Đây là cách nó thường diễn ra: Tất cả bắt đầu khi một công ty bật lên trực tuyến và đưa ra một số tuyên bố lố bịch liên quan đến tư thế bảo mật của họ, thường là một phần của thảo luận trên một nền tảng truyền thông xã hội công cộng như Twitter. Ngay sau đó, quần chúng giáng xuống tổ chức nói trên và thể hiện thái độ phẫn nộ của họ ở vị trí đã nêu. Trường hợp nó được thú vị (và đây là toàn bộ các điểm của bài viết), là khi một nhóm folks bật lên và cáo buộc nhóm xúc phạm làm một chút này:

 Xấu hổ. Xấu hổ. Xấu hổ.

Shaming. Hoặc chastising, đặt chúng vào vị trí của họ hoặc đưa họ xuống một hoặc hai peg. Bất kỳ từ đồng nghĩa nào bạn chọn, chỉ trích cơ bản là nhóm bị xúc phạm là sai khi thể hiện sự phẫn nộ của họ đối với tổ chức có liên quan, đặc biệt là nếu nó được hiểu là được nhắm mục tiêu đến bất kỳ cá nhân nào xảy ra làm cơ quan ngôn luận của tổ chức vào thời điểm đó. Xấu hổ, những người phản đối nó sẽ nói, không phải là cách. Tôi không đồng ý và tôi muốn giải thích – và chứng minh – chính xác lý do tại sao.

Hãy bắt đầu với một vài ví dụ kinh điển về loại hành vi mà tôi đang nói về những phát biểu lố bịch đó:

 Tesco: Mật khẩu được lưu trữ một cách an toàn. Chúng chỉ được sao chép vào thử nghiệm đơn giản khi được dán tự động vào email nhắc nhở mật khẩu.

Xem chủ đề? Những tuyên bố điên rồ của đại diện các công ty liên quan. Điều cuối cùng từ Betfair là một ví dụ tuyệt vời và toàn bộ chuỗi có giá trị đọc. Những gì nó luộc xuống là tài khoản tranh luận với một nhà báo (mẹo chuyên nghiệp: tránh tranh luận là một người tinh ranh với những người ở vị trí viết công khai về bạn!) Không, bạn không chỉ cần tên người dùng và ngày sinh để đặt lại mật khẩu tài khoản. Cuối cùng, nó đã đến mức mà Betfair khuyên rằng việc cung cấp thông tin này cho người khác sẽ là một sự vi phạm các điều khoản của họ. Bây giờ, hãy nhớ rằng tên người dùng là địa chỉ email của bạn và nhiều người trong số chúng tôi như bánh và quà và các mẫu lễ kỷ niệm sinh nhật khác, thật hợp lý để nói rằng đây là một tuyên bố lố bịch. Hơn nữa, tôi đề nghị rằng đây là một trường hợp hoàn hảo mà shaming không chỉ là do, nhưng cần thiết. Vì vậy, Tôi đã viết một bài đăng trên blog. .

Ngay sau đó bài đăng blog, ba điều đã xảy ra và đầu tiên là nó đã được báo chí. The Register viết về nó. Liên doanh đánh bại đã viết về nó. Nhiều cuộc thảo luận khác đã được tổ chức trong diễn đàn công cộng với tất cả kết luận cùng một điều: quá trình này hút. Thứ hai, nó đã được cố định. Không còn là địa chỉ email và sinh nhật đủ để đặt lại tài khoản, bạn thực sự phải chứng minh rằng bạn đã kiểm soát địa chỉ email! Và cuối cùng, điều gì đó đã xảy ra đã thuyết phục tôi về giá trị của sự xấu hổ trong thời trang này :

Vài tháng sau, Tôi đã phát biểu khai mạc tại hội nghị AppSec của OWASP ở Amsterdam . Sau buổi nói chuyện, một nhóm người đến để nói g'day và nhiều điều tốt đẹp khác. Và sau đó, sau khi đám đông chết, một gã đã đến và đưa cho tôi thẻ của anh ấy – "Betfair Security". Ah shit. Nhưng sự do dự nhanh chóng trôi qua khi anh ấy tiến tới cảm ơn tôi để bảo hiểm. Bạn thấy đấy, họ biết quá trình này bị hút – bất kỳ người nào hợp lý với một nửa ý tưởng về an ninh đã làm – nhưng nhóm bảo mật nội bộ nói riêng với quản lý điều này không phải là không đủ để thúc đẩy sự thay đổi. Tuy nhiên, phạm vi phủ sóng của phương tiện phủ định là một cái gì đó mà quản lý thực sự lắng nghe. Chính xác kịch bản tương tự diễn ra vào thời điểm rất giống khi tôi viết về cách bạn thực sự không muốn bảo mật cấp ngân hàng với một trong những tổ chức tài chính trong danh sách đó nhanh chóng khắc phục những thiếu sót của họ sau bài đăng trên blog đó. Một thời gian ngắn sau đó tại một hội nghị khác, cùng một cuộc thảo luận ở Amsterdam đã diễn ra: "chúng tôi biết cấu hình SSL của chúng tôi rất tệ, chúng tôi không thể nhận được sự hỗ trợ lãnh đạo để sửa nó cho đến khi chúng tôi bị công khai xấu hổ". ]

