2018-05-20 12:11:22 +0000 2018-05-20 12:11:22 +0000
195
195

Ist es akzeptabel, vor einem Vorstellungsgespräch einen Sicherheitstest über das offene WiFi eines Unternehmens durchzuführen?

Ich wurde zu einem Vorstellungsgespräch für eine IT-Stelle in einer Organisation namens XYZ eingeladen.

Während ich in der Lobby wartete, fand ich ein offenes WiFi-Netzwerk namens XYZ vor. Ich stellte eine Verbindung zu diesem Netz her und wurde mit einer Webseite begrüßt, auf der ein Benutzername und ein Passwort verlangt wurden. Ich führte einen Scan der angeschlossenen Geräte mit Fing (einer Anwendung auf Android) durch und stellte fest, dass es einige Laptops mit den Namen XYZ-HR-1 und XYZ-FN-1 gibt.

Im Interview sagte ich ihnen, dass ich, da meine Position einige Sicherheitsaspekte mit sich bringt, feststellte, dass das offene Netzwerk eine Sicherheitslücke in ihrem Netzwerk darstellt.

Der IT-Manager war beeindruckt, der Vertreter der Personalabteilung jedoch nicht, und er handelte defensiv und sagte, dass ich noch nicht eingestellt worden sei, um ihre Netzwerksicherheit zu überprüfen. Ich sagte ihnen, dass dies ein ernstes Problem sei und nicht warten solle, bis ich oder jemand anderes eingestellt werde.

Hatte ich Recht, als ich ihnen sagte, dass ich das getan habe? Habe ich meine Chancen bei ihnen zunichte gemacht? Sollte ich es bei anderen Stellenangeboten noch einmal tun (wenn zufällig etwas entdeckt wird)? Wie kann ich mir im Vorstellungsgespräch mit dieser Art von Informationen einen Vorteil verschaffen?

Antworten (14)

295
295
295
2018-05-20 14:17:20 +0000

Ein Stunt wie dieser wäre - in den meisten Umgebungen - ein Show-Stopper von HR. Der Grund dafür ist ganz einfach: Sie wussten, was Sie taten, und es gehörte nicht zu Ihren Aufgaben, den Test durchzuführen.

Wenn Sie zufällig in einer “Die Aktien erschienen im Windows Explorer” auf das Thema gestoßen wären, wäre es wahrscheinlich in Ordnung gewesen. Aber ein Sicherheitsexperte muss wissen, dass das Ausführen eines Netzwerk-Scanners in einem Netzwerk, in dem der Administrator des Netzwerks dem nicht zugestimmt hat, definitiv unter die Kategorie “nicht nett” bis “feindlich” fällt. Es kann auch echte Kosten verursachen, z.B. wenn Sie einen Fehlalarm auslösen. Ich habe einmal ein paar Stunden mit dem Versuch verschwendet, die Quelle eines Scans zu finden, den irgendein Punk aus einer anderen Abteilung ohne unsere Erlaubnis (oder die eines anderen Mitarbeiters im internen Netzwerk) durchgeführt hat.

Je nach den Umständen könnte man sich auch vorstellen, dass das Netzwerk erst sichtbar wird, wenn man sich innerhalb des Firmengeländes befindet. Ich habe einmal auf einem Gelände gearbeitet, das groß genug war, dass man von außen kein WiFi-Signal sehen würde (ohne ganz besondere Maßnahmen). In diesem Fall gäbe es sogar einen Vertrauensbruch. (Ich weiß, dass es immer noch keine gute Idee ist, ein offenes WLAN zu betreiben, wissen Sie, IT-Leute wissen das, aber ich weiß nicht, ob das Management und die Personalabteilung das wissen oder hören wollen).

218
218
218
2018-05-20 12:58:32 +0000

Stellen Sie sich vor, ich habe Sie in mein Haus zu einer be que Bar im Hinterhof eingeladen und Sie kamen an und sagten, während wir in der Küche waren

Ich kam gestern vorbei, als Sie bei der Arbeit waren. Dieser Zaun hält niemanden davon ab. Mir ist aufgefallen, dass Ihre Schaukel nicht richtig im Boden verankert ist - das könnte unsicher sein, wenn größere Kinder wirklich hart schaukeln. Außerdem ist der Abstand auf Ihren Deckgeländern zu groß, heutzutage gibt der Code X Zoll an, und Sie haben Y.

