Experimentamos un fenómeno muy interesante en los últimos 6 meses y es que algunos empleados encontraron y reportaron a nuestros equipos de seguridad algunos problemas de seguridad muy importantes. Estábamos pensando en fomentar este tipo de comportamiento (creemos que los empleados deberían poder sentirse cómodos al informar las vulnerabilidades de seguridad que han identificado) pero no estamos seguros de cómo hacerlo.
La mejor forma de hacerlo es mediante el reconocimiento: después de que se haya identificado o solucionado un problema de seguridad, envíeles una plantilla de premio de correo electrónico y CC en su administrador. El valor para ellos es poder referirse a este elemento en revisiones de pago y discusiones con la administración.
Describa qué se considera un problema de seguridad y qué no es tratar de filtrar el ruido.
Agregue otro nivel a este con un sistema de recompensa: todos los meses o trimestres brindan información a aquellos que han informado problemas de seguridad. Basarse en el número de problemas de los reporteros, informe de gravedad del problema o al azar. Asegúrese de que las comunicaciones se envíen a lo largo de la empresa o del departamento sobre el ganador del trimestre y el mes + lo que recibieron como recompensa.
Idealmente, lo que estás tratando de hacer es construir campeones de seguridad en la empresa para que no solo informen los problemas, sino que también influyan en quienes los rodean para que lo hagan.
En mi experiencia, los usuarios no informan problemas de seguridad debido a un par de razones:
Para combatir las razones anteriores, puedes intentar dos cosas:
Cubrí un incidente de una compañía que estaba enviando información de la tarjeta de crédito por correo electrónico a través de su red interna. Después de que fueron pirateados, entrevisté a los empleados para obtener más información sobre cuándo comenzaron este proceso de compartir datos confidenciales por correo electrónico. Los empleados me dijeron una fecha y luego el 75% de ellos, sin que yo preguntara, me dijeron que pensaban que siempre era una mala idea. Así que la pregunta seguía siendo, ¿por qué no dijiste nada?
Fue principalmente debido a los números 2 y 3 anteriores. Debe dejar claro que el objetivo de la seguridad es mejorar la postura general de la organización. Haga hincapié en la importancia de que los usuarios no sean el problema, pero la mala cultura de seguridad debe cambiar en su totalidad. Esto en última instancia es responsabilidad y problema de la gerencia.
Lo que necesita aquí es desarrollar una cultura que detecte los problemas de seguridad y responda a ella.
Una forma fácil de hacer que la bola se mueva es administrando el fondo de pantalla de las computadoras de su organización, para que muestren nuevos temas de seguridad cada uno o dos días. Cuando el usuario inicie sesión y espere a que finalice el inicio de sesión, aparecerá un fondo de pantalla con una infografía bien diseñada sobre un tema de seguridad que no es difícil de entender por el usuario promedio.
Con el tiempo, puede comenzar a tener nuevas formas de desarrollar esta cultura, como talleres, sistemas de premios, etc. ...
Lea otras preguntas en las etiquetas disclosure threat-mitigation threats bug-bounty