Tôi muốn đặt bối cảnh đó vì nó giúp trả lời các câu hỏi như thế này:

Những gì công chúng xấu hổ là kháng cáo đến một bộ khác nhau của các ưu tiên; ví dụ, nếu tôi gửi email cho NatWest một cách riêng tư về sự thiếu HTTPS của họ thì tôi có thể sẽ nhận được phản hồi dọc theo dòng "chúng tôi coi trọng vấn đề bảo mật" và phản hồi của tôi sẽ đi vào hàng đợi ở đâu đó. Như nó đã được, những phản hồi tôi đã cung cấp rõ ràng là rơi vào tai điếc:

Và bây giờ chúng ta có một ví dụ hoàn hảo khác về chính xác kiểu phản ứng mà cần để được xấu hổ vậy NatWest kiếm được cho mình một bài đăng trên blog . Làm thế nào điều này thay đổi ưu tiên của họ là để đất báo chí tiêu cực trên bàn của một điều hành một nơi nào đó đã quyết định đây không phải là một cái nhìn tốt. Kết quả là, quan điểm của họ về tính bảo mật của trang này khá khác so với cách đây 9 tháng:

 Bảo mật NatWest

Bây giờ tôi không biết có bao nhiêu thay đổi này là do sự xấu hổ công khai về tư thế an ninh của họ, có lẽ họ sẽ cùng nhau hành động với nhau sau đó. Ai biết. Tuy nhiên, những gì tôi làm biết chắc chắn là tôi đã nhận DM này từ một người nào đó không lâu sau khi bài viết đó có sự chú ý của phương tiện truyền thông (được sao chép với sự cho phép của họ):

Xin chào Troy, tôi chỉ muốn cảm ơn vì bài đăng trên blog của bạn về vấn đề Natwest HTTPS mà bạn thấy rằng BBC đã tiếp tục. Tôi đứng đầu nhóm SEO tại một công ty truyền thông cho một ngân hàng khác và đã đánh đầu vào một bức tường cố gắng truyền đạt điều chính xác này cho họ sau khi họ cũng có một trang web công cộng không an toàn tách biệt với ngân hàng trực tuyến của họ. Trích dẫn mà BBC đã yêu cầu từ họ đã thúc đẩy sự thay đổi xảy ra qua đêm, điều mà nhóm WebDev của họ đảm bảo với tôi sẽ tốn hàng trăm ngàn bảng và ít nhất một năm để thực hiện! Tôi đã đánh đầu vào bàn làm việc trong 6 tháng trước đó nên một sự bắt tay ảo thay cho tôi! Cảm ơn!

Hãy để tôi thay đổi thiết bị một chút và giải quyết một khiếu nại phổ biến về xấu hổ trong thời trang này và tôi sẽ bắt đầu với tweet này:

Bất kể nhiệm vụ công dân của tôi là một người Úc đi lấy nước tiểu ra khỏi tiếng Anh, rõ ràng đây là một tuyên bố vô lý đối với Santander. Người quản lý mật khẩu của bên thứ ba là chính xác những gì chúng tôi cần giải quyết các tai họa về các cuộc tấn công tiếp quản tài khoản do quản lý mật khẩu thay thế cá nhân thay mặt. Tuy nhiên, bằng cách nào đó, Santander đã cố tình thiết kế hệ thống của họ để chặn khả năng sử dụng chúng. Đại diện dịch vụ khách hàng của họ sau đó lặp lại vị trí này sau đó đã dẫn đến các tweet ở trên. Đó là tweet, sau đó dẫn đến cái này:

Andy lo ngại rằng shaming trong thời trang này nhắm vào cá nhân đằng sau tài khoản truyền thông xã hội (JM) chứ không phải là chính tổ chức. Tôi thấy tình cảm tương tự được thể hiện sau khi T-Mobile ở Áo bảo vệ lưu trữ mật khẩu trong văn bản thuần túy với điều này tuyệt đối clanger:

Trong mỗi sự cố, các tài khoản Twitter của công ty tương ứng nhận được rất nhiều phản hồi thẳng thắn. Và họ xứng đáng với nó – đây là lý do:

Những tài khoản này, theo thiết kế, khuôn mặt công khai của các tổ chức tương ứng. Santander theo nghĩa đen có từ "trợ giúp" trong tên tài khoản và tài khoản của T-Mobile cho biết rằng Käthe là thành viên của nhóm dịch vụ. Họ hoàn toàn, tích cực các khuôn mặt than của tổ chức và nó hoàn toàn hợp lý để mong đợi rằng thông tin phản hồi về các doanh nghiệp tương ứng của họ nên đi đến họ.

