web-dev-qa-db-ja.com

ITセキュリティの重要性について上司を説得する方法

セキュリティの苦情やアドバイスをより効果的にする方法を知っていますか?またはITセキュリティについて上司を説得するにはどうすればよいですか?

ITセキュリティの分野には、いくつかの既知の優れた慣行があります。私の上司はそれらすべてに気づいていないようです。

現在、私は患者、処方箋に関する実際のデータを備えた医療プラットフォームで作業しており、薬剤などを処方する機能を提供しています。データ保護に関する法律についてはあまり知識がありませんが、病状は最も敏感なものの1つだと思います。

私はこのプロジェクトでちょうど2週間働いていますが、これらは私が見つけたもののいくつかです:

3日目に、医師(実際の医師)としてログインできるSQLインジェクションを見つけました。上司に知らせたところ、彼らはログインをすぐに変更するつもりだと大丈夫だと教えてくれました(== --- ==)。つまり、注射はまだ残っています。

パスワードはプレーンテキストで保存されます。私が不平を言ったとき、彼は医療集団は本当に特別であり、彼らが「パスワードを回復する」にヒットしたときに新しいパスワードが作成されるのではなく、失われるだろうと言った古いパスワードを与えます。

少なくとも私たちは、病歴のように暗号化された(その他の)機密データを保存しています。これらは法律で義務付けられていると思います。

そして、それは私の第2週だけです。私のアドバイスがどのように耳に届かないのかを見るのは残念です...しかし、私が見つけた脆弱性を通知するのは私の義務だと思います。

professional-educationcorporate-policy
16
eversor

ここにはいくつかの問題があります。

あなたの当面の懸念は、より良いセキュリティの必要性を1人の個人に納得させることができていないことです。修正すると問題は解決しますが、登るのが大きな山になる可能性があります。グレッグ・ドルフの答えはすでにこれをカバーしています。

ここでの問題は、雇用主が目的に合わない製品を製造しており、雇用主、製品のユーザー、および他の関係者に深刻な損害をもたらす可能性があることです。あなたを雇っている組織isあなたの上司(および他の利害関係者/共有者がいない)でない限り、上司が考えている懸念があることを少なくとも他の主要な意思決定者に知らせる必要があります根拠のない。

作業しているシステムのセキュリティに関心があり、問題を解決するための最初のステップを実行したことは称賛に値します。しかし、これがより広く知られるようになった場合、意思決定の責任者(または法律/ポリシーの施行の責任者)が行動を起こしていると見なされるようになる可能性が高くなります。口頭での議論が記録されていることを確認してください。アクセスできる場所ですべてのメールのコピーを取得します。

脅すな。カジョレしないでください。冷静さを保つ。しつこい。記録を残します。

8
symcbean

最善の方法は、上司に法律、業界の規制、企業がシャツを失い、幹部がドアを開けたり、刑務所に送って彼らを破った実例を示したりすることです。個人的なリスクのように幹部を動機付けるものは何もありません。会社だけでなくthemにも適用できるようにします。ベストプラクティスや業界標準、または監査でこれらのことをどのように要求するかについて話し合うこともできますが、気にしないことで醜いことになりかねないことを示さなければ、彼らは気にしないかもしれません。

5
GdD

私の推奨は、これが上司のビジネスにどのような影響を与えるかを上司に示すことです。特に攻撃を受けて情報が開示された場合(LinkedinやYahooのようなハッキングされた他の企業の例を彼に提供できる)、彼の会社の評判が危機に瀕しているという事実を強調します。

特に機密性の高い医療データを扱う場合。また、システムを保護するために十分な措置を講じていなかったと通知された場合、彼(個人的にはい)は違反の責任を問われる可能性があることを思い出してください。 (彼は事前に違反があったことを知らされていたと言うこともできますが、それはあまりにも脅威と見なされる可能性があります)。

Symcbeanが言うように、脅迫して記録を保管しないでください。

4
Lucas Kauffman

パスワードをプレーンテキストで保存することは、HIPAA法の精神に違反し、テキストにも違反する可能性があります。

HIPAAパスワード管理のベストプラクティスに関するこのドキュメント の状態:

H.アプリケーション開発者は、プログラムに次のセキュリティ対策が含まれていることを確認する必要があります。

  1. グループではなく、個々のユーザーの認証をサポートする必要があります。
  2. パスワードをクリアテキストまたは簡単に元に戻せる形式で保存しないでください。
  3. あるユーザーが他のユーザーのパスワードを知らなくても他のユーザーの機能を引き継ぐことができるように、ある種のロール管理を提供する必要があります。
  4. 可能な限り、TACACS +、RADIUSおよび/またはLDAPセキュリティ検索付きX.509をサポートする必要があります。

ただし、実際の HIPAA法のテキスト は技術的な詳細には入りません。 (対処する必要があると言うことを除いて)パスワード管理についてはあまり触れていませんが、164.306(a)(セキュリティ標準の一般要件)に記載されています

(2)そのような情報のセキュリティまたは完全性に対する合理的に予想される脅威または危険から保護します。

これは、簡単に軽減できる、かなり予想される脅威です。

法律の遵守が機能せず、製品を販売するベンダーである場合、この「機能」が売上を失う原因となっていることに注意してください。多くの病院(私は1か所で働いています)はIT /情報学部で高額のIT経歴を持っています。製品レビューフェーズでは、パスワードのリセットがどのように機能するかをテストし、製品を拒否します。平文パスワードを戻します。

3
dr jimbob