Explique la seguridad al empleador

Navega tus respuestas
101

Mi empleador desea / desea instalar una aplicación de terceros en mi teléfono celular personal. Uno de los problemas con los que aún no estamos de acuerdo es con respecto a la seguridad.

Aquí hay algunos temas que me preocupan:

  1. La tercera parte envió a todos en nuestra compañía la misma contraseña en un correo electrónico de toda la compañía.
  2. La aplicación no tiene una forma de cambiar la contraseña.
  3. Todos nuestros nombres de usuario están predeterminados y son fáciles de adivinar.
  4. Es posible iniciar sesión como cualquier persona desde cualquier dispositivo en esta aplicación.

Mi jefe ha utilizado una analogía de automóvil, lo que sugiere que estoy solicitando una seguridad similar a la de "jaula antivuelco completa, arnés de seguridad de 5 puntos, casco y dispositivo HANS, y un sistema de extinción de incendios". He señalado que la seguridad de la aplicación es más parecida a la de un Ford Pinto. He comparado su analogía de seguridad de automóvil con "más como usar autenticación de 2 factores con contraseña generada aleatoriamente de 32 caracteres usando una combinación de minúsculas, mayúsculas, números y caracteres especiales almacenados a través de hashing de contraseñas con sal (ineficiente) con cada usuario teniendo una diferente sal generada al azar ".

No soy un experto en seguridad. Tal vez estaba equivocado con mi respuesta a él. ¿Puede alguien indicarme una mejor respuesta (por ejemplo, una fuente imparcial)?

Actualizar Algunas personas han preguntado qué tipo de aplicación es. La mejor forma en que puedo explicarlo es mediante una aplicación de redes sociales solo para nuestra empresa.

    
pregunta w0lf42 25.01.2016 - 09:01
fuente

12 respuestas

138

Veamos sus puntos uno por uno.

  
  1. La tercera parte envió a todos en nuestra compañía la misma contraseña en un correo electrónico de toda la compañía.
    2.   

Una contraseña que todos saben no es una contraseña. Es como dejar la llave debajo del tapete, solo sin el tapete para ocultarlo.

  
  1. La aplicación no tiene una forma de cambiar la contraseña.
    2.   

Entonces, si alguna vez pierde sus llaves o piensa que alguien más las puede tener, no puede cambiar las cerraduras, y desde el punto 1, sabemos que sus llaves ya están ya en manos de otras personas.

  
  1. Todos nuestros nombres de usuario están predeterminados y son fáciles de adivinar.
    2.   

Por lo tanto, las personas que tienen tus llaves también saben dónde vives.

  
  1. Es posible iniciar sesión como cualquier persona desde cualquier dispositivo en esta aplicación.
    2.   

Ponga los tres primeros juntos: otras personas tienen sus llaves, ellos saben dónde vive y no puede cambiar las cerraduras, y sí, este es el resultado. Cualquiera puede entrar en un lugar que debería ser solo tuyo. Para reciclar la analogía del automóvil de su empleador, les pide a todos los empleados que cierren sus carros con llave, pero que dejen las llaves en la puerta y luego se estacionen en el estacionamiento de la empresa debajo de un cartel con su nombre.

Y además de todo esto, te está pidiendo que hagas esto en tu teléfono personal . Su empleador no tiene derecho a tocar ese dispositivo. Dependiendo de lo que haga esta aplicación, esto podría estar exponiendo sus datos personales a riesgo debido a una falla de seguridad de terceros sobre la que no tiene control.

