نوشته‌شده در

انطباق – پیامدهای ناشی از عدم امکان خروج از فرم های مایکروسافت

من با برخی از ناامیدی در تلاش برای استفاده از فرم Microsoft Forms در دفتر 365 و عدم پشتیبانی از خروج از هنگام مسابقه (نوعی از نوع در برنامه). من تعجب می کنم که آیا زاویه ای وجود دارد که من بتوانم درمورد حفظ حریم خصوصی، رعایت GDPR یا سایر اهرم های تنظیم کننده ای که می توانند برای دریافت تیم محصول به مرحله ساده اضافه کردن یک پیوند خروجی کار به محصول خود مراجعه کنند، مورد استفاده قرار گیرد.

متن تقریبا همه در اینجا در پیشنهاد مایکروسافت UserVoice است، اما برای تکرار، شما می توانید یک مسابقه در قالب های مایکروسافت به طوری که یک کاربر فرم کامل و سیاهههای مربوط به دفتر 365، اما همچنان به برنامه Office 365 فرم ها وارد شده است. هیچ دکمه خروج از سیستم و یا پیوند در صفحه برای فرم مسابقه وجود ندارد و تنها راه برای خروج این است که کش و کش و کوکی ها را پاک کنید. اگر شما در حال ایجاد یک فرم و نه فقط در صفحه برای گرفتن و ارسال مسابقه هستید، یک پیوند خروجی وجود دارد که به نظر می رسد کار می کند. این پیوند در صفحه آزمون وجود ندارد و هیچ نشانه ای از اینکه چه کسی وارد سیستم شده است وجود ندارد.

مایکروسافت انکار می کند که هیچ مشکلی با این واقعیت وجود ندارد که خروج از دفتر 365 از همه برنامه های Office 365 شما را وارد نکنید. مایکروسافت بیان می کند که پیکربندی مرورگر در حالت ناشناس / خصوصی یا کوکی ها را به صورت خودکار پاک می کند و در بستن مرورگر باید به عنوان راه حل مورد توجه قرار گیرد. حالت ناشناس کارها را کند می کند و این قبیل رایانه های قدیمی هستند. سافاری یکی از مرورگرهای اصلی ما است و درک من این است که امکان پیکربندی آن برای پاک کردن حافظه پنهان و کوکی ها در هنگام خروج وجود ندارد.

من می فهمم که بدست آوردن یک چوب بزرگتر به آنها کمک می کند خطای روش های آنها را ببینند. با وجود همه چیز، کاربر می تواند فکر کند که آنها از سیستم خارج شده اند: آنها از سیستم Office 365 خارج می شوند، اما فرمها همچنان وارد سیستم می شوند. داده ها و حساب آنها برای فرد بعدی برای استفاده از رایانه در دسترس هستند. این در مدرسه با دستگاه های مشترک است که در میان کاربران مختلف در سراسر روز منتقل می شود. آیا اساسا برای یک شکایت یا به مقام مسئول حفظ حریم خصوصی مایکروسافت، افسر صدور گواهینامه GDPR مایکروسافت یا خود سازمان های مربوطه نظارتی وجود دارد؟

آیا شما فکر می کنید این یک مسئله مربوط به نظارت قانونی با برخی از شایستگی است یا مایکروسافت منطقی در بیان اینکه حالت ناشناس و / یا پاکسازی مرورگر یک راه حل قابل قبول است که سازمان باید برای اطمینان از حریم خصوصی کاربران داده شود؟

نوشته‌شده در

ذخیره سازی داده های مشتری ایمن (انطباق)

من یک نقص داده ای را در بر داشتم که در آن توسعه دهندگان یک سازمان برخی از اطلاعات مشتری PII را در حساب github خود ذخیره کردند. حس مشترک به من می گوید که این چیزی است که به وضوح احمقانه و بی دقت است.
سوال من این است که آیا استانداردهای امنیتی وجود دارد که به طور خاص تنظیم می کند که چگونه و چگونه سازمان باید داده های مشتری ذخیره شده را ذخیره کند؟ من NIST 800-53 را بررسی کرده ام و کمی زحمت کشیدم ولی هیچ راهنمایی روشن نداشتم. مانند مثال اگر سرور پایگاه داده باید در محیط شبکه داخلی کنترل شده پشت فایروال باشد، داده ها رمزگذاری شده و غیره
در مثال نقض اطلاعات، داده ها به سرور عمومی github با تنها یک رمز عبور محافظت از داده ها گذاشته شد و احتمالا این حساب احتمالا به اشتراک گذاشته شد.
هر گونه مراجعه به استانداردهای خاص (و پاراگرافها) بیشتر مفید خواهد بود.

