Recuerdo una discusión sobre un posible riesgo y uno de los participantes decía “Debemos separar las redes de todas nuestras tiendas y saber exactamente que usuario y equipo se comunica con el otró y su razon “, bueno tenia sentido todos queremos saber lo que pasa en las redes y saber si alguien utilizó unos de los 65536 puertos TCP/UDP y hacer lindos informes y hacer notar que tenemos todo controlado.
Es factible ? SI, es seguro ? Posiblemente SI, es FUNCIONAL ? Quizás ya no , es fácil de USAR ? Quizás se le complica a algunos . , es barato ? Para algunos si para otros no, pero que se tiene que invertir se debe invertir.
Es por eso que mencionaba al inicio y puse como titulo “Cuestión de triángulos” dada la costumbre de los responsables de la seguridad de la información e informática que al principio solo evaluábamos la triada clásica de : Confidencialidad, Integridad y Disponibilidad. Nos sirve mucho para saber como defender nuestros activos y cuidarlos .
Pero, cuando queremos implementar surge otra triada que debemos considerar para ver si la solución o controles propuestos encajan adecuadamente. Puede ser la solución segura pero si no es usable o funcional perdería mucho sentido implementarla.
Ejemplo : Doble factor de autenticación en las aplicaciones, esto obviamente mejorara la seguridad pero es de fácil uso quizás a algunos usuarios y cliente se les complique, es funcional ésto podría ser un cuello de botella dependiendo de la aplicación y podría generar demoras.
Así que tener en cuenta un triangulo mas a la hora de revisar los activos y su mitigación del riesgo.
No hay comentarios.:
Publicar un comentario