Esta entrada trata de dos formas distintas de entender la seguridad en un entorno informático. La traducción del primer palabro viene a ser algo así como "Divulgación total", y su significado es justo ese: cuando se detecta un fallo primero se corrige, y después se ofrece toda la información sobre el fallo, los motivos y cómo solucionarlo, de tal forma que los afectados por el mismo sepan qué ha pasado, el riesgo que han corrido y que siguen corriendo si no aplican la solución.
En un punto de vista diametralmente opuesto se encuentra la "Seguridad por oscuridad". Su enfoque se basa en que cuando surge un problema, este se soluciona de la forma más discreta posible y sin dar ninguna publicidad ni información, con del objetivo de que nadie se pueda aprovechar de dichos fallos.
[Actualizacion 05/12/2008: Una defensa de la Seguridad por Oscuridad desde Microsoft TechNet.]
Los dos enfoques tienen su parte buena y su parte mala, como todo en esta vida. Con el sistema "Full-Disclosure" corremos el riesgo de no aplicar con la necesaria celeridad los parches que nos eviten los problemas, y puesto que toda la información del fallo es pública, un atacante puede aprovecharse durante ese tiempo de exposición. Por otro lado, en la "Seguridad por oscuridad" corremos el riesgo de la ignorancia, ya que podemos tener un sistema expuesto a una grave vulnerabilidad y no hacer nada por solucionarla.
Ahora bien, todo este enfoque tan técnico se puede aplicar a cualquier otro ámbito de la vida, ya que se trata más de una filosofía que otra cosa. Cuando vamos al médico, ¿queremos saber lo que nos pasa, o preferimos vivir en una aséptica ignorancia? Y cuando el constructor de nuestro coche nos dice que nos pasemos por el taller porque nos tienen que hacer una reparación gratuita, ¿nos ayudará saber qué es lo que pasa para actuar en consecuencia, o confiamos ciegamente en ellos?
Y es que, al fin y al cabo, de lo que estamos hablando es de información. Se trata de si es mejor tener toda la información necesaria para poder tomas las decisiones a conciencia -que luego serán acertadas o no-, o si por el contrario preferimos que otros piensen por nosotros, y ya puestos confiar en la suerte cuando tengamos que tomar decisiones desconociendo la mayoría -o toda- de la información útil.
Suscribirse a:
Enviar comentarios (Atom)
No hay comentarios:
Publicar un comentario