¿Es más o menos seguro cuando una entidad comparte sus procedimientos de seguridad?

3

Ahora mismo estoy haciendo un trabajo en mi escuela y quieren que escriba un informe sobre algo en lo que he trabajado. Son realmente serios con los "informes de propiedad" e informes que requieren destrucción después de haber sido marcados. Estoy planeando escribir sobre ser compatible con PCI y mi jefe me dice que no me preocupe por promocionarlo como un "informe de propiedad". Mi pregunta es, ¿hacer públicos los detalles de seguridad aumenta o disminuye la seguridad? No puedo encontrar el artículo de wikipedia en el que leí esto, pero después del 11 de septiembre, un informe descubrió que agencias como el FBI no compartían la información lo suficiente, cada agencia sintió que trabajaban para obtener la información y quería mantenerla confidencial y para ellos mismos que en última instancia era contraproducente. ¿Se puede ver que es lo mismo? Cuantas más personas observen una implementación de PCI, es más probable que alguien pueda detectar una debilidad.

    
pregunta Celeritas 09.08.2012 - 23:28
fuente

1 respuesta

5

En general, los consensos dentro de la comunidad de seguridad es que la divulgación de prácticas de seguridad (también conocida como transparencia) conduce a una seguridad mejorada. La transparencia tiene muchos beneficios:

  • Te da motivación para hacer bien la seguridad. A veces, hacer lo correcto por seguridad es molesto o costoso, y no tener a nadie a quien rendir cuentas hace que sea tentador no hacerlo de la manera correcta. Cuando todos pueden ver lo que estás haciendo, tienes más motivación para hacer las cosas correctamente.

  • Significa que más personas pueden analizar lo que estás haciendo mal. Un sistema abierto puede ser analizado por muchas más personas que pueden sugerir mejoras. En general, se asume que los atacantes motivados encontrarán estas debilidades de todos modos, por lo que cuanto más honestas sean las personas que pueden ver las debilidades, más probable es que las debilidades se informen de manera oportuna. La alternativa es vivir en la felicidad y solo conocer un problema una vez que el atacante lo haya explotado.

  • Significa que confía en su diseño. La seguridad es difícil de hacer bien, y muchas personas ocultan sus prácticas de seguridad porque sus prácticas parecerían malas. Hacerlo abierto demuestra que no solo se siente cómodo con ellos, sino que está dispuesto a solucionar los problemas que surjan.

  • Le permite a otros aprender de las cosas que haces bien o mal. Esto tiene poco beneficio directo para usted, pero permite que otros se beneficien.

Dicho esto, la transparencia es realmente beneficiosa si planea responder a problemas de seguridad. Si no lo está planeando, la transparencia puede causar problemas porque hace que los atacantes trabajen menos para encontrar vulnerabilidades.

PCI es un estándar público que mucha gente cumple, por lo que es poco probable que muchos de los detalles relacionados con su implementación sean muy únicos. Es posible que su jefe no piense que la información sobre el cumplimiento de PCI propuesto podría ser perjudicial.

    
respondido por el B-Con 10.08.2012 - 00:02
fuente

Lea otras preguntas en las etiquetas