La seguridad debe cubrir todos los posibles métodos de ataque

La máxima seguridad obtenible es la del elemento más débil del sistema

La solución de seguridad constituye un sistema complejo

Deben evaluarse tanto las medidas individuales como las interacciones entre todos los componentes del sistema

Recordemos que nuestro objetivo es minimizar el coste de la protección manteniéndolo por debajo del de los bienes protegidos maximizando el coste de los ataques manteniéndolo por encima del de los bienes protegidos, lo que nos lleva a esta otra regla:

Toda medida de seguridad debe contrastarse con el coste asociado a intentar romperla.

Una vez más, es útil contar con la ayuda de alguien con experiencia para evaluar las medidas de seguridad: debe recordarse que una política de seguridad constituye un sistema y todas las interacciones entre sus componentes deben ser consideradas.

La mejor forma de tener seguridad es no tener nada que proteger. Una forma de conseguirlo es impidiendo todo acceso posible a los bienes protegidos. Esta solución es válida para cajas de seguridad bancarias, en que el objetivo es limitar todo acceso entre dos puntos de tiempo. Pero este no es el caso habitual, en que se debe permitir un acceso controlado pero mantenido a los bienes protegidos y es preciso hallar un compromiso: una política de seguridad constituye un sistema dentro de un sistema y por tanto también debe evaluarse su interacción con el entorno del que debe formar parte.

Conviene en general ser metódicos al evaluar las medidas de seguridad, y buscar un compromiso que asegure la protección sin dañar excesivamente la funcionalidad del sistema.

Y siempre recordar la norma principal: la evaluación debe ajustarse al sentido común. Situaciones como la de ATT acusando en un juicio a un muchacho e incluyendo en su evaluación del valor de un panfleto el de un PDP-11 (un servidor departamental de muy elevado coste) empleado para pasarlo a máquina, son cuando menos irrisorias por no decir patéticas, sobre todo considerando que el mencionado panfleto estaba a la venta al público por 25 centavos. Si bien los comerciales, ejecutivos, yuppies y demás fauna ajena a la materia es muy propensa a engrosar los costes para aparentar una mayor importancia y enriquecer su autoestima promocionando su imagen personal, el profesional de la seguridad debe ser capaz de ver más allá de estas mezquindades y saber mantener un punto de referencia sensato en su evaluación.