Principio de privilegio mínimo en el lugar de trabajo [cerrado]

He estado tratando de averiguar cómo, logísticamente, las grandes corporaciones enfocadas en un gran producto (como Google, Facebook, Twitter, Yahoo, etc.) restringen la información conocida por los empleados de tal manera que ningún empleado (o pequeño grupo de empleados) plantea una gran amenaza para la seguridad de la empresa en el momento de la rescisión. A continuación, una introducción más formal.

En las aplicaciones en línea, a menudo existe la necesidad de seguridad y oscuridad. No conozco ninguna gran empresa centrada en un solo gran producto en línea que publique abiertamente el funcionamiento interno de sus aplicaciones. Por supuesto, los empleados de la empresa deben saber cómo funcionan las cosas detrás de la cortina para mantener y hacer crecer el producto. Pero, ¿no los convierte eso en un riesgo de seguridad increíble?

En una empresa de este tipo con decenas, cientos o miles de empleados, parecería que cualquier empleado de nivel razonablemente alto tendría el poder, si lo deseara, de derribar la empresa a través de su conocimiento de la mecánica interna del servicio. La única forma de evitar esto sería limitar lo que cada empleado sabe a lo que necesita para hacer su trabajo. Excepto que entonces un grupo de uno o dos empleados aún podría derribar la empresa. ¿Qué impide que un especialista en seguridad despedido de Google decida destruir la empresa, utilizando las vulnerabilidades del mismo sistema que diseñó? Ningún litigio compensaría los cientos de miles de millones de dólares en daños. Incluso algo aparentemente tan simple como la forma en que los servidores están conectados entre sí podría ser increíblemente valioso para un hacker. y, sin embargo, realmente tendría que compartirse en su totalidad con los empleados que administran los centros de datos si van a hacer su trabajo. Algunas piezas de información tan básicas que deben ser conocidas por una sola persona entrañan un riesgo increíble para la empresa si se utilizan de forma indebida.

¿Cómo estas empresas (como Google, Facebook, Twitter, Yahoo...) restringen lo que sabe cada empleado y lo dividen en partes lo suficientemente pequeñas como para mitigar este riesgo?

Actualizar:

No estoy preguntando sobre la seguridad del software, sino sobre cómo una empresa restringe la información conocida por los empleados individuales desde un punto de vista estratégico y logístico. Este mismo problema en diferentes formas se aplica básicamente a cualquier empresa con secretos, es decir, cualquier empresa, pero es particularmente importante cuando hay un gran producto, especialmente si se trata de una aplicación en línea, como se preguntó anteriormente.

Estás confundiendo el conocimiento de cómo funcionan las cosas con el acceso y la capacidad de afectar esas cosas.
@JennyD Podría serlo, pero este debate en realidad ha perdido la función original de la pregunta. La pregunta era, ¿cómo deciden estas empresas qué mostrar a todos? ¿Qué método utilizan para decidir quién debe ver qué y cómo se aplica?
Realmente todo lo que quería saber era "¿Qué método utilizan para decidir quién debe ver qué y cómo se aplica?" Entonces, ¿por qué un título de "Principio de privilegio mínimo" y todos estos escenarios de falla (defectuosos)? Ya te has hecho esa pregunta. seguridad.stackexchange.com/questions/94882/…
@Frisbee Observe cómo la mayoría de las críticas que ha recibido esta pregunta (incluidos varios comentarios eliminados sobre la pregunta en sí) argumentan que solo las empresas extremadamente paranoicas considerarían restringir la información de los empleados. En ese momento, comencé a dudar de la validez de la pregunta, por lo que me dispuse a confirmar que las empresas sí lo hacen. Preguntar si las empresas restringen el conocimiento de los empleados por motivos de seguridad es una pregunta de seguridad, pero preguntar cómo lo hacen realmente considera el trato que la empresa da a los empleados por encima de todo, y también lo es una pregunta de Workplace SE.
@Frisbee, por lo tanto, pregunté "¿Las grandes empresas de software en línea limitan el acceso de los empleados a la información de la empresa" en Information Security SE, y la respuesta que recibí fue sí, las empresas ciertamente restringen el acceso de los empleados a la información, lo que confirma que mi pregunta aquí es válido, y que tengo una idea de lo que estoy hablando.

