Spiegando sicurezza ai responsabili della non-tecnici
https://stackoverflow.com/questions/1177285
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Sono il mantenimento di un sito intranet per la mia azienda che vogliono esporre alla grande, cattivo mondo esterno. In questo momento, non ha alcuna autenticazione o autorizzazione di sorta. La mia idea di gestire gli account utente è quello di utilizzare le tecnologie esistenti per convalidare gli account utente e costruire un modello di autorizzazione in cima a questa. tecniche esistenti sarebbero CardSpace e OpenID, che ci avrebbe salvato di mantenere gli elenchi di nomi utente e password, rendendo così il sito meno interessante per gli hacker. I dati sul sito non è che sensibile sia. A dire il vero, abbiamo solo esportare gli stessi dati per gli utenti di uno dei nostri prodotti desktop come XML e chiunque può visualizzare queste informazioni se sanno dove si trova. Stiamo solo bloccando tutti, dai modificare i dati, ad eccezione di un paio di super-utenti. Alla peggio, un superutente distrugge tutti i dati in questo caso dovremo ripristinare un backup. Nel peggiore dei casi, si perde una giornata di immissione dei dati, che si tradurrebbe in un centinaio di modifiche al massimo. (98 era in realtà il maggior numero di modifiche in un solo giorno fino ad ora).
Tutto sommato, non è dati molto critici. Vogliamo solo una certa sicurezza aggiunta a tutto questo.
Ora, la gestione ha suggerito di costruire un database aggiuntivo dove avremmo memorizzare nomi utente e password, aggiungere la crittografia e fare tutti i tipi di altre cose per proteggere questi dati utente e stanno facendo praticamente tutti i tipi di schemi strani per gestire utenti conti. Nessuno di loro hanno esperienza con l'aspetto tecnico del software di progettazione e nessuno di loro ha alcuna conoscenza su come rendere i sistemi di sicurezza. Così, i loro disegni diventano caos completo. (Con la C maiuscola) Sta prendendo loro due mesi già a venire con un design funzionale dal momento che anche non riescono ad accordarsi tra loro su alcuni aspetti della sicurezza.
Così mi hanno chiesto di fornire loro un facile da comprendere una visione in sicurezza adeguata. Poiché so che sia CardSpace e OpenID sono ragionevoli sicuro, voglio presentarvi questi a loro come le migliori opzioni per la gestione degli account. Aggiungere un sistema semplice ruolo da questo, dove ogni account è collegato ad un ruolo speciale, la concessione di ulteriori diritti beyong "solo View", questo sarebbe rapidamente da implementare e facile da mantenere. Costruire questo, facendo un informazione tecnica abbastanza proof-of-concept e trovare è facile. Ho solo una domanda ...
Come faccio a spiegare tecniche come CardSpace e OpenID a persone che non hanno assolutamente alcun background tecnico? Qualcosa come "OpenID for Dummies", ma ancora più facile da capire. Sto avendo difficoltà a trovare le parole adatte senza diventare di nuovo un po 'tecnico. (E peggio, se non riesco a spiegare questo in modo corretto, potrebbero decidere di non utilizzare questa tecnica e sarò destinata a implementare una costruzione mostruosa.)
Si prega di Aiuto : -!)
Oh, bene. domanda semplificato: Come faccio a spiegare a parole non tecnici il vantaggio di usare OpenID o CardSpace su qualsiasi soluzioni di home-brew?
Addendum: Questi gestori non sono miei manager "normali". Sono fondamentalmente l'amministratore delegato e partner della società, che si avvicinò con l'idea di avere il sito pubblicato. Normalmente, avrebbero delegare questi compiti ai responsabili regolari e accettare qualsiasi soluzione i clienti abituali si presenti con. Ma questo è diventato un po 'di un progetto di prestigio per loro, quindi sono personalmente coinvolti. Almeno uno di loro è stato la ricerca in Internet per informazioni sulla sicurezza e vuole che sia più sicuro di Fort Knox. Sta causando un po 'di paranoia che ho bisogno di sottomettere, senza offendere loro neanche. E tutti sembrano saperne di più su questa cosa "sicurezza" senza nemmeno capire l'aspetto tecnico. Dal momento che si tratta di un progetto di prestigio, sono disposti ad accettare una soluzione costosa, ma non è solo un bene per l'azienda. Personalmente, mi piacerebbe dire loro di fare marcia indietro e lasciare veri professionisti di gestire questo. Poi di nuovo, mi piace anche mantenere il mio lavoro quindi ho bisogno di un corr più politicoect risposta.
Soluzione
Si potrebbe vendere con l'argomento "Verisign".
tutti potremmo generare e conservare le nostre chiavi di crittografia avanzata, ma è una testa enorme e Verisign farlo per un importo nominale, e come una banca sicura (non che ci sia anche molti di loro più in giro) ha una quantità enorme di fiducia da parte della comunità di business, e mentre ci sono altre aziende che forniscono gli stessi prodotti, Verisign è il leader di mercato.
Un altro aspetto della sicurezza di Internet sono gli ID utente e password
Un "Open Id" è come (perdoni la metafora) un passaporto, dimostra chi sei perché avete dichiarato la vostra identità ad un'agenzia di fiducia (il paese di emissione per il passaporto, Verisign et al per Open Id) e si può lì dopo essere usato per dimostrare chi sei.
Verisign fornire ids aperti, Versign sono attendibili nel ergo mercato, ci si può fidare ids aperte.
Altri suggerimenti
Ho sempre pensato che spiegare alla sicurezza ai responsabili è più facile se si spieghi in termini di economia - non solo finanziariamente, ma cercare di descrivere l'esperienza degli utenti in termini di teoria economica anche:
- che costa una certa quantità di sforzo mentale per ricordare ancora un'altra password, che la loro soluzione imporrebbe
- c'è qualche costo in fatica mentale associato con il processo di login OpenID, che ti fa saltare tra i diversi siti
- ci sono rischi associati ad ogni approccio
- ogni approccio a mitigare alcuni rischi
- ogni approccio costa dei soldi per implementare
- ogni approccio costa un po 'di soldi per mantenere
Ora si può parlare del costo costo monetario, costo esperienza degli utenti e lo sviluppo di ogni approccio, così come i rischi per il business, la loro probabilità e probabilità. I manager sono pagati per comprendere costi e rischi così dovrebbe essere bravo a trattare con la spiegazione: -).
Utilizzando una soluzione validata, come OpenID o CardSpace, è:
- costo inferiore
-
più affidabile
- più veloce da implementare
-
più sicuro
- non un'altra password da ricordare
Scrivere un proprio sistema di sicurezza è difficile. Le probabilità di sbagliare sono significativi. Le conseguenze di sbagliare sono enormi imbarazzo, potenziali cause legali e, infine, costano alla linea di fondo della società.
La soluzione saggia è quella di ridurre al minimo il rischio per l'azienda.
(Si potrebbe anche fare appello al loro senso di auto-conservazione. Chi ottiene la colpa se un in-house soluzione va contro una soluzione off-the-shelf a forma di pera?)
Quale tecnologia stai usando per scrivere questo sito intranet? Quasi ogni singolo technolgy in uso ha un buon modo per implementare la sicurezza -. E ri-inveinting sicurezza da zero non riesce sempre
Non è da dire che il vostro manager sono sbagliate. Nello stesso modo in cui si conosce limiti tecnici che non capiscono, possono sapere sulla politica aziendale o govornance che non sai di troppo.
