Esistono diversi tipi di controllo, per citarne alcuni ci sono i controlli Deterrente, Preventivo, Detective, Correttivo e Compensazione. L'idea è che ogni tipo di controllo si specializzerà nel fornire un diverso tipo di sicurezza.
Nel caso del tuo lucchetto, questo cadrebbe sotto un controllo deterrente, dal momento che è qualcosa che dovrebbe essere percepibile e tenere lontane le persone. Altri esempi potrebbero essere un segnale che avverte le persone di un cane da guardia, telecamere di sicurezza visibili, ecc. Fondamentalmente tutto ciò che può ritardare o scoraggiare un attacco.
Sono presenti controlli preventivi per impedire che qualcosa accada, quindi anche in questo caso la serratura rientrerebbe in questa categoria.
La migliore pratica consiste nel stratificare la sicurezza tra diversi tipi di controllo (e fornitori) per mitigare le probabilità che un attacco abbia successo. Tuttavia, non esiste una eliminazione del rischio , solo che è possibile ridurli il più possibile a rischio accettabile .
Il punto principale è che la sicurezza dovrebbe causare a un utente malintenzionato più problemi che i dati all'interno valgono, ad es. non vale la pena. Anche se sono sicuro che ci siano probabilmente persone là fuori che apprezzerebbero una sfida puramente per il gusto di farlo piuttosto che i potenziali dati a cui potrebbero arrivare.
Nel caso della sicurezza IT, l'immissione di segnali di avvertenza all'accesso per affermare che un utente verrà perseguito verrebbe classificata come deterrente .
Se avete visto due moto, una con un grande e pesante blocco, e una con un piccolo lucchetto vecchio-guardare, e si voleva rubare una moto, quale sceglieresti?
Ulteriori spiegazioni
Per spiegarlo ulteriormente, possiamo suddividere i controlli di deterrenza in sottocategorie:
- Tecnico
- fisico
- Amministrativo
Spiegherò ciascuno di essi individualmente di seguito.
Techical
I controlli tecnici che potrebbero scoraggiare un attaccante sarebbe sono piuttosto limitate, nel caso in cui lo scopo di tutto deterrente controlli è semplicemente per cercare di impedire a qualcuno di di tentare per attaccare. Per i controlli tecnici possiamo usare i segnali di pericolo sulle pagine di accesso, un server proxy che reindirizza per avvisare gli utenti che un determinato sito è limitato, ecc. Non va oltre questo però
fisico
I controlli fisici sono tutto ciò che potrebbe renderlo difficile da attaccare. Cose come una recinzione alta, telecamere visibili, riflettori, ecc. Sarebbero tutte classificate come controlli di deterrenza fisica. I segni che indicano che le aree sono off limits, sarebbero un altro.
Amministrazione
I controlli amministrativi contengono politiche, linee guida e standard. Ad esempio, una rigida politica di sicurezza che prevede gravi conseguenze per la violazione rientrerebbe in questa categoria. Anche la formazione per la consapevolezza sarebbe un esempio qui.
In sintesi, tutto ciò che rende un obiettivo più difficile senza effettivamente implementare nulla per fermarli è classificato come controllo di deterrenza. Di solito c'è una certa sovrapposizione, specialmente con i controlli preventivi , perché cose come una porta chiusa a chiave o una recinzione alta possono rientrare in entrambe le categorie.
Se volete qualche ulteriore lettura su altri tipi di controlli di accesso: ecco un breve blog da una guida allo studio CISSP che li spiega piuttosto bene: link