Tanggung jawab manajer adalah mengelola risiko.
Ketika lubang keamanan lintas-skrip ditemukan di Gmail, ini menghadirkan risiko yang sangat kritis yang harus segera diselesaikan oleh tim. Karena ada jutaan pengguna Gmail, jika saya menulis aplikasi Web yang mengeksploitasi kelemahan ini, akan ada peluang bagus bahwa pengguna aplikasi Web saya mungkin menggunakan Gmail dan mungkin membukanya di tab lain. Jadi, sebagai phisher, mungkin layak bagi saya untuk membangun aplikasi semacam itu untuk mendapatkan akses ke data pengguna.
Pertanyaan yang mungkin ditanyakan oleh manajer Anda kepada dirinya sendiri adalah: Seberapa berisiko lubang keamanan ini? Apa kemungkinan ada aplikasi Web di luar sana yang menargetkan lubang keamanan khusus ini di situs tertentu ini? Apa risiko bahwa karyawan yang mengunjungi Situs Web kami juga menggunakan situs web pihak ketiga ini?
Dalam pengalaman saya, jika situs Anda tidak mendapatkan banyak lalu lintas, maka tidak ada banyak risiko.
Bos Anda mungkin berpikir bahwa biaya peluang untuk tidak memperbaiki lubang keamanan khusus ini yang mungkin atau mungkin tidak menjadi masalah, adalah bahwa ia malah dapat memfokuskan sumber daya pada kegiatan yang akan membantu mengembangkan bisnis dan menghasilkan pendapatan.
Dengan itu, ada masalah yang sangat mirip dengan ini di mana Github diretas, dan ada pertanyaan tentang Manajemen Proyek SE yang mencakup topik ini dari perspektif manajemen proyek. Pengguna yang meretas Github berada dalam situasi yang sama dengan Anda, dan hak istimewa Github-nya ditangguhkan untuk jangka waktu tertentu.
Pertanyaan saya kepada Anda adalah ini: Apa yang terjadi pada bisnis Anda jika situsnya turun? Apa kemungkinan bahwa Anda bahkan akan melihat lubang keamanan ini dieksploitasi?
Jika Anda benar-benar memilih untuk mengejar ini, Anda harus secara objektif memperoleh bukti bahwa ini adalah ancaman nyata yang nyata terhadap kelangsungan bisnis.
Berikut adalah beberapa saran untuk mendapatkan bukti bahwa ini adalah masalah nyata:
Lakukan pencarian Google untuk mencari artikel berita, blog, atau pengalaman lain dari perusahaan yang telah mengalami masalah besar sebagai akibat dari celah keamanan serupa yang terkait. Tunjukkan bahwa ini memang risiko yang layak ditangani sebagai pengganti peluang bisnis lainnya.
Diskusikan dengan tenaga teknis lainnya di tim dan dapatkan wawasan mereka. Jika masalah ini sangat parah, Anda harus dapat menemukan orang lain yang dapat mendukung Anda juga. Jika tidak, maka kekhawatiran Anda tidak dijamin atau Anda memiliki masalah besar dalam keamanan dalam budaya perusahaan Anda.
Diskusikan opsi lain dengan departemen TI Anda untuk menambal lubang yang melibatkan solusi perbaikan lebih cepat yang - meskipun tidak ideal - dapat mengurangi risiko dan memberi Anda ketenangan pikiran tanpa merusak celengan perusahaan. Terkadang sejumlah kecil pekerjaan dapat membantu menghilangkan sebagian risiko, jika tidak semuanya.
Jika poin-poin di atas tidak berhasil, maka saya pertimbangkan untuk membiarkannya, dan tahu bahwa masalah-masalah ini hanya akan menjadi bagian normal dari manajemen risiko bisnis.