¿Cómo aborda un problema o problema de ingeniería social o de software en una empresa u organización?

13

Diga que llama a su banco y puede comenzar a hablar sobre sus finanzas personales, sin haberles dado ninguna prueba real de su identidad. Bueno, lo primero que pensaría sería cambiar tu banco. Pero podría no ser tan práctico si la empresa X es su universidad / colegio / escuela o gobierno.

Digamos que no está dispuesto a cambiar a otro proveedor de servicios y no quiere que compartan su información con el resto del mundo. ¿Qué haces? Es difícil llamar a la compañía y decirle que necesita hacer una prueba de pluma completa. Tienen una tendencia a ponerse a la defensiva en una situación como esta.

Entonces, mi pregunta es ¿cómo le dice / demuestra a una empresa que su seguridad es débil y que necesitan hacer algo al respecto para mantenerse dentro de los límites de la ley? (Creo que esto se aplica principalmente a empresas / organizaciones más grandes, así que enfoca tus respuestas en ellas).

Después de toda la suplantación y la mayoría de las pruebas de seguridad en línea es ilegal. Después de todo, si su nombre es robert ') DROP TABLE estudiantes; - es solo una cuestión de tiempo hasta que accidentalmente encuentre algo. :)

¿Cómo aborda la debilidad / inquietud de la ingeniería social y / o el software en una empresa u organización?

    
pregunta KilledKenny 28.04.2011 - 18:20
fuente

2 respuestas

8

Estoy de acuerdo en que entrar es una mala idea.

También: puede considerar que, si bien es un cliente de la organización, hacerlo público también tiene un valor limitado, ya que es probable que cualquier intrusión que ocurra lo dañe.

Estoy de acuerdo en que su mejor opción inmediata es retirar su afiliación y encontrar una empresa con mejores prácticas de seguridad ... pero me mantengo dentro de los límites de la pregunta y asumiendo que esto no es una opción.

Una buena práctica es cazar a la persona adecuada e informarle sobre su preocupación. La persona adecuada en una organización grande puede ser muy difícil de encontrar, ya que lo más probable es que NO sea el tipo que contesta el teléfono en el servicio de atención al cliente. Las opciones incluyen:

  • rastrear a través de las cadenas de gestión de atención al cliente hasta que encuentres a alguien con un título lo suficientemente serio como para que te tome en serio
  • investigue la gerencia ejecutiva de la compañía: en una compañía lo suficientemente grande, debe haber un Director de Seguridad o un título similar que tenga el mismo poder que la persona a cargo de TI. A menudo, estas personas no tienen fácil encontrar información de contacto publicada públicamente, pero puede intentar una carta formal como un cliente preocupado. Solo tenga cuidado al redactar que esta es una solicitud de asistencia, no una amenaza.
  • Si honestamente no puede comunicarse con la empresa, a menudo hay agencias gubernamentales que cubren áreas específicas de la ley, que varían de una industria a otra. Y cosas como el Better Business Bureau.
  • Si el problema es verdaderamente atroz (e ilegal), y la compañía es lo suficientemente grande, puede contratar a un abogado y presentar una demanda colectiva.

La mayoría de estos tomarán mucho tiempo. Probablemente fracasará en los primeros intentos de obtener ayuda. Esto puede ser una gran lucha. Pero si se trata de sus datos y no tiene otra opción para encontrar un mejor recurso, este tipo de batalla puede ser la opción correcta.

YMMV: mi experiencia se centra en los EE. UU. No puedo decir que otros gobiernos ofrezcan el mismo conjunto de protecciones.

    
respondido por el bethlakshmi 28.04.2011 - 20:27
fuente
3

Para la ingeniería social, es bastante difícil, pero aún así puede pedir que cualquier comunicación con usted (por ejemplo) a través del correo electrónico sea mediante PGP o mediante un código de acceso específico para llamadas telefónicas.

Ahora, con respecto a los aspectos técnicos, es bastante fácil donde usted es realmente un cliente y tiene el producto en su sitio. En tal caso, sí, usted solicita evaluar su producto a través de un asesor de seguridad. Los problemas que encuentre le informan de nuevo diciendo que necesita que se corrijan a medida que se identificaron.

Ahora con respecto a las soluciones en la nube, como las cuentas de la universidad, la banca en línea, ... debe ponerse en contacto con secure@bank/univ.com y pedirles que lo solucionen dentro de un tiempo determinado. Usted les informa amablemente, que en caso de no recibir respuesta, estaría obligado a contactar a la prensa (no necesita hacer eso, solo amenazar). Seguro que obtendrás una respuesta, pero eso no significa una respuesta positiva sino una evaluación sobre si lo arreglarían o no. Después de eso es un caso por caso.

    
respondido por el Phoenician-Eagle 28.04.2011 - 21:34
fuente

Lea otras preguntas en las etiquetas