Necesito hacer una motivación real para una charla de seguridad con un consejo de administración.
Sé que en caso de que una empresa envíe productos que ignoren (a sabiendas y a propósito no se preocupen), entonces es responsable. Lo que también escuché es que el CEO es el responsable.
Ahora, me pregunto si alguien ha leído o está al tanto de un ejemplo de la vida real.
Hablando legalmente, una corporación es uno de los mejores "escudos de responsabilidad" que puede tener. Es su propia entidad la que, para la mayoría de los propósitos, es la entidad con la que interactúa el resto del mundo cuando interactúan con cualquier persona facultada para representarla y tomar decisiones en su nombre. Es el responsable, y no sus agentes, el peso total de cualquier responsabilidad legal por los daños causados por acciones u omisiones de la compañía o sus agentes.
Como tal, probablemente no convencerá al equipo ejecutivo, a la junta directiva, o incluso a la gerencia media de que asumirán cualquier responsabilidad general por una violación de la seguridad. Para hacer esto, tendrías que probar la intención específica de hacer daño; que un ejecutivo vio un nombre en una lista de clientes, no le gustaba esa persona o compañía, y quería lastimarlos, lo que a su vez llevó a su decisión deliberada de no arreglar una falla de seguridad conocida. Esto es casi imposible; puede mostrar toda la evidencia que desee, pero incluso si tiene una grabación del CEO que dice que quería dañar los intereses de esta persona, no puede demostrar que la decisión de un CEO de arreglar o no corregir una falla fue motivado por esto; todo es circunstancial (aunque una grabación iría bastante lejos hacia la "preponderancia de la evidencia").
Hay, sin embargo, algunos casos en los que determinadas personas pueden ser consideradas responsables independientemente de la empresa. Mi esposa, por ejemplo, trabaja con registros de salud. Si alguna vez le contó a alguien, incluso a mí, cualquier información específica de esa información, y se hizo pública, es su cola en la línea por la violación de HIPAA, incluso si su jefe le dijo que estaba bien o incluso le ordenó que divulgara la información. Trabajo para una empresa de monitoreo de alarmas; Nuestros agentes de la central de alarmas, si cometen el error equivocado (incluso de buena fe), pueden ser considerados responsables independientemente de la compañía por daños y muertes injustas. Desafortunadamente, sucede. Pero, esta responsabilidad no se extiende a nadie que no estuviera al tanto de los eventos en ese momento, por lo que le será muy difícil demostrar que una acción de un agente en el escalón más bajo de la escala corporativa implica al CEO.
Donde puede lastimar a un ejecutivo es donde más importa; su billetera Los ejecutivos suelen poseer una participación significativa en sus propias empresas, que forman una parte relativamente grande de su patrimonio neto. La compañía es su escudo, pero también es su medio de vida, y recibirá una paliza si se encuentra un fallo de seguridad en sus sistemas, se explota, y posteriormente se convierte en la prensa. Las corporaciones no pueden ir a la cárcel, pero pueden ser multadas y demandadas a muerte, y los ejecutivos pierden todo el dinero que tenían en acciones y opciones corporativas.
¿Quieres una prueba de que las empresas han quebrado por violaciones de seguridad? DigiNotar, una compañía holandesa que era una autoridad de certificación SSL / TLS de confianza mundial, fue pirateada en julio de 2011 y aparentemente nuevamente a fines de agosto de ese año. Se crearon varios certificados fraudulentos utilizando los sistemas de DigiNotar, que identificaron al titular del certificado como el dominio válido de los sitios principales como Google, Yahoo, Mozilla, WordPress y el Proyecto TOR. Esos certificados se utilizaron posteriormente en los ataques MITM y otras hilaridades. DigiNotar no sabía cuántos certificados se emitieron (el conteo llegó rápidamente a cientos; ahora sabemos que se crearon 531 certificados fraudulentos en este ataque) y, por lo tanto, no podemos garantizar que todos hayan sido revocados. Por lo tanto, Microsoft y la mayoría de los principales fabricantes de navegadores respondieron simplemente revocando la confianza en el certificado raíz de confianza de DigiNotar en el sistema operativo Windows y en los principales navegadores. La respuesta de Apple se retrasó, pero también actualizó OSX / Safari para revocar el certificado raíz de DigiNotar.
Además, DigiNotar fue responsable de una de las CA intermedias utilizadas en el sistema de seguridad del gobierno holandés. También se creyó que ese certificado estaba comprometido y fue revocado por muchos fabricantes de navegadores, y por la hilaridad de sitios web reales del gobierno que pierden confianza (imagínese que navega hasta el sitio web del IRS y le dice su navegador que el sitio puede ser fraudulento; ESO es una captura de pantalla Pagué dinero, y le sucedió a la Administración de Impuestos y Aduanas de la contraparte holandesa, el gobierno holandés intervino el 3 de septiembre, tomó el control de las operaciones de certificación de DigiNotar, realizó la transición de todos los sitios web del gobierno a partir de certificados con raíces de DigiNotar a los firmados por sin compromisos, y emitió un comunicado en el que decía que DigiNotar ya no emitiría certificados SSL del gobierno. DigiNotar se declaró en bancarrota el mismo día.
Casi allí. Las consecuencias del caso de "piratería telefónica" de News International producirán procesamientos. Hay un caso interesante donde durante la investigación; Mucha de la evidencia fue eliminada rápidamente. Si alguna de las condenas se traduce en tiempo en la cárcel, no lo sabemos.
Mira este espacio.
Lea otras preguntas en las etiquetas security-theater