Wspomniałeś już o tej luce w zabezpieczeniach swoim menedżerom i pracownikom ds. zgodności. O ile nie jesteś osobiście odpowiedzialny za bezpieczeństwo informacji w tym systemie, spełniłeś swój obowiązek. I wygląda na to, że dobrze wykonałeś swój obowiązek.

Jeśli nikt nie wspomniał o luce w jakimś piśmie (w zgłoszeniu usterki, wiadomości e-mail itp.), Ty lub Twój współpracownik powinniście to zrobić.

Następnie nie do Ciebie należy decyzja, czy kontynuować. Niech ktoś inny zajmie się kłopotem. (Chyba że znowu odpowiadasz za informacje w tym systemie.)

Jeśli masz rozmowę z audytorami, odpowiedz zgodnie z prawdą na pytania, które zadają , ale nie nie podawaj dobrowolnie żadnych dodatkowych informacji . Ty, poważnie, nie chcesz być powodem, dla którego audytor znajduje wyjątek w procesach Twojej organizacji. Audytorzy nie mogą naprawiać problemów. Mogą tylko utrudnić firmie.

Nie ulegaj pokusie, aby myśleć o infosec w sposób legalistyczny. Nawet jeśli przestrzegasz wszystkich zasad, które możesz sobie wyobrazić, nadal nie jesteś całkowicie bezpieczny. I nawet jeśli nie zastosujesz się do wszystkich zasad, jakie możesz sobie wyobrazić, nadal możesz być w porządku. Generałowie lubią mawiać „plany bitewne nigdy nie przetrwają pierwszego kontaktu z wrogiem”. Dotyczy to również infosec.

Poleciłbym zgłosić to ryzyko swojemu dyrektorowi ds. bezpieczeństwa informacyjnego lub menedżerowi ds. ryzyka, jeśli taki posiadasz.

Na przykład:

JEŚLI analityk raportujący z dostępem do danych uwierzytelniających bazy danych raportuje zapytanie WSTAW, AKTUALIZUJ lub USUŃ WTEDY może to mieć katastrofalny wpływ na integralność aktualnych danych klientów.

Rozważ prawdopodobieństwo i poziom wpływu oraz odpowiednie postępowanie.

np.

• UNIKAJ poprzez redukcję poświadczeń bazy danych raportowania tylko do odczytu lub
• UNIKAJ, zmieniając bazę danych raportów na tylko do odczytu

Szczerze mówiąc, raportowanie powinno być wykonywane z oddzielnej (tylko do odczytu) kopii produkcyjnej bazy danych, a nie samej produkcyjnej bazy danych na żywo (z powodów, o których wspomniałeś). Zwłaszcza CISO powinien absolutnie to zrozumieć.

Ryzyka takie jak to powinny znaleźć się w rejestrze ryzyka z najwyżej ocenianymi ryzykami (prawdopodobieństwo x wpływ) na mapie ciepła, za którą kierownictwo wyższego szczebla jest ogólnie odpowiedzialne.

Ale niektórym zagrożeniom nie warto się zajmować, ponieważ wpływ prawdopodobieństwa x może nie uzasadniać odpowiedzi.

Na przykład, jeśli baza danych raportowania była już kopią bazy danych produkcyjnych, wówczas zmiana baza danych raportowania może naruszyć integralność zgłaszanych informacji bez narażania samych danych źródłowych.

Mam nadzieję, że to przydatne.

Istnieje wiele rodzajów ryzyka, a Twój post nie zawiera rozróżnienia między nimi. Rodzaj ryzyka ma ogromny wpływ na to, co możesz zrobić i co może się stać, gdy to zrobisz.

1. ryzyko dla konsumenta
2. ryzyko dla danych osobowych klientów
3. ryzyko dla danych pracowników
4. ryzyko dla zysk klientów
5. ryzyko dla zysku pracodawcy
6. ryzyko dla działalności pracodawcy

Niektóre z nich mogą podlegać regulacji. Informacje konsumenckie zwykle są. Zwykle są to wszelkie dane osobowe. W branżach takich jak zdrowie, broń, infrastruktura i niektóre usługi bankowe mają przepisy dotyczące procesów operacyjnych (np. NIST 800-53)

Jeśli sytuacja stanowi bezpośrednie zagrożenie dla jednej z nich, możesz rozważyć odpowiedzialność etyczną za te, na które może mieć wpływ, oraz prawa ich chroniące. Może to również obejmować zabezpieczenia sygnalistów.

