আপনি যখন আপনার প্রতিষ্ঠানের সাইটে কোনও সুরক্ষা গর্ত পেয়েছেন তখন কী করবেন

13

আমি আমার সংস্থার জনসাধারণের মুখোমুখি সাইটে একটি বড় সুরক্ষা গর্ত পেয়েছি। এটি আমাদের প্রথম জনসাধারণের মুখোমুখি সাইট যা একটি ইন্ট্রানেট সাইট থেকে রূপান্তরিত হয়েছিল। আমি এই বিষয়টি আমার বসের কাছে নিয়ে এসেছি এবং তারা মূলত এটিকে সরিয়ে দিয়েছিল, এটি বলে যে সাইটটিকে সুরক্ষিত করার জন্য এটি পুনরায় স্থাপত্যে কাজ করা ভাল কাজ করবে।

এটি আমাকে সত্যিই বিরক্ত করেছে এবং আমি যদি সত্যিকারের হ্যাকার পেয়ে যায় তবে এর প্রভাবগুলি প্রদর্শন করতে গর্তটি কাজে লাগানোর কথা চিন্তা করেছি। এটি সম্ভবত সেরা ধারণা নয় কারণ এর চেয়ে খারাপ কিছু না হলে প্রভাবগুলি আমার কাজটি ব্যয় করতে পারে।

ব্যবস্থাপনার কাছে পরিস্থিতির তীব্রতা দেখাতে আমি কীভাবে কিছু করতে পারি?

security  ethics 
জিম
সূত্র
8
আপনার লিখিতভাবে সবকিছু আছে তা নিশ্চিত করুন। সুরক্ষা গর্ত সম্পর্কে আপনার উল্লেখ এবং এটিকে তাদের বরখাস্ত সহ
হতাশ

উত্তর:

13

একজন পরিচালকের দায়িত্ব হ'ল ঝুঁকি পরিচালনা করা।

যখন জিমেইলে ক্রস-স্ক্রিপ্টিং সুরক্ষা গর্তটি আবিষ্কার করা হয়েছিল, এটি খুব জটিল ঝুঁকি নিয়েছিল যে টিমটি দ্রুত সমাধানের জন্য কাজ করেছিল। কারণ লক্ষ লক্ষ জিমেইল ব্যবহারকারী রয়েছেন, যদি আমি কোনও ত্রুটিটি ব্যবহার করে এমন কোনও ওয়েব অ্যাপ্লিকেশন লিখে থাকি তবে আমার ওয়েব অ্যাপ্লিকেশনটির ব্যবহারকারীরা Gmail ব্যবহার করতে পারে এবং এটি অন্য ট্যাবে খোলা থাকতে পারে good সুতরাং, একজন ফিশার হিসাবে, ব্যবহারকারীর ডেটাতে অ্যাক্সেস পাওয়ার জন্য এই জাতীয় অ্যাপ্লিকেশন তৈরি করা আমার পক্ষে উপযুক্ত।

আপনার ম্যানেজার যে প্রশ্নটি নিজেকে বা নিজেকে জিজ্ঞাসা করতে পারে তা হ'ল: এই সুরক্ষা গর্তটি কতটা ঝুঁকিপূর্ণ? সেখানে কোনও ওয়েব অ্যাপ্লিকেশন রয়েছে যা এই নির্দিষ্ট সাইটে এই বিশেষ সুরক্ষা গর্তটিকে লক্ষ্যবস্তু করে চলেছে এমন সম্ভাবনা কী? আমাদের ওয়েবসাইট পরিদর্শনকারী কর্মচারীরাও এই তৃতীয় পক্ষের ওয়েবসাইটটি ব্যবহার করছেন এমন ঝুঁকি কী?

আমার অভিজ্ঞতায়, যদি আপনার সাইটটি এক টন ট্র্যাফিক না পেয়ে থাকে, তবে ঝুঁকির এক টোন নেই।

আপনার মনিব ভাবতে পারেন যে এই বিশেষ সুরক্ষা গর্তটি ঠিক না করার সুযোগ ব্যয় যা সমস্যা হতে পারে বা নাও হতে পারে, সে হ'ল তিনি বা সে পরিবর্তে এমন ক্রিয়াকলাপগুলিতে সম্পদ কেন্দ্রীভূত করতে পারেন যা ব্যবসাকে বাড়িয়ে তুলতে এবং উপার্জন উপার্জনে সহায়তা করবে।

এই কথাটি বলে, এখানে গিথুবকে হ্যাক করা হয়েছিল এর সাথে খুব একটা একই সমস্যা ছিল এবং প্রকল্প পরিচালন এসই তে একটি প্রশ্ন রয়েছে যা এই বিষয়টিকে একটি প্রকল্প পরিচালনার দৃষ্টিকোণ থেকে অন্তর্ভুক্ত করে। যে ব্যবহারকারী গিথুবকে হ্যাক করেছে আপনিও একই পরিস্থিতিতে ছিলেন এবং তাঁর গিথুব সুবিধাগুলি একটি সময়ের জন্য স্থগিত করা হয়েছিল।

আপনার কাছে আমার প্রশ্নটি হ'ল: সাইটটি নীচে নামলে আপনার ব্যবসায়ের কী হবে? আপনি এমনকি এই সুরক্ষা গর্তটি শোষণ করতে দেখবেন এমন সম্ভাবনা কী?

