Dos mil quinientos años después el legado del General chino Sun Tzú sigue vigente a la hora de trazar estrategias para "resolver" o afrontar conflictos.
La Seguridad en el mundo cibernético y fuera de él, hoy en día, es una guerra como cualquier otra. Tenemos dos bandos y cada uno de ellos obedece a unos objetivos muy claros.
El primero de ellos, compuesto por aquellos profesionales que estamos del lado de la Ley, o que por lo menos consideramos que así es. Protegiendo siempre los activos de las organizaciones y gobiernos, desplegando tecnologías y procesos para evitar que la información caiga en manos contrarias o que impacte negativamente el Negocio y sus objetivos Estratégicos.
El segundo un poco más obscuro, compuesto por todos aquellos de intentan de cualquier modo, apropiarse de Información que les permita buscar un lucro de manera ilegal, a través del robo de identidad, Secretos Industriales o causar daños malintencionados en los Sistemas de su contraparte.
En un mundo conectado, es posible que nunca sepamos quien es y donde está nuestro enemigo; peor aún, el enemigo se multiplica geométricamente y mejora sus técnicas de ataque. El conocimiento distribuido, gracias a Internet, permite obtener con facilidad las instrucciones para lanzar ataques de toda índole.
Si conoces a los demás y te conoces a tí mismo, ni en cien batallas correrás peligro.
Para conocerse a sí mismo, en términos de Seguridad, es necesario llevar a cabo análisis de GAP, o medir la brecha existente entre un modelo de Seguridad óptimo y nuestra posición actual. Para conocer al enemigo, debemos estar alertas a las publicaciones de vulnerabilidades, parches y técnicas de ataques. Una forma sencilla de lograrlo es suscribirse a los foros de seguridad o listas de correo automáticas que nos provean la información de como están procediendo nuestros enemigos.
Nunca olvide consultar los informes periódicos de organizaciones que evaluan las diferentes técnicas de ataques o la forma como evolucionan éstos.
La brecha que exista en su organización es el trabajo que usted tiene pendiente realizar para estar protegido.
Los guerreros expertos se hacían a sí mismos invencibles en primer lugar, y después aguardaban para descubrir la vulnerabilidad de sus adversarios.
La Seguridad no se puede dejar en manos inexpertas. Las organizaciones deben entender que el Recurso Capacitado y Entrenado es un activo necesario para afrontar los peligros existentes. Hay que dejar de lado la concepción de entrenar en el campo de batalla a nuestros Especialistas. Un Samurai no puede ir a la batalla a ensayar...
Si llegaramos a estar del lado obscuro de la Fuerza, la Ingeniería Social es la herramienta más expedita y barata para encontrar vulverabilidades en nuestro objetivo.
No escatime recursos ni medidas administrativas para ayudar u obligar a sus Funcionarios a convertirse en Expertos. Recuerde ellos son sus guerreros en el campo de batalla, de sus capacidades depende su nivel de protección y respuesta.
Un ejército perece si no está equipado, si no tiene provisiones o si no tiene dinero.
¿ Cuántas veces hemos tenido que desistir de fortalecer el área de Seguridad o los procesos por falta de dinero o apoyo en la Alta Gerencia? Nos evalúan por el ROI, el VPN, la generación de ingresos o la creación de nuevos servicios. ¿Acaso nos preguntamos lo mismo cuando compramos el seguro del automóvil?
Pero la Alta Dirección de la compañía no tiene la culpa, porque nunca entienden de seguridad y nosotros no somos los interlocutores apropiados para que ellos por fin, comprendan que la Seguridad no se puede tomar de manera tan simple por la fórmula INGRESOS - EGRESOS.
Cuando las órdenes son razonables, justas, sencillas, claras y consecuentes, existe una satisfacción recíproca entre el líder y el Grupo.
Como responsable de la Seguridad Informática en algunas empresas, me he visto en la incómoda posición de obedecer instrucciones que van totalmente en contravía de la Seguridad de la Empresa misma. Es totalmente decepcionante. Sobre todo porque cualquier eventualidad resulta siendo responsabilidad directa del área. Si sucede algo trágico el responsable soy yo, pero no puedo negarme a seguir órdenes cuando vienen de arriba.
Es necesario saber cómo impedir que los demás te ataquen a tí.
Para cerrar estas pocas líneas, creo que al profesional de Seguridad o cualquiera que tenga que ver con ella, debe conocer los procesos, tecnologías y personas que necesita para proteger la Empresa. No es posible evitar que te ataquen, ni siquiera siendo el FBI, pero sí es posible que con el TRIO personas, procesos y tecnología logres un adecuado nivel de protección.
Sun Tzú, el genio de la estrategia militar nos puede guiar en cualquier campo del ataque o la defensa comop ha quedado demostrado en este pequeño artículo.
Suscribirse a:
Enviar comentarios (Atom)
No hay comentarios:
Publicar un comentario