» » ¿Qué es la seguridad y por qué es importante?

¿Qué es la seguridad y por qué es importante?

Desde el blog de Oracle... Si usted es un experto de seguridad, puede omitir la lectura de este manual. Si cree que "la garantía" es algo que se paga por lo que sus facturas de reparación están cubiertos si alguien golpea su coche, por favor siga leyendo.

Tiempo atrás, en los días pre-Internet, solía decir que la seguridad informática era una especie de un trabajo solitario, ya que casi no hay clientes parecían estar realmente interesado en hablar de ello. Hubo, por supuesto, algunos clientes muy interesados, incluidos los organismos de defensa e inteligencia y algunos bancos, la mayoría de los cuales se ocupan de nuestra seguridad y funcionalidad a un grado-how menor que estábamos construyendo la seguridad en todo, una diferencia voy a explicar a continuación, y que se conoce como garantía.

Los tiempos cambian. Ahora, cuando me encuentro con alguien que se queja de un virus, es probabilidades mejores de lo que incluso él está hablando de la última plaga digital y no un caso de la gripe. Tecnología de la información (TI) se ha movido más allá de las aplicaciones de misión crítica a las cosas que están literalmente en la palma de nuestras manos y es en lugares que ni siquiera pensábamos que iba a (o en algunos casos debe) ser computarizada ( "dar vuelta a su olla de barro en forma remota ? Hay una aplicación para eso! ") Cada vez más de nuestro mundo no es solamente de TI basada en Internet, pero accesible. Por desgracia, el crecimiento de Whatchamacallits con acceso a Internet también ha dado lugar a un crecimiento de mal Dudes en el Alto Dondequiera causando estragos en los sistemas de Anywheresville. Esta es una de las razones de que la seguridad cibernética es algo (casi) todo el mundo se preocupa.

Históricamente, la seguridad informática a menudo ha sido descrita como "la CIA" (confidencialidad, integridad y disponibilidad):

La confidencialidad significa que los datos están protegidos de tal manera que las personas que no necesitan tener acceso a él, no pueden acceder a ella, a través de las restricciones sobre quién puede ver, borrar o modificar los datos. Por ejemplo, en Oracle, puedo revisar mi sueldo en línea (por lo que puede mi representante de Recursos Humanos), pero no puedo mirar a los salarios de los empleados que no informan a mí.

Integridad significa que los datos no han sido corrompido (término técnico: "futzed con"). En otras palabras, usted sabe que "A" significa "A" y no es realmente "B" que se ha distorsionado para parecerse a "A" Datos dañados es a menudo peor que hay datos, precisamente porque no se puede confiar en ella. (Las transferencias bancarias no funcionaría si 0s extra eran misteriosa y al azar anexan a cantidades.)

Disponibilidad significa en la que son capaces de acceder a los datos (y sistemas) que tiene acceso legítimo a cuando se necesita. En otras palabras, alguien no ha impedido el acceso de voz, inundando una máquina con tantas solicitudes que el sistema solo abandona (el equivalente digital de un persistente de tres años de edad, pidiendo más dulces "mommy ahora ahora ahora Mami mami" hasta el punto que mamá no puede pensar).

C, I y A son todos los atributos importantes de la seguridad que puede variar en cuanto a la importancia de un sistema a otro.

Aseguramiento de la CIA no es, sino que es la confianza de que un sistema hace lo que fue diseñado para hacer, incluyendo la protección contra amenazas específicas, y también que no hay formas fraudulentas alrededor controla la seguridad que proporciona. Es importante porque, si no tiene mucha confianza de que la CIA no puede ser vencida por el mal Amigo (o Dudette Mal), entonces la CIA no es útil. Si usted tiene una cerradura de la puerta, pero el diseñador digital de bloqueo metió la pata al permitir a nadie para desbloquear la puerta escribiendo '98765', entonces usted no tiene ningún tipo de seguridad, una vez Tío Mal se da cuenta de que siempre le 98765 entre en su casa (y acciones que con todo el mundo a través de Internet).

Esta es la definición de garantía de que el Departamento de Defensa de Estados Unidos utiliza:

"Garantía de software se refiere a" el nivel de confianza en que las funciones de software como se pretende y está libre de vulnerabilidades, ya sea intencional o no intencionalmente diseñado o insertada como parte del software (acc.dau.mil)".

Cuando empecé a trabajar en la seguridad, la mayoría de la gente de seguridad sabían mucho acerca de la CIA de la seguridad, pero menos de nosotros-menos-de nadie pensó en el "funciona como diseñado" y parte "libre de vulnerabilidades". "Funciones como está previsto" es un aspecto del diseño de la seguridad. Eso significa que un diseñador no sólo considera lo que el software (o hardware) tenía la intención de hacerlo, pero pensó en cómo alguien podría tratar de hacer que el software (o hardware) hacer lo que no estaba destinado a hacer. Ambos son importantes, porque a menos que nunca implementar un producto, es más probable va a ser atacado, de alguna manera, en algún lugar, por alguien. Pensando en cómo Amigo mal puede tratar de romper cosas (y haciendo que dura / improbable que tenga éxito) es una parte muy importante de "funciona según lo previsto."

