La responsabilidad de un gerente es administrar el riesgo.
Cuando se descubrió un agujero de seguridad de secuencias de comandos cruzadas en Gmail, esto presentó un riesgo muy crítico que el equipo trabajó rápidamente para resolver. Debido a que hay millones de usuarios de Gmail, si escribiera una aplicación web que explotara esta falla, habría una buena posibilidad de que los usuarios de mi aplicación web puedan estar usando Gmail y tenerla abierta en otra pestaña. Por lo tanto, como phisher, puede valer la pena construir una aplicación de este tipo para obtener acceso a los datos del usuario.
La pregunta que su gerente puede hacerse es esta: ¿Qué tan riesgoso es este agujero de seguridad? ¿Cuál es la probabilidad de que exista una aplicación web que esté dirigida a este agujero de seguridad en particular en este sitio en particular? ¿Cuál es el riesgo de que los empleados que visitan nuestro sitio web también usen este sitio web de terceros?
En mi experiencia, si su sitio no recibe una gran cantidad de tráfico, entonces no hay mucho riesgo.
Su jefe puede estar pensando que el costo de oportunidad de no solucionar este agujero de seguridad en particular que puede o no ser un problema, es que él o ella puede enfocar los recursos en actividades que ayudarán a hacer crecer el negocio y generar ingresos.
Dicho esto, hubo un problema muy similar a este en el que Github fue pirateado, y hay una pregunta sobre Project Management SE que cubre este tema desde una perspectiva de gestión de proyectos. El usuario que pirateó Github estaba en una situación similar a la suya, y sus privilegios de Github fueron suspendidos por un período de tiempo.
Mi pregunta para usted es esta: ¿Qué le sucede a su negocio si el sitio se cae? ¿Cuál es la probabilidad de que incluso veas explotar este agujero de seguridad?
Si elige perseguir esto, necesitará obtener objetivamente evidencia de que esta es una amenaza muy real e inminente para la viabilidad del negocio.
Aquí hay algunas sugerencias para obtener evidencia de que este es un problema real:
Realice búsquedas en Google buscando artículos de noticias, blogs u otras experiencias de empresas que han experimentado problemas importantes como resultado de un agujero de seguridad similar y relacionado. Demuestre que este es un riesgo que vale la pena abordar en lugar de otras oportunidades comerciales.
Discuta con otro personal técnico del equipo y obtenga su conocimiento. Si el problema es realmente grave, debería poder encontrar a otros que también puedan respaldarlo. De lo contrario, sus preocupaciones no están justificadas o tiene problemas importantes de seguridad en la cultura de su empresa.
Discuta otras opciones con su departamento de TI para reparar el agujero que involucra soluciones de solución más rápida que, aunque no son ideales, pueden mitigar el riesgo y brindarle tranquilidad sin romper la hucha corporativa. A veces, una pequeña cantidad de trabajo puede ayudar a eliminar parte del riesgo, si no todo.
Si los puntos anteriores no funcionan, entonces considero dejarlo pasar y sé que estos problemas van a ser una parte normal de la gestión de riesgos del negocio.