Cómo convencer a su jefe sobre la importancia de la seguridad de TI

16

¿Sabe cómo puedo hacer que mis quejas / consejos de seguridad sean más efectivos? O ¿Cómo podría convencer a mi jefe sobre la seguridad de TI?

Hay un par de buenas prácticas conocidas en el campo de la seguridad de TI. Mi jefe parece ajeno a todos ellos.

Ahora estoy trabajando en una plataforma médica con datos reales sobre pacientes, recetas y ofrece funcionalidad para prescribir medicamentos, etc. No tengo un vasto conocimiento de las leyes sobre protección de datos, pero creo que las condiciones médicas son una de las más sensibles.

He estado trabajando en este proyecto solo durante 2 semanas, pero estas son algunas de las cosas que encontré:

En mi tercer día encontré una inyección SQL que le permite iniciar sesión como médico (médico real). Cuando informé a mi jefe, él me dijo que estaba bien, que iban a cambiar el inicio de sesión pronto . En otras palabras, la inyección todavía está allí.

Almacenamos la contraseña en texto plano. Cuando me quejé, él dijo que los colectivos médicos son realmente especiales y que se perderían si al pulsar "recuperar contraseña" se creara una nueva en lugar de darles la contraseña antigua.

Al menos almacenamos los (otros) datos confidenciales encriptados, como el historial médico, creo que están obligados por ley.

Y es solo mi segunda semana. Es desalentador ver cómo mis consejos caen en oídos sordos ... Pero creo que es mi deber notificar las vulnerabilidades que encuentro.

    
pregunta eversor 16.08.2012 - 10:24
fuente

4 respuestas

8

Hay varios problemas aquí.

Su preocupación inmediata parece ser que no ha logrado convencer a una persona de la necesidad de una mejor seguridad. Arreglar eso resolverá el problema, pero puede ser una gran montaña para escalar. La respuesta de Greg Dolph ya cubre esto.

El problema aquí es que su empleador está produciendo un producto que no es adecuado para su propósito y puede resultar en un daño grave para su empleador, para los usuarios del producto y para otras partes. A menos que la organización que lo emplee sea su jefe (y no tenga otras partes interesadas / accionistas), al menos debería estar haciendo que otros responsables de las decisiones sean conscientes de que tiene preocupaciones que su jefe cree que son infundado.

Es recomendable que esté preocupado por la seguridad de los sistemas en los que está trabajando y que haya dado el primer paso para resolver el problema. Pero si esto se hace más conocido, entonces es probable que los responsables de la toma de decisiones (o incluso los responsables de hacer cumplir la ley / política) querrán que se tome acción, es decir, usted necesita cubrir su parte posterior. Trate de asegurarse de que haya anotado cualquier discusión verbal, preferiblemente minuciosa. Obtenga copias de todos los correos electrónicos en algún lugar donde pueda accederlos.

No amenaces. No engatusar Mantenga la calma. Ser persistente Mantener registros.

    
respondido por el symcbean 16.08.2012 - 15:02
fuente
5

La mejor manera de hacerlo es señalar a su jefe las leyes, las regulaciones de la industria y los casos del mundo real en los que las empresas perdieron sus camisas y los ejecutivos salieron por la puerta o los enviaron a la cárcel por romperlos. Nada motiva a los ejecutivos como el riesgo personal. Haga que se aplique a ellos , no solo a la empresa. Puede hablar sobre las mejores prácticas y los estándares de la industria, o incluso sobre cómo las auditorías requieren estas cosas, pero es posible que no les importe a menos que demuestre que al no preocuparse las cosas se pueden poner muy feas.

    
respondido por el GdD 16.08.2012 - 11:00
fuente
4

Mi recomendación es mostrar a su jefe las implicaciones que esto puede tener para su negocio. Enfatice especialmente el hecho de que si fue atacado y se revela información (puede proporcionarle ejemplos de otras compañías que fueron pirateadas como Linkedin o Yahoo), la reputación de su compañía está en juego.

Especialmente cuando se trata de datos médicos sensibles. También recuérdele que él (sí, personalmente) puede ser considerado responsable por una violación si se le informó que no hizo lo suficiente para proteger el sistema. (También se podría decir porque de antemano se le informó que hubo una infracción, pero eso podría considerarse una amenaza excesiva).

Como dice Symcbean, no amenaces y mantengas registros.

    
respondido por el Lucas Kauffman 16.08.2012 - 15:41
fuente
4

El almacenamiento de contraseñas en texto simple es una violación del espíritu de la ley HIPAA y posiblemente del texto.

Este documento sobre las mejores prácticas para la gestión de contraseñas de HIPAA estados:

  

H. Los desarrolladores de aplicaciones deben asegurarse de que sus programas contengan lo siguiente   precauciones de seguridad:

  1. Debería admitir la autenticación de usuarios individuales, no de grupos.
  2. No debe almacenar contraseñas en texto claro ni de forma reversible. forma.
  3. Debe proporcionar algún tipo de gestión de roles, de modo que un usuario puede asumir las funciones de otro sin tener que conocer la la contraseña del otro.
  4. Debería ser compatible con TACACS +, RADIUS y / o X.509 con seguridad LDAP recuperación, siempre que sea posible.

Sin embargo, el texto actual de la ley HIPAA no se incluye detalles técnicos. No habla mucho sobre la administración de contraseñas (aparte de decir que debe tratarse), pero sí lo establece en 164.306 (a) (Requisitos generales de los estándares de seguridad)

  

(2) Protéjase contra cualquier anticipación razonable   amenazas o peligros para la seguridad o integridad de tales   información.

Esta es una amenaza razonablemente anticipada que se puede mitigar fácilmente.

Si el cumplimiento de la ley no funciona y usted es un proveedor que vende un producto, tenga en cuenta que esta "característica" le está haciendo perder ventas. Muchos hospitales (yo trabajo en uno) tienen altos cargos en los departamentos de informática / informática con antecedentes de TI razonables y durante las fases de revisión del producto probarán cómo funcionan los restablecimientos de contraseñas, y vetarán productos y evitarán a ese proveedor en el futuro si descubrimos que envía volver contraseñas de texto sin formato.

    
respondido por el dr jimbob 16.08.2012 - 20:26
fuente

Lea otras preguntas en las etiquetas