IT Security ethics: Πώς λειτουργεί η δεοντολογία στο Information Security; Νέα έρευνα αποκαλύπτει πως το 20% του προσωπικού στον κλάδο έχει γίνει μάρτυρας κάλυψης μιας παραβίασης.
Σε έρευνα της AlienVault, όταν απευθύνθηκε το ερώτημα, «Ποιά σειρά ενεργειών πιστεύετε πως είναι καλύτερη όταν μια εταιρεία παραβιάζεται;» ένα 9% απάντησε «Αν δεν το γνωρίζει κανείς, απλώς είναι καλύτερο απλώς να αποσωπηθεί».
Τα δύο τρίτα των ερωτηθέντων θα χρησιμοποιούσαν την παραβίαση σαν μια ευκαιρία για να πείσουν το διοικητικό συμβούλιο να εγκρίνει πρόσθετα μέτρα προστασίας για την ασφάλεια, ενώ το ένα τέταρτο θα προχωρούσε παρακάτω, αποδεχόμενο την παραβίαση σαν μέρος της δουλειάς του. Παρόλα αυτά ένα διόλου ευκαταφρόνητο 6,6% δήλωσε πως θα παραχωρούσε το συμβάν στα media, και θα καυχιόταν σχετικά με το πως θα είχε αποφευχθεί η παραβίαση, αν η εταιρεία είχε ακολουθήσει τα μέτρα ασφαλείας που της πρότεινε.
[blockquote]«Αυτό αποτελεί μια ενδιαφέρουσα προοπτική στο πως λειτουργούν οι περισσότεροι οργανισμοί. Χρειάζεται ακόμη ένα περιστατικό παραβίασης ώστε να χορηγηθούν κονδύλια για την αύξηση στα μέτρα ασφαλείας. Η αδυναμία των επαγγελματιών στον χώρο του IT Security να εποικοινωνήσουν τις ανάγκες στις επιχειρήσεις και να βασίζονται στις παραβιάσεις για να πετύχουν, είναι ένα φλέγον ζήτημα που δεν φαίνεται πως θα λυθεί σύντομα.»[/blockquote]
αναφέρει o Javvad Malik, της AlienVault.
Στην έρευνα διαπιστώνεται επίσης ότι, οι περισσότεροι πιστεύουν πως ο επικεφαλής IT Security officer θα πρέπει να είναι υπόλογος για την παραβίαση, εαν αυτή πράγματι βγει στο φως.
Περισσότεροι από τους μισούς ειδικούς της ασφάλεια παρακολουθούν hacker forums ώστε να είναι ενήμεροι για τις τελευταίες απειλές και τεχνολογίες.
Με διάφορους τρόπους o κλάδος του IT Security ως επάγγελμα, αναδύθηκε μέσα από από την σκηνή του hacking, η οποία εισήγαγε νέες δραστηριότητες, κάτι που οδήγησε στην ανάγκη θέσπισης νομοικού πλαισίου και στην διάκριση των δραστηριοτήτων ως αποδεκτών και μη από τον νόμο, όπως αναφέρεται εύστοχα στην έρευνα.
Η αναφορά εξετάζει επίσης το ζήτημα της ευθύνης της παραβίασης: Μια παραβίαση σε εταιρεία συχνά εκφυλίζεται σε παιχνίδι επίρριψης ευθυνών για το ποιός θα πρέπει να λογοδοτήσει. Πάνω από το ένα τρίτο των ερωτηθέντων στην έρευνα (38,3%), θεωρούν πως ο CISO θα πρέπει να αναλάβει τις ευθύνες σε περίπτωση περιστατικού. Γύρω στο 25% θεωρεί πως οι CEO, CIO και VP της IT Security εταιρείας θα πρέπει να είναι εξίσου υπόλογοι. Ενδιαφέρον είναι επίσης πως ένα 10% θεωρεί πως ευθύνες θα πρέπει να καταλογιστούν και στο διοικητικό συμβούλιο.
Σε γενικές γραμμές είναι σαφές πως χρειάζεται ξεκάθαρα δουλειά όσον αφορά το μέτωπο της δεοντολογίας στον κλάδο του IT security.