El "libre de vulnerabilidades" parte también es importante; una vez dicho esto, nadie que sepa algo de código podría decir, "todo nuestro código es absolutamente perfecto." ( "El orgullo precede a la destrucción y la altivez de espíritu antes de la caída.") Dicho esto, uno de los aspectos más importantes de la garantía es la codificación segura. prácticas de codificación seguras incluyen la formación de sus diseñadores, desarrolladores, probadores (y sí, incluso los escritores de documentación) acerca de cómo el código se puede romper, por lo que la gente piensa acerca de que antes de empezar a codificar. Tener un proceso de desarrollo que incorpora seguridad en el diseño, desarrollo, prueba y mantenimiento también es importante. La seguridad no es una especie de polvo de hadas mágico puedes espolvorear sobre software o hardware después de que todo se hace para que mágicamente se secure-it es una cualidad tan integridad estructural es parte de un edificio, no es algo que una palmada a su cabeza una y piensa "Dang, se me olvidó la barra de refuerzo, tengo que añadir algunos a este edificio." Es muy tarde después de que el hormigón haya fraguado. prácticas de codificación seguras incluyen activamente en busca de errores que podrían ser explotadas por un tipo de codificación del Mal, triaging los errores de codificación para determinar "lo malo es malo", la fijación de los peores cosas el más rápido y asegurándose de que un problema se resuelve por completo. Si Mal Amigo puede romper en tecleando '^ X', es tentador volver a hacer simplemente su código para escribir ^ X no recibe nada mal Amigo. Pero que probablemente no es la raíz del problema (¿qué pasa con ^ Y -?? Lo que hace que hacemos o Z ^, ^ A ...) Las herramientas automatizadas diseñadas para ayudar a encontrar evitables, defectos evitables en el software son de gran ayuda ( que en realidad no existen, cuando empecé en la seguridad).

Nadie que compra una casa espera que la casa sea 100% perfecto, pero que le gustaría pensar que el arquitecto contratado ingenieros estructurales para garantizar que las paredes no se cayera, el contratista tenía personas que se registran a lo largo de toda la obra ( "DON' t escatimar en la barra de refuerzo "), hubo una inspección de la construcción, etc. Teniendo en cuenta que incluso con una casa muy bien diseñada y bien construida, es probable que haya un ding o las dos de la pintura en algún lugar incluso antes de que se mude-es probablemente no carta perfecta. Código es así, también, aunque un "ding en su código" es probablemente más importante que un ding en su pintura, por lo que debe ser un número mucho menor de ellos.

asuntos de aseguramiento no sólo porque las personas que lo utilizan quieren saber cosas funcionen como se pretende, y no se puede romper, pero fácilmente debido tiempo, dinero y personas son siempre limitados recursos. La mayoría de las empresas prefieren contratar a 50 vendedores más para llegar a más clientes potenciales de contratar a 50 personas más para reparar sus sistemas. (Por lo demás, yo prefiero que tales prácticas arraigadas, fuertes, seguras y repetibles de desarrollo que, en lugar de contratar a 50 personas más para arreglar el mal código / inseguro, podemos utilizar esas 50 personas para construir nuevo, fresco (y seguro) cosas. )

Aseguramiento siempre va a ser bueno y necesario, así como la tecnología de línea de base que estamos tratando de "asegurar" sigue cambiando. Uno de los aspectos más agradables de mi trabajo continúa "hornear seguridad en" al crecer en amplitud y como nos adaptamos a los cambios en el mercado. Muchas empresas están pasando de "comprar-construir-mantener" sus propios sistemas de "alquiler", mediante el uso de servicios en la nube. (Se hace mucho sentido: las empresas no suelen construir edificios de apartamentos en cada ciudad sus empleados visitan:. Que utilizan "vivienda nube", también conocido como hoteles) La creciente movimiento para servicios en la nube viene con los problemas de seguridad, pero también tiene una gran cantidad de prestaciones de seguridad. Si es difícil encontrar suficientes personas que le permite mantener sus sistemas, es aún más difícil encontrar gente suficiente seguridad para defenderlos. Un proveedor de servicios puede asegurar lo mismo, 5.000 veces, mucho mejor que 5000 clientes individuales puede. (O, alternativamente, un proveedor de servicios puede asegurar un servicio grande de múltiples usuarios ofreciendo mejor que los 5000 clientes de usarlo puede hacer por sí mismos.) Las prácticas de aseguramiento hemos adaptado de "cosecha propia" de software y hardware ya se ha transformado y continuarán transformarse a la forma en que construimos y entregamos servicios en la nube... 
Haga clic aquí para obtener más información sobre la garantía de Oracle. Por: Mary Ann Davidson

Categorias: Manuales / Noticias / Seguridad / Tutorial
Añadir Comentario
Información
Usuarios que están en este grupo no pueden dejar comentarios en la página