En general, los consensos dentro de la comunidad de seguridad es que la divulgación de prácticas de seguridad (también conocida como transparencia) conduce a una seguridad mejorada. La transparencia tiene muchos beneficios:
-
Te da motivación para hacer bien la seguridad. A veces, hacer lo correcto por seguridad es molesto o costoso, y no tener a nadie a quien rendir cuentas hace que sea tentador no hacerlo de la manera correcta. Cuando todos pueden ver lo que estás haciendo, tienes más motivación para hacer las cosas correctamente.
-
Significa que más personas pueden analizar lo que estás haciendo mal. Un sistema abierto puede ser analizado por muchas más personas que pueden sugerir mejoras. En general, se asume que los atacantes motivados encontrarán estas debilidades de todos modos, por lo que cuanto más honestas sean las personas que pueden ver las debilidades, más probable es que las debilidades se informen de manera oportuna. La alternativa es vivir en la felicidad y solo conocer un problema una vez que el atacante lo haya explotado.
-
Significa que confía en su diseño. La seguridad es difícil de hacer bien, y muchas personas ocultan sus prácticas de seguridad porque sus prácticas parecerían malas. Hacerlo abierto demuestra que no solo se siente cómodo con ellos, sino que está dispuesto a solucionar los problemas que surjan.
-
Le permite a otros aprender de las cosas que haces bien o mal. Esto tiene poco beneficio directo para usted, pero permite que otros se beneficien.
Dicho esto, la transparencia es realmente beneficiosa si planea responder a problemas de seguridad. Si no lo está planeando, la transparencia puede causar problemas porque hace que los atacantes trabajen menos para encontrar vulnerabilidades.
PCI es un estándar público que mucha gente cumple, por lo que es poco probable que muchos de los detalles relacionados con su implementación sean muy únicos. Es posible que su jefe no piense que la información sobre el cumplimiento de PCI propuesto podría ser perjudicial.