نوشته‌شده در

ویندوز – آیا مشترک برای مجوز دسترسی محلی مدیر برای توسعه دهندگان در سازمان ها

من در یک شرکت با کارکنان حدود 1000+ کار می کنم. ما در حال حاضر کارکنان برنامه نویسی را توسعه می دهیم که بر روی پروژه های وب (حدود 50 نفر) کار می کنند. به تازگی به علت نگرانی های امنیتی، بخش فناوری اطلاعات و امنیت ما محدودیتی را به وجود نمی آورد که دیگر اجازه دسترسی به مدیران محلی را در ماشین نداشته باشد. کل شرکت سیستم عامل ویندوز را برای هر دو ایستگاه های کاری و سرورها اجرا می کند. من به طور کامل با تصمیم مدیر حذف موافقت کردم، صادقانه فکر کردم که آن را خیلی دیر شده بود (شرکتی که برای انجام کار با داده های بیمار HIPPA کار می کردم). متاسفانه من معتقدم که آنها تصمیمی گرفته اند تا به دور. من تصمیمی گرفتم که زیر گروه یا گروه AD برای کاربران ایجاد شود که به طور قانونی نیاز به مدیریت دسترسی به کار خود دارند (EX تیم برنامه نویسی من) چیزی شبیه یک گروه فنی است که دسترسی مدیر را حفظ می کند. با این حال این مورد نبود، تنها گروه گروه مدیریتی خاص برای کارمندان شبکه و سرویس دهنده ایجاد کردند.

مشکل اصلی این است که توسعه دهندگان وب ما برنامه هایی را اجرا می کنیم که نیاز به دسترسی به مدیر محلی دارند و متاسفانه نمی توانند بدون اینکه آنها را به عنوان مدیر اجرا کنند کار ما را انجام دهند. برنامه های نمونه شامل ویژوال استودیو برای توسعه وب ASP.NET، MAMP برای توسعه محلی، آهنگساز و غیره. من اعتقاد دارم که دلیل اصلی این برنامه ها دسترسی به مدیریت است زیرا آنها نیاز به اجرای و اصلاح IIS محلی، خط فرمان و غیره دارند.

اساسا، زمانی که دسترسی مدیر مدیریت محلی حذف شد، به طور خلاصه بود. بعد از حدود 2 روز از تیم توسعه در آب از نظر توانایی کار، من و دیگر رهبران تیم عمیقا فریاد و فریاد در کارکنان فناوری اطلاعات برای ارائه یک راه حل آنها در نهایت به تصویب رسید و یک برنامه شخص ثالث را پیدا کرد که به عنوان یک گذر از طریق اجازه می دهد که مدیران توانایی برای برنامه های خاص برای اجرا به عنوان مدیر، حتی اگر ما دسترسی به مدیریت محلی ندارد.

متاسفانه، این برنامه ما برای دسترسی به مدیریت محلی مورد استفاده قرار می گیرد فوق العاده حیرت انگیز و غیر قابل اعتماد است و نه از یک منبع معتبر و به نظر می رسد برای جایگزین کردن آنها بسیار (من ترجیح می دهم که برنامه ما استفاده نمی شود).

به هر حال … بنابراین حالا به سوال من، آیا معمول است اجازه نمی دهد برنامه نویسان / توسعه دهندگان دسترسی مدیر محلی در یک شرکت یا شرکت؟ و اگر این کار معمول است این کار را انجام دهید، پس چگونه برنامهنویسان برنامه هایی را که به عنوان مدیر محلی نیاز دارند اجرا می کنند؟

اطلاعات کمی در مورد محیط شبکه ما (نه این که واقعا مربوط به سوال من فقط فکر کردم من این را اضافه کنید):

  1. ما از AppBlocker برای جلوگیری از برنامه ها در یک لیست تایید
  2. ما از یک ایمیلی امنیتی ایمن که چیزهایی مانند اسکن و تبدیل فایل پیوست به PDF و غیره را انجام می دهد.
  3. ما حداقل دو برنامه مهم ضد ویروس بر روی تمامی ایستگاه های کاری داشته ایم.
  4. شبکه و سرورهای آن بسیار جدانشدنی هستند، کاربران فقط به سرورها، پوشه ها و پایگاه های داده ای دسترسی دارند که به طور قانونی نیاز به دسترسی دارند.

