Año 3 - N°3 | Marzo 2007   

- Entrevista

- Las Leyes

- Palabras de Ciso

- Tips para un Ciso

- Punto de Vista

- Hacking bajo la lupa

- Estadísticas

- Productos

- Capacitación

- Toolbox

- Links de Interés

- Lo Sabías?

- Hot Vulnerabilities 

- E-Fraude

- Noticias

- Bolsa de Trabajo

- Agenda & Eventos

- Carta de Lectores

- Libro de Pases

- El Chiste

- Claves del Mes -

blackbox

btcrack

valor de la información

sploggers

hacking francia

Palabras de CISO

NIVEL TÉCNICO

Lo Esencial es Invisible a los Ojos

Por Christian Vila / ISEC+

Senior Security Consultant
I-SEC Information Security Inc.

.

Recuerdo haber leído “El Principito” de Antoine de Saint-Exupéry cuando cursaba el Colegio, muchas de sus moralejas son muy buenas para aplicarlas a la vida cotidiana.

 

Lo que nunca nadie se podría haber imaginado es que el escritor francés era un estudioso avanzado de Seguridad de la Información y que en su obra cumbre nos explica una premisa fundamental en la que se basan casi todas las Normas Internacionales de Seguridad de la Información:

 

“LO ESENCIAL ES INVISIBLE A LOS OJOS”

  

En lo cotidiano todo nuestro trabajo es prácticamente invisible:

 

- No somos un Firewall de hardware, pero sí debemos descubrir el ataque a la información de la Compañía…

 

- No somos un servidor de backup o un UPS, pero sí tenemos que definir, probar e implementar un plan de contingencia adecuado para nuestra Compañía…

 

- No somos un servidor de logs pero sí tenemos que descubrir y “tracear” el origen y los efectos ante algún hecho ilícito en nuestra Compañía…

 

De esta manera podría seguir escribiendo las innumerables tareas de un Profesional de IT que a menudo no se ven porque son atribuidas a algún Hardware o Software de apoyo.

 

Existe entonces un desafío constante con el que tenemos que convivir: generalmente nuestro trabajo se torna invisible, y desde esa premisa debemos partir al implementar la mayoría de las medidas.

 

Lo invisible a los ojos hay que transformarlo en resultados que SÍ deben ser visibles para todos los integrantes de la Compañía. No sólo el Directorio debe recibir un reporte de resultados sino también los Gerentes (que son generalmente los dueños de datos) y fundamentalmente dichos resultados deben ser conocidos por los Usuarios finales quienes van a ser el motor de cualquier proyecto de seguridad. Para ello es conveniente generar informes con distintos tipos de orientación, según los distintos niveles dentro de la compañía.

 

Veamos un ejemplo: supongamos que debemos implementar un Plan de Contingencia. Si bien los procedimientos son los mismos para toda la Empresa, los roles de cada integrante son diferentes ante la misma contingencia. Cuando expliquemos el Plan conviene enfatizar los objetivos según el nivel de tareas del Personal: a los Directivos les remarcaremos cuánto dinero se pierde por horas de inactividad; a los niveles gerenciales les resaltaremos la responsabilidad por la ejecución del plan, por el personal y los recursos; al resto les enfatizaremos en la cantidad de tareas extras que deberán realizar hasta reponer la continuidad de las actividades.

 

En resumen hay que convertir en TANGIBLE lo que es invisible a los ojos de la Compañía y una buena práctica son reportes personalizados según la tarea que desempeñe el personal.

 

…y si leen “El Principito” van a encontrar más respuestas a la problemática de la Seguridad, yo me quedo en el planeta del Rey de lo obvio.

 

Christian Vila / ISEC+

Senior Security Consultant
I-SEC Information Security Inc.
Copyright © 2007 I-SEC. Todos los derechos reservados

Política de protección de Datos Personales