Jeśli tak, to telefony powinny mieć takie samo stanowisko, co wskazuje im, że zapewniają własne urządzenia do tego celu.

Odwróć argument - obawiaj się ich dane

(Uwaga: może to nie działać, jeśli Twoja firma jest szybka i luźna w zakresie bezpieczeństwa danych).

Zamiast tego mówiąc, że Twoje urządzenie jest super zabezpieczone, zamiast tego mówisz, że nie możesz zapewnić, że będzie ono zabezpieczone , że inne osoby będą miały do ​​niego dostęp i nie możesz brać odpowiedzialności za jakiekolwiek naruszenia lub przypadkową utratę danych .

Na przykład, jeśli ta aplikacja w jakikolwiek sposób zajmuje się danymi umożliwiającymi identyfikację użytkownika lub może być wektorem do uzyskania danych umożliwiających identyfikację w przypadku włamania, szef bezpieczeństwa danych Twojej firmy po prostu nie może na to pozwolić, chyba że Twoje urządzenie jest pod ich kontrolą - czyniąc je swoim urządzeniem

Co się stanie, jeśli zgubisz telefon? Nie przeszkadza im, że ich dane są dostępne? A co, jeśli pozwolisz swojemu kuzynowi Willy'emu bawić się telefonem, zapominając, że aplikacja jest nadal otwarta i dostępna, a mały Willy usunie dane? Czy to w porządku?

Przyjmując rolę ochrony ich danych, uzasadniasz biznesowo, że używanie osobistych telefonów komórkowych do przechowywania danych firmowych jest złą decyzją biznesową .

Jedną rzeczą, o której wiele osób traci z oczu (po obu stronach ogrodzenia), gdy mówi o bezpieczeństwie, jest:

Co chronisz?

Mam kilka kont „chronionych” jednym, łatwym do odgadnięcia hasłem. To dlatego, że jeśli zostanie zhakowany, nie obchodzi mnie to.

Czy hasło chroni Twój telefon, czy też dane firmy? Jeśli musisz znać hasło, to zgaduję później. Jeśli tak, to fakt, że masz go w telefonie, przypomina nieco czerwony śledź - Twój telefon nie jest zagrożony. W rzeczywistości korzystanie z aplikacji nie zwiększa niczyjego ryzyka - jeśli nigdy jej nie użyjesz, ryzyko pozostaje.

Jaka jest wartość danych, jeśli zostaną skradzione lub zmodyfikowane, dla firmy? Jakie szkody można wyrządzić?

Jeśli wydostanie się tych danych ma niewielkie lub żadne konsekwencje, przełknij swoją dumę i przejdź dalej.

W takich przypadkach, chyba że bezpieczeństwo jest Twoim zadaniem , możesz mieć niewielki wpływ na to oprogramowanie. Napisz na piśmie swoje obawy - że osoba nieuprawniona może stosunkowo łatwo skopiować / zmodyfikować dowolne dane (w stosownych przypadkach, w zależności od tego, co robi aplikacja), wskazać potencjalne zakłopotanie / straty firmie / utraconym klientom (w stosownych przypadkach). . Przygotuj się na ignorowanie, a jeśli to zrobisz, zaakceptuj to. Na wszelki wypadek zachowaj kopię listu / e-maila.

Mam nadzieję, że to zrozumiałe:

NIE! POD ŻADNYM POZOREM! ZHAKUJ SYSTEM, ABY POKAZAĆ, ŻE MOŻNA ZROBIĆ! NAWET MAŁY KĄT! (chyba że firma wyraźnie upoważniła Cię do tego!)

Wiele osób kusi, aby „pokazać” ryzyko. Zawstydzający administratorzy zabezpieczeń (lub ktokolwiek!), Którzy są źli w swojej pracy, to straszny sposób, aby ludzie byli ci wdzięczni - nawet jeśli prawdopodobnie powinni.

Zakładając, że aplikacja zapewnia dostęp do niektórych prywatnych informacji, wystarczy przedstawić pracodawcy dowód koncepcji. Poproś go wcześniej o oficjalne pozwolenie na zrobienie tego (zrobienie czegoś takiego bez pozwolenia może wpędzić cię w kłopoty, w zależności od polityki twojej firmy). Po uzyskaniu pozwolenia pokaż mu, jak łatwo możesz zalogować się przy użyciu jego / jej danych logowania i uzyskać dostęp do prywatnych informacji.

Ponadto bez wyraźnej zgody każdego pracownika firma nie powinna wszelkie prawa do instalowania jakichkolwiek danych w osobistych telefonach komórkowych pracowników.

Problem - który może wcale nie stanowić problemu, w zależności od tego, co faktycznie robi aplikacja - polega na tym, że możesz zalogować się jako ktoś inny, a ktoś inny może zalogować się jako Ty. Hasło nigdy się nie zmienia, więc wkrótce osoby, które już nie pracują w firmie, mogą nadal logować się jako ktoś, kto nadal tam pracuje.

Przerażające jest to, że firma zewnętrzna używa haseł, mimo że hasła są bezcelowe w tym przypadku. Jeśli wszyscy mają to samo hasło, w ogóle nie powinno być hasła. Jest to przerażające, ponieważ pokazuje, że firma nie rozumie bezpieczeństwa i nie należy jej ufać w kwestii poufnych danych.

Mówiąc najprościej, jeśli aplikacja jest tylko po to, aby dowiedzieć się, kto przynosi ciasto, aby coś uczcić, komu się to podoba rodzaj ciasta i aby zapobiec przyniesieniu zbyt wielu ciast tego samego dnia, jesteś dobry. Jeśli jednak aplikacja jest używana do przechowywania poufnych danych, takich jak śledzenie wydajności i recenzje, Twoja firma może wkrótce mieć problemy prawne. Pomimo tego, co robi strona trzecia, musi być oczywiste dla Twojej firmy, że dane nie są bezpieczne, dlatego część odpowiedzialności spoczywa na nich.