Incluso si la aplicación de terceros no es maliciosa y no hace nada que cause un riesgo, no hay garantía de que esté 100% libre de fallas o errores accidentales que puedan causar una debilidad en la seguridad o presentar una oportunidad para algunos otra parte maliciosa para explotar. Dado el manejo atroz de las prácticas de seguridad básicas de esta empresa, como "no enviar contraseñas por correo electrónico", "no reutilizar las contraseñas" y "permitir siempre a los usuarios cambiar sus contraseñas", las posibilidades de que su aplicación sea completamente segura , seguro y libre de vulnerabilidades se ve bastante delgado.

    
respondido por el anaximander 25.01.2016 - 12:46
fuente
54

Mi consejo es tratar de explicar las implicaciones de seguridad desde un enfoque basado en el riesgo. ¿Qué podría pasar si instaló una aplicación con tan poca seguridad? No tiene que explicar cómo aprovechar la poca seguridad de la aplicación, sino exponer el riesgo. La suplantación por sí sola es un desvío muy significativo para muchos gerentes, alguien podría hacer algo malo y culpar a otra persona, incluso como una broma que podría llevar a serias repercusiones.

En mi experiencia, los gerentes deben equilibrar el riesgo con el beneficio, y una vez que ven lo que puede salir mal, comienzan a preguntarse si realmente vale la pena.

    
respondido por el Purefan 25.01.2016 - 09:48
fuente
22

Si bien las analogías son útiles cuando se explican conceptos básicos a alguien que no está familiarizado con el campo, perjudican activamente las discusiones profesionales. Comprenda que cada analogía es subjetiva y no representativa de cualquier detalle específico del campo. En realidad, la analogía del automóvil es especialmente mala porque confunde seguridad y protección. En pocas palabras, use las analogías con cuidado y deje de usarlas en el momento en que se sienta arrastrado.

En cambio, le preguntaría a su empleador cómo lidiar con amenazas específicas que pueda identificar. Por un lado, esta aplicación parece ser vulnerable a la suplantación. Dígale a su jefe cómo puede usar esta aplicación para pretender ser otra persona y pregúntele qué medidas se implementarán para evitar esto.

    
respondido por el Dmitry Grigoryev 25.01.2016 - 13:10
fuente
12

Sin saber más sobre a qué tipo de datos tiene acceso este programa, realmente no puedo recomendarte, pero suena como prácticas de seguridad terribles. La analogía de su jefe contra la seguridad también es muy mala: esta es una de las muchas maneras en que comienzan las violaciones.

Si, durante una auditoría después de haber sido violado, se revela que su compañía tiene estándares de seguridad inferiores y extremadamente incompetentes (como lo que sugiere ahora), podría ser responsable de cualquier daño a los datos del cliente.

  • La tercera parte envió a todos en nuestra compañía la misma contraseña en un correo electrónico de toda la compañía. Es sorprendentemente común, pero depende de para qué se use.

  • La aplicación no tiene una forma de cambiar la contraseña. Esto es terrible. ¿Qué sucede si uno de ellos es pirateado o si un empleado está descontento y se va?

  • Todos nuestros nombres de usuario están predeterminados y son fáciles de adivinar. En realidad, encontré varias de estas implementaciones en nombres de usuario y contraseñas en el pasado. Con los nombres de usuario, tales cosas son de esperar. Por ejemplo, muchas compañías configuran su dirección de correo electrónico en lastfirst , first.last y otras variaciones. En este caso, me preocuparían más las contraseñas.

  • Es posible iniciar sesión como cualquier persona desde cualquier dispositivo en esta aplicación. ¿Qué hace esta aplicación? Saber más sobre la aplicación nos permitiría ofrecer un mejor asesoramiento.

Preocupaciones sobre el "programa"

Aquí hay algunas cosas que me preocupan: He visto esto antes. Puede ser completamente diferente, o puede ser el mismo. Toma esto con un grano de sal.

Parece que su empleador está tratando de pedirle a todos que instalen algo en sus teléfonos celulares personales para que puedan monitorear el uso de su teléfono como un caballo de Troya. Dígale a su empleador que estará más que contento de permitir esto si se le proporciona un teléfono de la empresa.

Tenga en cuenta que no debe tener nada personal en el teléfono de su empresa. Su empleador puede y se husmeará. De hecho, incluso el uso del correo electrónico de intercambio de la compañía en su teléfono personal puede permitirle a su empleador control total sobre él . Está justo ahí en los permisos solicitados cuando intenta configurar el correo electrónico de su compañía, incluso si está en su teléfono personal. No lo hagas.

