Pues eso, “cuando un tonto coge un camino, el camino se acaba y el tonto sigue”. En este caso el tonto soy yo. La linde es la necesidad de tener en cuenta las características socio/culturales de una organización para el desarrollo de sus modelos de gestión y marcos normativos de seguridad. (Pedazo de frase pedante que me he marcado, verdad?…)

Hace unos días, mi compañero Daniel Santos (no he pedido permiso a Dani para nombrarle ni citarle, espero que no le moleste) hizo una exposición magnífica sobre los proyectos que nuestro equipo desarrolla con pena y gloria a partes iguales.

Cuando habló de aquellos proyectos relacionados con el cumplimiento normativo (el compliance que diría un señor consultor) usó una cita de la película “Gladiator”.

Marco Aurelio y Máximo Décimo conversan: “¿Y qué es Roma Máximo?” “He visto parte del resto del mundo, es brutal, cruel y oscuro, Roma es la luz”.

Dani venía a decirnos que las normas son un instrumento útil para organizarnos y que sin ellas el caos hace nuestra existencia muuuuy complicada e incómoda.  Y esto, aplícalo al código civil, al código penal, al de circulación o a las políticas de seguridad.

Como digo, en el caso de las normas o políticas de seguridad es lo mismo, son muy útiles especialmente en situaciones que nos resultan ambiguas. Para un usuario con conocimientos limitados de la tecnología, la elección de guardar sus documentos en el servidor de ficheros o en local en su portátil es completamente ambigua. Con sus conocimientos no puede evaluar los pros y contras de cada una de las dos formas de proceder y las dos le parecen conductas válidas. Si en este caso existe una norma clara que le diga que toda documentación corporativa va al servidor de ficheros y la documentación personal se queda en su carpeta de documentos locales, la situación se des-ambigua de forma inmediata.

Sin embargo…. al igual que ocurre con las metodologías de gestión de seguridad  (ver la entrada de VIC Information Security Management Mediterranean Mode), en el desarrollo de políticas de seguridad cometemos el mismo error y desarrollamos normas como si nuestros usuarios fueran luteranos alemanes o individualistas norteamericanos. Ni las políticas ni la forma de hacerlas cumplir puede ser la misma aquí que en Londres.

A continuación voy a citaros un par de fragmentos de sendos post del blog politikon, que nada tienen que ver con la gestión de la seguridad de la información, pero sí con las diferencias culturales y la aceptación y cumplimiento de normas.

El primero sobre los alemanes Esa cultura que es Alemania II, cito traduciendo:

“La afición alemana por el orden, sobre la que a menudo se hacen bromas, ha demostrado ser cierta, dijo Carlos Baixeras, de 30 años. Un ingeniero que comenzó a trabajar cerca de Frankfurt hace 18 meses. “Hay reglas para todo”, dijo. “Hay una política de uso de la papelera.”

Y otro de nuestros amigos centroeuropeos Esa cultura que es Alemania III, cito y traduzco:

“Según el diario alemán Der Spiegel, la policía alemana disparó únicamente 85 balas en todo 2011… la mayoría de estos disparos ni siquiera fueron dirigidos a personas: “49 disparos de advertencia, 36 disparos a sospechosos. 15 personas fueron heridas, 6 resultaron muertas.”

Y ahora para comparar, una de nuestros cercanos (culturalmente hablando) primos griegos, Esa cultura que es grecia, cito y aviso que es un poco largo pero merece la pena:

“Resulta que el gobierno griego, en un momento de inspiración, decidió que era hora que la gente empezara a pagar un impuesto sobre propiedades para tapar el enorme agujero fiscal del país. Es un impuesto decente, bastante progresivo; los que tienen una casa más grande cobran más, etcétera. Como el sistema de recaudación griego es una verbena, el ministro de turno decidió que el impuesto se cobraría junto con el recibo de la luz. Todo el mundo necesita electricidad, al fin y al cabo; nadie va a quedarse a oscuras con tal de evadir dinero a hacienda.

