¿Cómo informo una vulnerabilidad a una organización grande que no cree que tenga un problema?

10

Este problema es más político que técnico.

La organización tiene muchas computadoras que se conectan a través de un navegador web a una base de datos central. Regularmente, los clientes se quedan desatendidos con acceso físico a las terminales durante más de 15 minutos a la vez. Informé que son vulnerables a los keyloggers de hardware. La respuesta oficial de TI fue: "Somos conscientes de esa posibilidad y tenemos una solución. Obtener contraseñas no haría ningún bien a un atacante". Pero los altos mandos no le permitieron decir nada más: la seguridad en la oscuridad.

El punto es: creo que están faroleando. No sé cuál es su solución, pero hay cientos de vectores de ataque abiertos cuando tienes acceso físico. ¿Realmente no están preocupados por eso porque el riesgo (probabilidad de ataque) es lo suficientemente bajo como para superar el costo de mejorar la seguridad física? ¿Cómo consigo que escuchen? ¿Vale la pena el esfuerzo?

    
pregunta Terrel Shumway 28.08.2013 - 23:46
fuente

2 respuestas

9

Ya que usted es un cliente de la empresa, puede darle algunas opciones más. Algunas cosas que vale la pena considerar:

  • Escribir una carta al CEO de la empresa. Hacer una copia de la carta y envíelo a la persona con la que habló, así como a su gerente.
  • Notifique a la prensa si cree que puede encontrar a alguien que esté interesado en el historia.
  • Presente una queja ante el Better Business Bureau (si se encuentra en los EE. UU.) y envíela al CEO
  • Lleve su negocio a otro lugar y dígales por qué lo está haciendo.

Honestamente, creo que hay muy pocas posibilidades de que alguno de estos funcione, pero parece que te están brillando en este momento, por lo que tus opciones son limitadas.

    
respondido por el Abe Miessler 29.08.2013 - 01:11
fuente
2

DID lo reportaste. No es tu responsabilidad hacer que te escuchen. Al final, es su empresa, sus riesgos, sus costos para resolver el problema.

Ha realizado el esfuerzo adecuado: no tiene apalancamiento para aplicar ningún otro esfuerzo.

    
respondido por el schroeder 29.08.2013 - 00:37
fuente

Lea otras preguntas en las etiquetas