El punto clave aquí es que cualquier seguridad es tan fuerte como su enlace más débil.
Sea claro desde el principio si está protegiendo contra:
- fugas inadvertidas por usuarios despistados u olvidados o
- contra las filtraciones intencionales por parte de adversarios motivados
Los primeros son más fáciles de proteger contra. Pero para diseñar un eficaz y amp; La solución práctica contra este último es un trabajo muy desafiante. No te dejes engañar por los coloridos informes de los vendedores del vendedor.
Lo ilustraré utilizando ejemplos: he visto que las organizaciones gastan mucho en soluciones de filtrado y marcado basadas en la red solo para descubrir, después de un incidente, que la parte culpable utilizó el cifrado (lo que hace que incluso la inspección profunda de paquetes sea discutible). En otro caso, el cifrado fue bloqueado utilizando la protección de punto final que se ejecuta en las PC clientes solo para descubrir cómo esto dificulta el cifrado de datos que deberían haber sido legítimamente cifrados por los usuarios.
Una empresa decidió incorporar una compleja jerarquía de seguridad basada en roles, donde el acceso a muchos documentos confidenciales tenía que ser autorizado por una segunda persona que estaba más arriba en la jerarquía. En la práctica, esto causó tantas dificultades operativas que una gran cantidad de documentos confidenciales terminaron dando espacio a docenas de personas, evitando cualquier utilidad del sistema.
En un caso, todas las soluciones de red y punto final parecían estar en su lugar, pero los dispositivos móviles no estaban muy controlados, por lo que cualquier adversario motivado podría usarlos para filtrar datos confidenciales. Incluso si solo exige dispositivos móviles emitidos por la empresa, ¿ha deshabilitado los puertos USB y Bluetooth e incluso las cámaras en ellos?
En algunas fugas del tercer mundo, he visto informes en los que el modus operendi era bastante escaso e involucraba la impresión de listas de clientes y otros datos confidenciales y el robo de impresiones reales durante un período prolongado. Irónicamente, el sitio en realidad tenía cacheos de seguridad, pero lamentablemente estaban buscando llaves USB, teléfonos celulares, discos duros y demás. Las copias impresas en papel nunca fueron verificadas por los chicos de seguridad.
El punto es que muchas de estas lagunas pueden ser bloqueadas con cierto esfuerzo, pero uno tiene que darse cuenta de que la mayoría de las estrategias de protección efectivas implicarán el inconveniente de hacer que el uso legítimo sea más inconveniente.
Existe una conveniencia frente a la compensación de seguridad y cada organización debe decidir en qué punto de esta curva de compensación quiere vivir. Aún mejor, su solución elegida debe tener la granularidad para establecer la compensación adecuada en el sitio o incluso a nivel de departamento o persona y no una política general de la organización. Este último rara vez funciona bien en la práctica.
PS. Todos los proveedores mostrarán el caso de la magia de su propio producto, pero es importante tener una visión holística y la pregunta correcta a menudo es: ¿Puede el muy costoso este costoso software de seguridad? ¿Está dedicado a la protección ser completamente ignorado por un adversario? por ejemplo, La protección basada en la red es de poca utilidad si se permiten memorias USB