würde ich mit offenem Mund dastehen und Ihre Unhöflichkeit anstarren. Niemand hat Sie gefragt, Sie haben nicht überprüft, ob es in Ordnung ist, Sie sind einfach eingedrungen und jetzt kritisieren Sie. Sicher, die Sicherheit der Kinder auf Schaukeln und Hinterdeck ist wirklich wichtig. Aber so sind auch die Regeln der höflichen Gesellschaft. Ein besserer Gast würde nicht ohne Zustimmung in den Hinterhof eindringen und nicht schon früh in einem Gespräch einen Inspektionsbericht ausplaudern. Stattdessen würde dieser Gast warten, bis er den Hinterhof mit einem Glas Limonade erreicht hat, und dann sagen:

Ooooh, ein Schaukelset. Ich kenne mich damit ein wenig aus. Ist sie richtig verankert? Darf ich nachsehen?

und

Sie wissen ja, dass die Decksschienen heutzutage Y-Zoll sein sollen … Es sieht so aus, als wäre Ihre vielleicht älter … Ich kann mein Maßband nehmen und bestätigen, wenn Sie möchten …

Jetzt zeigen Sie Ihr tiefes Wissen über die Sicherheit im Hinterhof und dass Sie Werkzeuge besitzen, aber Sie verletzen niemanden.

Nun, der Sinn dieser Metapher/Analogie ist nicht, perfekt mit dem Akt zu korrespondieren, ein offenes Wifi zu überprüfen und einige Maschinennamen zu entdecken. Es geht darum, Ihnen die emotionale Reaktion zu zeigen, die dieses Verhalten hervorrufen kann. Sie haben Sie in ihre Büros zu einem Interview eingeladen. Sie haben etwas getan, das außerhalb der Norm eines Interviews liegt, ohne Erlaubnis oder Einladung, als sie nicht da waren, um Sie dabei zu sehen. Und Sie kritisierten ihre Handlungen im selben Absatz, in dem Sie ihnen erzählten, was Sie getan hatten. Mindestens einer von ihnen war schockiert und verärgert. Das obige Gedankenexperiment soll Sie zu einem Verständnis dieser Gefühle des Schockierens und der Aufregung führen.

Um die Metapher/Analogie hinter sich zu lassen: Wie hätten Sie damit besser umgehen können? Anstatt Ihre Ergebnisse schon früh im Interview zu verraten, hätten Sie warten können, bis der Sicherheitsaspekt diskutiert wird, und dann sagen können: “Viele gute Unternehmen haben keine Ahnung, dass ihre Netzwerke für einige der neueren Angriffe anfällig sind. Ich könnte einen 5-minütigen Scan über Ihr Gast-Wifi durchführen, wenn Sie möchten”. Sie könnten dieses Angebot natürlich mit Zuversicht machen, weil Sie es bereits in der Lobby getan haben :-). Jetzt zeigen Sie Ihre Fähigkeiten und Ihre Werkzeuge, im richtigen Kontext und mit Erlaubnis. Sie haben ihnen sogar eine Gesichtswahrung eingerichtet - dass es nicht bedeutet, dass sie Idioten sind, wenn Sie etwas finden. Wenn Sie es finden, können Sie ihnen sagen, dass Sie wissen, wie Sie die Dinge ändern können, damit die Schwachstelle geschlossen wird. Jetzt wollen sie Sie einstellen, anstatt beleidigt zu sein.

77
77
77
2018-05-20 12:18:42 +0000

Ich habe ihnen gesagt, dass dies ein ernstes Problem ist und nicht warten sollte, bis ich oder jemand anderes eingestellt wird.

Hatte ich Recht, als ich ihnen sagte, dass ich das getan habe?

Einem Interviewer eine Vorlesung zu halten, ist selten ein guter Weg, um einen Job zu bekommen.

Habe ich meine Chancen bei ihnen zunichte gemacht?

Es gibt keine Möglichkeit, die Antwort darauf zu erfahren, es sei denn, Sie hören direkt von ihnen.

Sollte ich es bei anderen Stellenangeboten noch einmal machen (wenn etwas zufällig entdeckt wurde)?

Warten Sie, bis Ihre Einschätzung ausdrücklich erbeten wird oder bis Sie eingestellt werden.

62
62
62
2018-05-20 19:09:39 +0000

Es war sehr unklug, einen Scan in ihrem Netzwerk durchzuführen, und an einigen Orten hätten Sie wegen eines Verbrechens angeklagt werden können.