Bueno, esto es Grecia. Primero, los sindicatos protestaron, montando un pollo tremendo, organizando desobediencia civil y llevando el tributo a juicio. La gente, lisa y llanamente, prefirió dejar de pagar el recibo de la luz antes que (horror) pagar un miserable duro al gobierno. La compañía eléctrica (pública, como todo en ese país), que ya iba justa de dinero, tuvo que ser rescatada de mala manera por el gobierno ante la barbaridad de gente que sencillamente dejó de pagar por el suministro completamente. Para acabarlo de arreglar, un tribunal decretó que cortar la luz a alguien por no pagar un impuesto es ilegal, así que el gobierno ha acabado no viendo un duro del nuevo tributo y encima gastándose una millonada para cubrir las pérdidas.

La cosa, sin embargo, no se queda aquí. La eléctrica ha decidido que esto de aplicar la ley no va con ella, así que este año ni va a intentar cobrar el impuesto. El gobierno griego, como ni está ni se le espera, no ha dicho nada, así que tenemos un impuesto (otro más) que está en los libros pero que todo el mundo va a ignorar olímpicamente”

Creo que sobra que os haga la analogía con la normalización de seguridad.

¿Qué modelo de desarrollo normativo creo que puede funcionar en nuestro entorno? Os lo cuento en mi próximo post…

 

 

Hace tiempo que no escribo nada. Disculpadme, motivos personales y profesionales me tienen disperso. Algunos de estos motivos son positivos y otros no tanto. Entre los positivos (como algunos sabéis) está que me matriculé en la UNED para estudiar el grado de Psicología y he estado las últimas semanas centrado en aprobar los primeros exámenes…

Por cierto, en el último examen me encontré con otro de los miembros de nuestro selecto club de la seguridad y las cervezas… así que en la próxima quedada creo que vamos a poder discutir sobre algunos temas interesantes.

Después de este primer semestre se van confirmando mis sospechas: “el enfoque de otras disciplinas puede enriquecer mucho la gestión de la seguridad”.

Como comprenderéis, aun no tengo ni idea de psicología y solo he empezado a sumergirme en algunas de las teorías que componen este marco de estudio científico. Poco a poco voy conociendo conceptos que no puedo evitar relacionar con el día a día de la gestión de la seguridad. Si consigo disponer del tiempo suficiente trataré de compartirlos con vosotros y si algún psicólogo nos lee y ve que digo burradas que arroje luz por favor!!

El de hoy es el concepto de Indefensión aprendida:

Es un proceso que tiene lugar cuando un organismo aprende que sus respuestas y los reforzamientos son independientes, llevando al organismo a un estado de incapacidad percibida de resolver las situaciones de amenaza. La indefensión tendría lugar cuando se pierde el control de las consecuencias del propio comportamiento.

Cuando una persona o un animal se enfrentan a una amenaza o una pérdida, aparece la respuesta de estrés asociada al miedo. Si aprenden que la respuesta no es controlable y tiene lugar la indefensión aprendida, la depresión sustituye al miedo, es decir que las situaciones no controlables generan estrés.

Seguramente el vídeo del principio del post os deje más claro el concepto.

Yo me pregunto si esta teoría explica la conducta de muchos gestores TI que no hacen nada por mejorar la seguridad de sus servicios e información. Sabemos que la seguridad al 100% nunca se consigue y que aunque una organización gestione adecuadamente su seguridad se producirán incidentes. Además en muchas ocasiones los responsables TI no están formados y capacitados para una gestión integral y metodológica de la seguridad, lo que se traduce en acciones puntuales, no planificadas, artificiales y contratadas a proveedores que muestran poco interés en algo que no sea trincar el dinero y salir corriendo al próximo cliente.

En definitiva tenemos personas que dan respuestas (más o menos adecuadas) a amenazas y que perciben que los resultados siguen siendo incontrolables: continúan produciéndose incidentes. Aparece la indefensión aprendida y el miedo/acción se transforma en depresión/inacción/resignación…

Si esto es así… ¿qué sentido tiene que en cada una de las presentaciones comerciales y charlas de concienciación se siga usando el miedo para provocar la acción?

¿¿Le veis sentido o es una paja mental???

