diferencia entre necesidad de saber, privilegio mínimo y confidencial

Dependiendo de cómo lo mires, son sombras de lo mismo. La confusión viene cuando los mismos términos se usan para otras cosas, también.

El principio de "privilegio mínimo" establece que uno solo debe tener acceso a lo que necesita y nada más. Extienda esta idea a la "confidencialidad de los datos" y terminará con la "necesidad de saber".

Para decirlo de otra manera, para mantener la confidencialidad de los datos, debe asegurarse de que solo aquellos que necesitan acceso a esos datos tengan acceso, y nadie más. Nuevamente, es una forma de "necesidad de saber" y "privilegio mínimo".

No diría que las 3 ideas son la misma idea, pero para lograr la "confidencialidad", terminas necesitando emplear el "privilegio mínimo" y, por extensión, "debes saberlo".

Por cierto, la cita que tiene está tratando con la aplicación de "privilegio mínimo" como su propia idea, aparte de la "necesidad de saber", que es válida. El privilegio mínimo puede aplicarse al acceso y la capacidad, así como a la confidencialidad de los datos.

La necesidad de saber significa que el usuario tiene una razón legítima para acceder a algo. Luego se puede implementar el menor privilegio para limitar ese acceso y limitar lo que el usuario puede hacer con ese algo. Por ejemplo, una vez que se determina que un usuario tiene una necesidad comercial de acceder ("necesita saber") los datos del usuario, la pregunta de "privilegio mínimo" es, ¿QUÉ TIPO DE acceso debería tener para esos datos de usuario? ¿Solo lectura? ¿Actualizar? ¿Borrar? Bríndele al usuario la menor cantidad de privilegios que necesite para satisfacer sus necesidades.

Digamos que James Bond tiene una autorización "secreta". Ese es su privilegio. ¿Debería tener "alto secreto"? No. Por diversas razones, aunque es James Bond, tiene el menor privilegio que necesita: no necesita saber cosas "de alto secreto", por lo que su nivel de privilegio (mínimo) se establece en "secreto". / p>

Ahora, supongamos que Bond está luchando contra el mal en Jamaica. Conoce bastante sobre Jamaica debido a su "necesidad de saber". ¿También él conoce información "secreta" sobre Cuba? No. En este momento, no necesita saber eso.

Y por cierto: ¿Su "licencia para matar"? Se trata más de una capacidad y, por lo tanto, más como, por ejemplo, obtener acceso de escritura a un archivo; y, así, más un aspecto de su privilegio en lugar de su "necesidad" de explotarlo en un lugar determinado. De hecho, si James le disparó a alguien en Cuba mientras se encontraba en una misión con respecto a Jamaica, probablemente M estaría muy molesto a menos que James pudiera probar que el asesinato en Cuba fue esencialmente para sus "necesidades" con respecto a su trabajo en Jamaica.

Casi me atrevería a decir que Least Privilege es un control lógico, mientras que la necesidad de saber es un control administrativo.