Trabajo en una empresa en la que la seguridad es una preocupación de "un incendio, se olvida para siempre". El administrador configura una solución y rara vez la sigue y la mantiene. Como resultado, tenemos una política de seguridad que es un tipo de queso suizo: lleno de agujeros.
Por ejemplo:
- las políticas de seguridad de contraseña requieren cambiar cada xx días sin retroceso, pero las cuentas cuyas contraseñas no se cambian se entregan a nadie para acceder a carpetas especiales y bases de datos, incluso a los internos que luego se van con la información inmutable
- antivirus de escritorio y de red, pero no hay políticas contra unidades USB. Hasta ahora, la mayoría de los virus se detectan y el culpable es regañado, pero una vez con un día de 0 días es suficiente ...
Tengo la sensación de que la seguridad es una preocupación cosmética aquí; la gerencia quiere que se la vea haciendo algo, pero no está haciendo lo correcto, o no todo lo que se debe hacer.
Pensé en mostrarse sombrío para demostrar los problemas de una manera dramática, pero no creo que sea la manera correcta de educar a las personas sobre la seguridad en este contexto (tal vez en una compañía completamente centrada en la seguridad, donde todos entienden la situación ).
Así que me pregunto sobre una buena manera de hacer girar la necesidad de una estrategia de seguridad más resistente. No estoy en posición de señalar blogs y asesorar a expertos directos, porque la administración no habla inglés.
Estaba pensando en hacer un lanzamiento de ascensor con algunos reclamos dramáticos o una demostración de diez minutos de problemas existentes.
¿Qué piensas de estas ideas? ¿Hay formas recomendadas de señalar fallas de seguridad cuando se audita a un cliente para no alienarlo al decir básicamente que "ese es un trabajo a medias"? ¿Hay demostraciones particularmente efectivas (solo lanzar un cortafuego? Pero eso limita con el uso del sombrero gris) que recomendarías?