El otro día leí en un tweet que la mayor parte de los ‘especialistas en seguridad’ eran, en realidad, ‘especialistas en in-seguridad’. Son capaces de encontrar fallos pero no de encontrar mejoras estratégicas.

No puedo estar más de acuerdo. Y quiero elaborar un poco más sobre el tema para que nos dé pié a discutirlo en el próximo Sec&Beer que es ya mismo.

Está claro que destruir es siempre más fácil que construir y que criticar siempre es más sencillo que promover el cambio. Sin embargo, ambos conceptos no están tan desentrañados de su contrapartida. Dicho esta críptica frase, yo considero que una fase esencial para establecer estrategias de mejora es conocer, criticar, destruir la situación actual.

Esto es importante no sólo para que nosotros mismos nos demos cuenta de si es o no peligrosa o crítica o insegura o como queráis denominar a la situación actual sino también para demostrarlo a los que tiene capacidad para apoyarnos en la implantación de mejoras.

Sin embargo, es muy cómodo quedarse en señalar con el dedo acusador a la vez que haces ver lo evidente que es y lo mal que está todo. De esta forma, tú, como especialista en (in-)seguridad siempre tendrás trabajo y, bueno, sabiendo como está todo, no vas a tener problemas.

Mejorar las cosas es mucho más complejo porque entran en juego un conjunto de condiciones de contorno que, en muchos casos, son las mismas que han provocado la lamentable situación actual.

En definitiva, porque no me quiero extender más, es interesante realizar esfuerzos para analizar y descubrir problemas de seguridad pero quizá sea mucho más importante organizar y ejecutar estrategias de mejora que hagan posible que estas situaciones no se repitan como la cebolla, el chorizo picante o el eterno retorno.

¿Qué pensáis? Ponedlo aquí o ya lo discutimos el jueves.

Acabo de empezar a leer ‘the myths of security‘ escrito por John Viega (@viega en twitter) y he pensado hacer un experimento. Voy a intentar ir comentando el libro conforme lo voy leyendo. Escribiré aquí los comentarios de mayor tamaño bajo el tag secmyths o en twitter los que sean más cortos, bajo el hashtag #secmyths.

the myths of security

Ya he hecho esto alguna vez sólo en twitter con ‘the new school of security’ y con ‘the human factor of information security’ aunque ahora, en este blog, pretendo elaborar un poco más y no sólo incluir citas sino también opiniones.

Veremos qué tal sale. Espero que lo disfrutéis.