Vielleicht möchten Sie sich über den Fall von Randall Schwarz , einem bekannten Tech-Autor, informieren. In den 1990er Jahren war er als Vertragssystemadministrator für die Super-Computer-Gruppe bei Intel tätig. Er war um die Sicherheit in der Gruppe besorgt, also ließ er einen Passwort-Cracker für einige Konten seines Kollegen laufen. Obwohl er ein Auftragnehmer von Intel war, gehörten Sicherheits- und Penetrationstests nicht offiziell zu seinen Aufgaben, und er wurde schließlich wegen seiner Aktivitäten zu zwei Schwerverbrechen verurteilt. Viele hielten die Verurteilungen für Ungerechtigkeiten, und 2007 wurden die Verurteilungen versiegelt. Wie dem auch sei, es zeigt einem, in welch tiefem Wasser man landen kann, wenn man sich entscheidet, bei Sicherheitslücken zu helfen, ohne tatsächlich darum gebeten zu werden.

36
36
36
2018-05-20 16:26:56 +0000

Ich werde zu den meisten der Antworten hier einen Gegenstandpunkt einnehmen. Die anderen Antworten sind richtig, aus rein unternehmerischer Sicht sind Sie im Unrecht. Ich glaube jedoch, dass Sie das, was Sie getan haben, getan haben, weil Sie von Ihren Fähigkeiten überzeugt sind, und Sie suchen nach Problemen, die es zu beheben gilt, die zwar großartige Eigenschaften haben, aber nicht in jede Unternehmenskultur passen.

Es wird einige Stellen geben, die damit einverstanden sind, aber eine solche Unabhängigkeitssträhne ist auch für das Unternehmertum großartig. Sie könnten gut geeignet sein, Ihr eigenes Unternehmen zu gründen.

Also, ich würde sagen, Sie sind 3 Optionen: 1. Versuchen Sie, sich mehr an die Unternehmenskultur anzupassen, 2. passen Sie sich nicht an, aber riskieren Sie, keine Arbeit zu bekommen, 3. gehen Sie den Weg des Kleinunternehmertums.

32
32
32
2018-05-21 09:14:54 +0000

Kurze Antwort:

Nicht testen|Zugriff|Hacke nichts ohne ausdrückliche Genehmigung.

Habe ich damit meine Chancen vernichtet?

Ganz sicher.

Ps: Downvote so viel du willst, aber der OP hat eine der ersten Regeln in IT/Pentesting gebrochen, und das ist das einzige Ziel meiner Antwort.

16
16
16
2018-05-20 16:54:26 +0000

Unabhängig davon, ob Sie die Stelle bekommen oder nicht und ob dies Ihren Chancen förderlich oder hinderlich war, war das, was Sie getan haben, unprofessionell und möglicherweise illegal. Hätten Sie sich ihre öffentliche Website angeschaut oder hätten sie ein völlig offenes Netzwerk (ohne Passwort) gehabt, wären Sie auf festerem Boden gestanden.

Sie waren zu diesem Zeitpunkt nicht eingestellt worden, und Sie haben ihr Netzwerk faktisch angegriffen und nach Schwachstellen gesucht. Als Fachmann sollten Sie wissen, dass Sie das nicht ohne vorherige Absprache und Untersuchung möglicher Konsequenzen tun sollten. Es gibt eine etwas verwandte Frage zum Sicherheits-Stack – Sie fragen, ob ein Pentestunternehmen einen Vertrag unterzeichnen sollte, in dem es verspricht, keine negativen Folgen des Tests zu befürchten und den entstandenen Schaden zu decken. Die akzeptierte Antwort lautet: “Ich habe Systeme mit einem Port-Scan umgestoßen”. Es ist unmöglich zu wissen, was ein fremder Code tun wird, und damit auch nicht zu wissen, welche negativen Folgen ein Intracting mit diesem Code haben könnte. Sie setzen ihre Organisation einem Risiko aus, ohne Vorwarnung, Zustimmung oder Rechtfertigung.

Ihr System so zu benutzen, wie es benutzt werden soll, und zu sehen, was passiert, ist gerechtfertigt, nicht standardmäßige Benutzung nicht. Dazu gehört auch der Versuch, Benutzername/Passwort zu erraten - die Standardnutzung besteht darin, einen Benutzernamen und ein Passwort zu haben, nicht zu versuchen, eines zu finden.

