¿Por qué no es suficiente aplicar las mejores prácticas de seguridad y usabilidad?

2

Tengo una pregunta sobre la tarea que sugiere que aplicar las mejores prácticas de seguridad y usabilidad no es suficiente para crear un sistema seguro y utilizable. ¿Qué me estoy perdiendo? ¿Por qué esto no es suficiente?

Si sigo las mejores prácticas de usabilidad, ¿terminaré con un sistema utilizable? Creo que sí.

Si sigo las mejores prácticas de seguridad, ¿terminaré con un sistema seguro? Creo que sí también.

Entonces, ¿qué me estoy perdiendo?

    
pregunta Amy 21.01.2017 - 23:31
fuente

2 respuestas

2

La parte clave de la tecnología es que evoluciona .

Claro que puede aplicar las mejores prácticas, como:

  • Mantenerse actualizado sobre las vulnerabilidades
  • Asegurarse de que el software y los sistemas operativos estén actualizados
  • Comprobación de registros para detectar posibles intrusos / problemas

Dependiendo de su entorno, es posible que también desee ser proactivo . Esto incluiría:

  • NIDS y HIDS (sistemas de detección de intrusión de red / host)
  • Inspección de paquetes con estado con un UTM o "firewall de próxima generación"
  • Copias de seguridad avanzadas, de múltiples niveles dentro y fuera del sitio usando un esquema GFS (Abuelo, Padre, Hijo).

La seguridad de la información se trata de Evaluación de riesgos , que se basa en un enfoque similar al de los negocios, la economía y muchos otros campos. Las vulnerabilidades de día cero y los ataques que las usan no se pueden prevenir siguiendo las mejores prácticas . Este siempre debe incluirse en una evaluación de riesgo , así como en otros temas. Para una pequeña empresa, los ataques de día cero pueden ser demasiado caros para planificar y defender. Simplemente existe la falta de personal, equipo o el capital (efectivo) para hacerlo.

La parte clave a recordar es que las mejores prácticas deben ser una línea de base , y de ninguna manera completa. Sin embargo, hay situaciones que requieren que eso sea "lo suficientemente bueno". Como se destacó anteriormente, un entorno SoHo (Oficina pequeña / Oficina doméstica) no tendría los recursos para implementar un servidor de seguridad con estado basado en hardware. Ciertamente, el entorno debe tener alguna forma simple de copias de seguridad y antivirus, pero ¿debería haber un plan para la pérdida de datos debido a un incendio, terremoto u otro evento grave? ¿Qué pasa con la pérdida del disco duro externo que contiene copias de seguridad semanales? ¿Debería existir un plan para el robo de la propia máquina? ¿Hay datos confidenciales en la máquina?

Hay muchas preguntas que deben responderse, y solo cuando se formulen y puedan responder, habrá una comprensión clara de si aplicar las mejores prácticas de seguridad y usabilidad no es suficiente.

    
respondido por el dark_st3alth 22.01.2017 - 00:05
fuente
2

Creo que se te cayó una palabra importante en la pregunta de la tarea. "Aplicar las mejores prácticas de seguridad y usabilidad simultáneamente no es suficiente para crear un sistema seguro y utilizable".

El concepto que está siendo explorado por la pregunta es la intersección de usabilidad y seguridad . El sistema más utilizable no es seguro, y el sistema más seguro no es utilizable. Si intentas ser el mejor de los dos, fallarás en uno de ellos.

Por ejemplo, una mejor práctica de seguridad es usar contraseñas. Pero las contraseñas son horribles para la usabilidad. ¿Cómo y dónde traza la línea entre un sistema seguro y un sistema utilizable?

Entonces, la idea que creo que te perdiste no es la de seguir las mejores prácticas, sino tratar de seguir diferentes prácticas al mismo tiempo que tienden a estar en desacuerdo entre sí.

    
respondido por el schroeder 22.01.2017 - 14:33
fuente

Lea otras preguntas en las etiquetas