 

 

Fuck you

Hola ¿qué tal?,

el otro día chmeee nos hablaba de concienciación de usuarios en uno de sus Lunes Desmotivadores y citaba a Ranum:

“la concienciación de usuarios no funciona ni funcionará nunca porque, de hacerlo, ya hubiera funcionado”

Ayer uno de nosotros sec&beerreros twiteaba lo siguiente:

“hoy un reputado profesional de la infosec me ha dicho “la concienciación de los usuarios es una batalla perdida” …

Pues a Ranum, al reputado profesional (desenmascarado hoy por @adaecjl) y a todo el que sostenga eso, yo le respondo “y un carajo!“. No digo que sea una batalla perdida, digo que no podemos saber si lo es. Es una batalla que nunca hemos luchado en serio.

Chmeee decía:

“Uno de los principales escollos es la falta de conocimientos del usuario normal respecto a las tecnologías que utiliza y a los riesgos que supone”.

Pues yo digo:

“Uno de los principales escollos es la falta de conocimientos de los profesionales de la infosec respecto al ser humano, a las relaciones interpersonales, a la forma en que pensamos, sentimos, aprendemos y actuamos dentro de una organización.”

Os imagináis que las campañas de seguridad vial las diseñaran los mismos ingenieros y mecánicos que diseñan los airbags, los ESPs, el ABS y las estructuras deformables???  ¿Pensáis que las campañas de prevención del tabaquismo las diseña un cirujano especializado en pulmón?  Pues esto es lo que hacemos en seguridad de la información, al menos es lo que yo he vivido.

Y hombre… los reputados profesionales de la seguridad son buenos en su campo, pero quizá no son buenos en otras áreas profesionales del terreno de las ciencias sociales. Cuando nosotros hablamos de concienciación, a un experto de este campo le debe sonar igual que cuando nosotros escuchamos a un psicólogo hablar de firma electrónica….

Si todos estamos de acuerdo en que la gestión de la seguridad se debe basar en el modelo de Personas, Procesos y Tecnología (PPT), en cualquier departamento de seguridad o proveedor de servicios de seguridad deberíamos encontrar:

  • psicólogos, sociólogos, pedagogos, expertos en comunicación y marketing, etc (Personas)
  • juristas, expertos en organización, administración y gestión empresarial, etc (Procesos)
  • Ingenieros y técnicos (Tecnología)

Por deformación profesional, cuando hablo de seguridad de la información, me refiero a seguridad de la información corporativa. Es decir, a la disciplina que trata de garantizar que la organización (ya sea empresa, administración, asociación, etc) protege su información con el fin de que la consecución de sus objetivos se cumpla con eficiencia.

En el ámbito de la seguridad corporativa y partiendo del mantra PPT la solución al problema completo únicamente la encontrará un equipo multidisciplinar.

Y ahora por 25 pesetas, díganme organizaciones con equipos de seguridad multidisciplinares. Por ejemplo  ******  un, dos, tres, responda otra vez…

 

Ya va siendo hora, se acerca la navidad y se acaba el año. O convocamos ya la última cita del año o las comidas de empresa, cenas familiares, y fiestas de guardar nos alejarán de lo realmente importante: charlar sobre seguridad de la información entre cerveza y cerveza.

En consecuencia…. por la presente se convoca el Sec&Beer especial de final de año.

Santa Borracho

 

Los detalles:

Lugar: Cervecería Internacional (por el centro, cerquita de Plaza Nueva y Calle Zaragoza)

Día  y Hora: Miércoles 23 de Noviembre, a las 20.30. (Esta vez con tiempo, lo que os obliga a refinar mejor vuestras excusas si no asistís).

Temas iniciales:

  • Concienciación en seguridad de la información. ¿En busca del santo grial?
  • Expectativas para 2012. ¿Qué planes tenemos para el año del fin del mundo?

Si quieres asistir a la reunión y aun no eres miembro puedes:

  • pedirle a un miembro de Sevilla Sec&Beer que te apadrine
  • escribirnos un correo a reuniones@sevillasecandbeer.org
  • pasarte por allí, pedirte una cerveza y hablar con nosotros sobre seguridad

Nos vemos…

Cada incumplimiento dios mata un gatito

 

Una de normativas de seguridad… La semana pasada organizamos otro curso sobre el ENS. La actividad salió razonablemente bien, un enfoque práctico fundamentalmente sobre los primeros pasos de la adecuación. Al final de la última sesión se abrió un poco el debate y surgieron algunas dudas. La última pregunta que hizo uno de los asistentes a modo de despedida fue:

Pero… ¿si no cumples el ENS que pasa?

