¿Debería revisarse la documentación de seguridad que hace referencia a las “hazañas patrocinadas por el estado” para incluir a las grandes corporaciones también?

Navega tus respuestas
-1

La documentación relacionada con la seguridad (y la conversación informal) a menudo describe amenazas que requieren muchos recursos como "patrocinados por el estado"

Dado que las grandes corporaciones mega-nacionales tienen más ingresos que el PIB de algunos países , quiero incluir estas corporaciones en amenazas a las que normalmente se hace referencia como "patrocinadas por el estado".

Solo puedo asumir que esto no se hace porque

  1. Las personas no son conscientes de esta distinción
  2. Las corporaciones motivadas por las ganancias, y los medios para esas ganancias en relación con los demás se entienden menos
  3. Las grandes corporaciones están pagando las revisiones de seguridad, y es en el mejor interés del auditor no identificar al cliente (o futuros clientes) como una amenaza potencial
  4. Las grandes corporaciones están utilizando las relaciones públicas para resaltar la desconfianza del gobierno frente a la desconfianza corporativa (teoría del sombrero de estaño)

Independientemente de las posibles razones, ¿cuál es la forma correcta de expresar esto (en la documentación) y cuáles son algunas válidas & ¿Razones racionales para agruparlos como amenaza?

    
pregunta random65537 20.05.2015 - 16:56
fuente

1 respuesta

3

No

Cuando la gente habla de "amenazas de estado nación", lo que realmente quieren decir es "amenazas de estado de nación bien financiadas". No están hablando de un estado africano pobre que desarrolle una guerra cibernética avanzada. Y aunque las empresas como Apple ganan tanto (o quizás más) que el presupuesto de la NSA, nadie espera que dediquen una gran parte de su presupuesto al espionaje cibernético. Entre otras cosas, tendrían que tener cuidado de no ser atrapados, mientras que la NSA opera con impunidad legal.

No ha mencionado exactamente a qué documentos se refiere. Si te refieres a las políticas de seguridad corporativa, entonces solo es relevante para ellos tener un concepto muy aproximado de las capacidades de los atacantes. Vale la pena distinguir entre los niños escritores, el crimen organizado y el espionaje estatal. Pero ir al detalle de "una corporación importante que tiene influencia sobre un gobierno estatal menor" simplemente no es útil. Eso no le ayuda a decidir si a Joe se le permite usar una memoria USB, o Fred puede seguir usando Internet Explorer 6.

    
respondido por el paj28 20.05.2015 - 17:12
fuente

Lea otras preguntas en las etiquetas

Prioridad de auditorías de seguridad [cerrado] Recursos para la capacitación de Concientización sobre la seguridad [cerrado]