Jeśli nie jest jednym z nich, to po prostu szczekasz do niewłaściwego drzewa. W takim przypadku Twój pracodawca nie dba o ryzyko dla swojego zysku ani reputacji - bez względu na to, jak duże lub małe jest to ryzyko. To nie jest twoja decyzja. Poruszyłeś ten temat, a jeśli przedstawiłeś go odpowiednim osobom, twoja praca jest skończona:

• kierownik ds. Bezpieczeństwa lub zgodności
• zarząd
• anonimowa „skrzynka referencyjna” raportowania
• powiązany personel C lub dyrektor generalny

..... w tej kolejności

źródło: Pracuję jako specjalista ds. bezpieczeństwa informacji.

Chodź bardzo ostrożnie

Ostatecznie jesteś człowiekiem, który musi jeść. Twoja decyzja nie powinna zagrozić temu. Po zgłoszeniu tych obaw kierownictwo jest odpowiedzialne za podjęcie działań w celu ochrony ich interesów. Pamiętaj, że dane są ich własnością i jeśli chcą, aby były narażone na usunięcie lub nieumyślny dostęp, to ich przywilej. Możesz im wskazać, że tego rodzaju ryzyko na dłuższą metę jest kosztowne. Możesz wskazać, że gdyby ktoś się o tym dowiedział, zaszkodziłoby to reputacji, a zatem jest kosztowne.

Ty i inni już zgłaszaliście te obawy. Zostali odrzuceni. Narażasz się na ryzyko, im bardziej będziesz zgłaszać te obawy.

W swojej karierze widziałem:

• Współpracownik, któremu grożono wszczęciem postępowania sądowego za „włamanie” do zgłoszenia luka w zabezpieczeniach, na którą natknął się w aplikacji, którą aktywnie utrzymywał.
• Współpracownik został zwolniony bez odroczenia za nadgorliwy upór nad podobnymi defektami związanymi z ryzykiem w oprogramowaniu do raportowania.
• Współpracownik ukarany przez kierownictwo za to, że natknął się na błąd związany z ujawnieniem danych podczas rozmowy z klientem (dane, które pojawiły się, pochodziły od innego klienta). Umowa tego pracownika nie została przedłużona na koniec kadencji.

A ja robię to dopiero od 15 lat. Jestem pewien, że są tu ludzie, którzy mogą podać przykłady jeszcze gorszego traktowania rzeczy, które my, jako buty na ziemi, uznajemy za oczywiste sytuacje typu „Naprawdę powinieneś to naprawić”.

Osobiście , Nie radziłbym zgłaszać go audytorom. Jeśli są warci tego, co im płacą, i tak to znajdą. Możesz zgłosić błąd w jakimkolwiek używanym oprogramowaniu i zamknąć go jako WONTFIX, powołując się na e-maile wysłane przez kierownictwo dotyczące tego. ( ZAPOMNIAŁEŚ , aby otrzymać ich odrzucenie na piśmie, prawda?)

Nie zrobiłbym niczego, co mogłoby skłonić mnie do zastanowienia się, skąd pochodzi mój następny posiłek. Mam żonę i dzieci, więc to może mieć na to większy wpływ, niż gdybym nie miał, może zająłbym bardziej zasadnicze stanowisko. Ale nawet bez nich w moim życiu jestem wielkim fanem jedzenia każdego dnia.

Uważaj na mylenie „złych praktyk biznesowych” z „zagrożeniem bezpieczeństwa”, a szczególnie ostrożnie, aby informacje „wymknęły się” podczas audytu.

Po pierwsze, czy Twoja firma nie tworzy kopii zapasowych dane? Jeśli tak, jest to mniej kwestia bezpieczeństwa, a bardziej integralność danych. Jeśli nie wykonuje kopii zapasowych danych, wydaje się, że jest to pilniejszy problem.

Po drugie, zdrowy system finansowy generowałby błędy, gdyby dane finansowe były usuwane z jednego konta bez usuwania odpowiadających im podwójnych wpisów na innych (tj. zamówienie skutkuje zmniejszeniem zapasów; płatności kredytowe wymagają korekt konto należności itp.). Jest mało prawdopodobne, aby możliwość zepsucia danych dotyczących zamówienia wzrosła do poziomu zagrożenia bezpieczeństwa, jeśli stosowane są odpowiednie zabezpieczenia księgowe. (Obecność audytorów jest dobrym wskaźnikiem, że zabezpieczenia finansowe są oceniane i analizowane.)

Nawet jeśli byłeś tak skłonny do usuwania zleceń, powinna istnieć ścieżka audytu systemu, aby wskazać zmiany. Jak zauważyłeś, było to „automatyczne konto”, które może utrudniać wyśledzenie ludzkiego sprawcy, ale jest mało prawdopodobne, aby było to niemożliwe w małej firmie. Jednak w najgorszym przypadku dane mogą zostać prawdopodobnie odzyskane za pomocą kryminalistyki finansowej (informacje o wysyłce, systemy zarządzania zapasami, ponowne zamówienia dostawców itp.).