Soy de la opinión de que no se debe permitir BYOD, y que todos los dispositivos que se conectan a una máquina deben pertenecer al empleador. Personalmente, no usaría mi teléfono o dispositivos personales en la red de mi empleador. No me gustaría introducir accidentalmente un dispositivo vulnerable a la red, y no me gustaría que introdujeran una aplicación vulnerable en mi dispositivo.

    
respondido por el Mark Buffalo 25.01.2016 - 15:10
fuente
7

Su teléfono celular, su seguridad

Es su teléfono celular y usted tiene derecho a asegurarlo como usted considere oportuno. Sin embargo, puede considerar adoptar el enfoque opuesto: decirlo no se asegurará en absoluto (vea a continuación).

Su teléfono celular, su seguridad

Si su empresa le exige que utilice un dispositivo móvil para acceder a los datos de la empresa, lo cual está bien dentro de su derecho, entonces company debería proporcionar ese dispositivo , asegurado en su presupuesto. De esa manera, ellos se responsabilizan de asegurar la plataforma en la que reside su aplicación.

Política de seguridad de datos corporativos

Mire su política de seguridad corporativa y mire esto desde un punto de vista del oficial de seguridad corporativo:

Al usar su dispositivo, no pueden garantizar la seguridad de los datos que proporciona la aplicación, ni la seguridad de la aplicación en sí misma, ya que su dispositivo no es una plataforma segura.

¿Cuál es la política de su empresa con respecto a las computadoras portátiles? ¿Las computadoras portátiles tienen que tener discos duros cifrados? Y, estar seguro? Si es así, también deberían hacerlo los teléfonos, que apuntan a ellos proporcionando sus propios dispositivos para este propósito.

Voltear el argumento: preocuparse por sus datos

(Nota: Es posible que esto no funcione si su empresa es rápida y flexible con la seguridad de los datos).

En lugar de decir que mantiene su dispositivo super seguro, en cambio dice que no puede asegurarse de que estará protegido , que otras personas tendrán acceso a él y no puede responsabilizarse por ninguna violación de datos. o pérdida accidental de datos.

Por ejemplo, si esta aplicación trata de alguna manera con Datos de PII , o podría ser un vector para obtener datos de PII si se piratea, el responsable de seguridad de datos de su empresa simplemente no puede permitirlo, a menos que su dispositivo sea bajo su control, por lo que es su dispositivo.

¿Qué pasa si tu teléfono se pierde? ¿No les importa que sus datos sean accesibles? ¿Qué sucede si deja que su pequeño primo Willy juegue con su teléfono, olvidando que la aplicación aún está abierta y disponible, y el pequeño Willy elimina los datos? ¿Está bien?

Al asumir la función de proteger sus datos, está comprobando que el uso de teléfonos celulares personales para albergar datos corporativos es una mala decisión empresarial.

    
respondido por el user96188 25.01.2016 - 16:53
fuente
6

Una cosa que mucha gente pierde de vista (en ambos lados de la valla), cuando se habla de seguridad, es:

¿Qué estás protegiendo?

Tengo varias cuentas "protegidas" por una contraseña fácil de adivinar. Esto se debe a que, si se piratea, no me importa.

¿La contraseña protege su teléfono o protege los datos de la empresa? Si tienes que saber la contraseña, supongo que más tarde. Si es así, el hecho de que esté en su teléfono es una especie de pista falsa: su teléfono no está en riesgo. De hecho, el uso de la aplicación no aumenta el riesgo de nadie; si nunca la usas, el riesgo permanece.

¿Cuál es el valor de los datos, si son robados o modificados, para la empresa? ¿Qué daño se puede hacer?

Si hay poca o ninguna consecuencia de que salga esta información, trágate el orgullo y sigue adelante.

En casos como estos, a menos que la seguridad sea su trabajo, puede tener poca influencia con respecto a este software. Ponga por escrito sus inquietudes: que una persona no autorizada podría copiar / modificar de manera relativamente fácil los datos (según corresponda, dependiendo de lo que haga la aplicación), señalar la posible vergüenza / pérdida para la empresa / clientes perdidos (si corresponde). . Esté preparado para ser ignorado, y si lo hace, acéptelo. Conserve una copia de la carta / correo electrónico, por si acaso.