Jeśli potrzebujesz analogii, pliki te są albo przechowywane w w szafce, w biurze firmy, a klucze mają tylko wybrane osoby lub akta są przechowywane w kartonowym pudełku w kafeterii - a kafeteria jest ogólnodostępna.

na początek powinieneś mu powiedzieć, że to Twój osobisty telefon komórkowy i nie ma prawa bawić się Twoim telefonem.

używając analogii do Twojego samochodu, aplikacja wygląda tak, że samochód ma zamek chroniony (Mam nadzieję, że napisałem to poprawnie), a fakt, że wszyscy mają to samo hasło, którego nie można zmienić, daje im szkieletowy klucz, więc pozostaje tylko zgadnąć, gdzie zostawiłeś samochód (czyli jaka jest twoja nazwa użytkownika), co nie jest takie trudne ludzi w firmie, a następnie kradną twój samochód.

dobrze przechowywanie haseł z zasolonym hashem jest obecnie minimalnym standardem, więc nie liczyłoby się to zbytnio dla twojego bezpieczeństwa, ale jako opis twojego mega-bezpiecznego samochód opisałbym zamek trójczynnikowy (hasło + klucz + biometrc).

IMHO przede wszystkim w rozmowach z wysokimi bossami - zacznij od strat. NIE lubią ich, ale aby uzyskać pożądany efekt, należy dokonać naprawdę DOBREJ wyceny każdej straty, w dolarach. Najskuteczniejszymi wektorami - zgodnie z moją praktyką - są:

1. Koszty egzekwowania prawa. Jakie kary jakie prawo można zastosować do Twojej firmy, jeśli coś pójdzie nie tak. Zrób pełną listę, prawo + „kwota kary”

2. Straty PR. Aby obliczyć, po prostu weź dane o zyskach firmy i zmniejsz je o połowę, scenariusz zakładający, że konkurent (y) zajmują obecne miejsce firmy na rynku z powodu utraty / uszkodzenia reputacji.

3. Koszty odzyskiwania punktów 1 i 2 Tak, każda szkoda wymaga naprawy! Zwykle kosztuje trochę pieniędzy

Ale nie poprzestawaj na tym! MUSISZ również przedstawić bardzo szczegółowy plan z załączonym diagramem Gantta o tym, jak wszystko naprawić: czas i koszty, krok po kroku

I po prostu zrób liczby na ostatnim slajdzie, pozwól im porównać. U mnie to działało wiele razy, ale musisz zainwestować znaczną część swojego czasu i cierpliwości, aby wszystkie te małe śruby i nakrętki działały razem jak szwajcarski zegar.

Niedawno przeszedłem na emeryturę z dziesięcioletniej służby zdrowia I.T. poprzedzone szesnastoma w obronie. W służbie zdrowia coroczny audyt stwierdzający, że aplikacja miałby poważne nieprzyjemne konsekwencje w postaci publicznych ocen jakości wymaganych przez rząd. W obronie losowego wyniku audytu, który może wysłać kogoś do więzienia.

Gdyby mój pracodawca poprosił mnie o umieszczenie tego na telefonie, oprócz wskazania powyższego, zasugerowałbym kierownikowi, aby ktoś wkurzył zaloguje się pod imieniem i nazwiskiem menadżera, opublikuje pornografię i zwolni menedżera.

Chodzi o ocenę ryzyka. To powinna być kluczowa koncepcja dla menedżera. Musi zrozumieć ryzyko - nie szczegóły techniczne, ale rzeczywiste ryzyko. Wyjaśnij to w ten sposób:

Fakt: każdy ma to samo hasło i format nazwy użytkownika i nie może go zmienić.

Ryzyko:

• Niezadowoleni byli pracownicy mogli logować się jako każdy i czytać czyjekolwiek wiadomości lub wysyłać wiadomości pod czyimś imieniem.

• Obecni pracownicy mogliby nadużywać systemu, logując się jako innych użytkowników, aby sobie nawzajem „żartować”, np. wysyłając wiadomości „od szefa”.

Jeśli twój szef nie chce, aby coś takiego się wydarzyło, musi aby natychmiast rozwiązać problem z hasłem.

Ryzyko niezadowolenia byłego pracownika jest prawdopodobnie najważniejsze: jeśli kogoś zwolnisz, powinno być łatwo odebrać wszystkie jego prawa dostępu, ale jeśli wiedzą, jak się zalogować jako kogokolwiek w firmie, a następnie cofnięcie ich praw nie zrobi nic, co powstrzyma ich przed ujawnieniem wszystkich tajemnic Twojej firmy Twojemu konkurentowi, który właśnie ich zatrudnił.

Nie ujawniłeś, do czego ta aplikacja będzie używana , inny niż niejasny komunikat dotyczący „wewnętrznych mediów społecznościowych” ent. Powaga ryzyka dla firmy będzie zależeć od (a) liczby osób z niej korzystających, (b) stażu pracy osób z niej korzystających oraz (c) rodzaju informacji przesyłanych przez nią.

Na przykład, jeśli aplikacja jest przeznaczona dla pracowników po prostu do rozmowy między sobą, ryzyko jest mniejsze niż w przypadku, gdy kierownictwo zamierza używać jej do wysyłania poufnych informacji do pracowników.

Jest mimo wszystko nadal istnieje ryzyko, ponieważ nawet w najbardziej łagodnym przypadku nadal stwarzałoby to szeroko otwarte możliwości dla inżynierii społecznej.