讓我們一個一個地解決您的觀點。

1. 第三方在公司範圍內的電子郵件中向公司中的每個人發送了相同的密碼。
ol>

每個人都知道的密碼不是密碼。就像將密鑰留在墊子下面，只有沒有墊子才能將其隱藏。

1. 該應用無法更改密碼。
ol>

因此，如果您丟失了鑰匙或認為其他人可能擁有鑰匙，則無法更改鎖-從第1點開始，我們知道您的鑰匙已經 。

1. 我們所有的用戶名都是預先確定的，容易猜測。
ol>

因此，擁有您鑰匙的人也知道您的住所。

1. 可以從任何設備上以任何人的身份登錄此應用程序。
ol>

將前三個放在一起-其他人擁有您的鑰匙，他們知道您的住所，並且您無法更改鎖-是的，這就是結果。任何人都可以進入應該屬於您自己的地方。為了循環利用您老闆的汽車類比，他要求所有員工鎖上汽車，但把鑰匙留在門上，然後將車停在公司停車場內，車牌上標有他們的名字。

在所有這一切，他要您使用您的個人手機進行。您的雇主無權觸摸該設備。取決於此應用程序的操作，這可能會由於無法控制的第三方安全漏洞而使您的個人數據面臨風險。

即使第三方應用不是惡意軟件，也不做任何會引起風險的事情，也無法保證該應用100％不含可能導致安全漏洞或給某些人帶來機會的偶然缺陷或錯誤。 other 惡意方加以利用。鑑於該第三方公司對基本安全做法的殘酷處理，例如“不通過電子郵件發送密碼”，“不重新使用密碼”和“始終允許用戶更改密碼”，因此其應用程序完全安全的可能性，安全且沒有漏洞。

我的建議是嘗試解釋基於風險的方法帶來的安全隱患。如果您安裝的應用程序的安全性如此低，會發生什麼？您不必解釋如何利用應用程序中較差的安全性，而只需承擔風險。對於許多管理人員而言，僅模擬就很重要，有人可能會做壞事並責怪另一個人，即使惡作劇也可能導致嚴重後果。

根據我的經驗，管理者需要在風險與收益之間取得平衡，一旦他們發現可能出了什麼問題，便開始懷疑這是否真的值得。

儘管類推在向完全不熟悉該領域的人解釋基本概念時很有用，但它們會嚴重損害專業討論。了解每個類比都是主觀，而沒有代表性是任何特定於字段的詳細信息。實際上，汽車類比特別糟糕，因為它混淆了安全性。最重要的是，謹慎使用類比，並在您感到無所適從的時候停止使用它們。

相反，我會問您的雇主如何應對您可以識別的特定威脅。首先，這個程序似乎很容易被冒充。告訴你的老闆，你如何使用這個應用程序假裝成別人，並問他將採取什麼對策來防止這種情況。

在不了解此程序可以訪問哪種數據的更多信息的情況下，我無法真正為您提供建議，但這聽起來像是可怕的安全實踐。您老闆對安全的類比也很糟糕：這是違規開始的許多方式之一。

如果在被違反的審核過程中，發現您的公司具有低於標準且極其不稱職的安全標準（例如他現在建議的標準），他可能會對客戶數據的任何損害承擔責任。 / p>

• 第三方在公司範圍內的電子郵件中向公司中的每個人發送了相同的密碼。令人震驚的是，但這取決於它的用途。 / li>

• 該應用無法更改密碼。現在，這很糟糕。如果其中一個被黑，或員工不滿而離職，該怎麼辦？

• 我們所有的用戶名都是預先確定的，容易猜測的。過去，實際上用戶名和密碼都涉及到其中的幾種實現。使用用戶名，這種情況是可以預期的。例如，許多公司將您的電子郵件地址設置為 lastfirst ， first.last 和其他變體。在這種情況下，我會更擔心密碼。

• 可以從任何設備以任何人的身份登錄到此應用程序。那麼，此應用程序有什麼作用？了解更多有關該應用程序的信息將使我們能夠提供更好的建議。

對“程序”的擔憂

以下是一些讓我擔心的事情：我已經看到了之前。它可以完全不同，也可以相同。

這聽起來像是您的雇主正試圖要求所有人在他們的個人手機上安裝一些東西，以便像木馬一樣監視您的電話使用情況。告訴您的雇主，如果提供公司電話，您將很樂意允許這樣做。

請記住，公司電話上不應包含任何私人物品。您的雇主可以並且會監聽。實際上，即使在您的個人電話上使用公司交換電子郵件，也可以讓您的雇主對其進行完全控制 。當您嘗試設置公司電子郵件時，即使在個人電話上，它也位於請求的權限中。