Respuestas (2)

Creo que la gente está atrapada en los detalles de la seguridad de la información y si una persona puede o no "derribar" a toda la empresa.

El hecho es que, SÍ, ciertamente es posible que un empleado descontento (actual o anterior) cause daños que van desde "no mucho" hasta "muy grave" para casi cualquier tipo de empresa.

La razón por la que esto no sucede más de lo que sucede es simplemente que la gran mayoría de las personas NO son delincuentes. La mayoría de las personas no dañarán la vida de sus compañeros de trabajo y empleadores solo por el sentimiento de venganza. Hay una cierta cantidad de confianza y buena voluntad involucrada aquí. A veces esa confianza se rompe, pero la mayoría de las veces no es así.

Cualquiera que crea que un sistema es impermeable al daño está delirando. El daño no tiene que ser una destrucción completa para que sea una dificultad grave, ni el perpetrador tiene que tener habilidades de élite o un conocimiento profundo para hacer este tipo de cosas.

Entonces, para abordar directamente la pregunta, ¿cómo evitaría una empresa, o al menos minimizaría esto?
@TheEnvironmentalist, solo diferentes niveles de prácticas de seguridad, como todos los demás. La compensación está en el costo. ¿Qué tan crítico es prevenir travesuras? Si eres un banco, MUCHO. Si usted es un minorista de mamá y papá? No tanto. No hay "una talla para todos" aquí.
Y entre los delincuentes o posibles delincuentes, la mayoría estaría lo suficientemente cuerdo como para darse cuenta de que causar daños a la empresa les causará toneladas de daños a ellos mismos un poco más tarde. Solo de vez en cuando obtienes un Terry Childs en.wikipedia.org/wiki/Terry_Childs .
Usted lo previene dando permisos solo a aquellos que los necesitan, por el tiempo que los necesitan, y rastreando quién ha iniciado sesión en qué y dónde, y manteniendo copias de seguridad seguras para que si ocurre un desastre, deliberado o no, pueda recuperarse. -- y estructurando los sistemas para que la recuperación ocurra lo más rápido posible. En otras palabras, gestionando correctamente su tienda IS.
@keshlam, esas son todas cosas buenas. Sin embargo, independientemente de la preparación, los desastres ocurren, la información sale por la puerta y ocurren percances costosos incluso cuando todo vuelve a estar en línea. Incluso en organizaciones donde la seguridad cuenta por encima de todo, hay fallas espectaculares (por ejemplo, Snowden). Estos no son problemas que tienen soluciones puramente técnicas.
Cierto, pero la pregunta era sobre el aspecto técnico. Social también debe ser la dirección, por supuesto. Y al igual que con la seguridad física (dice, hablando como un cerrajero), el hecho de que no se pueda lograr la seguridad perfecta de ninguna manera elimina el valor de aplicar las protecciones que sean rentables. El 90 % del valor se logra con el primer 10 % de la inversión y, si no realiza esa inversión, es posible que no pueda emprender acciones legales. 11º Mandamiento: No seas estúpido.

Creo que te equivocaste en algunos conceptos básicos sobre seguridad de la información e ingeniería de software.

Echemos un vistazo al ajedrez. Cuando lo aprendes por primera vez, planeas tus movimientos y esperas que tu oponente no vea a través de tus planes inteligentes. Si alguien anunciara tu plan, estarías condenado. Solo más tarde, cuando te vuelvas más profesional al respecto, verás que el ajedrez es un juego abierto. Todo el mundo sabe todo. Hacer un movimiento con la esperanza de que su oponente no se dé cuenta de su plan es un juego de niños.

Lo mismo ocurre con la programación de computadoras. Cuando lees un libro por primera vez, dices: "Haré una contraseña secreta. Es 'pedo'. No, eso no es lo suficientemente secreto, lo haré 'pedo secreto'. Hola, estoy seguro, nadie lo adivinará .". Pero eso es un juego de niños. Cuando sea más profesional, aprenderá métodos para proteger el software y la información que no dependen de este tipo de "secretos".

