¿El cinismo tiene un rol válido en la seguridad de la información? [cerrado]

Navega tus respuestas
-2

El otro día, participé en una discusión sobre el desbordamiento de Meta Stack sobre qué hacer cuando un usuario publica credenciales (por lo general de manera inadvertida) en una publicación de Stack Exchange. (GitHub y otros sitios tienen problemas similares).

Después de publicar mis pensamientos, me di cuenta de que me parece bastante cínico suponer que las credenciales se han visto comprometidas, incluso si solo eran visibles en toda la Internet durante unos pocos minutos / horas. Y al menos otra persona lo señaló.

El cinismo no suele ser intuitivo para mí. En el trabajo y en la vida en general, creo que es mejor darles a otros el beneficio de la duda y tratarlos como personas reales en lugar de, por ejemplo, criminales o usuarios malintencionados.

Así que mi pregunta no es sobre si estoy en lo correcto o no, o incluso qué hacer. Pero me pregunto si el cinismo juega un papel válido en la seguridad de la información. Y para aclarar, no estoy hablando de ser un cínico que se siente miserable por estar cerca porque la actitud negativa se borra. Quiero decir, ¿se recomienda desde una perspectiva de seguridad asumir que los demás están motivados solo por el interés propio? (O, en otras palabras, ¿es aceptable suponer que si alguien podría haber robado sus credenciales, se las robó?)

¿Es incluso posible abordar la seguridad desde la perspectiva de que las personas son básicamente virtuosas? (Como en, ¿solicitaría una respuesta más positiva de amenazas potenciales y, por lo tanto, minimizaría el riesgo?)

Si tiene ejemplos históricos específicos o algún tipo de publicaciones académicas / científicas relacionadas, eso sería útil.

    
pregunta Matt 31.12.2014 - 07:56
fuente

1 respuesta

4

La seguridad de la información tiene que ver con la gestión de riesgos, no se trata de ser positivo o negativo, sino de ser objetivo. En la gestión de riesgos tomamos la probabilidad, evaluamos la exposición del ataque (vulnerabilidad) y luego hay un actor con cierta motivación o cualquier circunstancia o evento con el potencial de impactar negativamente un activo.

Ahora si tomamos su situación: un usuario publica credenciales en StackExchange o Github.

El actor de amenazas aquí es gente que tiene acceso no autorizado a las credenciales. La vulnerabilidad aquí es la exposición de la información. La probabilidad debe evaluarse, en orden de probabilidad:

  • Sitio web de alto tráfico, mucha gente lo habrá visto
  • Sitio web de alto tráfico, los índices de Google son bastante rápidos y se almacenan en caché
  • Sitios web de almacenamiento en caché como el archivo de Internet
  • cosechadores de credenciales

Pero podemos afirmar que es muy probable que hayan sido expuestos. Así que tenemos pérdida de información.

PERO, ¿cuál es la probabilidad de que estas credenciales sean abusadas? Eso dependerá de la situación, pero no podemos evaluar eso ya que no sabemos para qué se usan las credenciales. Puede ser que se utilicen para sistemas de producción, pero incluso para la cuenta personal de un desarrollador. Digamos que es bajo porque es un sistema usado internamente.

Entonces, evaluamos el costo si se comprometiera el sistema. Podría ser una pérdida financiera directa o una pérdida financiera indirecta debido a daños a la reputación o la incapacidad de las personas para trabajar. Pero también podría ser que la contraseña solo se use en el desarrollo y que la exposición solo se limitaría a la máquina de un solo desarrollador.

Digamos que la posibilidad de que el sistema se vea realmente comprometido es baja, pero el impacto es alto. Entonces tenemos un riesgo general de medio tan bajo x alto = medio. Como no podemos evaluar el costo real del riesgo en este ejemplo, no voy a ponerle un número, pero normalmente usted podría evaluar el riesgo.

Finalmente, ¿cuál es el costo para reducir o mitigar este riesgo? ¿Cuánto tiempo se tarda en cambiar esta contraseña? Digamos que no es mucho. Podemos decir que el costo es bastante bajo. ¿Es la mitigación del riesgo más barata que cuando se produciría el riesgo? Sí, entonces mitigémoslo.

Lo que quería señalar es que no se trata de cinismo, se trata de cubrir el riesgo y el costo. Ser positivo o negativo no tiene nada que ver con eso, se trata de medir lo más objetivamente posible cuál es la exposición y cuál es el costo potencial.

El hecho es que puedes PRUEBAS que las credenciales han sido expuestas, pero NO puedes probar que nadie las cosechó. Y eso es pura realidad.

    
respondido por el Lucas Kauffman 31.12.2014 - 08:56
fuente

Lea otras preguntas en las etiquetas

¿Cómo el DES proporciona confusión y difusión? [cerrado] Cómo reconocer si alguien usando una contraseña Recordatorio de secuencia de comandos [cerrado]