我認為不應該允許BYOD，並且連接到計算機的所有設備都應該屬於雇主。就個人而言，我不會在雇主網絡上使用個人電話或設備。我不想意外地將易受攻擊的設備引入網絡，也不想讓他們將易受攻擊的應用程序引入我的設備。

您的手機，您的安全性

這是您的手機，您有權根據自己的意願保護它的安全。但是，您可以考慮採用相反的方法-表示將完全不會得到保護（請參見下文）。

他們的手機，其安全性

如果公司要求您使用移動設備訪問公司數據，而這恰好在其權限之內，則 company 應該提供該設備 ，按其規格進行固定。這樣，他們負責保護應用程序所在的平台。

企業數據安全策略

請查看您的公司安全政策，並從公司安全人員的角度進行研究：

通過使用設備，他們可能無法確保應用程序提供的數據的安全性，也無法確保應用程序的安全性本身，因為您的設備不是安全平台。

貴公司對筆記本電腦有何政策？筆記本電腦是否必須具有加密的硬盤驅動器？而且，有安全感嗎？如果是這樣，那麼指向它們的電話為此提供他們自己的設備也應該如此。

翻轉參數-注意他們的 數據

（注意：如果您的公司在數據安全方面步履維艱，這可能無法正常工作。）

相反說您使設備處於超級安全狀態，而是說您不能確保設備受到保護，其他人可以訪問它，並且您對任何數據洩露或意外數據丟失不承擔任何責任。

例如，如果此應用程序以任何方式處理 PII數據，或者如果被黑客入侵可能是獲取PII數據的媒介，則您的公司數據安全員根本不允許這樣做，除非您的設備受其的控制-使其成為其設備。

如果手機丟失了怎麼辦？他們不介意其數據可訪問嗎？如果您讓表弟Willy玩手機，卻忘記了該應用程序仍處於打開狀態並可用，而Willy卻刪除數據怎麼辦？可以嗎？

通過保護自己的數據，您正在做一個商業案例，即使用個人手機存儲公司數據是錯誤的業務決策

在談論安全性時，很多人（在籬笆的兩側）都無法理解的一件事是：

您保護的是什麼？

我有一個受“保護”的帳戶，密碼很容易猜到。這是因為，如果它被黑客入侵，我不在乎。

密碼是保護您的手機還是保護公司數據？如果您必須知道密碼，那麼我猜是後者。如果是這樣，那麼它在您手機上的事實就好像是一條紅鯡魚-您的手機沒有風險。實際上，您對應用程序的使用不會增加任何人的風險-如果您從未使用過，風險仍然存在。

如果數據被盜或對公司有何價值？可以造成什麼破壞？

如果這些數據洩露很少或沒有後果，請吞下驕傲並繼續前進。

在這種情況下，除非安全是您的工作，您對此軟件的影響可能很小。寫下您的擔憂-未經授權的人可以相對容易地複制/修改任何數據（視情況而定，具體取決於應用程序的工作），並指出公司/失去客戶的潛在尷尬/損失（如果適用）。 。準備好被忽略，如果您願意，那就接受它。保留信件/電子郵件的副本，以防萬一。

我希望這不用說：

不要！在任何情況下！破解可以顯示的系統！甚至只是一點點！ （除非獲得公司的明確授權才能這樣做！）

許多人都傾向於“展示”風險。使工作不好的安全管理員（或任何人！）尷尬是使人們感激您的可怕方法，即使他們可能應該對此感到滿意。

假設該應用程序提供對某些私人信息的訪問權限，則應僅向雇主提供概念證明。事先請他徵得官方許可（未經您許可進行任何此類事情，可能會惹上您的麻煩，具體取決於您公司的政策）。獲得許可後，請向他/她展示如何輕鬆地使用他/她的憑據登錄並獲得私人信息。在員工的個人手機上安裝任何類型的數據的任何權利。

問題-可能根本不是問題，這取決於應用程序實際執行的操作-是您可以以其他人的身份登錄，而其他人可以以您的身份登錄。密碼永遠不會更改，因此不久以後，不再在公司工作的人仍可以以仍在那工作的人身份登錄。

可怕的是，儘管有密碼，但第三方公司仍會使用密碼在這種情況下毫無意義。如果每個人都使用相同的密碼，則根本不應該輸入密碼。這很可怕，因為它表明該公司不了解安全性，並且不應該受到機密數據的信任。

簡而言之，如果該應用程序僅存在於該應用程序中，以找出誰帶來蛋糕來慶祝某事，誰喜歡什麼？這種蛋糕，並且為了防止同一天帶來太多蛋糕，您還不錯。但是，如果該應用程序用於機密數據（例如性能跟踪和評論），則您的公司可能很快會遇到法律麻煩。儘管第三者做了什麼，但對於您的公司而言，數據顯然並不安全，因此部分責任在於它們。

如果需要類推，這些文件可以存儲在在公司辦公室內的儲物櫃中，只有選定的人才能擁有鑰匙，或者文件被存放在自助餐廳的紙板箱中-自助餐廳向公眾開放。

對於初學者來說，您應該告訴他這是您的個人手機，並且他無權將您的手機弄亂。

使用類比汽車，該應用看起來就像汽車使用了防盜鎖（我希望正確地寫了這個），而且每個人都有相同的密碼，無法更改，這給了他們一個萬能鑰匙，所以剩下的就是猜測您離開汽車的位置（也就是您的用戶名），這對於您來說很難公司內部人員然後偷車。

如今，用鹽醃哈希存儲密碼是最低的標準，這樣就不會對您的安全造成太大的影響，而是對超級安全的描述汽車，我將描述一個三要素（密碼+鑰匙+生物識別）鎖。

首先，恕我直言，與高級老闆交談時-首先要蒙受損失。它們不喜歡它們，但是要取得令人滿意的效果，您必須對每個損失（以美元為單位）進行真正的良好評估。根據我的實踐，最有效的媒介是：

1. 法律執行成本。哪些法律適用刑罰如果出現問題，請聯繫貴公司。製作完整的清單，法律+“罰款金額”

2. 公關損失。要進行計算，只需獲取公司利潤數據並將其減少一半即可，競爭對手因聲譽損失/損壞而在公司中佔據的位置。

3. 第1點和第2點的回收成本是的，每個損壞都需要維修！而且通常要花一些錢

ol>

，但不要就此止步！您還必須提供非常詳細的計劃，並附有甘特圖，以說明如何使事情正確：時間和成本，一步一步

在最後一張幻燈片中做一個數字，讓他們進行比較。它對我來說工作了很多次，但是您需要花費大量的時間和耐心，使所有這些小巧的螺母和螺栓像瑞士鐘一樣工作。

我最近從十年的醫療保健I.T.中退休。防守前是16。在醫療保健領域，年度審核發現該應用會對政府規定的公共質量等級造成嚴重的不愉快後果。作為辯護，這是一項可能使某人入獄的隨機審計結果。他將使用經理的姓名登錄，發布色情內容，並開除經理。

這全部與風險評估有關。對於經理來說，這應該是一個關鍵概念。他需要了解風險-不是技術問題，而是實際風險。因此，請這樣解釋：

事實：每個人都有相同的密碼和用戶名格式，並且無法更改。

風險：

• 心懷不滿的前員工可以以任何人的身份登錄並閱讀任何人的消息，或以任何人的名義發送消息。

• 當前員工可以通過以下方式登錄來濫用系統其他用戶互相“惡作劇”，例如通過“從老闆”發送消息。

如果您的老闆不希望這些事情發生，那麼他需要立即解決密碼問題。

心懷不滿的前員工風險可能是最嚴重的：如果解僱某人，應該很容易撤銷他們的所有訪問權限，但是如果他們知道如何登錄公司中的其他任何人，然後撤銷他們的權利都不會阻止他們將您的所有公司機密洩露給剛剛僱用他們的競爭對手。

您尚未透露該應用程序將用於什麼用途，而不是模糊的“內部社交媒體”通訊耳鼻喉科。公司面臨的風險的嚴重程度取決於（a）使用它的人數，（b）使用它的人員的資歷水平以及（c）通過它發送的信息種類。

例如，如果該應用程序僅用於員工在彼此之間聊天的地方，則風險要比管理人員打算使用該應用程序向員工發送機密信息的風險低。

儘管無論如何，這仍然是一種風險，因為即使在最良性的情況下，它仍將為社會工程學帶來廣闊的機會。