El monitoreo de las conexiones a Internet en los portales de seguridad privada es un tema controvertido en los círculos de seguridad. Dado que la mayoría de estas conexiones ahora están protegidas mediante el protocolo Transport Layer Security (TLS), por ejemplo, mediante el uso de HTTPS. En la última versión de Pro-Talk, Heise Security Pro discutió si está permitido, es útil o incluso necesario abrir dichas conexiones en el portal para controlar el contenido.

Hay opiniones controvertidas sobre este punto. Por ejemplo, Christophe Bobby, autor del artículo de iX Data Protection vs. Security: When to Cut TLS Connections, asume la posición de que las empresas ya están obligadas a hacerlo y lo respalda con argumentos en Pro-Talk. Otros expertos se han mostrado muy escépticos ante tal mediocridad, inclinados a desaconsejar o al menos hacer valoraciones muy acertadas en el contexto específico de la empresa en cuestión, advirtió también la agencia de seguridad estadounidense CISA en su advertencia. La interceptación de HTTPS debilita la seguridad de TLS formulado.

Ningún resultado, pero una descripción general útil

Los beneficios tangibles, los riesgos potenciales y los efectos secundarios de la interceptación de TLS han sido temas que a veces se han discutido acalorada y controvertidamente. El nuevo TLS 1.3, que limita las opciones para monitorear las comunicaciones encriptadas, también jugó un papel aquí. Pero los aspectos legales también requieren al menos un análisis y una preparación cuidadosos. Esto es especialmente cierto cuando el uso privado de Internet está permitido en la empresa o si no está regulado en absoluto y, por lo tanto, está permitido implícitamente.

Como era de esperar, la discusión no produjo un resultado claro en el sentido de que aproximadamente 60 profesionales de TI participantes acordaron una posición común sobre la interceptación de TLS. Las actitudes estaban muy lejos de eso. Al menos ahora hay un resumen de los intercambiados. Argumentos, experiencias y consejos para usar interceptores TLS Disponible para todos los miembros de heise Security Pro en el foro de expertos. También puede ayudarlo a evaluar el tema de manera constructiva para su empresa.

Acerca de Hiace Security Pro

heise Security Pro es una oferta profesional para los profesionales de TI que son responsables de la seguridad de TI y la protección de datos en las empresas. Además de la participación gratuita en eventos de seguridad, que también se pueden reservar individualmente, también ofrece acceso exclusivo a una plataforma experta a través de la cual los miembros pueden intercambiar ideas, conversaciones profesionales y un mensaje de seguridad profesional con análisis, evaluaciones e información de antecedentes actuales. Hay más información aquí:

(Por supuesto)