Seguretat per informació distribuïda.




Fa moooolts anys es defensava un sistema de seguretat per ocultació. Es basava en el fet que si la gent que estava fora dels sistemes als quals volia accedir il·legalment no tenia la informació necessària de quina era la seguretat i els sistemes implicats no podria accedir-hi.
Aquest concepte va resultar erroni principalment per dos motius.

El primer motiu és que es va demostrar que l’axioma era falç. Els crackers competents poden entrar fins i tot sense tenir una informació completa de què hi ha a l’objectiu. De fet la primera etapa d’un procés d’intrusió és la recollida de la informació de l’objectiu. Aquesta recollida d’informació reuneix diverses peces d’informació ( per diversos canals ) que separades no tenen valor però que un cop unides i analitzades proporcionen suficient informació per seguir endavant amb l’atac.

El segon motiu, més important encara que el primer, és que el perill principal per als sistemes d’informació no està a l’exterior si no a l’interior.
A l’interior de qualsevol organització hi ha els problemes de seguretat més importants. Els equips ja són dins de l’objectiu, no cal saltar-se les barreres d’entrada, i per tant és molt més senzill d’executar els trencaments de seguretat.

Ara ve la frase famosa: “ Però a la meva empresa ningú ho faria això ”

Suposant que la frase sigui certa, aquest no és l’únic escenari on es pot donar aquest tipus de trencaments de seguretat.
Després de molts anys, encara al·lucino quan una persona de suport informàtic demana l’usuari i la paraula de pas a l’usuari per qualsevol motiu. Com això és norma, creieu que algú que truqui a un usuari demanant les dades d’accés despertaria sospites? Business as usual.
Els equips dels usuaris, pel sòl fet d’estar connectats al món són una porta oberta a atacs potencials que obrin accessos als atacants sense que aquests ho sàpiguen. L’accés a un banner irresistible que un cop a la pàgina web instal·la algun tipus de codi maliciòs a la màquina. Un usuari que clicka l’adjunt d’un correu electrònic amb assumpte “I love you” per comprovar si l’antivirus funciona correctament, etc.
Errors humans, un usuari que fa un copy/paste d’informació a un canal de comunicació incorrecte.
Hi ha un munt de perills a nivell intern que poden comprometre molt la seguretat.

I amb aquesta situació, neix la seguretat de coneixement distribuït.

Aquesta modalitat de seguretat es una evolució de la seguretat per ofuscació. Com que la aquest model de seguretat no és pràctic i no resolt els problemes de seguretat interna, apliquem una variant on descentralitzem el coneixement de la seguretat. D’aquesta manera es redueix l’impacte que té un problema de seguretat intern, doncs les màquines ( i els usuaris ) interns no tenen accés a tot sinó a una petita part de la informació.
Idea brillant. De fet aquest mètode és el que usen les organitzacions clandestines que treballen en cèl·lules independents. La informació a la que té accés una cèl·lula és limitada i per tant en cas que aquesta caigui, el forat d’informació que es genera és mínim.
Però el que funciona per a organitzacions clandestines no té perquè funcionar en organitzacions legals que treballen per aconseguir beneficis legals.
La dispersió de la informació i de les accions que pot realitzar cadascun dels usuaris a nivell operatiu, crea compartiments que no es poden comunicar entre ells. Entre els diferents compartiments no flueix la informació i per tant la productivitat, la eficiència i la creativitat es veuen també greument afectades.

Val la pena tenir aquesta compartició de la informació per tal de mantenir la seguretat, a costa de la productivitat, la eficiència i la creativitat?

No seria més eficient deixar fluir amb més llibertat la informació i monitoritzar aquest flux per detectar si existeix alguna anomalia?

Es podria formar als usuaris en aspectes bàsics de seguretat dins de l’entorn laboral ?

En un món on cada cop l’anàlisi de dades i l’automatització és més important en tots els aspectes, el fet de tenir aquestes compartiments estancs, no és un llast que es podria evitar?

Existeix algun altre motiu per mantenir aquests tipus d’estructures que vist des de fora representen un greu perjudici per a les empreses?


Links d’interès.

Imatge del post de : http://pixabay.com/