Me pareció una buena pregunta, aunque capciosa.
La respuesta os la podéis imaginar: ocurre lo mismo que si se incumple cualquier otro Real Decreto.


¿Y que ocurre cuando se incumple un RD? bien… situémonos: península ibérica, siglo XXI, reino de Españistan, Belen Esteban, el de los trajes, los de los EREs, las cajas de ahorros, el FROB y la madre que nos parió… en fin sobra decir que pasa cuando se incumple la ley. Nos vamos a preocupar ahora de una administración que no tiene política de seguridad… me da la risa y se me descuelga un güevo.

Y es que ya lo dice Supernanny… no impongas un castigo que sabes que no vas a poder hacer cumplir… Dado nuestro entorno creo que el ENS debería haber sido lanzado como metodología y no como norma por Decreto. Reforzado con medidas de apoyo a las administraciones y con una fuerte campaña de sensibilización.
Hubiera sido una buena excusa para actualizar MAGERIT con el fin de que pueda ser usada por terricolas.

La anterior reflexión es válida, suponiendo que estamos lo suficientemente desenfocados como para tener el cumplimiento legal como un fin en si mismo. Cuando desde mi punto de vista, debería ser un medio.

El fin es la correcta gestión de la seguridad dentro de una Administración Pública. Para que las personas que depositan en ella su confianza (y sus impuestos), tengan garantizado que se manejarán sus datos personales como merecen y que se les proveerán los servicios públicos con las garantías de seguridad que requieren.

Bajo esta óptica ¿qué pasa si no cumplimos el ENS? Entendiendo por cumplir: la interiorización en la médula de la organización de los principios básicos, el cumplimiento de los requisitos mínimos y la implantación de las medidas de seguridad adecuadas. Pero de verdad, no hablo de hacer el paripé del cumplimiento y el mamoneo habitual.

Pues, lo que pasará es que se producirán con más frecuencia de la admisible situaciones como:

  • que al hacer la matricula por internet para la universidad el sistema falle, no garantizando la integridad de los datos y entres en un infierno burocrático para solventar el problema
  • que vayas al médico y este no te pueda atender porque tu historia clínica telemática no está disponible
  • que tus datos personales acaben en un contenedor de reciclaje en la calle y puedan ser vistos por cualquiera
  • que el día antes de hacer la declaración de la renta la web del ministerio esté saturada y no lo puedas hacer en plazo
  • que se extienda un virus informático por una sede y tengan que usar el dinero de tus impuestos para contratar a alguien que desinfecte todo mientras la actividad de la sede se paraliza
  • que una empresa licitadora consiga información privilegiada y no se cumpla el principio de igualdad en la contratación pública
  • que tu primo el que trabaja en una delegación, te haga el favor y consulte el expediente X que afecta a tu vecino al que no puedes ni ver por curiosidad sana, ya que desde la aplicación de tramitación lo puede hacer sin dejar rastro
  • que una mafia rusa use servidores y conexiones que pagas tu con tus impuestos, para colgar una web de phising o de venta de porno por internet o un reenviador de spam.
  • etc, etc, etc, etc
Podríamos seguir, pero supongo que es suficiente.¿Qué pensáis vosotros? ¿Qué ocurre si se incumple el ENS?

 

Tranquilos, no tenemos un gusano metiendo spam en el blog… el título de este post está en inglés porque soy así de pedante :P. Y porque no he encontrado traducción al español para este dicho.

Hace unas semanas vimos en casa la película “The Joneses”, dejando a un lado que como película no me gustó demasiado… sí me hizo reflexionar sobre algunos aspectos de la gestión de la seguridad de la información.

Voy a fusilar parte del post de “El blog salmón” en el que aclaran de que va la película mucho mejor de lo que yo podría hacerlo (llevo un consultor dentro, lo siento):

The Joneses es una película que trata sobre una familia que llega a un barrio de ingresos medio-altos en los Estados Unidos. La familia Jones tiene todos aquellos productos que uno quiera comprar (ropa de diseño, descapotables de alta gama, electrónica, mobiliario caro, etc) y parecen ser felices, convirtiéndose en el foco de atención de sus vecinos.

