¿Debo decirle a mi jefe que la VPN de la compañía no es segura?

4

Trabajo en una pequeña empresa y recientemente hemos invertido en un nuevo servidor que proporciona servicios de VPN.

Me comuniqué con la compañía de TI a cargo hoy para conectar mi computadora portátil y poder trabajar desde casa. Pregunté por el protocolo que usaba la VPN y me dijeron que era PPTP.

Sé que este es un protocolo muy antiguo y que su seguridad está ligeramente comprometida (por ejemplo, por CloudCracker).

Ahora no tratamos con información altamente confidencial y parece difícil imaginar a alguien que invierta tiempo y dinero para comprometer nuestros datos. Pero creo que esta es una amenaza que debería evitarse.

Mi jefe es una persona bastante ansiosa y no me atrevo a decírselo para evitar que pase por todos los escenarios posibles.

Es probable que cambiemos de compañía de TI pronto.

¿Qué debo hacer?

    
pregunta Jacques Gaudin 27.04.2018 - 01:05
fuente

2 respuestas

5

Esta es una buena pregunta, y la respuesta a esta pregunta precisa: "debo decirle a X que Y no es seguro " casi siempre es "No". Es mejor no dar declaraciones en un vacío a un contexto y explicaciones superiores.

Un jefe necesita información procesable y un marco para tomar una decisión. No se transmite información procesable en esa elección particular de idioma, y no se presenta ninguna decisión. Además, los términos "seguro" y "no seguro" tienen un significado útil realmente solo para los ingenieros de seguridad, quienes entienden que nada es realmente seguro, y que la mayoría de las cosas que no lo son pueden estar aún poco comprometidas, porque existen Muchas cosas no seguras por ahí.

Una mejor manera de enmarcar temas como este es trabajar a través de las implicaciones y transmitir el estado de juego como una decisión que podría tomarse. La decisión aquí es si invertir en cambiar a otro protocolo, tal vez a través del cambio en los proveedores de TI.

Una forma útil pero no solo de enmarcar una decisión de inversión de seguridad es en términos de gasto en dólares en una forma de seguro. Hay muchos, muchos otros dominios de consideración, particularmente en el contexto de seguridad y cumplimiento normativo, inquietudes de confianza del cliente que no pueden expresarse en términos de dólares, y otros. Pero de la misma manera que el ROI es un lenguaje común y útil para analizar el lado de la inversión y el crecimiento de una empresa, el costo del seguro es una forma útil de analizar el lado del riesgo de una empresa.

Aquí, por un lado, uno quiere ver los costos en dólares y el momento de realizar una actualización o transición, y el impacto en el flujo de trabajo.

Por otro lado, uno quiere hacer una estimación de los costos de una infracción. El proceso básico es identificar los posibles resultados de una infracción, estimar el rango de costos de tratar con ellos y estimar la probabilidad de que ocurran dentro de un período de tiempo particular.

Esto puede parecer mucho para estimar, pero todo lo que quiere es un escenario muy, muy aproximado de posibles escenarios de mal caso, y para una pequeña empresa con un pequeño número de activos / clientes / implicaciones, uno debería poder haz eso bastante rápido. Todo lo que realmente necesita determinar es si está hablando de una pérdida esperada de $ 1,000, $ 10,000, $ 100,000 o $ 1,000,000.

El costo de la actualización es el seguro contra la pérdida potencial. Un jefe podrá decidir si obtener ese seguro. Si lo hacen, genial. Si no lo hacen, está bien, también. Si después del proceso se da cuenta de que algunos de los costos o riesgos fueron subestimados, como dice el dicho, ¡bienvenido al club! Sólo continúa el diálogo. El jefe lo apreciará.

Buena suerte.

    
respondido por el Jonah Benton 27.04.2018 - 04:17
fuente
2

Creo que es importante pensar en términos de amenazas, y lo aliento a que, quizás, devuelva algunas de sus preocupaciones. La seguridad no se trata de sí, no, normalmente se trata de "lo suficientemente seguro". Muy a menudo tratamos de eliminar todas las fallas en un sistema en lugar de tratar de encontrar soluciones que sean "suficientemente buenas". Por lo que dices, tu solución actual es "lo suficientemente buena".

Sí, PPTP no es quizás la tecnología VPN más segura que existe. Pero es importante pensar en términos de contra qué amenaza estás protegiendo y qué estás protegiendo. La explotación de una vulnerabilidad de VPN significa que un atacante debe estar en algún lugar entre los dos puntos finales del túnel. Eso significa que el atacante debe estar cerca del punto final (cafetería, su casa, etc.) o tener algún tipo de ataque sofisticado para dirigir el tráfico a través de ellos. La primera amenaza es limitada en alcance y duración, y la última solo es alcanzable por adversarios formidables.

También dice que es probable que nadie rompa el protocolo VPN porque no tiene nada de valor que valga la pena robar. Todo esto apunta a recomendarte que digas poco o nada sobre el problema de seguridad, porque parece que es en gran medida irrelevante.

Más en el problema probablemente sea que el proveedor de TI que está utilizando no suena particularmente experto en tecnología si todavía están usando una tecnología tan insegura. Me guardaría esto en algún lugar de tu propio cerebro para futuras referencias. Vale la pena mencionar si alguna vez elige una empresa diferente.

    
respondido por el Steve Sether 27.04.2018 - 16:29
fuente

Lea otras preguntas en las etiquetas