Đây không phải là để nói rằng phản hồi nên thô lỗ hoặc lạm dụng; nó không nên và ít nhất là trong các cuộc thảo luận mà tôi đã tham gia, điều đó rất hiếm thấy. Nhưng để gợi ý rằng người ta không nên tham gia với các cá nhân kiểm soát tài khoản truyền thông xã hội của công ty trong thời trang này là lố bịch – đó là chính xác bạn nên tham gia với ai!

Một yếu tố rất lớn trong cách các cuộc thảo luận diễn ra như thế nào là các tổ chức liên quan đến việc đối phó với sự xấu hổ của những điều như đã đề cập ở trên. Cách đây nhiều năm, tôi đã viết về cách mọi người chăm sóc khách hàng nên đối phó với các truy vấn kỹ thuật và tôi đã chia nhỏ nó thành 5 điểm đơn giản:

  1. Không bao giờ bị lôi kéo vào các cuộc tranh luận kỹ thuật
  2. Không bao giờ cho phép tranh luận công khai để leo thang
  3. Luôn thực hiện các cuộc thảo luận có khả năng dễ bay hơi ngoài dòng thời gian công khai
  4. Làm cho những người kỹ thuật sẵn sàng (riêng tư)
  5. Không bao giờ bị sa thải

Hãy để tôi cung cấp cho bạn một ví dụ hoàn hảo về cách phản ứng tốt với sự xấu hổ của công chúng và chúng tôi sẽ bắt đầu bằng tweet của riêng tôi:

Kinh doanh như thường lệ ở đó, chỉ một ngày khác trên internet. Nhưng hãy xem cách Medibank giao dịch với tweet đó:

Và trong trường hợp bạn đang tự hỏi, có, Tôi đã cung cấp cho họ một e-pat trên lưng cho rằng bởi vì họ tốt và thật sự xứng đáng với nó! Vấn đề là sự xấu hổ, khi được thực hiện đúng, dẫn đến thay đổi tích cực mà không cần phải xúc phạm hoặc gây khó chịu cho những người kiểm soát các tài khoản xã hội.

Chất xúc tác cuối cùng để hoàn thành bài đăng trên blog này (tôi đã bỏ ví dụ về nó từ Xmas!) Là một cuộc thảo luận chỉ tuần trước, một lần nữa, nhấn mạnh mọi thứ đã nói ở đây. Như thường lệ, nó bắt đầu với một tuyên bố vô lý về tư thế an ninh:

Shaming xảy ra (tôi đã đề cập đến nghĩa vụ công dân Úc của tôi, đúng không?!):

Một lần nữa, báo chí chọn nó lên và cũng một lần nữa, mọi người nhận được uppity về nó:

Và rõ ràng, nói rằng "Các trang không phải HTTPS an toàn để sử dụng mặc dù thư từ một số trình duyệt" không phải là một vị trí rất sáng để bạn xem bạn có lương tối thiểu hay bạn là CEO. Thu nhập không phải là yếu tố khi bạn đưa ra tuyên bố công khai với tư cách là đại diện của công ty. Dự đoán, giống như tất cả ví dụ trước, thay đổi tích cực theo sau:

 Cấp phép truyền hình được cung cấp an toàn

Toàn bộ sự việc đó thực sự hóa ra nghiêm trọng hơn nhiều so với suy nghĩ ban đầu của họ và một lần nữa, vấn đề đã được đưa lên hàng đầu bằng cách xấu hổ. Tôi đã thấy điều này diễn ra vì vậy nhiều lần trước khi thẳng thắn, tôi đã ít kiên nhẫn cho những người đang xấu hổ trong thời trang này bởi vì nó có thể làm tổn thương cảm xúc của những người bị buộc tội nhận phản hồi từ công chúng. Nếu một công ty sẽ đảm nhận an ninh hoặc theo cách họ chọn để xây dựng dịch vụ của họ hoặc bởi những gì họ đại diện cho hồ sơ công khai, họ có thể chịu trách nhiệm về nó:

Cho dù những người từ chối shaming của những người tôi đã chia sẻ ở trên đồng ý với việc thực hành hay không, họ không thể tranh luận với kết quả. Tôi chắc chắn sẽ có những người áp dụng các tuyên bố làm mẹ như "sự kết thúc không biện minh cho các phương tiện", nhưng điều đó có nghĩa là các phương tiện là bất lợi theo một cách nào đó mà nó không đơn giản. Giữ nó lịch sự, sử dụng shaming xây dựng để tận dụng áp lực xã hội và tất cả chúng ta đều tốt hơn cho nó.



Source link

Đưa ra một phản hồi

Vui lòng nhập bình luận của bạn!
Vui lòng nhập tên của bạn ở đây