Pero en realidad los Joneses no son una familia, sino empleados de una agencia de publicidad. Los coches, la ropa que llevan, la comida que compran, etc ha sido puesta ahí por la agencia de publicidad con el único objetivo de que los miembros de la familia la muestren a sus vecinos, les cuenten las bondades y estos la compren.

El apellido de la familia (Jones) está muy bien elegido porque en inglés americano existe una expresión “keeping up with the joneses” que se refiere a mantener el nivel de vida de los vecinos. Si el vecino se compra un coche nuevo hay que adquirir uno igual o superior. Si se va de vacaciones a Francia nosotros nos vamos a Italia, etc.

Un caso extremo de marketing viral. Espero que en la vida real no se acometan iniciativas tan radicales. Pero en menor grado es habitual ver a famosos promocionando productos, servicios o incluso religiones e ideas políticas de forma subliminal. Está claro que a los humanos nos funciona así el cocotero. Los judíos lo saben desde hace miles de años y el décimo mandamiento dice:

No codiciarás la casa de tu prójimo, no codiciarás la mujer de tu prójimo, ni su siervo, ni su criada, ni su buey, ni su asno, ni cosa alguna de tu prójimo.

Volviendo a la gestión de la seguridad… ¿acaso no vemos este comportamiento con frecuencia? Me explico ¿qué medidas o proyectos de seguridad acometemos? Un teórico consultor trajeado o un gestor de seguridad recién salido del cascarón y aun no ha pasado por la trinchera nos diría: “las acciones de mejora deben venir orientadas por el análisis de riesgos o por requisitos externos a la organización (ej: ENS, LOPD…)”

Pero no nos engañemos, al final usamos el sota, caballo y rey. Copiamos lo que hacen en otras organizaciones, lo que establece el mercado de la seguridad o lo que la corriente interpreta de los estándares. Y así vamos generando mantras y los vamos asumiendo. Y si mi vecino de CPD compra un cortafuegos yo compro otro pero más grande. Y si se hace un proyecto de hacking ético (todavía no sé que carajo es esto del hacking ético pero se vende de maravilla oiga) pues a mi póngame dos.

Otra reflexión que me hago es: ¿los proveedores de seguridad aprovechan esto? ¿Cuándo por ejemplo se despliega una solución piloto en una empresa y organismo líder o referente, no se busca precisamente esto??

Y por último y paro ya de divagar ¿¿¿no podríamos como gestores de seguridad aprovechar estas técnicas para hacer el bien???? ¿Qué pensáis?

Mojon

Buenas y calurosas tardes de verano… hace unos días leí un magnifico post de Jack DanielInfoSec’s misunderstanding of business.

Quizá no sea tan magnifico, pero es una de esas veces en las que lees escrito algo que tu piensas y dices “eehh que no estoy solo. No soy el único que ve al rey desnudo.”

Como tengo poco más que añadir me voy a limitar a traducir aquí el post (para aquellos a los que no les apetezca leer en la lengua de Shakespeare y la reina madre que los pario).

Infosec, malentendiendo el negocio

Lo habrás oído hasta la saciedad, “si nosotros profesionales de la seguridad queremos ser tomados en consideración, debemos comprender el negocio y hablar del valor de la empresa, y bla, bla, bla”. Esto, amigos míos, es mierda. Una todavía humeante mierda en el prado en una mañana de primavera.

¿Quieres avanzar en tus objetivos? Necesitas comprender la codicia y el miedo, la codicia y el miedo de los que controlan los recursos. Entender el negocio de tu organización solo funciona si los lideres de tu organización lo entienden también y no están atados y/o cegados por los objetivos mensuales/trimestrales.

¿No me crees? Echa un vistazo a la industria bancaria, o a la industria americana del automóvil y a cualquier área que conozcas. La gente que conoce el negocio vio el tren venir y trataron de avisar y alertar sobre ello, pero fueron ignorados o algo peor. Comprender el negocio solo conduce a la frustración, porque los que dirigen la organización, ni entienden el negocio (aunque tengan MBAs) ni se les permite actuar para el beneficio de la organización en el largo plazo.

Si quieres mejorar la seguridad de tu organización, debes comprender como funciona tu organización, no como debería funcionar. Tienes que conocer lo que alimenta y lo que asusta. Y por desgracia esto no suele tener que ver con el negocio de la organización.