যদি আপনি এটি অনুসরণ করতে পছন্দ করেন তবে আপনাকে উদ্দেশ্যমূলকভাবে প্রমাণ গ্রহণ করতে হবে যে এটি ব্যবসায়ের বাস্তবতার জন্য একটি খুব বাস্তব, আসন্ন হুমকি।

এটি আসল সমস্যা হ'ল প্রমাণ পাওয়ার জন্য এখানে কিছু পরামর্শ দেওয়া হল:

  • অনুরূপ, সম্পর্কিত সুরক্ষা গর্তের ফলস্বরূপ বড় সমস্যাগুলির সম্মুখীন হওয়া সংস্থাগুলির নিউজ নিবন্ধ, ব্লগ বা অন্যান্য অভিজ্ঞতা সন্ধানের জন্য গুগল অনুসন্ধান সম্পাদন করুন। প্রদর্শন করুন যে এটি প্রকৃতপক্ষে একটি ঝুঁকি যা অন্যান্য ব্যবসায়ের সুযোগের পরিবর্তে সম্বোধনযোগ্য।

  • দলের অন্যান্য প্রযুক্তিগত কর্মীদের সাথে আলোচনা করুন এবং তাদের অন্তর্দৃষ্টি পান। সমস্যাটি যদি সত্যিই গুরুতর হয় তবে আপনার অন্যকেও খুঁজে পেতে সক্ষম হওয়া উচিত যারা আপনাকেও ব্যাক আপ করতে পারে। যদি তা না হয়, তবে হয় আপনার উদ্বেগগুলির সত্যতা নেই বা আপনার সংস্থা সংস্কৃতিতে সুরক্ষার ক্ষেত্রে আপনার বড় সমস্যা রয়েছে।

  • আপনার আইটি বিভাগের সাথে দ্রুত গতির সমাধানের জন্য গর্তের জন্য প্যাচিংয়ের জন্য অন্যান্য বিকল্পগুলি নিয়ে আলোচনা করুন - এটি আদর্শ না হলেও - ঝুঁকি হ্রাস করতে পারে এবং কর্পোরেট পিগি ব্যাংকটি না ভেঙে আপনাকে কিছুটা মানসিক শান্তি দিতে পারে। কখনও কখনও অল্প পরিমাণে কাজ কিছু না হলে কিছু ঝুঁকি দূর করতে সহায়তা করে।

যদি উপরের পয়েন্টগুলি যদি কাজ না করে তবে আমার এটিকে চলতে দেওয়া বিবেচনা করুন এবং জেনে থাকুন যে এই সমস্যাগুলি ব্যবসায়ের ঝুঁকি ব্যবস্থাপনার একটি সাধারণ অংশ হয়ে উঠছে।

jmort253
সূত্র
2
আমি অনুভব করি যে এই উত্তরটি যথেষ্ট পরিমাণে বিষয়টিকে কভার করে না। সুরক্ষা গহ্বরটির প্রকৃতি ওপিতে উল্লেখ করা হয়নি; আমরা সকলেই জানি এটি আক্রমণকারীদের তাদের ডাটাবেস থেকে ক্রেডিট কার্ডের তথ্য পুনরুদ্ধার করতে পারে, যা বিপর্যয়কর হতে পারে, এটি উপেক্ষা করা হলে এটির আইনী বিধি-বিধান থাকতে পারে তা উল্লেখ না করে।
দেনিথ
+1: দিনের শেষে ক) এটি ব্যয়গুলি সম্পর্কিত বনাম সুবিধাগুলি সম্পর্কে এবং সিদ্ধান্তের অধিকারী ব্যক্তিরা সিদ্ধান্ত নেবেন এবং খ) সুরক্ষা গর্তের প্রকৃতির উল্লেখ করা হয়নি, তবে আমি বাজি ধরেছি যে পরিচালন এ সম্পর্কে আরও কিছু জানে এই বোর্ডে আমাদের কেউ। হ্যাঁ, ওপি বিষয়টিকে সামনে এনেছে এবং এখন আমরা "ম্যানেজারের দায়িত্ব ঝুঁকি পরিচালনা করা"
DXM
@ ডেইনেথ - আপনি একেবারে ঠিক বলেছেন। ধন্যবাদ! সমস্যাটি সমাধানের জন্য আমি বুলেট-পয়েন্ট হিসাবে কিছু পরামর্শ যুক্ত করেছি, অপ্টকে অনুসরণ করার সিদ্ধান্ত নেওয়া উচিত। সর্বোপরি, এটি সত্যিই একটি গুরুতর, পঙ্গু ইস্যু হতে পারে যা কেবল সংস্থাকেই নয় লক্ষ লক্ষ ব্যবহারকারীর সুরক্ষাকে প্রভাবিত করতে পারে।
jmort253
@ jmort253: আপডেটটি আরও ভাল - আমার কাছ থেকে +1!
দেনিথ
1
জিম, আমি জানি না আপনি কতটা অভিজ্ঞ ছিলেন বা আপনি কত অন্যান্য বিকাশকারী কাজ পেয়েছিলেন তবে আমি মনে করি আপনি অন্য জায়গায় গেলে আপনি এটিকে চালিয়ে যাবেন। যে কোনও ব্যবসায়ের উদ্দেশ্য হ'ল একটি লাভ করা এবং আমি মনে করি কখনও কখনও এমন বিকাশকারী যারা ব্যবসায়ের অপারেশনাল এবং আর্থিক দিক থেকে তালাকপ্রাপ্ত হয় তারা ভুলে যান যে কোনও ব্যবসায়ের উদ্দেশ্য হ'ল লাভ করা। এছাড়াও, এটি বিবেচনা করুন: আপনার অঞ্চলটি এমন একমাত্র অঞ্চল নয় যেখানে ঝুঁকি রয়েছে। সম্ভবত আপনার ম্যানেজার বিক্রয় দল তৈরিতে মনোনিবেশ না করা, বা সময়-সংবেদনশীল পণ্য বা বিপণন পরিকল্পনা প্রকাশের ক্ষেত্রে আরও বড় ঝুঁকি দেখেছেন sees
jmort253
10