13
13
13
2018-05-21 12:17:05 +0000

Alle Antworten sind richtig IMHO, sowohl diejenigen, die das Verhalten fördern, als auch diejenigen, die es entmutigen, aber mir fehlt etwas Wichtiges : die Tatsache, dass das Interview mit verschiedenen Personen geführt wurde, die zufällig unterschiedliche Ziele haben.

Der IT-Chef wünscht sich jemanden, der in der Lage ist, über den Tellerrand hinauszuschauen, jemand, der in der Lage ist, Initiativen zu ergreifen und eventuelle Mängel leicht zu erkennen. Natürlich ist er an einem solchen Profil interessiert.

Der HR-Chef will die Firma vor den Mitarbeitern schützen. Das ist die Aufgabe. Jeden Schaden identifizieren, den ein Mitarbeiter anrichten könnte, und die Firma davor schützen. Meistens ist es eher auf der Ebene des Rechts oder der Beziehung, aber wenn die Personalabteilung der Meinung ist, dass es einen potentiellen Mitarbeiter gibt, der clever genug sein könnte, die Standardwertpapiere zu umgehen, außerhalb einer von den hohen Tieren kontrollierten Prüfung, dann wird er das tun, wofür er bezahlt wird: das Unternehmen vor dem (noch nicht) Angestellten schützen.

Daher die Vielfalt der Antworten. Wenn Sie nur mit dem IT-Chef gesprochen hätten, dann wäre Ihr Verhalten (ungeachtet rechtlicher Fragen) klug gewesen. Das ist es, was er braucht. Aber da die Personalabteilung anwesend war, hätten Sie seine Rolle berücksichtigen sollen: die natürliche Ordnung und Hierarchie des Unternehmens zu bewahren.

Seien Sie sich bewusst, dass die meisten Unternehmen mehr als bereit sind, etwas Effizienz zu verlieren, um mehr Kontrolle über ihre Mitarbeiter zu erlangen. Wenn Sie nach einem Job im Unternehmensumfeld suchen, sollten Sie zumindest vor denjenigen, die dafür bezahlt werden, die Einhaltung der Regeln vorzutäuschen. Und versuchen Sie, sie tatsächlich zu respektieren, solange es Sie nicht offensichtlich daran hindert, Ihre Arbeit zu tun. Und die erste Regel lautet: Schauen Sie nicht unkontrollierbar aus. In der Welt der Unternehmen haben die Manager die Macht und sehen Management als die Wissenschaft der Kontrolle (ob es richtig oder gut ist, ist eine weitere Debatte, die ich nicht eröffnen werde).

Die Falle ist, dass Sie Ihre Rede vor zwei verschiedenen Zuhörern mit gegensätzlichen Bedürfnissen und Erwartungen gestalten mussten. Versuchen Sie, beim nächsten Mal an beides zu denken.

7
7
7
2018-05-21 16:15:42 +0000

Wenn es um Informationen oder Ideen geht, die wir besitzen, mag es manchen kontra-intuitiv erscheinen, aber es ist suboptimal, allen alles zu erzählen. Ich habe länger gebraucht, als ich zugeben möchte, um vollständig zu verinnerlichen, dass ich einfach nichts sagen und es für mich behalten konnte.

HR wird so etwas nie anders nehmen, als Sie es beschreiben. Jeder, der NetSec nicht versteht, wird Sie und Ihren Kommentar wahrscheinlich mit äußerster Vorsicht betrachten. Interaktionen sowohl in der Öffentlichkeit als auch auf der Bühne und auf der Leinwand sollten die Wahrheit verdeutlichen, es gibt eine ganze Kategorie von Tropen im Zusammenhang mit “wohlmeinenden Spezialisten, die versuchen, Leute zu warnen, die nichts von potentieller Gefahr verstehen”, die am Ende von den ungewaschenen Heiden bestraft werden, denen sie zu helfen versuchten.

Behalten Sie es für sich.

Sie hätten also möglicherweise etwas Tangentialistisches zur Sprache bringen und das Gespräch dorthin lenken können, wo eine stark bearbeitete Version Ihrer Kommentare als organischer empfunden werden könnte.