Sí, ya se que suena un poco amargo y deprimente, pero está bien. El sistema está roto lo justo para funcionar (exactamente igual que la seguridad de la información).

Plas, Plas, Plas, ¡aplauso sonoro! A mi también me da la risa cuando se nos llena la voca hablando del enfoque al negocio de la seguridad de la información. ¡Pero qué negocio ni qué niño muerto! Si aquí el único negocio es el “coge el dinero y corre”…

Si lo se…  yo también estoy muy negativo, llevo un tiempo pensando que necesito un cambio de aires, pero aun no me veo capaz de mantener mi propio huerto… Todo se andará.

 

 

En la tarde de ayer repusieron El club de los poetas muertos en una de las decenas de cadenas que emiten en TDT.

Al volver a ver la escena que os enlazo arriba, no pude evitar hacer mentalmente el paralelismo entre el discurso de Keating sobre el estudio de la poesía con los Sistemas de Gestión de la Seguridad.

No se trata de tuberías, hablamos de poesía…” Amén, eso mismo digo yo.

Así qué… cojan la ISO 27000 y… “quiero que arranquen esa página…” ,”…en trocitos pequeños, que no quede nada“.

La moraleja, (para responsables de seguridad): aprended a pensar por vosotros mismos… tirad vuestras ISO’s y sacad del cajón vuestra experiencia, vuestro sentido común y vuestra intuición… y por favor, poned un poco de pasión.

No olvides nunca “… que prosigue el poderoso drama y que tu puedes contribuir con un verso, ¿cuál sería su verso?”

Manifestación 15M Sevilla

 

Hace tiempo que no escribo y he estado pensado si está era la entrada más apropiada para mi reaparición en nuestro foro… pero bueno aplicando la famosa máxima latina “Donde pago, cago” y dada la importancia que me merece el objeto de este post me voy a lanzar.
Muchas veces es complicado determinar que consideramos como incidente de seguridad de la información, nos movemos en terrenos difusos con conceptos poco claros. Pero seguro que estaréis de acuerdo en la siguiente definición, que si bien es poco concreta no dejaría nada fuera: “un incidente de seguridad de la información es cualquier ocurrencia o evento que pueda afectar a las propiedades de confidencialidad, integridad y disponibilidad de la misma”. Hasta aquí bien…
Pues ayer domingo por la tarde, conseguí despegarme del sillón y estuve con mi amigo Julio (y otros miles de ciudadanos más) en la manifestación convocada en Sevilla por Democracia Real YA.

Esta plataforma ciudadana (apolítica y asindicada) había convocado por medio de redes sociales/blogs/etc… a manifestaciones en más de 50 ciudades de España. En la de Sevilla había un buen número de personas, como podéis ver en la foto. El objetivo era protestar contra la degradación democrática en nuestro país. Había personajes de todo tipo abuelos, jóvenes, perroflautas y encamisados… Por ejemplo, mi amigo Julio, que trabaja en una consultora TIC multinacional, iba acompañado de su madre que no aparentaba ser activista antisistema…

Hasta aquí todo bien, mucha gente indignada pero pacíficamente marchando desde la Plaza de España a la Plaza Nueva.

Manifestación 15M

Cuando llego a casa veo gracias a twitter que las convocatorias han sido un éxito, sobre todo en las grandes ciudades (Madrid y Barcelona). También en la red de redes, donde #15m fue Trend Topic en twitter durante toda la tarde. Y me digo voy a encender la tele a ver si en algún “lo que sea directo” hablan del asunto… pues nada… y en los telediarios de la noche… pues menos… en la mayoría ni lo mencionan, en los que lo mencionan lo venden como un grupo de antisistemas protestando contra los banqueros…

censura
Por tanto… creo que es evidente… nos encontramos ante un grave incidente de seguridad de la información en el que se ha visto afectada la disponibilidad e integridad de la misma… afortunadamente todavía nos queda la red…
Algunos enlaces, por aquello de dejar evidencias, no sea que venga un auditor de 27000:

http://longlongdaygone.tumblr.com/

http://www.pateandopiedras.com/2011/05/videos-marcha-15m/

http://www.diagonalperiodico.net/Decenas-de-miles-salen-a-la-calle.html

http://www.washingtonpost.com/business/tens-of-thousands-march-in-spain-to-protest-against-austerity-measures-banks-politicians/2011/05/15/AF13OH4G_story.html

http://www.europapress.es/portaltic/internet/noticia-espana-reclama-propia-revolucion-twitter-20110516141514.html

