- Wagner Elias – Think Security First - http://wagnerelias.com -
Deperimetrização e Externalização, será?
Posted By Elias Wagner On 17 17UTC June, 2007 @ 11:16 am In Diversos,Risk Assessment | No Comments
Após a leitura do excelente post do Fernando Cima sobre Deperimetrização e Externalização [1] eu fiquei pensando em alguns pontos sobre o tema. Apesar de, a idéia ser cada vez mais factível eu ainda acho que devemos pensar em alguns pontos que serão fundamentais para esse conceito/técnica ser adotado amplamente. Afinal esse conceito já está sendo comentado há um bom tempo.
Além das vantagens citadas pelo Cima, ainda podemos citar uma que sem dúvida é fundamental para quem paga a conta, que é a possibilidade de transformar o que era Capex (capital expenditure, despesas com ativos fixos) em (Opex operational expenditure, despesas operacionais).
Agora na minha opinião o que realmente vai fazer a diferença é sua real eficácia como controle de segurança. Afinal, a externalização vai trazer outros "problemas". O custo para manter isso pode ser tão caro quanto, além de um problema que conhecemos bem e que Bruce Schneier fez uma excelente analogia:
"Considere dois problemas de segurança diferentes. No primeiro deles, você guarda seus pertences num cofre no seu porão. As ameaças são os ladrões, claro. Mas o cofre é seu e a casa é sua, provavelmente. Você controla o acesso ao cofre e provavelmente tem um sistema de alarme.
O segundo problema é parecido, mas você guarda os seus pertences no cofre de outra pessoa. Pior ainda, no cofre de quem você não confia. Ele não sabe a senha, mas controla quem acessa o cofre. Ele pode tentar quebrá-la no seu tempo livre. Ele também pode transportar o cofre para onde ele quiser. Ele pode usar qualquer ferramenta que precisar.
No primeiro exemplo, o cofre precisa ser protegido, mas ainda é somente parte da segurança da casa. No segundo caso, o cofre é o único dispositivo que você tem.
Este segundo problema de segurança parece ser teórico, mas ele acontece com frequência na nossa sociedade da informação: dados controlados por uma pessoa, são armazenados em dispositivos controlados por outra pessoa."
Fonte em Português: Crypto-Gram.BR [2]
Portanto, se os custos podem ser os mesmo, existirá outros problemas, o que realmente pode ser o fiel da balança é sua eficácia como controle de segurança.
O que vocês acham?
Article printed from Wagner Elias – Think Security First: http://wagnerelias.com
URL to article: http://wagnerelias.com/2007/06/17/deperimetrizacao-e-externalizacao-sera/
URLs in this post:
[1] Deperimetrização e Externalização: http://blogs.technet.com/fcima/archive/2007/06/09/deperimetriza-o-e-externaliza-o.aspx
[2] Crypto-Gram.BR: http://download.cissp.com.br/cryptogrambr
Click here to print.
Copyright © 2007 Wagner Elias - Think Security First | BCP, BIA, DRP, Security Assessment, Risk Assessment, Security Developer. All rights reserved.