Wahre Geschichte: Ich habe einmal an einem Ort gearbeitet, an dem ein Mann eine Schwachstelle im Intranet-Blog des Unternehmens gefunden hat. Während er zu Hause war, schrieb er von außerhalb des Netzwerks unter Ausnutzung der Schwachstelle in den Blog. Als er dann am nächsten Tag hereinkam, schickte er seinen brillanten Fund und den Beweis, dass es möglich war, an die IT-Abteilung. Er erhielt sofort den Heldenstatus und einen riesigen Bonus, eine Gehaltserhöhung und eine Beförderung. Nur ein Scherz, er wurde sofort gefeuert.

Sie können jedes Wort dieser Antwort außer Acht lassen, wenn Sie sich an diesen Fünf-Wörter-Satz erinnern wollen: “Recht haben ändert selten etwas. ”

6
6
6
2018-05-20 14:10:26 +0000

Ich werde versuchen, eine weitere Perspektive hinzuzufügen.

Hatte ich Recht, als ich ihnen sagte, dass ich das getan habe?

Es gibt Länder, in denen der Beitritt und das Scannen des Netzwerks von vornherein illegal ist. Stellen Sie sich vor, Sie finden einen LAN-Port auf dem Gelände und benutzen ein Ethernet-Kabel, um sich mit ihrem Netzwerk zu verbinden.

Es ist möglich, dass die Personalabteilung dies weiß, da sie sich der damit verbundenen Gesetze besser bewusst ist.

Es liegt in der Verantwortung der Personalabteilung, solche rechtlichen Verpflichtungen für das Unternehmen zu verwalten. Es ist möglich, dass sie aus diesem Grund weniger begeistert davon waren.

5
5
5
2018-05-21 15:59:08 +0000

Aus der Perspektive von jemandem, der Informationssicherheit betreibt: Was Sie getan haben, war nicht klug.

Wollten Sie damit zeigen, dass Sie ein Experte für Sicherheit sind? Wenn Sie in diesem Fall einfach zeigen, dass Sie

  • eine Verbindung zu einem offenen WiFi herstellen können

  • dass einige ihrer Rechner in diesem Netzwerk waren

Wenn Sie dies als Sicherheitsproblem markieren, dann wissen Sie leider nicht viel über Sicherheit. Dieser IT-Manager weiß auch nicht viel über Sicherheit. Das wird wahrscheinlich eines Tages explodieren.

Dieser Schritt war also nicht gut.

Vielleicht war es, um Proaktivität zu zeigen? Nun, in diesem Fall sollten Sie wirklich nicht im Sicherheitsbereich arbeiten, denn Sie schaden Ihrem Unternehmen, wenn Sie solche Dinge tun. Im Sicherheitsbereich gibt es Einstellungsregeln, und von einem Mitarbeiter wird erwartet, dass er sie befolgt. Sie sind kein Hacker, Sie sind kein Kopfgeldjäger. Sie dürfen diese Dinge nicht tun.

Wie auch immer man es betrachtet, es war ein dummer Schachzug, wenn Sie eingestellt werden wollten.

2
2
2
2018-05-24 21:03:21 +0000

Also, sehen wir mal. Von meinem Standpunkt aus gesehen:

  1. Entdeckte ein offenes Netzwerk; (OK)
  2. Mit ihm verbunden; (OK)
  3. Entdeckte, dass es eine Benutzerkennung bzw. ein Passwort benötigt; (OK)
  4. befragte Geräte um Sie herum bei einem offensichtlichen Hacking-Versuch; (NICHT OK)
  5. prahlte damit (DUMM!)

Nun lassen Sie uns Ihre Fragen einzeln behandeln:

  1. Hatte ich Recht, als ich ihnen sagte, dass ich das getan habe? Nicht, wenn Sie den Wunsch hatten, für dieses Unternehmen zu arbeiten. Beachten Sie auch, dass die meisten Unternehmen, für die ich gearbeitet habe, eine Warnung anzeigen, wenn Sie sich verbinden oder einloggen, in der etwa steht: “Unbefugter Zugriff ist nicht gestattet. Wir werden die Behörden kontaktieren und Sie strafrechtlich verfolgen, wenn Sie es versuchen”. Beachten Sie auch, dass Unwissenheit keine Entschuldigung ist.

  2. Habe ich meine Chancen bei ihnen zunichte gemacht? Wenn ich der einstellende Manager wäre, würde ich Sie nicht mit einer 10-Fuss-Stange berühren. Sie sind ein zugelassener Hacker, stolz darauf, und ein Sicherheitsvorfall, der darauf wartet, zu passieren.

