Si potrebbe pensare che i team di sicurezza all’interno delle grandi aziende odio quando i ricercatori e il press point out vulnerabilità, ma che non è sempre il caso.
I team di sicurezza sono solo una voce tra tante, e spesso hanno difficoltà a convincere i boss che la sicurezza e la privacy dovrebbe essere una priorità. Un’imbarazzante storia, in la stampa, è possibile modificare rapidamente.
Per esempio: il ricercatore di Sicurezza Troy Caccia una volta chiamato Betfair Sicurezza per un sistema che ha permesso a chi sapeva di un utente per il compleanno di modificare la propria password. Un mese più tardi Caccia incontrato un dipendente di tale società, che ha scritto sul suo blog personale:
…un tizio si avvicinò e mi diede il suo biglietto – “Betfair Sicurezza”. Ah merda. Ma l’esitazione passata in fretta come ha provveduto a ringraziare me per la copertura. Vedete, si sapeva che questo processo succhiato—qualsiasi persona ragionevole, con una mezza idea sulla sicurezza fatto—ma l’interno del team di sicurezza da solo dicendo di gestione di questo non era fresco, non era abbastanza per guidare il cambiamento. La copertura mediatica negativa, tuttavia, è qualcosa di management ascolta.
Sappiamo tutti quanto sia difficile può essere per le piccole squadre di spingere la loro agenda in grandi aziende, quindi c’è una certa logica. Ma mi auguro di imprese di ascoltare i team di sicurezza interna, e al di fuori di ricercatori, prima che i problemi vanno massicciamente pubblico. Di solito è una ripartizione di comunicazione all’interno di aziende, ma la risoluzione di questo dettaglio potrebbe evitare un sacco di cattiva stampa e di mantenere tutto il più sicuro.
Immagine di credito: Virgiliu Obada/Shutterstock.com