Espero que esto no sea necesario decirlo:

¡NO! ¡BAJO CUALQUIER CIRCUNSTANCIA! ¡HACK EL SISTEMA PARA MOSTRAR QUE SE PUEDE HACER! ¡INCLUSO SOLO UN POCO! (a menos que esté autorizado explícitamente por la compañía para hacer esto)

Para muchas personas es tentador "mostrar" los riesgos. Los administradores de seguridad vergonzosos (¡o cualquiera!) Que son malos en su trabajo es una manera terrible de hacer que las personas se sientan agradecidas, incluso si es probable que lo estén.

    
respondido por el AMADANON Inc. 26.01.2016 - 04:01
fuente
4

Suponiendo que la aplicación proporciona acceso a cierta información privada, solo debe proporcionar una Prueba de concepto a su empleador. Pídale un permiso oficial de antemano para hacerlo (hacer cualquier cosa sin permiso podría causarle problemas, dependiendo de las políticas de su compañía). Una vez que haya obtenido el permiso, muéstrele con qué facilidad puede iniciar sesión con sus credenciales y obtener acceso a información privada.

Además, sin el consentimiento explícito de cada empleado, la empresa no debería tener ningún derecho a instalar ningún tipo de datos en los teléfonos celulares personales de los empleados.

    
respondido por el pri 25.01.2016 - 09:48
fuente
3

El problema, que podría no ser un problema, dependiendo de lo que realmente haga la aplicación, es que puede iniciar sesión como otra persona, y otra persona puede iniciar sesión como usted. La contraseña nunca cambia, por lo que muy pronto las personas que ya no trabajan en la empresa pueden iniciar sesión como personas que todavía trabajan allí.

Lo que asusta es que la compañía de terceros utiliza contraseñas a pesar de que las contraseñas no tienen sentido en este caso. Si todos tienen la misma contraseña, no debería haber una contraseña en absoluto. Esto da miedo porque muestra que la compañía no entiende la seguridad y no se debe confiar en los datos confidenciales.

En pocas palabras, si la aplicación solo está ahí para averiguar quién trae pastel para celebrar algo, a quién le gusta qué tipo de pastel y para evitar que se traigan muchos pasteles el mismo día, está bien. Sin embargo, si la aplicación se utiliza para datos confidenciales, como el seguimiento del rendimiento y las revisiones, su empresa pronto podría tener problemas legales. A pesar de lo que hace la tercera parte, debe ser obvio para su empresa que los datos no están seguros, por lo que parte de la responsabilidad es de ellos.

Si necesita una analogía, estos archivos se almacenan en un casillero, dentro de la oficina de la compañía, y solo algunas personas tienen una llave, o los archivos se guardan en una caja de cartón en la cafetería, y la cafetería está abierta para el público general.

    
respondido por el Peter 25.01.2016 - 17:00
fuente
2

para empezar, debes decirle que es tu teléfono celular personal y que no tiene derecho a meterse con tu teléfono.

usando la analogía de su auto, la aplicación parece que el auto usa un candado protegido (espero haberlo escrito correctamente) y el hecho de que todos tengan la misma contraseña que no se puede cambiar les da una llave maestra, así que todo lo que queda es adivina dónde dejaste tu coche (también conocido como tu nombre de usuario), que no es tan difícil para las personas dentro de la empresa y luego roba tu coche.

