it-swarm-es.com

Tratar con pequeñas empresas y problemas de seguridad.

Estoy tratando con una pequeña empresa que no tengo otra opción en este momento, pero para tratar. No trabajo para este negocio, pero mi vida personal dicta que los uso ahora mismo. Me di cuenta de hace unos meses, que tienen una configuración de red inalámbrica con cifrado WEP (y una clave realmente débil ... no preguntes), ningún filtro MAC y el puerto de administración está abierto (también http).

Llamé a la atención de la persona a cargo y le expliqué que necesitaban cambiar su configuración. Me dijeron que lo subcontratan a su compañía local (muy probablemente, solo otro tipo que vive aquí).

Escribí una nota con algunas sugerencias para hacerlo más seguro, casi tan bueno como puedas obtener en el enrutador de $ 60 Linksys que están usando.

Noté el otro día (unos meses más tarde ahora) que aún no había cambiado. Le pregunté por eso y ella dijo que el tipo de TI dijo que todo está bien, así que es la configuración.

Le expliqué de nuevo que no estaba bien.

Ahora, este lugar no tiene mi tarjeta de crédito ni nada así en el archivo, pero sí tienen toda la información personal de mí y de mi familia y otras familias.

¿Alguna sugerencia sobre cómo lidiar con esto? Aparte de encontrar otro negocio que simplemente no es posible ahora mismo.

7
Casey

No importa de qué tamaño sea el negocio, en mi experiencia, las únicas tres formas de hacer que un proveedor se mueva sobre esto.

  • Financiero: Dígales que tomará su negocio en otro lugar, entiendo que esto no es posible aquí.
  • Regulatorio: si están lidiando con la información personal, deben proporcionar protección adecuada en la mayoría de las jurisdicciones (por ejemplo, DPA en el Reino Unido, por lo que la amenaza de una revisión por parte de la ICO podría funcionar)
  • Reputacional: Esto no se está reuniendo para lo que más se clasificaría como una buena práctica. ¿No querrías recomendarles a tus amigos y contactos? Una amenaza de divulgación lo convierte en un incentivo financiero para ellos, arriesgan a perder negocios.

Por ahora, pídale que acepten por escrito que toman la plena responsabilidad de que sus datos personales sean hackeados/copiados/manipulados a través de controles inalámbricos de calidad :-)

10
Rory Alsop

Tenga pena en el negocio y descubra quién es su persona que es. Luego, vaya la ruta de "divulgación responsable". Dígale a la persona que le revelará públicamente sus prácticas laxas (probablemente sin revelar el negocio en sí) si no lo arreglan pronto.

1
nealmcb