¡Sabes que creo que es un requisito de la profesión! La seguridad no es en blanco y negro y, con mayor frecuencia, la respuesta o la opinión es “depende”. Nunca elimina todos los riesgos de seguridad, por lo tanto, implementar o no implementar un control de seguridad es a menudo una compensación de un mayor costo, menor capacidad de uso / productividad contra el menor riesgo. Desafortunadamente, esto se hace más difícil por el hecho de que, como una profesión joven donde las empresas aún no se ven obligadas a revelar mucha información, rara vez estamos en condiciones de poder cuantificar claramente que gastar $ 100,000 en esta tecnología o proceso le ahorrará $ 250,000 en el el próximo año.
El contexto y los controles de mitigación también suelen ser entendidos. Por ejemplo, simplemente no encriptar algo puede ser un alto riesgo si se trata de un archivo que contiene números de tarjeta de crédito en un servidor accesible por Internet, pero un riesgo menor en un segmento de red restringido con fuertes controles de acceso.
Brindar opciones y hacerle saber los riesgos y las compensaciones para que pueda tomar una decisión informada se considera en realidad un enfoque más ilustrado para simplemente decir no a todo lo que representa un riesgo para la seguridad. Sin embargo, puedo apreciar cómo esto cambia la responsabilidad hacia usted y tal vez sea mejor que adoptemos un enfoque más en blanco y negro como detallo aquí: http://rakkhi.blogspot.com/2010/…
- ¿Cómo sabe una empresa que sus sistemas han sido pirateados?
- ¿Cómo sé si alguien hackeó mi MacBook?
- ¿Cuáles son las cosas básicas que debemos aprender para piratear y cuáles son los tipos de piratería en el mundo moderno?
- ¿Qué hago si mi correo electrónico ha sido pirateado?
- ¿Cómo j-hack Asphalt 8?
Ahora no esperabas una respuesta corta, ¿verdad?