He estado tratando de averiguar cómo, logísticamente, las grandes corporaciones enfocadas en un gran producto (como Google, Facebook, Twitter, Yahoo, etc.) restringen la información conocida por los empleados de tal manera que ningún empleado (o pequeño grupo de empleados) plantea una gran amenaza para la seguridad de la empresa en el momento de la rescisión. A continuación, una introducción más formal.
En las aplicaciones en línea, a menudo existe la necesidad de seguridad y oscuridad. No conozco ninguna gran empresa centrada en un solo gran producto en línea que publique abiertamente el funcionamiento interno de sus aplicaciones. Por supuesto, los empleados de la empresa deben saber cómo funcionan las cosas detrás de la cortina para mantener y hacer crecer el producto. Pero, ¿no los convierte eso en un riesgo de seguridad increíble?
En una empresa de este tipo con decenas, cientos o miles de empleados, parecería que cualquier empleado de nivel razonablemente alto tendría el poder, si lo deseara, de derribar la empresa a través de su conocimiento de la mecánica interna del servicio. La única forma de evitar esto sería limitar lo que cada empleado sabe a lo que necesita para hacer su trabajo. Excepto que entonces un grupo de uno o dos empleados aún podría derribar la empresa. ¿Qué impide que un especialista en seguridad despedido de Google decida destruir la empresa, utilizando las vulnerabilidades del mismo sistema que diseñó? Ningún litigio compensaría los cientos de miles de millones de dólares en daños. Incluso algo aparentemente tan simple como la forma en que los servidores están conectados entre sí podría ser increíblemente valioso para un hacker. y, sin embargo, realmente tendría que compartirse en su totalidad con los empleados que administran los centros de datos si van a hacer su trabajo. Algunas piezas de información tan básicas que deben ser conocidas por una sola persona entrañan un riesgo increíble para la empresa si se utilizan de forma indebida.
¿Cómo estas empresas (como Google, Facebook, Twitter, Yahoo...) restringen lo que sabe cada empleado y lo dividen en partes lo suficientemente pequeñas como para mitigar este riesgo?
Actualizar:
No estoy preguntando sobre la seguridad del software, sino sobre cómo una empresa restringe la información conocida por los empleados individuales desde un punto de vista estratégico y logístico. Este mismo problema en diferentes formas se aplica básicamente a cualquier empresa con secretos, es decir, cualquier empresa, pero es particularmente importante cuando hay un gran producto, especialmente si se trata de una aplicación en línea, como se preguntó anteriormente.
Creo que la gente está atrapada en los detalles de la seguridad de la información y si una persona puede o no "derribar" a toda la empresa.
El hecho es que, SÍ, ciertamente es posible que un empleado descontento (actual o anterior) cause daños que van desde "no mucho" hasta "muy grave" para casi cualquier tipo de empresa.
La razón por la que esto no sucede más de lo que sucede es simplemente que la gran mayoría de las personas NO son delincuentes. La mayoría de las personas no dañarán la vida de sus compañeros de trabajo y empleadores solo por el sentimiento de venganza. Hay una cierta cantidad de confianza y buena voluntad involucrada aquí. A veces esa confianza se rompe, pero la mayoría de las veces no es así.
Cualquiera que crea que un sistema es impermeable al daño está delirando. El daño no tiene que ser una destrucción completa para que sea una dificultad grave, ni el perpetrador tiene que tener habilidades de élite o un conocimiento profundo para hacer este tipo de cosas.
Creo que te equivocaste en algunos conceptos básicos sobre seguridad de la información e ingeniería de software.
Echemos un vistazo al ajedrez. Cuando lo aprendes por primera vez, planeas tus movimientos y esperas que tu oponente no vea a través de tus planes inteligentes. Si alguien anunciara tu plan, estarías condenado. Solo más tarde, cuando te vuelvas más profesional al respecto, verás que el ajedrez es un juego abierto. Todo el mundo sabe todo. Hacer un movimiento con la esperanza de que su oponente no se dé cuenta de su plan es un juego de niños.
Lo mismo ocurre con la programación de computadoras. Cuando lees un libro por primera vez, dices: "Haré una contraseña secreta. Es 'pedo'. No, eso no es lo suficientemente secreto, lo haré 'pedo secreto'. Hola, estoy seguro, nadie lo adivinará .". Pero eso es un juego de niños. Cuando sea más profesional, aprenderá métodos para proteger el software y la información que no dependen de este tipo de "secretos".
Facebook no es ningún secreto. Todos los programadores probablemente podrían programarte un clon de Facebook en semanas. Amazon no es ningún secreto. Mira las miles de tiendas. Tienen éxito porque dirigen un negocio exitoso. Al igual que una tienda fuera de línea podría ser un negocio exitoso a pesar de que todos los que abandonaron la escuela secundaria conocen el "secreto" de "comprar productos por menos de lo que se vende".
Así que sí, obviamente no le da acceso administrativo a su software de contabilidad a su conserje. Pero eso no es material nuevo y atractivo. No le diste la llave del cofre del tesoro a tu mozo de cuadra hace 1000 años.
Si Facebook publicara su código fuente... no pasaría nada. Algunos nerds disfrutarían de las cosas geniales y algunos otros nerds encontrarían un agujero de seguridad que les permitiría publicar imágenes de órganos reproductivos en las paredes de las personas. Un tercer grupo de nerds construiría un shadow-facebook con el mismo código que no despegaría porque nadie se uniría. Y después de dos días, Facebook volvería a la normalidad. No hay un interruptor de apagado secreto. Eso solo existe en las historias ficticias o en el software escrito por niños.
Jenny D.
El Ambientalista
paparazzi
El Ambientalista
El Ambientalista