10 simplificaciones sobre seguridad defensiva o ofensiva (I)

junio 18, 2013 § Deja un comentario

Por lo general somos malos realizando evaluación de riesgos de forma realista, y los modelos de seguridad son sesgados. La causa a menudo es la simplificación excesiva. Antes de comenzar cualquier análisis, vale la pena pensar si los siguientes supuestos defensivos y ofensivos son válidos, según ha publicado Bit9 recientemente.

Simplificaciones defensivas

1. Los atacantes tienen recursos infinitos
Este es un mantra tantas veces escuchado y que “conducen a la locura.” Si los atacantes tienen recursos infinitos y son omnipresentes, no hay grieta en la cual ya no hayan infiltrado. Este pensamiento daría lugar al derrotismo y nos lleva a gastar muchos recursos contra ataques poco probables o completamente irreal. Los recursos de los atacantes son finitos y es absolutamente necesario aprovechar este hecho.

2. El control de seguridad “X” hará que mi organización sea segua
Los controles no proporcionan seguridad. Proporcionan herramientas a través de las cuales las brechas de seguridad pueden ser más fácilmente abordables. Los seres humanos son la causa de la mayoría de las brechas de seguridad, pero los seres humanos también son la mejor arma que tenemos para hacer frente a estas deficiencias. Todos los controles se pueden implementar bien o mal, pueden ser suficiente o insuficiente monitoreados y ser interpretados correctamente o incorrectamente. Los seres humanos hacen la diferencia.

3. La seguridad es un objetivo a alcanzar
La seguridad no es un objetivo a alcanzar. La seguridad es mejor considerarla como una serie infinita de bifurcaciones, una serie sin fin de opciones a considerar, que se pueden ir abordando de manera incremental solucionando o causando nuevas brechas de seguridad. La seguridad se trata de tomar decisiones correctas con más frecuencia que las incorrectas.

4. La seguridad puede ser “agregada”

La seguridad es una consideración fundamental en los sistemas de información. Agregar capas de seguridad en la parte superior de sistemas que son fundamentalmente inseguros es condenar todo el sistema al fracaso. Un corolario importante es el que da Dan Geer en sus charlas y es que aunque se unan dos sistemas seguros, esto puede resultar en un nuevo sistema inseguro. Obviamente, al juntar un sistema inseguro y un sistema seguro es más probable que resulte un sistema inseguro.

5. Mi organización no está en riesgo

Esta es la hipótesis más peligrosa de todas. Si bien los atacantes no tienen recursos infinitos y no son omnipresentes, son sofisticados y tienen muy buenas capacidades y recursos. Si su organización tiene algo que sería de valor para un atacante (y la mayoría lo tiene), es mucho más seguro asumir que usted está en riesgo de pasar por alto el riesgo.

Continua en la segunda parte

Cristian de la Redacción de Segu-Info

Anuncios

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

¿Qué es esto?

Actualmente estás leyendo 10 simplificaciones sobre seguridad defensiva o ofensiva (I) en Seguridad Informática.

Meta

A %d blogueros les gusta esto: