Contacteren management/directie

Even voor mijn beeld: je wil dat lek dus melden om de bouwers aan de schandpaal te nagelen i.p.v. het bedrijf te helpen?

Bel ze op en vraag of je doorverbonden kunt worden / een telefonische afspraak kunt maken met de directeur (of andere hoge pief).

In dat geval zou je kunnen uitzoeken wie er in de directie zitten en één van hen kunnen opzoeken op Linkedin en hem/haar op die manier benaderen

Responsible Disclosure Policy is hier het toverwoord, en volgens mij ga jij hier niet aan voldoen

Topicstarter snapt overduidelijk niet hoe het werkt op dit vlak.

Ten eerste is de interne organisatie / communicatie een zaak van een bedrijf zelf.

Ten tweede is verantwoordelijkheid gelaagd. De afwezigheid van een responsible disclosure beleid (waar eigenlijk altijd ook een dedicated communicatiekanaal bijhoort) is voor elke toko met enige omzet en beveiligingsrisico bjivoorbeeld een ernstiger falen van (leden van) directie dan een engineer die fouten maakt. Het willen ophangen van die laatste is dus een vreemd uitgangspunt als je de context niet kent.

Wie weet heeft de ontwikkelafdeling al tijdenlang om extra middelen gevraagd om de beveiliging door te lichten of te verbeteren, maar heeft de directie het budget niet toegekend (security is altijd belangrijk, maar nooit urgent ).

Conclusie van bovenstaande twee punten zijn dus om gewoon het algemene contactgegevens te gebruiken. Indien dat niet werkt kan je escaleren.

[ Voor 15% gewijzigd door Rukapul op 04-10-2015 11:43 ]

Je kunt bij de KvK een uittreksel opvragen met de gegevens van de aandeelhouder(s).

Deze kun je vervolgens informeren met je bevindingen. Tegelijkertijd, het liefst zo spoedig mogelijk, dien je alle gegevens over het lek in bij de ICT-afdeling. De directie/aandeelhouders hebben namelijk hetzelfde doel voor ogen als de ICT'er die hiervoor verantwoordelijk is en dat is het lek zsm oplossen.

Wat denk je dat dat management doet?

"Forward to ICT/Helpdesk"

Awsom schreef op zondag 04 oktober 2015 @ 11:39:
Wat denk je dat dat management doet?

"Forward to ICT/Helpdesk"

Waarschijnlijk wel ja, maar dat is dan hun keuze. De vraag is meer wat je op deze manier probeert te bereiken? Als de reden is om hier een beloning of iets dergelijks uit te halen dan zal je waarschijnlijk bedrogen uitkomen. Ik zoek zelf ook regelmatig naar lekken en fouten in websites en rapporteer deze dan op een nette manier. Ik doe dit uit interesse en hobby-oogpunt, en zie het meer als een sport om dingen te vinden. Aangezien een "responsible disclosure" policy vaak nog ontbreekt ga ik nooit uit van een beloning (of je moet deelnemen in de grotere communities, zoals HackerOne). Ik vind het persoonlijk al leuk als ik uberhaupt een reactie krijg op meldigen die ik doe. En dat er zo nu en dan een beloning tussen zit is natuurlijk mooi meegenomen.

Mijn advies, zoals ook hierboven al vermeld: gebruik gewoon de contactgegevens die je op de website vindt en wacht de reactie af.

Ik herken de topic starter zijn probleem: verantwoordelijkheid wordt niet altijd correct genomen. Doorgaans zijn de mailadressen van het directiepersoneel niet verborgen achter muren van security en kan je met wat "social engineering" al best ver geraken, maar dat is grijs-zwart gebied. Echter vrees ik ook dat de directie het naar de IT manager gaat doorsturen en dan ben je terug bij af.

Het ligt eraan wat je wilt bereiken, maar eventueel kan een geschreven/getypte communicatie sturen naar de directie, dit kan eigenlijk anoniemer dan een mail en wordt serieuzer aangepakt.

En is het nog gelukt om contact te krijgen?