Potresti pensare che i team di sicurezza all'interno delle grandi aziende lo odino quando i ricercatori e la stampa sottolineano le vulnerabilità, ma non è sempre così.
I team di sicurezza sono solo una delle tante e spesso hanno difficoltà a convincere i responsabili che sicurezza e privacy dovrebbero essere una priorità. Una storia imbarazzante per la stampa può cambiare così rapidamente.
Ad esempio: il ricercatore di sicurezza Troy Hunt una volta ha chiamato Betfair Security per un sistema che consentiva a chiunque conoscesse il compleanno di un utente di cambiare la propria password. Un mese dopo Hunt incontrò un dipendente di quella società, di cui scrisse sul suo blog personale:
… un ragazzo è venuto e mi ha consegnato la sua carta – “Betfair Security”. Ah merda. Ma l'esitazione passò rapidamente mentre continuava a ringraziarmi per la copertura. Vedete, sapevano che questo processo faceva schifo – qualunque persona ragionevole con una mezza idea sulla sicurezza lo faceva – ma il solo team di sicurezza interno a dire alla direzione che questo non era bello non era abbastanza per guidare il cambiamento. La copertura mediatica negativa, tuttavia, è qualcosa che la direzione effettivamente ascolta.
Sappiamo tutti quanto può essere difficile per i piccoli team spingere la loro agenda nelle grandi aziende, quindi c'è una certa logica qui. Ma vorrei che le aziende ascoltassero i team di sicurezza interna e i ricercatori esterni, prima i problemi diventano enormemente pubblici. Di solito si tratta di un'interruzione della comunicazione all'interno delle aziende, ma la risoluzione di questa interruzione potrebbe impedire molta cattiva stampa e renderci tutti più sicuri.
Credito immagine: Virgiliu Obada / Shutterstock.com
