Ho una domanda sui compiti a casa che suggerisce che applicare le migliori pratiche di sicurezza e usabilità non è sufficiente per creare un sistema sicuro e utilizzabile. Cosa mi manca? Perché non è abbastanza?
Se seguo le best practice sull'usabilità, finirò con un sistema utilizzabile? Penso di sì.
Se seguo le best practice sulla sicurezza, avrò un sistema sicuro? Penso di sì anche.
Quindi cosa mi manca?
La parte fondamentale della tecnologia è che si evolve .
Certo, puoi applicare le best practice, come ad esempio:
A seconda del tuo ambiente, potresti anche voler proattivo . Ciò include:
La sicurezza delle informazioni riguarda la valutazione del rischio , che disegna un approccio simile a quello del business, dell'economia e di molti altri campi. Le vulnerabilità Zero Day e gli attacchi che li utilizzano non possono essere prevenuti seguendo le best practice . Questo dovrebbe sempre essere preso in considerazione in una valutazione del rischio , così come altri argomenti. Per una piccola azienda, gli attacchi zero-day potrebbero essere troppo costosi per pianificare e difendersi. C'è semplicemente la mancanza di personale, attrezzature o capitale (denaro) per farlo.
La parte fondamentale da ricordare è che le best practice dovrebbero essere una linea di base e, in ogni caso, non complete. Tuttavia, ci sono situazioni che richiedono che sia "abbastanza buono". Come evidenziato in precedenza, un ambiente SoHo (Small Office / Home Office) non avrebbe le risorse per implementare un firewall statico basato su hardware. Certamente l'ambiente dovrebbe avere una semplice forma di backup e anti-virus, ma dovrebbe esserci un piano per la perdita di dati a causa di un incendio, un terremoto o un altro evento serio? Che dire della perdita del disco rigido esterno che contiene backup settimanali? Dovrebbe essere predisposto un piano per il furto della macchina stessa? Sono presenti dati sensibili sulla macchina?
Ci sono molte domande che dovranno essere risolte e solo quando queste verranno poste e potenzialmente risposte, ci sarà una chiara comprensione del fatto che applicare le migliori pratiche di sicurezza e usabilità non sia sufficiente.
Penso che tu abbia lasciato cadere una parola importante nella domanda dei compiti a casa. "L'applicazione delle migliori pratiche di sicurezza e usabilità simultaneamente non è sufficiente per creare un sistema sicuro e utilizzabile."
Il concetto esplorato dalla domanda è l'intersezione di usabilità e sicurezza . Il sistema più utilizzabile non è sicuro e il sistema più sicuro non è utilizzabile. Se cerchi di essere il migliore di entrambi, fallirai in uno di essi.
Ad esempio, una best practice sulla sicurezza è l'uso delle password. Ma le password sono orribili per l'usabilità. Come e dove traccia la linea tra un sistema sicuro e un sistema utilizzabile?
Quindi, l'idea che penso ti sia sfuggita non è l'idea di seguire le migliori pratiche, ma cercare di seguire le migliori pratiche allo stesso tempo che tendono ad essere in disaccordo tra loro.
Leggi altre domande sui tag usability security-by-design