Na koniec, jako osoba zarządzająca firmą finansową, która z różnych powodów była często poddawana audytowi, często zadawano mi pytania dotyczące zagrożeń bezpieczeństwa naszych systemów. Czasami pracownik, z którym rozmawiano podczas audytu, oferował informacje, które jego zdaniem znajdowały się w zakresie audytu lub były „wystarczająco bliskie”, ale martwiły się „brakiem działań ze strony kierownictwa” (ja). Zwykle było to irytujące dla mnie jako kierownika, ponieważ z mojego doświadczenia wynika, że ​​każde ryzyko związane z bezpieczeństwem lub operacją lobbowane przez „zainteresowanego pracownika” ostatecznie kończyło się jako nieistotne dla audytorów, w przypadkach, w których uznałem to za problem / dopuszczalne ryzyko.

Jestem bardzo wdzięczny pracownikom, którzy zgłaszali wątpliwości, aby można było się nimi zająć. Ale kiedy odpowiedzialność spoczywała na mnie, a mimo to brali sprawę w swoje ręce w obecności audytorów, było to w najlepszym razie irytujące. W najgorszym przypadku straciłbym zaufanie do pracownika, ponieważ nie uznawał mojej oceny ich obaw za słuszną. (To znaczy, bystry menedżer uzna twoje „wpadki” jako wotum nieufności do ich autorytetu. Jest to ryzykowne).

Możesz mieć naprawdę niekompetentnych menedżerów. Może to stanowić bardzo poważne zagrożenie bezpieczeństwa Twojej firmy. Zanim wyjdziesz poza zakres swoich obowiązków, weź pod uwagę, że odpowiedzi kierownictwa, które otrzymujesz, „nie martw się o to”, mogą być całkowicie uzasadnione.

Na koniec podniesiony przez Ciebie problem jest oczywiście niepożądany. Prawdopodobnie najbardziej użyteczną rzeczą, jaką możesz zrobić, jest próba rozwiązania problemu z wdziękiem. Zwróć się do dostawcy, administratora systemu lub innego zasobu technicznego, który może pomóc w ustaleniu praw użytkownika automatycznego. Jeśli nie jest to wykonalne, jeśli w inny sposób lubisz swoją pracę, nadal okresowo przypominaj zarządowi o ryzyku, koncentrując się na wykonywaniu swojej pracy najlepiej, jak potrafisz. Albo rozważ przeniesienie się do firmy, w której czujesz się bezpieczniej (chociaż nie ma gwarancji, że tak czy inaczej).

Około rok temu odkryłem, że ze względu na sposób skonfigurowania systemu z nazwami użytkowników itp.

Wygląda na to, że podstawowy problem nie ma tu nic wspólnego z zarządzaniem / problemy operacyjne, ale w rzeczywistości jest to błąd techniczny.

Rozwiązanie jest proste i takie samo jak w przypadku każdego innego problemu technicznego:

1. Utwórz zgłoszenie w swoim system śledzenia błędów.
2. Nadaj mu priorytet stosownie do jego wagi.
3. Przypisz zgłoszenie odpowiednio.

Należy uczciwie odpowiadać na pytania audytorom, zgodnie z instrukcjami. Nikt tutaj nie może odpowiedzieć, czy ta „podatność” podnosi się do poziomu sygnalizowania nieprawidłowości. Po prostu nie mamy kontekstu. Jeśli omówiłeś to z odpowiednimi osobami w swojej organizacji, powiedziałbym, że odpuść. Powodzenia.

Chociaż nigdy nie byłem na twoim stanowisku, jestem audytorem. Odpowiedź (z punktu widzenia audytora) będzie zależeć od relacji Twojej firmy z audytorami.

Zewnętrzni audytorzy ds. Zgodności

Najbardziej odlegli i oddaleni audytorzy to zewnętrzni audytorzy ds. Zgodności. Mogą oceniać zgodność Twojej firmy z regulacjami rządowymi, standardami branżowymi, zobowiązaniami umownymi lub innymi wymaganiami. Jest to zasadniczo audyt, który narzuca Ci ktoś inny .

Nie okłamuj ich. Jeśli zapytają o ciebie o obszar bezpieczeństwa i wiesz o problemie, powiedz im. Jeśli odkryją ten problem nawet bez Twojej pomocy, później mogą pojawić się o wiele trudniejsze pytania. Ani ty, ani twoja firma nie chcecie tego.