Bueno, almacenar contraseñas con un hash con sal es el estándar mínimo en estos días, por lo que no sería muy importante para su seguridad, pero como una descripción de su automóvil mega-seguro describiría un factor de 3 (contraseña + clave + biometrc ) bloqueo.

    
respondido por el My1 25.01.2016 - 09:22
fuente
2

En primer lugar, en mi humilde opinión, cuando hable con altos jefes, comience con pérdidas. A ellos NO les gustan, pero para lograr un efecto deseable, debe hacer una buena evaluación de cada pérdida, en $. Los vectores más efectivos, según mi práctica, son:

  1. Costos de aplicación de la ley. Qué sanciones por las cuales ley son aplicables a su compañía si las cosas salen mal. Haga una lista completa, ley + "monto de la multa"

  2. Pérdidas de relaciones públicas. Para calcular eso, solo tome los datos de ganancias de una empresa y recórtelos a la mitad, para un escenario de competidores que ocupan el lugar actual de la empresa en el mercado debido a la pérdida de reputación. / daños.

  3. Costos de recuperación para pt.1 y 2 ¡Sí, cada daño necesita reparación! Y cuesta algo de dinero, generalmente

Pero no te detengas aquí! También DEBE proporcionar un plan muy detallado con un diagrama de Gantt adjunto sobre cómo hacer las cosas bien: tiempo y costos, paso a paso

Y simplemente haga un número en su diapositiva final, déjelos comparar. Me funcionó muchas veces, pero necesitas invertir una buena parte de tu tiempo y paciencia haciendo que todos estos pequeños tuercas y tornillos trabajen juntos como un reloj suizo.

    
respondido por el Alexey Vesnin 26.01.2016 - 02:50
fuente
2

Me retiré recientemente de diez años de atención médica I.T. precedido por dieciséis en defensa. En la atención médica, una auditoría anual que encuentra esa aplicación tendría serias consecuencias desagradables con las calificaciones de calidad públicas exigidas por el gobierno. En defensa, un hallazgo de auditoría aleatorio que podría enviar a alguien a la cárcel.

Si mi empleador me pidió que lo pusiera en mi teléfono, además de señalar lo anterior, sugeriría al gerente que alguien enojado con él inicie sesión con el nombre del gerente, publique pornografía y despida al gerente.

    
respondido por el WGroleau 26.01.2016 - 07:15
fuente
1

Esto es todo acerca de la evaluación de riesgos. Ese debe ser un concepto clave para un gerente. Necesita comprender los riesgos, no los aspectos técnicos, sino el riesgo real. Así que explícalo así:

Dato: todos tienen la misma contraseña y formato de nombre de usuario, y no pueden cambiarlo.

Riesgos:

  • Los antiguos empleados descontentos podrían iniciar sesión como cualquier persona y leer los mensajes de cualquiera, o enviar mensajes con el nombre de cualquier persona.

  • Los empleados actuales podrían utilizar mal el sistema iniciando sesión como otros usuarios para 'bromear' entre sí, por ejemplo, enviando mensajes "desde el jefe".

Si su jefe no quiere que ninguna de estas cosas suceda, entonces necesita resolver el problema de la contraseña de inmediato.

El riesgo de los antiguos empleados descontentos es probablemente el más importante: si despide a alguien, debería ser fácil revocar todos sus derechos de acceso, pero si saben cómo iniciar sesión como cualquier otra persona en la empresa, entonces revocar sus derechos ganados ' No haga nada para evitar que filtren todos los secretos de su compañía a su competidor que los acaba de contratar.

No has revelado para qué se usará la aplicación, aparte de un vago comentario de "redes sociales internas". La gravedad del riesgo para la empresa dependerá de (a) cuántas personas lo utilizan, (b) el nivel de antigüedad de las personas que lo usan y (c) qué tipo de información se envía a través de ella.

Por ejemplo, si la aplicación está destinada a que el personal simplemente tenga un lugar para conversar entre ellos, el riesgo es menor que si la administración intenta usarla para enviar información confidencial al personal.

Sin embargo, aún existe un riesgo, porque incluso en el caso más benigno, aún sería una gran oportunidad para la ingeniería social.

    
respondido por el Simba 26.01.2016 - 15:14
fuente

Lea otras preguntas en las etiquetas

¿Por qué me entero de tantas inseguridades de Java? ¿Son otros idiomas más seguros? ¿Por qué los sitios implementan el bloqueo después de tres intentos fallidos de contraseña?