El otro día leí en un tweet que la mayor parte de los ‘especialistas en seguridad’ eran, en realidad, ‘especialistas en in-seguridad’. Son capaces de encontrar fallos pero no de encontrar mejoras estratégicas.

No puedo estar más de acuerdo. Y quiero elaborar un poco más sobre el tema para que nos dé pié a discutirlo en el próximo Sec&Beer que es ya mismo.

Está claro que destruir es siempre más fácil que construir y que criticar siempre es más sencillo que promover el cambio. Sin embargo, ambos conceptos no están tan desentrañados de su contrapartida. Dicho esta críptica frase, yo considero que una fase esencial para establecer estrategias de mejora es conocer, criticar, destruir la situación actual.

Esto es importante no sólo para que nosotros mismos nos demos cuenta de si es o no peligrosa o crítica o insegura o como queráis denominar a la situación actual sino también para demostrarlo a los que tiene capacidad para apoyarnos en la implantación de mejoras.

Sin embargo, es muy cómodo quedarse en señalar con el dedo acusador a la vez que haces ver lo evidente que es y lo mal que está todo. De esta forma, tú, como especialista en (in-)seguridad siempre tendrás trabajo y, bueno, sabiendo como está todo, no vas a tener problemas.

Mejorar las cosas es mucho más complejo porque entran en juego un conjunto de condiciones de contorno que, en muchos casos, son las mismas que han provocado la lamentable situación actual.

En definitiva, porque no me quiero extender más, es interesante realizar esfuerzos para analizar y descubrir problemas de seguridad pero quizá sea mucho más importante organizar y ejecutar estrategias de mejora que hagan posible que estas situaciones no se repitan como la cebolla, el chorizo picante o el eterno retorno.

¿Qué pensáis? Ponedlo aquí o ya lo discutimos el jueves.

Wittgenstein dijo que la filosofía es una lucha contra el embrujamiento del entendimiento por parte de los medios de nuestro lenguaje. Eso pienso yo también de la seguridad de la información. Hay veces en las que simplemente es imposible entenderse con alguien (usuario, cliente, comercial, etc.) debido a que no entendemos  lo mismo para las mismas palabras.

Debe ser uno de esos sesgos cognitivos o simplemente se trata de que usamos palabras comunes en un entorno especializado donde tienen un significado mucho más concreto. Véase como ejemplo el propio concepto de seguridad, que evoca pensamientos completamente distintos según a quién le preguntes.

Un buen uso de los términos de seguridad ayuda a diferenciar a un buen profesional de seguridad de uno malo. Yo lo he usado en mi cuestionario para entrevistas. Además ayuda a reirse un rato (o llorar) cuando vemos barbaridades escritas relacionadas con seguridad.

Y de eso es de lo que va este post, realmente, aunque la intro me ha salido muy filosófica. En los últimos días he recibido varios documentos que han suscitado por igual mi sonrisa y mi lamento y que paso a comentaros a continuación.

La amenaza del SSL

Esto es un texto de un pliego de condiciones técnicas para la construcción de una aplicación web. El texto es horrible. Lo más hilarante es que identifica la autenticación sobre HTTPS como una amenaza.

El técnico especialista

Nos llegó por fax este esperpéntico curso de seguridad en la empresa.

El texto no tiene desperdicio… Estoy convencido de que después de este curso los alumnos podrán bloquear sistemas operativos poco seguros o hacer frente a todas las amenazas importantes del correo electrónico, el ordenador, internet y las redes inalámbricas.

El código encriptado

Este folleto nos anima a leer el mensaje encriptado con nuestro teléfono, aunque realmente se trata de una codificación QR.

Este tipo de mensajes confunde y hace pensar que, si algo no se entiende a simple vista, está cifrado, cuando no es así.

Por no decir que encriptar no existe, es una mala traducción del inglés, el verdadero término es cifrar.

Adiestrando usuarios

Por último, en otro pliego para una oferta sobre LOPD se solicita ‘adiestramiento de usuarios’. Los que se presenten espero que hayan considerado los costes de las galletitas dog-chow :).

¿Para cuándo una ley de uso correcto del lenguaje en cuestiones de seguridad?

Beers

Bueno pues ya está:

Fecha: Jueves 11 de noviembre
Hora: 20.30
Lugar: Mr. Beer (en la zona de Viapol) http://goo.gl/maps/km0F

Algunos temas para hablar:

  • “¿Cual es y cual debería ser el trabajo del equipo de seguridad en una organización?. ¿Crear normas y perseguir su cumplimiento?, ¿explotar la seguridad perimetral?, ¿revisar y securizar los procesos de negocio?, ¿todas las anteriores?, ¿ninguna? …”
  • “Qué medidas hay que implantar/reforzar cuando se va personal crítico de un organismo/entidad”.

¡¡Nos vemos el jueves!!!

Reunión frikis

Después del éxito de la primera, la segunda reunión del Sevilla Sec&Beer tendrá lugar la próxima semana.

Desde hoy hasta el sábado podeís hacer propuestas de fecha, hora, lugar y tema inicial. Nunca llueve a gusto de todos, así que, sed comprensivos… Podeis dejar vuestras propuestas en un comentario o enviarlas a reuniones@sevillasecandbeer.org.

Cuando esté decidido publicaremos la fecha, hora, lugar y tema en un nuevo post además de en la sección “Próxima reunión“.

¡¡¡Nos vemos pronto!!!