Fique com a segurança: coloque os procedimentos para manter sua segurança atualizada e abordar vulnerabilidades que podem surgir
“A segurança de dados sonoros é um processo, não uma lista de verificação.” Todos nós já ouvimos esse slogan – e com boas razões. A maneira como as informações confidenciais se move, através e fora das redes da sua empresa ou dos produtos de software que você desenvolve está em constante evolução. Assim, também são os riscos que hackers e ladrões de dados posam à medida que se adaptam às contramedidas que você assume para frustrar seus esforços. Abordar a segurança dos dados com uma atitude única ignora as realidades aqui e agora que você enfrenta. É por isso que começar com a segurança recomenda que as empresas implementem procedimentos para manter sua segurança atualizada e abordar vulnerabilidades que possam surgir.
Uma olhada nas ações da aplicação da lei da FTC, nas investigações fechadas e nas experiências que as empresas compartilharam conosco demonstram a sabedoria desse conselho. Esses exemplos ilustram por que você deve manter sua segurança atualizada e responder rapidamente a ameaças credíveis.
Software de atualização e patch.
Às vezes, as empresas aprendem que suas redes-ou software de terceiros instaladas em suas redes-são vulneráveis a uma nova forma de ameaça. Se for esse o caso, descubra o que os especialistas recomendam e agem de acordo.
Em outros casos, uma empresa determina que seus próprios produtos já nas mãos dos consumidores possuem uma vulnerabilidade a uma ameaça existente ou nova. Nesse caso, tome medidas para corrigir o problema com uma atualização ou um patch e mover -se rapidamente para informar os clientes sobre as etapas corretivas que devem tomar.
Exemplo: O proprietário de uma empresa em casa compra um novo laptop para gerenciar seu empreendimento. Ele instala software antivírus de uma empresa respeitável. Quando recebe a opção na tela, o proprietário da empresa permite que o software atualize a proteção antivírus do laptop automaticamente. Nessa circunstância, optar por atualizações automáticas é uma decisão sensata.
Exemplo: Uma cadeia regional de salões de cabeleireiros usa software de terceiros para gerenciar vendas e estoque no varejo. Quando um email chega do fornecedor aconselhando os usuários de software a instalar um patch para abordar uma vulnerabilidade de segurança, um membro da equipe designado visita o site do fornecedor e confirma a autenticidade da mensagem e depois toma as etapas necessárias para atualizar o software. Por ter um sistema para monitorar e responder às comunicações de segurança dos fornecedores, a empresa ajudou a manter sua segurança atualizada.
Exemplo: Uma empresa vende uma linha popular de software de finanças pessoais. Depois que muitos consumidores já compraram o produto, a empresa vê uma vulnerabilidade de segurança no software. A empresa cria uma nova versão do software que aborda a vulnerabilidade. No entanto, ele não entra em contato com os clientes existentes para oferecer um patch e não leva em consideração o software vulnerável ainda disponível nas prateleiras de varejo. Ao não implementar a correção de maneira eficaz, a empresa colocou em risco as informações confidenciais dos consumidores.
Planeje como você entregará atualizações de segurança para o software do seu produto.
Não importa o quão seguro você acredite que seu produto seja, as vulnerabilidades de software podem ser descobertas no futuro. As empresas com segurança em segurança têm um plano para emitir atualizações oportunas de segurança. O método dependerá da natureza do produto, mas é aconselhável construir essas contingências antes de você ir ao mercado.
Exemplo: Uma empresa fabrica um termostato que se conecta à Internet. A empresa configura as configurações padrão para pesquisar e instalar automaticamente as atualizações de segurança que a empresa implanta. Ao projetar seu produto com um método para fornecer as atualizações necessárias, a empresa fez uma opção de design mais segura.
Exemplo: Uma empresa fabrica um aparelho de cozinha que se conecta à Internet. No estágio inicial de desenvolvimento do produto, a empresa determina que as atualizações automáticas de segurança não são viáveis. Portanto, a empresa projeta o dispositivo com um botão de alerta que fornece uma sugestão visual de que uma atualização de segurança está disponível online. Além disso, durante o assistente inicial de configuração, os consumidores têm a opção de adicionar um método adicional de comunicação-por exemplo, texto ou email-para receber avisos quando uma atualização de segurança estiver disponível. Ao construir esses canais de comunicação desde o início, a empresa facilitou a informação dos clientes sobre futuras atualizações ou patches de segurança.
Preste atenção aos avisos de segurança credíveis e mova -se rapidamente para resolver o problema.
Sobre o assunto da segurança, há muitas conversas cruzadas entre especialistas em tecnologia, pesquisadores, agências governamentais, profissionais do setor e consumidores. Com uma riqueza de especialização por aí, é aconselhável manter seu ouvido no chão quando o tópico se transformar em riscos emergentes e vulnerabilidades em potencial. Preste atenção quando você obtiver avisos de segurança que podem afetar sua rede ou seu produto. Além disso, se os especialistas estão tentando alcançar sua empresa para soar um alarme específico, suas mensagens chegarão às pessoas certas rapidamente?
Exemplo: Um desenvolvedor de aplicativos recebe milhares de e -mails por dia. Em seu site, ele direciona as pessoas a enviar e -mail CustomerService (AT) CompanyName.com com perguntas ou comentários sobre a redefinição de senhas, pagamentos e outros problemas típicos do consumidor. No caso de uma potencial preocupação de segurança, no entanto, ele direciona as pessoas a enviar e -mail Segurança (AT) CompanyName.com. O desenvolvedor de aplicativos designa um membro da equipe experiente para monitorar essa caixa de correio regularmente e sinalizar imediatamente preocupações plausíveis para o pessoal apropriado – por exemplo, os engenheiros de segurança de software do desenvolvedor. Ao atender aos avisos de segurança credíveis e a se mover rapidamente para investigá -los e resolvê -los, o desenvolvedor do aplicativo pode impedir um problema ou mitigar um risco.
Exemplo: Um pesquisador de segurança encontra uma grande vulnerabilidade em um aplicativo. O pesquisador tenta entrar em contato com o desenvolvedor de aplicativos, mas não consegue encontrar uma maneira de chegar à empresa, exceto um número de telefone corporativo geral. No treinamento, o pessoal administrativo que recupera os correios de voz do número geral é instruído a excluir mensagens de terceiros desconhecidos. Uma prática melhor seria rotear as comunicações sobre possíveis vulnerabilidades – relatórios de bugs – para um canal dedicado onde eles podem ser avaliados pelo pessoal de segurança qualificado.
A lição para as empresas comprometidas em manter a segurança é criar canais com antecedência para receber e enviar informações críticas sobre possíveis vulnerabilidades. Mova -se rapidamente para implementar remédios de segurança apropriados.
