Securitatea informațiilor văzută altfel

Securitatea în IT nu ar trebui să fie prea complicată, dacă ar fi abordată ceva mai obiectiv. De fapt, la nivel de principii de funcționare, cred că se aseamănă cu multe alte industrii.

Să ne imaginăm că, în loc de calculatoare și date/informații, sîntem în domeniul autovehiculelor.

Șofer = utilizator

Autovehicul = calculator+informații

Șosele = rețea/Internet. Pe acestea mai înîlnim semne de circulație, semafoare, intersecții….(căruțe = malware?🙂 , polițiști/radare=IPS/IDS)

Acum să ne gîndim puțin la securitate.

Sînt lucruri care țin de conduita șoferului; altele care sînt sarcina proiectantului și administratorului drumului; altele care țin de producătorul/proiectantul autovehicului. În povestea asta știm foarte bine că avem șoferi de tot felul; drumuri mai bune sau mai proaste și cu „lățimi de bandă„ diferite; autovehicule mai rapide sau mai puțin rapide, mai ieftine sau mai scumpe. Mai avem și organisme care stabilesc „regula jocului„ pe drumurile publice, care autorizează folosirea autovehiculelor etc.

„Securitatea„, mai corect spus „siguranța„ nu este deci doar responsabilitatea unui actor. De unde ar fi trebuit să știe șoferul despre centuri de siguranță, airbag, controlul tracțiunii, asistență la plecarea din pantă etc? Și dacă șoferul nu știe și nu cere, de ce ar fi introdus astfel de elemente producătorii? În final, este responsabilitatea șoferului cum circulă, nu? Este treaba „drumarilor„ să semnalizeze șoselele, să instaleze semne de circulație etc. De ce să fie interesat producătorul de „siguranță„?

Vedem însă că producătorii sînt interesați de „siguranță„. Pe lîngă „gadget„ -uri, orice producător a introdus elemente de siguranță activă și pasivă pe autovehiculele produse. Și toți se laudă cu testele NCAP.

Cine vrea să conducă trebuie să fie autorizat și apoi devine responsabil pentru conduita sa, dar știe de cîtă „siguranță„ beneficiază din momentul în care și-a achiziționat autovehiculul.

Cred că s-a înțeles ce vreau să spun. Așadar, „siguranța„/securitatea este și responsabilitatea dezvoltatorului de aplicații. Pentru că vulnerabilitățile nu se întîlnesc doar la nivelul șoferului sau șoselei. Atunci cînd se identifică postvînzare probleme la o mașină, producătorul o recheamă pentru reparație. Pe cheltuiala sa. Pentru că, spre deosebire de zona software, știe că poate fi dat în judecată….În cazul software riscul de a fi chemat în instanță pentru că aplicația este „găurită„ nu prea există. Toți „soferii„ bifează căsuța „Accept„: folosești „mașina„ pe propriul risc.

Poate că, în domeniul securității IT, ar trebui regîndită  abordarea vulnerabilităților utilizatorilor, ale rețelei și cele din cadrul aplicațiilor.

Fără RCA și Inspecție tehnică valabile nu ai voie să circuli pe drumurile publice.

2 gânduri despre “Securitatea informațiilor văzută altfel

  1. Citind articolul ma duc usor catre ideea de acces limitat catre internet (pe baza de permis/identificator?), insa vrem sa ajungem acolo?

    Apreciază

  2. Ei…la asta nu m-am gîndit🙂 în paralela mea și nici mi-aș dori vreodată să ajungem acolo.
    Sugestia mea pleacă de fapt de la ceea ce consider a fi oarecum paradoxal: soluții de securitate și investiții pentru ceea ce se petrece la alte niveluri OSI decît 7. Astăzi însă, cele mai multe vulnerabilități vin de la nivelul Aplicație….

    Apreciază

Mulţumesc.

Completează mai jos detaliile despre tine sau dă clic pe un icon pentru autentificare:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare / Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare / Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare / Schimbă )

Fotografie Google+

Comentezi folosind contul tău Google+. Dezautentificare / Schimbă )

Conectare la %s