Potresti pensare che i team di sicurezza all'interno delle grandi aziende odiano quando i ricercatori e la stampa sottolineano le vulnerabilità, ma non è sempre così.
I team di sicurezza sono solo una delle tante voci e spesso hanno difficoltà a convincere i capi che la sicurezza e la privacy dovrebbero essere una priorità. Una storia imbarazzante sulla stampa può cambiare le cose rapidamente.
Ad esempio: una volta il ricercatore di sicurezza Troy Hunt ha chiamato Betfair Security per un sistema che permetteva a chiunque conoscesse il compleanno di un utente di cambiare la propria password. Un mese dopo, Hunt incontrò un dipendente di quella compagnia, che ha scritto sul suo blog personale :
... un tizio si avvicinò e mi porse la sua carta - "Betfair Security". Ah merda. Ma l'esitazione passò rapidamente mentre procedeva a ringraziarmi per la copertura. Vedete, sapevano che questo processo faceva schifo - qualsiasi persona ragionevole con una mezza idea sulla sicurezza sì - ma solo il team di sicurezza interno che diceva alla direzione che non era bello non era abbastanza per guidare il cambiamento. La copertura mediatica negativa, tuttavia, è qualcosa che il management ascolta.
Sappiamo tutti quanto possa essere difficile per i piccoli team portare avanti la propria agenda nelle grandi aziende, quindi qui c'è una certa logica. Ma vorrei che le aziende ascoltassero i team di sicurezza interni e i ricercatori esterni, prima i problemi diventano massicciamente pubblici. Di solito si tratta di un'interruzione della comunicazione all'interno delle aziende, ma risolvere questa interruzione potrebbe evitare un sacco di cattiva stampa e mantenere tutti noi più sicuri.
Credito immagine: Virgiliu Obada / Shutterstock.com
