Devo dire al mio capo che la VPN della compagnia non è sicura?

4

Lavoro in una piccola azienda e di recente abbiamo investito in un nuovo server che fornisce servizi VPN.

Ho contattato l'azienda IT responsabile oggi per collegare il mio laptop in modo da poter lavorare da casa. Ho chiesto il protocollo utilizzato dalla VPN e mi hanno detto PPTP.

So che questo è un protocollo molto vecchio e che la sua sicurezza è leggermente compromessa (ad esempio da CloudCracker).

Ora non ci occupiamo di informazioni altamente sensibili e sembra difficile immaginare qualcuno che possa investire tempo e denaro per compromettere i nostri dati. Ma questa è una minaccia che dovrebbe essere evitata, penso.

Il mio capo è una persona piuttosto ansiosa e sono riluttante a dirglielo per evitare che passi attraverso tutti gli scenari possibili.

Probabilmente cambieremo presto la società IT.

Che cosa dovrei fare?

    
posta Jacques Gaudin 27.04.2018 - 01:05
fonte

2 risposte

5

Questa è una buona domanda, e la risposta a questa precisa domanda- "dovrei dire a X che Y è non sicuro " è quasi sempre "No". È meglio non dare dichiarazioni nel vuoto a un contesto superiore fornendo spiegazioni.

Un capo ha bisogno di informazioni utili e di una cornice per prendere una decisione. Nessuna informazione trattabile è trasmessa in quella particolare scelta di linguaggio e nessuna decisione è presentata. Inoltre, i termini "sicuro" e "non sicuro" hanno un significato utile solo per gli ingegneri della sicurezza, i quali capiscono che nulla è effettivamente sicuro e la maggior parte delle cose che non sono sicure possono ancora essere solo raramente compromesse, perché ci sono così molte cose non sicure là fuori.

Un modo migliore per inquadrare problemi come questo è lavorare sulle implicazioni e trasmettere lo stato di gioco come una decisione che potrebbe essere presa. La decisione qui è se investire nel passaggio a un altro protocollo, magari attraverso il cambiamento dei fornitori IT.

Un utile, ma non solo, modo per inquadrare una decisione di investimento in materia di sicurezza è in termini di spesa in dollari per una forma di assicurazione. Ci sono molti, molti altri domini di considerazione, in particolare nel contesto della sicurezza - regolamentazione e conformità, preoccupazioni di fiducia dei clienti che non possono essere espresse in termini di dollari e altri. Ma allo stesso modo in cui il ROI è un linguaggio comune utile per guardare al lato degli investimenti e della crescita di un'azienda, il costo dell'assicurazione è un modo utile per guardare al lato del rischio di un'azienda.

Qui, da un lato, si vogliono esaminare i costi in dollari e il tempo necessario per eseguire un aggiornamento o una transizione e l'impatto sul flusso di lavoro.

Dall'altro lato, si vuole fare una stima dei costi di una violazione. Il processo di base consiste nell'identificare i potenziali esiti di una violazione, stimare l'intervallo di costi per gestirli e stimare la probabilità che si verifichino in un determinato periodo di tempo.

Questo può sembrare molto da stimare, ma tutto ciò che si desidera è un campo di gioco molto, molto approssimativo di potenziali scenari casuali, e per una piccola azienda con un piccolo numero di risorse / clienti / implicazioni, si dovrebbe essere in grado di fallo abbastanza velocemente. Tutto ciò che è veramente necessario determinare è se si parla di una perdita prevista di $ 1.000, $ 10.000, $ 100.000 o $ 1.000.000.

Il costo dell'aggiornamento è l'assicurazione contro la perdita potenziale. Un capo sarà in grado di decidere se ottenere l'assicurazione. Se lo fanno, bene. Se non lo fanno, va bene anche questo. Se dopo il processo ti rendi conto che alcuni dei costi o dei rischi sono stati fraintesi, come si suol dire, benvenuto nel club! Basta continuare il dialogo. Il capo lo apprezzerà.

Buona fortuna.

    
risposta data 27.04.2018 - 04:17
fonte
2

Penso che sia importante pensare in termini di minacce e ti incoraggerei a richiamare alcune delle tue preoccupazioni. La sicurezza non si tratta di sì no, normalmente si tratta di "abbastanza sicuro". Troppo spesso cerchiamo di eliminare tutti i difetti di un sistema piuttosto che cercare di trovare soluzioni che siano "abbastanza buone". Da quello che dici la tua attuale soluzione è "abbastanza buono".

Sì, PPTP non è forse la tecnologia VPN più sicura in circolazione. Ma è importante pensare in termini di quale minaccia stai proteggendo e cosa stai proteggendo. Sfruttare una vulnerabilità VPN significa che un utente malintenzionato deve trovarsi da qualche parte tra i due endpoint del tunnel. Ciò significa che l'attaccante deve essere vicino al punto finale (caffetteria, casa, ecc.) O avere qualche forma di attacco sofisticato per dirigere il traffico attraverso di essi. La prima minaccia è limitata per portata e durata, e quest'ultima può essere raggiunta solo da formidabili avversari.

Dici anche che nessuno potrebbe violare il protocollo VPN perché non hai nulla di valore che valga la pena rubare. Tutto questo suggerisce di dire poco o nulla sul problema di sicurezza, perché sembra che sia in gran parte irrilevante.

È più probabile che il fornitore di servizi IT che stai utilizzando non sembri particolarmente tecnologicamente avanzato se continua a utilizzare una tecnologia così insicura. Lo conserverei da qualche parte nel tuo cervello per riferimenti futuri. Vale la pena ricordare se si sceglie una società diversa.

    
risposta data 27.04.2018 - 16:29
fonte

Leggi altre domande sui tag