Mantan Google VP Menyarankan Keamanan Berbasis-Pengguna di Black Hat

Pada konferensi keamanan Black Hat pada hari Rabu, mantan Wakil Presiden Google bidang Teknik Douglas Merrill memberikan pembukaan presentasi pembuka, dan itu bukan pembicaraan industri keamanan tradisional. The takeaway: Biarkan pengguna mendikte kebutuhan keamanan perusahaan.

Merrill, yang terakhir menjabat sebagai Chief Operating Officer dan Presiden EMI Records, dimulai dengan metafora menempatkan trotoar di kampus untuk mendeskripsikan pandangannya tentang arsitektur keamanan. Perencana kampus, katanya, masuk dan meletakkan trotoar dan rumput. Enam bulan berlalu dan mereka mulai memperhatikan potongan rumput mati. Sebagai tanggapan, para perencana akan memasang rantai logam untuk menjaga siswa di trotoar. Jika siswa tetap berjalan di rumput, para perencana menempatkan pekebun untuk mencegah lalu lintas semacam itu sekali dan untuk selamanya.

Hal yang sama terjadi dengan keamanan di perusahaan. Perusahaan akan mencoba mengendalikan karyawan dengan membatasi penggunaan IM, dengan memaksa Gmail melalui proxy. Merrill mengutip pengalamannya sebagai COO, kekesalannya sendiri dengan Exchange, dan kesalahan perangkat lunak perusahaan klasik karena tidak ramah pengguna. "Karyawan menginginkan alat yang lebih baik di tempat kerja," kata Merrill. "Mereka mencoba memanfaatkan teknologi terbaik." Menurut pendapatnya, teknologi terbaik sering dapat ditemukan dalam perangkat lunak tingkat konsumen.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Dia mengatakan bahwa dua puluh tahun yang lalu semua orang ingin bekerja di perangkat lunak perusahaan; tidak hari ini. Saat ini ada alat yang lebih baik dan lebih mudah digunakan seperti IM. Dan daripada melawan kebutuhan karyawan, petugas keamanan harus bekerja untuk mengamankan jaringan yang menggunakan mereka.

Ada pendekatan lain untuk menempatkan trotoar di kampus kampus: menanam rumput dan membiarkan para siswa berjalan di mana pun. Merrill mengatakan bahwa setelah enam bulan para perencana dapat masuk dan kemudian mengeraskan jalur yang paling sering digunakan dengan trotoar. Merrill berpikir hal yang sama bisa terjadi dengan keamanan: pengguna harus memimpin pengembangan keamanan.

Namun, bukannya menghadirkan ancaman terhadap ekosistem keamanan miliaran dolar yang saat ini ada, Merrill melihat kompromi. "Saya percaya bahwa perusahaan-perusahaan keamanan akan berubah dari menciptakan batas-batas infrastruktur untuk ketahanan infrastruktur. Jika kita dapat membangun keamanan dengan benar, kita membuat segalanya lebih mudah, tidak lebih keras."

Robert Vamosi adalah seorang penulis keamanan komputer freelance yang mengkhususkan diri dalam mencakup peretas kriminal dan ancaman malware.