Cómo convencer a su jefe sobre la importancia de la seguridad de TI

Hay varios problemas aquí.

Su preocupación inmediata parece ser que no ha logrado convencer a una persona de la necesidad de una mejor seguridad. Arreglar eso resolverá el problema, pero puede ser una gran montaña para escalar. La respuesta de Greg Dolph ya cubre esto.

El problema aquí es que su empleador está produciendo un producto que no es adecuado para su propósito y puede resultar en un daño grave para su empleador, para los usuarios del producto y para otras partes. A menos que la organización que lo emplee sea su jefe (y no tenga otras partes interesadas / accionistas), al menos debería estar haciendo que otros responsables de las decisiones sean conscientes de que tiene preocupaciones que su jefe cree que son infundado.

Es recomendable que esté preocupado por la seguridad de los sistemas en los que está trabajando y que haya dado el primer paso para resolver el problema. Pero si esto se hace más conocido, entonces es probable que los responsables de la toma de decisiones (o incluso los responsables de hacer cumplir la ley / política) querrán que se tome acción, es decir, usted necesita cubrir su parte posterior. Trate de asegurarse de que haya anotado cualquier discusión verbal, preferiblemente minuciosa. Obtenga copias de todos los correos electrónicos en algún lugar donde pueda accederlos.

No amenaces. No engatusar Mantenga la calma. Ser persistente Mantener registros.

La mejor manera de hacerlo es señalar a su jefe las leyes, las regulaciones de la industria y los casos del mundo real en los que las empresas perdieron sus camisas y los ejecutivos salieron por la puerta o los enviaron a la cárcel por romperlos. Nada motiva a los ejecutivos como el riesgo personal. Haga que se aplique a ellos , no solo a la empresa. Puede hablar sobre las mejores prácticas y los estándares de la industria, o incluso sobre cómo las auditorías requieren estas cosas, pero es posible que no les importe a menos que demuestre que al no preocuparse las cosas se pueden poner muy feas.

Mi recomendación es mostrar a su jefe las implicaciones que esto puede tener para su negocio. Enfatice especialmente el hecho de que si fue atacado y se revela información (puede proporcionarle ejemplos de otras compañías que fueron pirateadas como Linkedin o Yahoo), la reputación de su compañía está en juego.

Especialmente cuando se trata de datos médicos sensibles. También recuérdele que él (sí, personalmente) puede ser considerado responsable por una violación si se le informó que no hizo lo suficiente para proteger el sistema. (También se podría decir porque de antemano se le informó que hubo una infracción, pero eso podría considerarse una amenaza excesiva).

Como dice Symcbean, no amenaces y mantengas registros.

El almacenamiento de contraseñas en texto simple es una violación del espíritu de la ley HIPAA y posiblemente del texto.

Este documento sobre las mejores prácticas para la gestión de contraseñas de HIPAA estados:

  

H. Los desarrolladores de aplicaciones deben asegurarse de que sus programas contengan lo siguiente   precauciones de seguridad:

1. Debería admitir la autenticación de usuarios individuales, no de grupos.
2. No debe almacenar contraseñas en texto claro ni de forma reversible. forma.
3. Debe proporcionar algún tipo de gestión de roles, de modo que un usuario puede asumir las funciones de otro sin tener que conocer la la contraseña del otro.
4. Debería ser compatible con TACACS +, RADIUS y / o X.509 con seguridad LDAP recuperación, siempre que sea posible.

Sin embargo, el texto actual de la ley HIPAA no se incluye detalles técnicos. No habla mucho sobre la administración de contraseñas (aparte de decir que debe tratarse), pero sí lo establece en 164.306 (a) (Requisitos generales de los estándares de seguridad)

  

(2) Protéjase contra cualquier anticipación razonable   amenazas o peligros para la seguridad o integridad de tales   información.

Esta es una amenaza razonablemente anticipada que se puede mitigar fácilmente.

Si el cumplimiento de la ley no funciona y usted es un proveedor que vende un producto, tenga en cuenta que esta "característica" le está haciendo perder ventas. Muchos hospitales (yo trabajo en uno) tienen altos cargos en los departamentos de informática / informática con antecedentes de TI razonables y durante las fases de revisión del producto probarán cómo funcionan los restablecimientos de contraseñas, y vetarán productos y evitarán a ese proveedor en el futuro si descubrimos que envía volver contraseñas de texto sin formato.