  3. Sollte ich es bei anderen Stellenangeboten noch einmal tun (wenn zufällig etwas entdeckt wird)? Das kommt darauf an. Wollen Sie einen Job bekommen oder wollen Sie angeben? Wenn ersteres der Fall ist, tun Sie das nie wieder. Wenn Letzteres - nun ja, es ist Ihr Leben, Kumpel…

  4. Wie kann ich mir mit dieser Art von Informationen im Vorstellungsgespräch einen Vorteil verschaffen? Das können Sie nicht. Alles, was Sie tun können, ist, die Leute nervös zu machen, und Leute, die nervös darüber sind, was Sie getan haben, tun können oder tun könnten, werden Sie nicht einstellen. Sehen Sie sich die Nachrichten an - alle paar Wochen wird ein anderes Unternehmen gehackt, Kreditkarten und andere persönliche Daten werden gestohlen, und sie sehen wie Idioten aus, und ihre Kunden könnten sich umdrehen und sie verklagen. Als jemand, der in der IT-Abteilung eines großen Einzelhändlers arbeitet, kann ich Ihnen sagen, dass dies eines der Dinge ist, die Menschen wie mich beunruhigen. Wenn wir glauben, dass Sie auch nur möglicherweise ein Problem darstellen, werden Sie nicht eingestellt. Ende der Geschichte.

Viel Glück.

1
1
1
2018-05-22 12:57:17 +0000

Was Ihre Chancen betrifft, so hängt dies stark von den Befugnissen des IT-Managers und des HR-Managers ab. Sie hängt auch von der Art und Weise ab, wie Sie sie präsentiert haben. Wenn es hieß: “Ich sah mehrere Computer mit XYZ-wie auch immer heißen mögen, die an ein ungesichertes Netzwerk angeschlossen waren”, war es eher eine Beleidigung für denjenigen, der den Eigentümern erlaubte, sich an das Netzwerk anzuschließen. Wenn es hiess: “Ich habe Ihren Computer, Mr. Averagejoe, mit dem ungesicherten Netzwerk verbunden gesehen”, war es eine Beleidigung für Mr. Averagejoe.

Wenn Sie im Begriff sind, ein Sicherheitsexperte zu werden, ist eine Paranoia nicht zwingend erforderlich, aber sie hilft. Ihre Überprüfung, wer bei Ihnen (im offenen Netzwerk) dabei ist, zeigt deutlich Ihre Einstellung zu Ihrer möglichen Position. Deshalb war der IT-Manager beeindruckt.

Andererseits war Ihre Präsentation Ihrer Ergebnisse ziemlich unhöflich. Deshalb unterstützt und kontert Sie der HR-Manager.

Vielleicht haben Sie Öl in einen offenen Kampf zwischen den IT-Jungs, die die Sicherheitsprobleme zu stoppen suchen, und den anderen mit der Einstellung “Was zum Teufel reden die Komischen da? So etwas wie Moss’ Rede darüber, die Firewall in der IT-Crowd S2E1 nicht zu deaktivieren.

Machen Sie diese Überprüfung beim nächsten Mal vorzugsweise dann, wenn Sie im Interview gefragt werden. Wenn Sie nicht widerstehen können, halten Sie die Ergebnisse für den Moment fest, in dem sich die Eindringlinge außerhalb des Stimmbereichs befinden und Sie nur über das IT-Personal sprechen.

0
0
0
2018-05-30 23:45:58 +0000

Dies wird Ihre Chancen schmälern weil Sie gezeigt haben, dass Sie das Konzept des _Bereichs der Verantwortung nicht verstanden haben. _ Sie:

  • haben es versäumt, zu erklären, wie Sie dazu befugt sind (unabhängig davon, was die Gesetze sagen mögen: Sie müssen _Sie _Sie, _nicht den Richter überzeugen) und die Auswirkungen Ihrer Handlungen in nicht-technischen Begriffen
  • begannen ihnen zu sagen (im Gegensatz zu bloßen Vorschlägen), wie sie die Dinge tun sollten, ohne die Person zu sein, die für diese Dinge verantwortlich ist, oder ein beauftragter Berater

