Citas célebres sobre la seguridad de la red
"El equipo de evaluación de vulnerabilidades lleva a cabo investigaciones exhaustivas que cubren áreas como la lucha contra la falsificación, la detección de manipulaciones e intrusiones, la seguridad de la carga, la seguridad nuclear y más. y utilizar las herramientas de la psicología industrial y organizacional para garantizar la seguridad personal ”
Preguntas frecuentes
A lo largo de años de trabajo en Los Alamos y Argonne National Laboratories, el Dr. Johnston ha. acumuló una experiencia considerable en la identificación y resolución de problemas de seguridad. Como resultado, se dio cuenta de algo:
"Como evaluador de vulnerabilidades de seguridad, cuando realiza trabajos de seguridad física, debe pensar que las personas son egoístas. O debe centrarse en cuestiones de seguridad específicas. Incluso, tenemos hacer ambas cosas, pase lo que pase, es frustrante ver que se repiten los mismos problemas de seguridad".
La búsqueda del Dr. Johnston
Entonces, el Dr. Johnston enumera sus mantras de seguridad. Nunca antes había oído hablar del término "máxima de seguridad", así que primero asegúrese de que todos tengan una comprensión unificada de su significado:
Máxima: declaración de un hecho o principio universal. Un principio o regla de conducta.
El Dr. Johnston define con más detalle sus máximas de seguridad, argumentando que no son teoremas ni verdades absolutas:
“En nuestra experiencia, las máximas de seguridad son salvaguardias que pueden ser efectivas para garantizar la seguridad personal y seguridad nuclear el 80-90% del tiempo."
Al principio, no me di cuenta de que el Dr. Johnston se centraba en la seguridad personal. Simplemente porque su lema es muy acorde con las características de la tecnología de TI. Esta es mi opinión. No sé si estás de acuerdo.
Citas de seguridad favoritas
Aquí están mis selecciones de la acumulación de máximas de seguridad del Dr. Johnston:
Siempre hay una vulnerabilidad desconocida: si existe un agujero de seguridad en un determinado dispositivo, sistema o programa de seguridad, la mayoría de las veces nunca será descubierto (ni por los buenos ni por los malos).
Comentario del Dr. Johnston:
“La razón por la que pensamos en esto es porque cuando verificamos el mismo equipo, sistema o procedimiento de seguridad por segunda o tercera vez, siempre falla. . Se pueden descubrir nuevas vulnerabilidades porque siempre podemos encontrar vulnerabilidades que otros han olvidado, y viceversa."
Una evaluación que no detecta fallas no tiene sentido: una que solo contiene unas pocas vulnerabilidades o se cree. no tener vulnerabilidades. El informe de tasación no tiene valor y es erróneo.
La llamada protección irrompible es en realidad vulnerable: para un dispositivo o sistema de seguridad, el mayor daño proviene de un diseñador, fabricante o usuario confiado/arrogante, y el grado de daño depende de su uso" Imposible " o "anti-interferencia" y otras palabras.
Todos estamos de acuerdo en que hay un problema: si estás satisfecho con la situación de seguridad, hay un problema.
Me alegra ver que el Dr. Johnston tiene un gran sentido del humor.
Los ignorantes no tienen miedo: la confianza de las personas en la seguridad es inversamente proporcional a lo que realmente saben.
Comentario del Dr. Johnston:
“Si nunca se toma el tiempo para pensar detenidamente, descubrirá que la seguridad parece muy fácil”.
Niveles de seguridad Hasta el eslabón más débil: la eficacia de la seguridad depende de hacer más mal que bien.
Esta máxima es válida en cualquier situación. Comentarios del Dr. Johnston:
“Porque los malos suelen atacar deliberadamente, maniobrando en lugar de atacar al azar”.
El siguiente aforismo proviene de la perspectiva del Dr. Johnston sobre los altos directivos:
El nivel de liderazgo es el más crítico: en términos de seguridad, lo que los altos directivos de cualquier empresa (no de seguridad) saben es inversamente proporcional a la seguridad, lo cual depende de dos aspectos, (1) lo que piensan que es seguro Qué fácil es, (2) cuánto saben sobre microgestión de la seguridad y cómo pueden modificar las reglas a voluntad.
Los ejecutivos suelen ser moralistas cuando se trata de seguridad: cuanto más lejos del centro (no seguridad), más fácil le resulta a un gerente descubrir que piensa (1) que es seguridad fácil de entender (2) para estar seguro.
Cuando los ejecutivos hablan de seguridad en público, a menudo son ignorantes: cuando un alto directivo (no relacionado con la seguridad), un burócrata o un funcionario gubernamental habla de seguridad, normalmente dirá algo estúpido, desinformado, Opiniones realistas, inexactas y/o ingenuas.
Mi favorito personal:
La persona promedio no conoce mucho sentido común sobre la seguridad: la clave del sentido común es que no incluye todo el sentido común.
La siguiente máxima explica por qué los problemas de seguridad tardan tanto en resolverse:
No llores hasta que veas el ataúd: hasta que aparezcan los signos más evidentes de una brecha de seguridad grave, todo el mundo se confunde. Hasta que surgieron pruebas abrumadoras y fueron ampliamente reconocidas, el desastre ya había ocurrido. En otras palabras, "es necesario prevenir daños psicológicos (o reales) significativos antes de que puedan ocurrir cambios significativos en la seguridad".
No es asunto tuyo: señalar vulnerabilidades de seguridad (incluidas las teóricamente posibles) A menudo se considera " irresponsables", pocos son responsables de ignorar o encubrir estas vulnerabilidades.
Minimizar todo: la mayoría de las personas asumen que todo es seguro hasta que hay pruebas contundentes de que esta comprensión es errónea. Todos cumplen con estándares mínimos.