¿Por qué los “expertos en infosec” tienden a hablar tanto?

¡Sabes que creo que es un requisito de la profesión! La seguridad no es en blanco y negro y, con mayor frecuencia, la respuesta o la opinión es “depende”. Nunca elimina todos los riesgos de seguridad, por lo tanto, implementar o no implementar un control de seguridad es a menudo una compensación de un mayor costo, menor capacidad de uso / productividad contra el menor riesgo. Desafortunadamente, esto se hace más difícil por el hecho de que, como una profesión joven donde las empresas aún no se ven obligadas a revelar mucha información, rara vez estamos en condiciones de poder cuantificar claramente que gastar $ 100,000 en esta tecnología o proceso le ahorrará $ 250,000 en el el próximo año.

El contexto y los controles de mitigación también suelen ser entendidos. Por ejemplo, simplemente no encriptar algo puede ser un alto riesgo si se trata de un archivo que contiene números de tarjeta de crédito en un servidor accesible por Internet, pero un riesgo menor en un segmento de red restringido con fuertes controles de acceso.

Brindar opciones y hacerle saber los riesgos y las compensaciones para que pueda tomar una decisión informada se considera en realidad un enfoque más ilustrado para simplemente decir no a todo lo que representa un riesgo para la seguridad. Sin embargo, puedo apreciar cómo esto cambia la responsabilidad hacia usted y tal vez sea mejor que adoptemos un enfoque más en blanco y negro como detallo aquí: http://rakkhi.blogspot.com/2010/…

Ahora no esperabas una respuesta corta, ¿verdad?

Related Content

¿Qué es un ataque de hombre en el medio?

¿Cómo fue hackeado Twitter el 2012/05/08 /?

Hackers: ¿Es posible atacar una computadora simplemente abriendo un correo electrónico en el navegador?

¿Por qué PayPal nunca fue pirateado en su historia? ¿Qué tipo de modelo de seguridad están empleando para proteger sus datos y proporcionar seguridad financiera?

¿Cómo puedo convertirme en un experto en seguridad informática sin una capacitación formal?

Hay dos dimensiones para eso. Uno tiene que ver con la naturaleza de cómo las personas de CyberSecurity comunican los resultados. El otro tiene que ver con la naturaleza del trabajo en sí.

Primero, gran parte del proceso de práctica de cómo se comunica la Seguridad Cibernética se deriva del mundo de la auditoría y la contabilidad, y los detalles y la documentación requerida a menudo son excesivos. Las personas de seguridad tienden a responder preguntas con lo que ya se les ha pedido que escriban. Ese lenguaje tiene que ser completo, preciso y soportar un escrutinio legal. Eso es lo que me gusta la gente que escribe cosas para la gente inteligente que hace el trabajo técnico. Eso también significa que soy el elegido a menudo para presentar los resultados, incluso si no entiendo cómo se realizó el análisis para obtener el resultado, entiendo la amenaza y lo que se hizo para solucionarlo. Pero hágame una pregunta y le diré la respuesta completa tal como la documenté en los resultados. Es como cuando era profesor, la gente a menudo me decía que parecía que les estaba dando una conferencia, y todo lo que podía decir era “lo siento, riesgos laborales, doy clases para ganarse la vida”.

En segundo lugar, estás hablando de personas que detienen las hazañas de seguridad. La respuesta será compleja porque las vulnerabilidades de seguridad aprovechan la complejidad de los sistemas de información. Un truco complejo de un sistema complejo significa una explicación compleja. Si simplifica demasiado una explicación, puede omitir información clave. La gente de seguridad tiene que responder a las personas que auditan su trabajo, eso es parte del proceso, por lo que la gente de seguridad no omite detalles cuya ausencia invitaría al escrutinio.

Imagínese si en su trabajo alguien le dijera “vaya a hacer este proyecto, entonces vamos a contratar a un grupo separado de personas para validar que usted hizo el proyecto de manera completa e integral. Si no comunicó uno de los resultados de su proyecto correctamente, ellos le asignará tareas para hacer eso y notará que no lo explicó correctamente en primer lugar. Luego lo supervisarán e informarán a todos sus gerentes para mantenerlos evaluados regularmente de que usted ha hecho su trabajo completamente y ha comunicado su resultados completamente. Falla en cualquiera de estas medidas y lo etiquetarán como ‘no conforme’ “. Eso puede darle una idea de por qué la gente de seguridad puede ser muy exigente en su estilo de comunicación.

Rakkhi Samarasekera

More Interesting

¿Alguien puede "recoger mi bolsillo" electrónicamente si estoy usando un teléfono o tarjeta basada en NFC?

¿Es más fácil para un amigo de Facebook hackear su cuenta que un extraño de Facebook?

¿Qué nivel de habilidad se requiere para los hackatones?

Piratería informática (seguridad): si un grupo como LulzSec atacara un sitio web cuyos miembros eran técnicamente expertos, por ejemplo, Quora, ArsTechnica, Reddit, ¿cómo reaccionaría la comunidad?

¿Cómo suben los hackers shell en el sitio del cliente?

¿Por qué no se ha eliminado la cuenta de Twitter de LulzSec?

¿Cómo pueden las computadoras entender el código? ¿Cómo es que el compilador puede entender el lenguaje, de alguna manera ponerlo en binario para ser entendido, y en realidad ser entendido por la máquina misma? Quizás haya algo de información errónea en mi pregunta, pero entiendes lo esencial. ¡Gracias!

¿Qué es siph0n.net?

Cómo crear un keylogger en Android

¿Por qué debería usar Arch Linux para hackear?

¿Qué es una buena lista de verificación a seguir para garantizar el cifrado más seguro del disco duro?

¿Se puede piratear y controlar mi teléfono de forma remota?

¿Qué teclados inalámbricos admiten un nivel razonable de cifrado?

¿Por qué ha habido tantas infracciones de seguridad de contraseña en el verano de 2012?

¿Qué es el "dorking de Google" y cuál es la defensa contra este problema?