¿Sabe cómo puedo hacer que mis quejas / consejos de seguridad sean más efectivos? O ¿Cómo podría convencer a mi jefe sobre la seguridad de TI?
Hay un par de buenas prácticas conocidas en el campo de la seguridad de TI. Mi jefe parece ajeno a todos ellos.
Ahora estoy trabajando en una plataforma médica con datos reales sobre pacientes, recetas y ofrece funcionalidad para prescribir medicamentos, etc. No tengo un vasto conocimiento de las leyes sobre protección de datos, pero creo que las condiciones médicas son una de las más sensibles.
He estado trabajando en este proyecto solo durante 2 semanas, pero estas son algunas de las cosas que encontré:
En mi tercer día encontré una inyección SQL que le permite iniciar sesión como médico (médico real). Cuando informé a mi jefe, él me dijo que estaba bien, que iban a cambiar el inicio de sesión pronto . En otras palabras, la inyección todavía está allí.
Almacenamos la contraseña en texto plano. Cuando me quejé, él dijo que los colectivos médicos son realmente especiales y que se perderían si al pulsar "recuperar contraseña" se creara una nueva en lugar de darles la contraseña antigua.
Al menos almacenamos los (otros) datos confidenciales encriptados, como el historial médico, creo que están obligados por ley.
Y es solo mi segunda semana. Es desalentador ver cómo mis consejos caen en oídos sordos ... Pero creo que es mi deber notificar las vulnerabilidades que encuentro.