Tópicos típicos de la seguridad
Durante años he ido a muchos saraos, a muchos congresos, congresillos, jornadas o como les queramos o podamos llamar, donde nos reunimos para hablar de seguridad y tomar un café. Comerciales o no comerciales, mejores o peores, generalistas o muy específicos... en todos ellos, en todos, siempre he aprendido algo (bueno o malo). Y un “algo” que siempre me ha llamado mucho la atención son las cosas que, presentación tras presentación, mesa redonda tras mesa redonda, café tras café... se van repitiendo de unos a otros: los típicos tópicos de la seguridad; cosas que siempre aparecen por mucho que intentemos evitarlas: desde simples errores hasta ejemplos que alguien puso hace veinte años y hoy en día seguimos repitiendo como loros sin aportar nada nuevo sobre los mismos, pasando por frases que siempre acaban diciéndose, con o sin razón, pero siempre…
Aquí he recopilado algunas de las cosas que oigo y vuelvo a oir y cada vez que las dicen anoto mentalmente “tengo que escribir un post”, aunque luego no lo haga (hasta hoy). Vamos, seguro que todos hemos oído muchos de estos e incluso hasta los hemos soltado en alguna ocasión -ojo, yo el primero-; y seguro que seguiremos haciéndolo, no digais que no :) Pongo algunos típicos tópicos en este post y espero colaboraciones para recopilar más; si conseguimos suficientes, haremos el security bingo para llevarlo a todos los congresos :)
Encriptar y desencriptar
La primera en la frente. Cada vez que lo oigo se me llevan los demonios, porque aparte de repetido es un error. A ver, que aquí nadie desencripta a nada ni a nadie, ni lo mete en criptas, ni nada parecido… en todo caso lo CIFRA, lo CIFRA y lo DESCIFRA mediante algoritmos de CIFRADO. Encriptar o desencriptar no son verbos en castellano (ahí está la RAE) y si lo fueran seguramente harían referencia al rito judeocristiano de enterrar a muertos en criptas, no a proteger los datos mediante algoritmos “de encriptación“. Dejemos de encriptar y desencriptar la información y comencemos a cifrarla, porque si la enterramos en una cripta pero no la ciframos cualquiera con acceso físico la podrá leer :)
La seguridad es una cadena
Ya, que sí, que ya lo sabemos, que se rompe si lo hace su eslabón más débil. El ejemplo es muy bueno, muy gráfico… o lo era en los 90, pero ahora aunque sigue siendo cierto está un poco visto. Si cada vez que he leído o me han dicho que la seguridad es como una cadena me hubieran dado un eslabón, habría rodeado varias veces la Tierra :) Propongo que busquemos símiles alternativos: la seguridad es como un rosario, la seguridad es como una pulsera… o la seguridad es como una caja de bombones. Venga, un poco de imaginación…
La seguridad total no existe
Sí que existe: estoy totalmente seguro de que me he cansado de que me digan esto. ¡Qué ya lo sé! Que Gene Spafford ya lo dijo hace muchos años (su cita no puede faltar en el pogüerpoin, con lo del bunker y los guardias armados), pero insistir e insistir no va a hacer que seamos más seguros. De nuevo, se acepta cualquier alternativa que diga lo mismo pero de forma diferente y si no incluye la palabra holística, mejor aún (por cierto, ¿alguien se ha parado a buscar la definición de holismo en la RAE?).
