Yöneticinin sorumluluğu riski yönetmektir.
Gmail'de çapraz komut dosyası oluşturma güvenlik açığı keşfedildiğinde, bu, ekibin hızlı bir şekilde çözmek için çalıştığı çok kritik bir risk sundu. Milyonlarca Gmail kullanıcısı olduğu için, bu kusurdan yararlanan bir Web uygulaması yazsaydım, Web uygulamamın kullanıcılarının Gmail kullanıyor olmaları ve başka bir sekmede açmaları iyi bir olasılık olurdu. Bu nedenle, bir kimlik avcısı olarak, kullanıcı verilerine erişmek için böyle bir uygulama oluşturmak benim için faydalı olabilir.
Yöneticinizin kendisine sorduğu soru şu: Bu güvenlik açığı ne kadar riskli? Belirli bir güvenlik açığını bu siteye hedefleyen bir Web uygulaması olması ihtimali nedir? Web Sitemizi ziyaret eden çalışanların da bu üçüncü taraf web sitesini kullanması riski nedir?
Deneyimlerime göre, siteniz bir ton trafik almıyorsa, bir ton risk yoktur.
Patronunuz, sorun yaratabilecek ya da olmayabilecek bu özel güvenlik açığını düzeltmemenin fırsat maliyetinin, bunun yerine, kaynakları işin büyümesine ve gelir elde etmesine yardımcı olacak faaliyetlere odaklayabileceğini düşünüyor olabilir.
Bununla birlikte, Github'un saldırıya uğradığı konuya çok benzer bir sorun vardı ve Proje Yönetimi SE'de bu konuyu bir proje yönetimi perspektifinden kapsayan bir soru var . Github'ı hackleyen kullanıcı sizinle benzer bir durumdaydı ve Github ayrıcalıkları bir süre askıya alındı.
Size sorum şu: Site kapanırsa işletmenize ne olur? Bu güvenlik açığından yararlanıldığını bile görme olasılığı nedir?
Bunu takip etmeyi seçerseniz , bunun işletmenin uygulanabilirliği için çok gerçek ve yakın bir tehdit olduğuna dair objektif olarak kanıt elde etmeniz gerekir .
Bunun gerçek bir sorun olduğuna dair kanıt elde etmek için bazı öneriler:
Benzer, ilgili bir güvenlik açığı sonucunda önemli sorunlar yaşayan şirketlerin haber makalelerini, bloglarını veya diğer deneyimlerini aramak için Google aramaları yapın. Bunun gerçekten de diğer iş fırsatları yerine değinmeye değer bir risk olduğunu gösterin.
Takımdaki diğer teknik personel ile görüşün ve fikirlerini alın. Sorun gerçekten ciddiyse, sizi de destekleyebilecek başkalarını bulabilmelisiniz. Değilse, ya endişeleriniz garanti edilmez ya da şirket kültürünüzde güvenlik konusunda önemli sorunlar yaşarsınız.
İdeal olmasa da riski azaltabilecek ve şirket kumbarasını bozmadan size biraz huzur verebilecek daha hızlı çözümlerin yer aldığı deliği yamalamak için BT departmanınızla diğer seçenekleri tartışın. Bazen az miktarda çalışma, hepsi olmasa da riskin bir kısmını ortadan kaldırmaya yardımcı olabilir.
Yukarıdaki noktalar işe yaramazsa, o zaman bunu bırakmayı düşünürüm ve bu sorunların iş riski yönetiminin normal bir parçası olacağını biliyorum.