¿Las grandes compañías de software en línea limitan el acceso de los empleados a la información de la compañía?

Navega tus respuestas
9

Me he estado preguntando cómo las grandes compañías de software en línea, específicamente aquellas basadas en un solo producto masivo, como Google, Facebook, Yahoo, etc., manejan el riesgo de los empleados despedidos. Cualquier empleado con suficiente conocimiento de seguridad interna podría potencialmente utilizar este conocimiento para vengarse de la compañía.

Obviamente, cualquier empresa que no pueda confiar en sus empleados tiene problemas mucho más profundos que las simples preocupaciones de seguridad, pero después de pasar por los escenarios, parecería que Google, Facebook, Yahoo, tendrían que limitar lo que sus empleados saben a lo que necesitan. saber. Un empleado que escribe protocolos para enviar datos entre servidores obviamente necesita información peligrosa para hacer su trabajo, pero no necesita saber acerca de la seguridad externa. Un empleado que trabaja en la detección de anomalías está claramente involucrado en la seguridad, pero no necesita saber cómo se procesan las solicitudes que lo hacen. En otras palabras, parece que estas compañías adoptan los mismos principios con sus empleados que adoptan con su código: principio de privilegio mínimo y ningún punto único de falla potencial.

¿Google, por ejemplo, restringe lo que sus empleados saben a lo que necesitan saber? ¿Es este estándar de la industria?

    
pregunta TheEnvironmentalist 25.07.2015 - 13:21
fuente

1 respuesta

6

Las reglas básicas que siguen las grandes empresas no son muy diferentes de las reglas / recomendaciones de los estándares populares de seguridad informática (por ejemplo, ISO27k):

  1. Segregación de funciones: separación en la provisión de servicios, proceso de desarrollo o cualquier otra parte de los servicios de TI, por lo que diferentes personas son responsables de los diversos componentes / etapas de la prestación, desarrollo, aprovisionamiento, etc.

Por ejemplo, un equipo es responsable del hospedaje / aprovisionamiento de sistemas, otro equipo es responsable del desarrollo del producto, un tercer equipo es responsable del almacenamiento / bases de datos, etc.

En general, ninguna persona tiene acceso de manera que pueda comprometer todo el proceso. Sin embargo, esta medida por sí sola no es suficiente por razones obvias (no ayudó en el caso de Ed Snowden).

  1. Principio de privilegios mínimos: como ya mencionó, a cualquier empleado se le proporcionan las credenciales mínimas necesarias para que desempeñen sus funciones.

Esta es otra medida que, por sí sola, no ayudará a eliminar por completo el riesgo de que los ex empleados o empleados actuales pongan en peligro la integridad, la confidencialidad o la disponibilidad de la información (nuevamente, no ayudó en el caso de Ed Snowden).

  1. Tenga un buen programa de administración de activos: sepa quién tiene acceso a qué. Tener una imagen clara y actualizada de quién tiene acceso a lo que puede ayudar en la siguiente etapa.

  2. Ciclo de vida de la cuenta: tiene procesos implementados que se ejecutan cuando los empleados se van, asegurándose de que se revocan sus credenciales.

  3. Encripta! Y tenga un sólido proceso de administración de claves.

  4. Cuide la propiedad intelectual (IP), tanto como las patentes de software son discutibles, y los abogados no son las personas en las que me gustaría confiar, tener la propiedad intelectual de la empresa definitivamente ayuda (patentado, registrado o de lo contrario con derechos de autor).

  5. Verificación de antecedentes. Las pequeñas empresas generalmente no pueden permitirse una verificación de antecedentes adecuada, pero las grandes definitivamente hacen su tarea en este departamento.

  6. Ejecute un programa de prevención de fugas de datos (una combinación de soluciones, procedimientos y monitoreo).

Estos son solo algunos de los conceptos básicos que limitarían cualquier riesgo potencial de daño que un empleado (o ex empleado) pueda causar al usar su conocimiento interno. No se puede borrar lo que los empleados saben (por ejemplo, arquitectura del sistema, protocolos, etc.), sin embargo, las personas que normalmente tienen acceso a las llaves del castillo no están comenzando sus carreras, así que cualquier rasgo potencial que los haga menos que ... confiable aparecería durante algunos de sus ciclos de empleo anteriores, o durante su período de prueba.

Ninguna organización puede eliminar el riesgo por completo, pero seguir el enfoque de sentido común, combinado con el estricto cumplimiento de las normas de seguridad informática puede ahorrarle muchos problemas a largo plazo.

Con respecto a las medidas específicas dentro de las grandes corporaciones, cada una es un poco diferente, ya que existen diferencias sustanciales en su cultura, en su gobierno y en su apetito de riesgo general. No hay una bala de plata, y aún necesitan un buen proceso de gestión de incidentes para responder a lo que se han perdido :-)

    
respondido por el Milen 25.07.2015 - 18:03
fuente

Lea otras preguntas en las etiquetas

¿Cómo protegen las tarjetas sin contacto EMV contra ataques de repetición? problemas de seguridad en el almacenamiento JWT