  • In etablierten Umgebungen hat jeder Bereich und jede Aufgabe eine Person, die dafür verantwortlich ist (praktisch immer eine einzige Person; Gruppenentscheidungen sind typischerweise nur bei komplexen, strategischen Angelegenheiten gerechtfertigt und nicht bei alltäglichen Aufgaben). Diese Person ist die einzige, die in diesem Bereich Entscheidungen treffen kann. Damit soll sichergestellt werden, dass sie das Gesamtbild hat und eine einheitliche Vision darauf angewendet wird.
  • Wenn Sie nicht diese Person sind und ein Problem sehen, ist es Ihre Aufgabe, es ihnen zu bermitteln und es ihnen überlassen, wenn etwas dagegen unternommen werden muss.
  • Denn selbst wenn Sie wissen, dass es sich um ein Problem handelt, haben Sie nicht das Gesamtbild, um alle Vor- und Nachteile abwägen zu können, und Sie werden nicht die Verantwortung für Ihr Handeln tragen. Wie andere bereits gesagt haben, ist Sicherheit eine Übung im Risikomanagement: Etwas zu tun lohnt sich nur dann, wenn es weniger kostspielig ist, es zu tun, als es nicht zu tun.
  • (Kommentare von Möchtegern-Rebellen vorwegnehmen:) Es ist möglich und manchmal auch der richtige Weg, um etwas zu erreichen, aber es ist eine ernste und riskante Angelegenheit, da Sie die Vorgesetzten irgendwie davon überzeugen müssen, die ziemlich hohen Kosten auf sich zu nehmen, wenn Sie die Kompetenz eines wichtigen Untergebenen in Frage stellen (eine unabhängige Bewertung ihrer Fähigkeiten und ihrer Arbeit ist Zeit, Geld und dauerhafte Unzufriedenheit dieser Person, unabhängig von der Methode und dem Ergebnis).

  • Was Sie ihnen über den Scan erzählt haben, klang im Grunde genommen für eine Person, die nicht aus der Technik kommt: “Ich bin in Ihr Netzwerk eingedrungen und habe möglicherweise Ihr Geschäft gestört - alles nur, weil mir danach war”.
  • Das provozierte eine Abwehrreaktion. “Nein, unser Geschäft ist sicherlich gut genug geschützt, wenn wir noch im Geschäft sind, und Sie könnten es sicherlich nicht so leicht durchbrechen! Was Sie behaupten, kann nicht wahr sein und ist schlichtweg Verleumdung (‘denn das würde unserem Ruf schaden, wenn andere es glauben (egal, ob es wahr ist oder nicht), also werden wir das definitiv nicht gutheißen!”
  • Und eine Person mit einer solchen Denkweise ist sicherlich nicht jemand, den sie im Umkreis von einer Meile um ihre kritische Infrastruktur sehen möchte.
  • Nun, das ist natürlich nicht das, was Sie getan haben. Aber Sie haben es versäumt, das in einer für sie verständlichen Weise zu vermitteln.
  • Sie hätten das in etwa so formulieren sollen: “Als ich in der Lobby wartete, bemerkte ich ein offenes Wifi-Netzwerk mit dem Namen Ihres Unternehmens. Da zu meinem Aufgabenbereich die Informationssicherheit gehört, habe ich die Gelegenheit genutzt, um mir ein Bild von Ihren derzeitigen Praktiken zu machen. Ich habe dies und das bemerkt, was eine potentielle Schwachstelle ist, auch wenn es davon abhängt. "1 Wenn sie immer noch ängstlich aussehen, fügen Sie etwas hinzu wie: "Wenn sie immer noch ängstlich aussehen, fügen Sie etwas hinzu wie "Ich kann mit Zuversicht sagen (und Ihre Kollegen würden das bestätigen), dass dies bei einer Stabilität von z.B. einer Standard-Windows-Installation absolut nichts stören könnte.”
  • Das würde zeigen, dass Sie dazu befugt sind, weil von guten Kandidaten erwartet wird, dass sie das Unternehmen proaktiv durchleuchten; Sie haben die Risiken abgewogen und eine informierte Entscheidung getroffen; und Sie deuten lediglich an, dass dies ein Problem sein könnte, anstatt offen zu sagen, dass dies ein Problem sein könnte, da Sie nicht der Verantwortliche sind und daher nicht über die vollständigen Informationen verfügen, um solch kategorische Aussagen machen zu können.

1über die Reichweite des Netzwerks, wie lange und wie oft Maschinen darauf bleiben, welche Art von Informationen und/oder Funktionalität sie enthalten und wie gut sie gesichert sind.

Verwandte Fragen

11
21
22
19
2