আপনার যদি ইক্যুইটি থাকে তবে সুরক্ষা উদ্বেগগুলি পর্যালোচনা করতে একটি সাপ্তাহিক বা মাসিক সভার সময় নির্ধারণের জন্য চাপ দিন এবং তারপরে এটি কেবল সেই এজেন্ডার আইটেম হতে পারে। নির্দিষ্ট সমস্যা থেকে সাধারণ অঞ্চলে ফোকাস সরিয়ে ফেলা প্রায়শই একটি কার্যকর কৌশল।

আপনার যদি ইক্যুইটি না থাকে তবে এগিয়ে যান।
আপনি সমস্যাটি পরিচালনাতে উত্থাপন করেছেন এবং তারা উত্তীর্ণ হয়েছে। এটি আপনার পক্ষে গুরুত্বপূর্ণ হলে আপনি আবার চেষ্টা করতে পারেন। এবং আবার যদি এটি সত্যিই গুরুত্বপূর্ণ। যদি এটি সত্যই সত্যই গুরুত্বপূর্ণ, অন্য একটি চাকরি পান এবং সম্ভাব্য নিয়োগকারীদের কেন তা জানান। যেগুলি নীতিশাস্ত্রকে সর্বাধিক মূল্য দেয় তা সম্ভবত এটির প্রশংসা করবে।

এ বিষয়টিও মনে রাখবেন যে আপনি যদি এই সমস্যাটি উত্থাপন করেন এবং একটি নম্বর পেয়ে থাকেন তবে এখন আপনার পক্ষে মানুষের মন পরিবর্তন করার মুখোমুখি যা খুব কঠিন। আমি তাদের সাথে আপনার সাথে একমত হতে এবং আপনাকে হ্যাঁ দেওয়ার পক্ষে যাব। উদাহরণস্বরূপ "আমরা উভয়ই সংস্থার সাফল্য চাই"। হ্যাঁ. "আমি জানি আমরা উভয়ই সুরক্ষার বিষয়ে যত্নশীল"। হ্যাঁ. "আমরা জানি আমরা এই জাতীয় আইটেমগুলিকে সম্বোধন করতে খুব সীমিত বাজেট পেয়েছি"। হ্যাঁ. এর মধ্যে কয়েকটি পান তারপরে সুরক্ষা সংশোধন করার জন্য কিছু সময়সূচির দিকে স্টিয়ারিং শুরু করুন।

আর একটি 'নরম' পদ্ধতির সাথে সম্মতি জানানো হচ্ছে যে এটি করার জন্য আপনার কাছে সময় / সংস্থান নেই। তবে আপনি যে কোনও তারিখে সম্বোধন করা হবে সেই চুক্তির জন্য চাপ দিতে পারেন? এটি এক সপ্তাহ, বা এক মাস, বা 6 মাসে হতে পারে। সাধারণত সময় উড়ে যায় এবং তারপরে আপনি সেখানে থাকবেন।

মাইকেল ডুরান্ট
সূত্র
আমি নিশ্চিত করেছিলাম যে আমি আমার সতর্কতাটি লিখিতভাবে রেখেছি এবং একটি অনুলিপি রেখেছি, তবে আপনি যদি সঠিক লোকদের জানাতে থাকেন তবে আপনি সঠিক কাজটি করেছেন। তারা এটির সাথে কী করতে বেছে নেয়, এটাই তাদের সমস্যা।
জাচারি কে
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.