Jeśli nie zapytają, czy powinieneś im powiedzieć? Tutaj nie ma łatwej odpowiedzi. Tylko jeśli ma to związek z ich obawami dotyczącymi audytu. Na przykład nie należy informować audytora ds. Zgodności z grantami federalnymi o problemach z bezpieczeństwem IT. Z drugiej strony, jeśli wydaje się to być związane z ich pracą kontrolną, powinieneś dobrze przemyśleć swoje stanowisko. Czy masz moralny, zawodowy lub prawny obowiązek poinformowania audytora? Czy Twoja firma lub społeczeństwo ma praktyczne korzyści? Czy jest to cel audytu?

Zakontraktowani audytorzy zewnętrzni

Twoja firma może również zatrudniać audytorów zewnętrznych do różnych rodzajów zleceń. Bezpieczeństwo IT to wspólny obszar, w którym można to zrobić. Twoja firma zatrudniła audytorów ds. Bezpieczeństwa IT w celu ustalenia, czy są spełnione pewne kryteria bezpieczeństwa. Zarówno audytorzy, jak i Twoja firma są zainteresowani wiedzą o zagrożeniach bezpieczeństwa IT oraz o tym, czy odpowiednio je rozwiązujesz.

W takim przypadku znacznie łatwiej jest powiedzieć audytorom, co wiesz. Chociaż audytorzy są tutaj dużo bardziej przyjaźni, główne ryzyko dla ciebie będzie dotyczyło twojego kierownictwa i współpracowników. Czy będzie dla nich oczywiste, że ujawniłeś to ryzyko? Jak będą traktować, jeśli wiedzą?

Być może uznają to za pomocny gest, mający na celu rozwój firmy. Może nie.

Audyt wewnętrzny

Audyt wewnętrzny to audytorzy Twojej firmy. Są stałymi pracownikami Twojej firmy. Prawdopodobnie podlegają członkowi twojego zarządu.

Ci audytorzy to Twoi przyjaciele. Chcesz ujawnić im problemy. Czemu? Ponieważ jeśli audyt wewnętrzny znajdzie problem i pomoże go naprawić, oznacza to, że nikt spoza Twojej firmy nie musiał się tego dowiedzieć. I to solidna wygrana.

Twój problem jest dylematem etycznym, ponieważ sytuacja daje ci nieunikniony wybór, w którym każda alternatywa może mieć niepożądane konsekwencje. Albo:

• Zgłaszasz audytorom lukę, która może zagrozić twojej pracy, jeśli nie możesz ufać audytorom.
• Zgłaszasz to w inny sposób, co już wypróbowałeś i już dotychczas nieskuteczne. Wykroczenie poza to może również zagrozić Twojej pracy.
• Nie zgłaszasz tego, co naraża firmę na ryzyko.

Jako osoby z zewnątrz, my (udzielający odpowiedzi ) może udzielić porady, ale dylemat pozostaje Twój. Sposobem na postawienie sobie dylematów etycznych jest ich analiza. Czy możesz uzyskać pomoc od zaufanej strony? Wiem, że niektóre szpitale mają komisje etyczne, które oferują taką pomoc, ale ta „infrastruktura etyczna” może nie być dostępna w Twojej organizacji. W takim przypadku możesz skonsultować się z zaufanym przyjacielem, który pomoże Ci przeanalizować swój dylemat. Po tym decyzja należy do Ciebie. Mam nadzieję, że znajdziesz odpowiedź, w której Twoja uczciwość pozostanie bezkompromisowa.

Aby pomóc w sformułowaniu odpowiedzi kierownictwa, przedstawiamy ponowną ocenę kosztów i ryzyka.

O ile w Twojej organizacji nie występują poważne niedociągnięcia, jest to niskie ryzyko, niskie poważny, niski koszt złagodzenia podatności.

Niewiele osób ma dostęp do konta, a mianowicie programiści (którzy mogą wyrządzić szkody bez dostępu do tego konta), Operatorzy systemów (którzy mogą wyrządzić szkody bez dostępu do tego konta) i Twojego zespołu.

Poszczególni członkowie Twojego zespołu mogą wyrządzić firmie więcej szkód, wykonując inne złośliwe działania bez konieczności korzystania z tego konta. (Szczerze mówiąc, nie wiem, czy tak jest, ale byłbym skłonny postawić duże szanse, że to prawda).

Oznacza to, że każdy, kto ma dostęp do tego konta, jest zaufanym pracownikiem. Nawet jeśli byliby skłonni do złośliwego działania, każdy ma wyższe cele finansowe i mniejsze ryzyko.