 

Manifestación 15M puerta del Sol Madrid

Disculpad el off-topic y cierro con una cita del siglo pasado aplicable al siglo presente:

“Cuando reflexionemos sobre nuestro siglo XX, no nos parecerán lo más grave las fechorías de los malvados,sino el escandaloso silencio de las buenas personas.” MARTIN LUTHER KING


wake up mother fucker

 

El título es solo para captar la atención no os creais que estoy enfadado :). Pero sí que estoy harto de escuchar que la seguridad cuesta dinero…. de escuchar que no tenemos presupuesto para mejorar la seguridad o que si quieres que los sistemas además de funcionar sean seguros pues me tienes que dar más pasta…

Primero, asegurar no es una opción. Si eres director/gestor/gerente/jefe de servicio, tu obligación es que los productos y servicios que proporcionas sean seguros y al menor coste. ¿Cómo? tu sabrás que para eso te pagan.

Y sino explícale a tu cliente/usuario “mira no que…. ejem… con tal de que puedas sacar dinero del cajero vamos a asumir el riesgo de que de cada 1000 billetes se pierda 1….”, o “mira es que… con tal de que podamos atenderte en este hospital vamos a asumir el riesgo de que tu historia clínica aparezca publicada en internet…” o “mira es que… bueno… lo mismo alguien puede entrar en nuestra base de datos y modificar tu declaración de la renta… pero si quieres que esto no pase pues nos pagas más impuestos y lo arreglamos”.

Si le preguntas a tu cliente te dirá que quiere las dos cosas: el servicio funcionando y de forma segura. Te dirá que si no sabes hacer bien lo que haces dejes de hacerlo. Es lo que dicta el sentido común…

Es responsabilidad de un gestor TI tener unos servicios TI seguros y punto. Con el dinero del que dispongas y si piensas que hay que llegar a un equilibrio entre funcionalidad y seguridad, expónselo a tus clientes, usuarios, contribuyentes o accionistas a ver que opinan ellos… O quizá las organizaciones deban contratar un CIO que tenga conocimientos en gestión de la seguridad, lo cual desde mi punto de vista debería ser requisito indispensable para un CIO pero ese es otro tema…

Dicho esto, no creo que para mejorar la seguridad de una organización sea necesario gastar mucho dinero extra.

Me pregunto ¿cuál es el precio de estar en forma? puff pues depende ¿no?

  • Opción 1: unas zapatillas de 30€ + 1 camiseta de 5€ + pantaloncitos cortos 5€ y ale… a correr por la calle cada día media hora. Total del coste 40€ al año y media hora al día. Esa media hora evidentemente se la restas a la media hora de sofá no a otras tareas productivas.
  • Opción 2: me apunto al gimnasio más cool de la ciudad 80€/mes; además entrenador personal otros 80€/mes; le sumo el fisio que me alivia el estress post-ejercicio 30€/semana; la ropita hightech que hace que sudes pero estés seco y oliendo a rosas y zapatillas con muelles que parezca que andas sobre algodones 150€; todas las bebidas isotónicas, complementos vitáminicos y barritas energéticas que vendan en el gim 30€/mes… y bueno en tiempo media hora improductiva al día más el ir, aparcar, tomarte algo con los compañeros de bodypumping al salir. Total unos 4000 €/año.

Pues a la hora de mejorar la seguridad de la información en una organización es lo mismo… Asegurar no es necesariamente hacer más cosas, sino hacer las cosas de otra manera, hacer las cosas mejor. Una organización es segura cuando todos sus miembros prestan atención a los detalles.

Habrá medidas costosas y tecnologías caras que hacen maravillas, pero ¿por qué empezar por lo más caro? No tener presupuesto no es excusa, se pueden hacer muchas cosas para mejorar a coste 0. Y también se pueden reorganizar las inversiones y dejar de despilfarrar dinero en chorradas, pero eso también es otro tema…

En resumen, creo que para asegurar la información solo es necesaria una cosa: VOLUNTAD de asegurar la información.

Ea ya está… me voy a trotar media hora bajo la lluvia…