نوشته‌شده در

انطباق – چگونه حفظ تعادل بین صداقت و رضایت مشتری در ارزیابی آسیب پذیری

من تعدادی از ارزیابی های آسیب پذیری را انجام داده ام و متوجه روند شده ام. در اولین ارزیابی، مشتریان تحت تأثیر حفره های عظیم امنیتی قرار می گیرند و از آنها سپاسگزارم. در طول ارزیابی های دوم و سوم، آنها احساس نا امیدی می کنند زیرا امیدوار بودند که "گزارش پاک" را به دست آورند که می توانند در بسته بازاریابی خود قرار گیرند و به مشتریان بالقوه خود شگفت زده شوند.

با وجودی که آنها در تلاش برای مقابله با مسائل کار خوبی دارند، مشکل این است که من در کارم بهتر هستم، بنابراین همیشه بیشتر پیدا می کنم. در بالای این همه چیز، امنیت کامل وجود ندارد. من معتقدم که تنها "گزارش تمیز"، جایی است که ارزیاب به اندازه کافی عمیق نگشت. با توجه به ماهیت ارزیابی های آسیب پذیری، من علیه آنها کار می کنم – با این حال، من یک کسب و کار را اداره می کنم و باید یک راه برای همکاری با آنها را پیدا کنم.

من همچنان در آموزش بسیار مفید هستم توسعه دهندگان چگونه برای مقابله با مسائل. واقعیت این است که اغلب تئوری نمی تواند در عمل ترجمه شود. توسعه دهندگان از لحاظ تدابیر شدید و بودجه تنگاتنگ از مدیریت خود می گویند. من صنعت را می دانم، اعتماد به نفس سخت نیست.

این باعث می شود که من وضعیت ناخوشایندی پیدا کنم. مشتریان برای انجام یک ارزیابی با من ترس می کنند زیرا احساس می کنند که آماده نیستند و به اندازه کافی پچ شده اند. آنها (به طور قانونی ترس) از آنچه من پیدا کردم. بعضی حتی به من می گویند "این بار اینقدر عمیق نباشی، خوب؟" و چون نمیخواهم کسب و کارم را از دست بدهم، متوجه میشوم که تواناییهای کامل من را از دست میدهم. نیازی به گفتن نیست، این مهر و موم لاستیک لذت بخش نیست. ممکن است سودآور باشد، اما نه سرگرم کننده است. من نیز نگران این موضوع هستم که این امر منجر به عقب ماندگی خواهد شد، زیرا به ناچار کسی دیگر ارزیابی می کند که چه چیزی انجام داده و حفره های عظیم را بازبینی کرده است. آنها آنها را نتیجه می گیرند که من هیچ نظری ندارم که من انجام می دهم چون من چنین نقص آشکار را از دست دادم. اعتبار همه چیز در این صنعت است، بنابراین این یک خطر بزرگ است.

یک راه حل که من می توانم آن را در نظر بگیرم این است که من همچنان پیدا کردن مشتریان تازه و ماندن از ارزیابی های 2 و 3. پیدا کردن مشتریان تازه چیزی است که به نظر من ناامید کننده و ناکارآمد می باشد. من دوست دارم کسب و کار تکراری را انجام دهم که در طی سالها رابطه من عمیق تر می شود. این روابط طولانی مدت است که من در کسب و کارم لذت می برم. نزدیکی چیزی است که باعث ایجاد مشکل می شود. آیا کسی یک جایگزین پیدا کرده که در آن شما می توانید در معرض هر گونه نقص در پایان هر زمان در حالی که یک مشتری راضی است؟ یا من فقط رویای؟

راه حل دیگری که من سعی کردم محدود کردن دامنه است. اگر من فقط یک بخش کوچکی از پشته را آزمایش کنم، مشتری می تواند آنچه را که دنبال می کنید را دریافت کند: یک گزارش پاک. اما نادر است که آنها با آن موافقند. آنها معمولا همه چیز را آزمایش می کنند. آنها نمی توانند کیک را بخورند و آن را بخورند، اما من با آنها ارتباط برقرار می کنم.

من فکر می کنم پاسخ من به سوال من را می دانم. من فقط تعجب می کنم که آیا چیزی در اینجا از دست رفته یا اگر این تنها راه است و من باید با آن برخورد کنم.