Voy a mezclar la criminología y la sociología con la seguridad de la información a ver que sale… A raíz de leer el siguiente artículo hace un tiempo he llegado al concepto de «ventanas rotas«:

http://www.euribor.com.es/2009/10/01/tolerancia-cero/

El siguiente párrafo aclara perfectamente con ejemplos el concepto:

«Consideren un edificio con una ventana rota. Si la ventana no se repara, los vándalos tenderán a romper unas cuantas ventanas más. Finalmente, quizás hasta irrumpan en el edificio, y si está abandonado, es posible que sea ocupado por ellos o que prendan fuegos adentro.

O consideren una banqueta. Se acumula algo de basura. Pronto, más basura se va acumulando. Eventualmente, la gente comienza a dejar bolsas de basura de restaurantes de comida rápida o a asaltar coches.»

Para ampliar un poco la información podéis consultar la entrada en wikipedia:

http://es.wikipedia.org/wiki/Teor%C3%ADa_de_las_Ventanas_Rotas

(Nota: es solo una teoría y como tal tiene sus críticos, ver entrada de wikipedia).

¿Qué os parece esta teoría? ¿Creéis que se podría aplicar este concepto a la seguridad de la información? Me refiero sobre todo (aunque no solo) a la parte relacionada con el (ab)uso de los recursos por parte de los usuarios… que a la larga suelen acarrear problemas de seguridad (malware, botnets, incumplimientos legales, etc).

Un ejemplo, al imponer un proxy autenticado para la navegación, con filtro de contenidos o algún tipo de monitorización y… sobre todo divulgar la implantación de la medida entre los usuarios… ¿estamos sin saberlo usando el concepto de ventana rota?… ¿¿si no se toma ninguna medida los usuarios abusarán exponencialmente de los recursos TI hasta que el sistema llegue al caos?? ¿¿O simplemente se mantendrá el abuso en un nivel tolerable?

Otro ejemplo, me comentaron en un curso de gestión de incidentes (muy interesante por cierto) que a día de hoy, ya no existen relays de correo publicados en internet. Y no porque los administradores hayan aprendido la lección, sino porque en menos de un día el servidor estará tan saturado que será inútil. ¿Es un caso de ventanas rotas?

Según la entrada en wikipedia: «Andrew Hunt y David Thomas utilizan la teoría de las ventanas rotas como una metáfora para evitar la entropía en el desarrollo de software. El término también ha ido encontrando su lugar en el desarrollo de sitios web.» No he revisado los links, pero parece que más gente del mundo tecnológico anda dándole vueltas al concepto.

¿Le veis sentido a esto?  Ruegos, sugerencias, insultos…

Voy a mezclar la criminología y la sociología con la seguridad de la
información. (Seguro que sale una paja).

A raíz de leer el siguiente artículo he llegado al concepto de «ventanas
rotas«:

http://www.euribor.com.es/2009/10/01/tolerancia-cero/

El siguiente párrafo aclara perfectamente con ejemplos el concepto:

«Consideren un edificio con una ventana rota. Si la ventana no se
repara, los vándalos tenderán a romper unas cuantas ventanas más.
Finalmente, quizás hasta irrumpan en el edificio, y si está abandonado,
es posible que sea ocupado por ellos o que prendan fuegos adentro.

O consideren una banqueta. Se acumula algo de basura. Pronto, más basura
se va acumulando. Eventualmente, la gente comienza a dejar bolsas de
basura de restaurantes de comida rápida o a asaltar coches.»

Para ampliar un poco la información la entrada en wikipedia:

http://es.wikipedia.org/wiki/Teor%C3%ADa_de_las_Ventanas_Rotas

(Nota: es solo una teoría y como tal tiene sus críticos, ver entrada de
wikipedia).

¿qué os parece esta teoría? ¿Creéis que se podría aplicar este concepto
a la seguridad de la información?

Me refiero sobre todo (aunque no solo) a la parte relacionada con el
(ab)uso de los recursos por parte de los usuarios… que a la larga
suelen acarrear problemas de seguridad (malware, botnets,
incumplimientos legales, etc).

Un ejemplo: al imponer un proxy para navegación autenticado, con filtro
de contenidos o algún tipo de monitorización y… sobre todo divulgar la
implantación de la medida entre los usuarios… ¿estamos sin saberlo
usando el concepto de ventana rota?… ¿¿si no se toma ninguna medida
los usuarios abusarán exponencialmente de los recursos TI hasta que el
sistema llegue al caos?? ¿¿O simplemente se mantendrá el abuso en un
nivel tolerable?

Otro ejemplo: comentaban en el curso de gestión de incidentes que a día
de hoy, ya no existen relays de correo publicados en internet. Y no
porque los administradores hayan aprendido la lección, sino porque en
menos de un día el servidor estará tan saturado que será inútil. ¿Es un
caso de ventanas rotas?

Según la entrada en wikipedia: «Andrew Hunt y David Thomas utilizan la
teoría de las ventanas rotas como una metáfora para evitar la entropía
en el desarrollo de software. El término también ha ido encontrando su
lugar en el desarrollo de sitios web.» No he revisado los links, pero
parece que más gente del mundo tecnológico anda dándole vueltas al
concepto.

¿Le veis sentido a esto? Yo al menos le veo un uso comercial para vender
seguridad por el ancho mundo. Ruegos, sugerencias, insultos…