Ryzyko: niskie.

Jeśli ktoś miałby działać impuls, aby zmienić lub usunąć informacje o zamówieniu, zostałby szybko zauważony przez inne działy, które polegają na tych informacjach. Przynajmniej wyszkoleni księgowi zauważą to w raportach dziennych lub tygodniowych. Byłbym zaskoczony, gdyby dział realizacji nie znalazł tego w ciągu godziny.

Gdy zostanie znaleziony, Twój zespół operacyjny zostanie odciągnięty, a administrator bazy danych wykryje rozbieżność. W tym momencie, jeśli są jakieś dzienniki, wskaże automatyczne konto, które wskazuje na Twój zespół. Po całkowitym zablokowaniu tego konta nastąpi przywrócenie bazy danych z wykorzystaniem pełnej cotygodniowej kopii zapasowej, a następnie dziennych przyrostowych kopii zapasowych, po których nastąpi ponowne odtworzenie pliku dziennika zapisu z wyprzedzeniem do sekundy przed złośliwym zapytaniem.

Całkowity koszt to kilka godzin wynagrodzenia dla każdego pracownika, którego dotyczy problem z powodu niewykonania pracy. Kierownictwo wyższego szczebla będzie wściekłe, ale nie wpłynie to na kondycję całej firmy.

Dotkliwość: niska

Jeśli problem zostanie rozwiązany, będzie to kosztować co najmniej 5 godzin czasu programisty, rozłożone na 2 programistów i administratora bazy danych. Jeden programista będzie musiał upewnić się, że zmiana uprawnień nie wpłynie na żadne zautomatyzowane procesy. Ponieważ masz audytorów, oznacza to, że drugi programista (zwykle menedżer) będzie musiał zatwierdzić zmiany. I wreszcie administrator bazy danych będzie musiał faktycznie dokonać zmiany.

Złagodzenie tego problemu jest niskie, ale nadal jest to koszt. (Programiści nie są tani.)

Być może, jeśli zmiana da się wprowadzić w trakcie zmiany powiązanych systemów, to może być uzasadniona ... ale większość kierownictwa będzie niechętnie ponosić wszelkie koszty, gdy są pewni, że ich pracownicy są godni zaufania - lub ich pracownicy przynajmniej nie są na tyle głupi, aby dokonać tak oczywistego i mało wpływowego aktu sabotażu, kiedy są w stanie wykonać bardziej subtelne i silniejsze działania .

Koszt: niski (ale nie zerowy)

O ile audytor nie przeprowadza audytu bezpieczeństwa konta, nie obchodzi go to i nie może cokolwiek na ten temat.

Jeśli nie możesz się doczekać naprawy, wykonałeś już prawie każdy krok. Dostępne kroki to:

• Powiadom swojego menedżera.
• Powiadom zespół Systems Ops za pośrednictwem ich oficjalnego kanału.
• Wzmianka w swobodnej rozmowie z funkcjonariuszami. (Już przygotowałeś swój oficjalny raport przed tym punktem. Wykonałeś swoją podwójną inteligencję; wszelkie inne nieformalne działania po tym są wtrącaniem się).
• Wzmianka w swobodnej rozmowie z deweloperem, który pewnego dnia może pracować w systemie i kto mógłby dodać zmianę podczas pracy w powiązanych systemach bez żadnych kosztów.

Jeśli kierownictwo nie chce ponosić kosztów, a Ty nie można tego zrobić bez żadnych kosztów, to gotowe. Osoby trzecie, nawet audytorzy, nie powinni słyszeć o rzeczach, które uważasz za luki w zabezpieczeniach, chyba że zostały specjalnie zatrudnione w celu zidentyfikowania tych luk.

Dla niektórych może to być obraźliwe, ale jest złem koniecznym.

„Musisz jeść, chodzić bardzo ostrożnie!”

„Co kiedykolwiek zrobisz jeśli cię zwolnią !? ”

Proszę, OP, nie słuchaj ani grosza tego, co ludzie, którzy są niewolnikami systemu, zadowoleni z życia w tym społeczeństwie, mają ci do zaoferowania jako rzeczywista rada.

Jaka jest najważniejsza rzecz w Twoich obecnych prerogatywach? Postępowanie właściwie.

Wiesz już, co to jest, ale zadajesz to pytanie, aby zobaczyć, czy inni ludzie skoczyliby zamiast Ciebie.

Nie przejmuj się. Nie jesteś nimi. Nawet jeśli cały świat powie ci, że to źle, pamiętaj, że niewidzialny przyjaciel zawsze będzie cię kibicował, gdy zdecydujesz się podjąć działanie - i nie bez powodu.