È più o meno sicuro quando un'entità condivide le sue procedure di sicurezza?

3

In questo momento sto facendo un periodo di lavoro attraverso la mia scuola e vogliono che scriva un rapporto su qualcosa su cui ho lavorato. Sono davvero seri riguardo ai "rapporti proprietari" e ai rapporti che richiedono la distruzione dopo che sono stati contrassegnati. Sto pensando di scrivere di diventare PCI compatibile e il mio capo mi dice di non preoccuparsi di commercializzarlo come un "rapporto proprietario". La mia domanda è: rendere pubblici i dettagli sulla sicurezza o aumentare la sicurezza? Non riesco a trovare l'articolo di wikipedia che ho letto su questo argomento ma dopo l'11 settembre un rapporto ha rilevato che agenzie come l'FBI non condividevano abbastanza informazioni, ciascuna agenzia riteneva di aver lavorato per ottenere le informazioni e voleva mantenerle riservate e a se stessi che alla fine era controproducente. Può essere visto come lo stesso, più persone guardano un'implementazione PCI più è probabile che qualcuno possa individuare un punto debole?

    
posta Celeritas 09.08.2012 - 23:28
fonte

1 risposta

5

In generale, i consensi all'interno della comunità di sicurezza sono che divulgare le pratiche di sicurezza (ovvero la trasparenza) porta a una maggiore sicurezza. La trasparenza ha molti vantaggi:

  • Ti dà la motivazione per fare la sicurezza giusta. A volte, fare la cosa giusta per la sicurezza è fastidioso o costoso, e non avere nessuno in grado di rendere conto rende la tentazione di non farlo nel modo giusto. Quando tutti possono vedere cosa stai facendo, hai più motivi per fare le cose correttamente.

  • Significa che più persone possono esaminare ciò che stai facendo male. Un sistema aperto può essere analizzato da molte più persone che possono suggerire miglioramenti. In generale, si presume che gli aggressori motivati troveranno comunque queste debolezze, quindi più persone oneste possono vedere le debolezze più è probabile che i punti deboli vengano segnalati in modo tempestivo. L'alternativa è vivere beatamente e conoscere solo un problema una volta che l'aggressore lo ha sfruttato.

  • Significa che sei sicuro del tuo design. La sicurezza è difficile da fare bene e molte persone nascondono le loro pratiche di sicurezza perché le loro pratiche apparirebbero male. Rendendolo aperto mostra che non sei solo a tuo agio con loro, ma che sei disposto a risolvere i problemi che si presentano.

  • Permette agli altri di imparare dalle cose che fai nel modo giusto o sbagliato. Questo ha un piccolo beneficio diretto per te, ma consente ad altri di beneficiarne.

Detto questo, la trasparenza è davvero utile solo se prevedi di rispondere a problemi di sicurezza. Se non ci stai pianificando, la trasparenza può causare problemi perché fai in modo che gli aggressori lavorino meno duramente per trovare le vulnerabilità.

PCI è uno standard pubblico a cui molte persone si conformano, quindi è improbabile che molti dei dettagli relativi alla tua implementazione siano davvero unici. È possibile che il tuo capo non pensi che le informazioni sulla proposta di conformità PCI sarebbero dannose.

    
risposta data 10.08.2012 - 00:02
fonte

Leggi altre domande sui tag