Facebook no es ningún secreto. Todos los programadores probablemente podrían programarte un clon de Facebook en semanas. Amazon no es ningún secreto. Mira las miles de tiendas. Tienen éxito porque dirigen un negocio exitoso. Al igual que una tienda fuera de línea podría ser un negocio exitoso a pesar de que todos los que abandonaron la escuela secundaria conocen el "secreto" de "comprar productos por menos de lo que se vende".

Así que sí, obviamente no le da acceso administrativo a su software de contabilidad a su conserje. Pero eso no es material nuevo y atractivo. No le diste la llave del cofre del tesoro a tu mozo de cuadra hace 1000 años.

Si Facebook publicara su código fuente... no pasaría nada. Algunos nerds disfrutarían de las cosas geniales y algunos otros nerds encontrarían un agujero de seguridad que les permitiría publicar imágenes de órganos reproductivos en las paredes de las personas. Un tercer grupo de nerds construiría un shadow-facebook con el mismo código que no despegaría porque nadie se uniría. Y después de dos días, Facebook volvería a la normalidad. No hay un interruptor de apagado secreto. Eso solo existe en las historias ficticias o en el software escrito por niños.

Creo que puede haber entendido mal la pregunta. Obviamente, la oscuridad solo llega hasta cierto punto, y en mi esfuerzo por explicar mejor, me estoy volviendo un poco más técnico en computación de lo que me gustaría en Workplace SE, pero hay secretos absolutos sobre cómo se hacen las cosas. Algunas cosas son estándar, como el cifrado, ciertos protocolos, la teoría detrás de varios tipos de implementación, pero hay ciertos secretos clave que podrían ser extremadamente valiosos para un ataque. Si Facebook publicara su fuente, no pasaría gran cosa durante unas pocas semanas, porque millones de líneas de código tardarían mucho en diseccionarse...
... pero entonces tal vez alguien encontraría algún agujero de seguridad y comenzaría a instalar puertas traseras. En ese momento, francamente podrían hacer lo que quisieran y luego podrían cerrar Facebook. No sería permanente, pero Facebook tendría que borrar todos los servidores y reinstalar todo, y aunque probablemente podrían encontrar una forma inteligente de automatizar el proceso en uno o dos días, y luego completarlo en otro, Facebook podría aún estarían inactivos durante días, y su reputación se vería gravemente empañada. Eso sin mencionar que se podrían haber robado terabytes de datos personales...
No hay un interruptor de apagado secreto, pero alguien que sepa exactamente cómo funciona Facebook podría idear cualquier cantidad de formas de atacar a Facebook y, si no destruir la empresa, costarles miles de millones en daños. De hecho, creo (aunque no estoy seguro) que algunas CPU en uso en Facebook aún podrían tener errores explotables de detención e incendio, en cuyo caso alguien podría destruir miles de millones de dólares en servidores. Esto también es cierto en cualquier otra empresa que opere con el mismo modelo. Por esta razón, parece seguro que Facebook y las demás empresas de su categoría restringen los datos de los empleados, solo pregunto cómo.
En TI, cuanto más alto es un empleado, menos sabe acerca de los detalles esenciales que en realidad podrían usarse para derribar la empresa. De todos modos: todas las empresas restringen los datos de los empleados. Esa es una parte natural del negocio. No confías tanto en tu mesera como en tu contador. Probablemente hay libros escritos al respecto. Y los que fueron escritos en los tiempos donde las computadoras donde raras bestias no han perdido su vigencia.
@TheEnvironmentalist: si hay un agujero explotable remoto en Facebook que permite a un atacante instalar puertas traseras en los servidores de Facebook, los atacantes no necesitan el código fuente ni un usuario interno para encontrarlo. Si lo supiera un usuario interno, se parchearía (a menos que estemos tratando de defendernos contra un operativo encubierto de un colectivo de hackers). Y, sin duda, afectaría a una pequeña fracción de los servidores que son responsables de un módulo en particular, no de todo Facebook.
Principio de privilegio mínimo en el lugar de trabajo [cerrado]
RespuestasAquíPolítica de privacidad1y, 0v