El arte de la guerra
No hay presentación que se precie sin una buena cita del libro de Sun Tzu; la de decepción (“All warfare is based on deception”) es de mis preferidas y siempre cae, pero últimamente, con todo eso de la innovación y demás, hemos empezado a detectar otras frasecillas del libro en cuestión. El problema no es usarlas (es un libro excelente y a pesar de los años marca pautas clarísimas en seguridad), sino meterlas con calzador en nuestra presentación: en una charla sobre los forlayos alineados en la nube con el negocio holístico, por poner un ejemplo, es muy complicado referenciar a Sun Tzu de forma natural :)
Las certificaciones
Todos sabemos que una buena presentación tiene que incluir en portada o en contraportada (aquí mola más, porque al acabar la charla están a la vista todo el rato, durante la parte de ruegos y preguntas) tooooodas las certificaciones del ponente. Cuanto más larga sea la lista, más siglas tenga y más anglosajona parezca, más mejor: CISA, CISM, SANS*, Lead Auditor… vamos, que si no caben en una transparencia, reduzco el tamaño de letra pero pongo ahí como sea mi curriculum. ¿No bastaría con un nombre, un cargo y una organización? Ya sé que si estás dando una charla en un congreso o eres bueno o tienes pasta: demuestra lo primero, no lo segundo :)
Ejemplos de consultores
No hay orador que se precie que no ponga un ejemplo de consultores: la típica anecdotilla de cuando era consultor/auditor/responsable/nosequé de una gran empresa -americana, of course- en Villabotijos de Abajo. Esto no está mal, siempre aporta algo nuevo, pero hay un ejemplo de consultores que destaca por encima de los demás: el del password apuntado en un postit en el monitor, debajo del teclado o similar. Vamos, que parece ya una leyenda urbana o un hoax: todo el mundo ha visto esto (o se lo ha dicho alguien que lo ha visto, como lo de la mujer de la curva). Que sí, estamos de acuerdo, todos lo hemos visto... No contemos esta anécdota como si fuera una experiencia que sólo nosotros hemos vivido, porque es como decir “No os lo vais a creer: el otro día iba por la calle… ¡y crucé!” Puede sorprender a nuestras madres, pero no a nuestros colegas de profesión :)
Fuente: http://www.securityartwork.es/2012/04/03/tipicos-topicos/
Aquí he recopilado algunas de las cosas que oigo y vuelvo a oir y cada vez que las dicen anoto mentalmente “tengo que escribir un post”, aunque luego no lo haga (hasta hoy). Vamos, seguro que todos hemos oído muchos de estos e incluso hasta los hemos soltado en alguna ocasión -ojo, yo el primero-; y seguro que seguiremos haciéndolo, no digais que no :) Pongo algunos típicos tópicos en este post y espero colaboraciones para recopilar más; si conseguimos suficientes, haremos el security bingo para llevarlo a todos los congresos :)
Encriptar y desencriptar
La primera en la frente. Cada vez que lo oigo se me llevan los demonios, porque aparte de repetido es un error. A ver, que aquí nadie desencripta a nada ni a nadie, ni lo mete en criptas, ni nada parecido… en todo caso lo CIFRA, lo CIFRA y lo DESCIFRA mediante algoritmos de CIFRADO. Encriptar o desencriptar no son verbos en castellano (ahí está la RAE) y si lo fueran seguramente harían referencia al rito judeocristiano de enterrar a muertos en criptas, no a proteger los datos mediante algoritmos “de encriptación“. Dejemos de encriptar y desencriptar la información y comencemos a cifrarla, porque si la enterramos en una cripta pero no la ciframos cualquiera con acceso físico la podrá leer :)
La seguridad es una cadena
Ya, que sí, que ya lo sabemos, que se rompe si lo hace su eslabón más débil. El ejemplo es muy bueno, muy gráfico… o lo era en los 90, pero ahora aunque sigue siendo cierto está un poco visto. Si cada vez que he leído o me han dicho que la seguridad es como una cadena me hubieran dado un eslabón, habría rodeado varias veces la Tierra :) Propongo que busquemos símiles alternativos: la seguridad es como un rosario, la seguridad es como una pulsera… o la seguridad es como una caja de bombones. Venga, un poco de imaginación…
La seguridad total no existe
Sí que existe: estoy totalmente seguro de que me he cansado de que me digan esto. ¡Qué ya lo sé! Que Gene Spafford ya lo dijo hace muchos años (su cita no puede faltar en el pogüerpoin, con lo del bunker y los guardias armados), pero insistir e insistir no va a hacer que seamos más seguros. De nuevo, se acepta cualquier alternativa que diga lo mismo pero de forma diferente y si no incluye la palabra holística, mejor aún (por cierto, ¿alguien se ha parado a buscar la definición de holismo en la RAE?).
El arte de la guerra
No hay presentación que se precie sin una buena cita del libro de Sun Tzu; la de decepción (“All warfare is based on deception”) es de mis preferidas y siempre cae, pero últimamente, con todo eso de la innovación y demás, hemos empezado a detectar otras frasecillas del libro en cuestión. El problema no es usarlas (es un libro excelente y a pesar de los años marca pautas clarísimas en seguridad), sino meterlas con calzador en nuestra presentación: en una charla sobre los forlayos alineados en la nube con el negocio holístico, por poner un ejemplo, es muy complicado referenciar a Sun Tzu de forma natural :)
Las certificaciones
Todos sabemos que una buena presentación tiene que incluir en portada o en contraportada (aquí mola más, porque al acabar la charla están a la vista todo el rato, durante la parte de ruegos y preguntas) tooooodas las certificaciones del ponente. Cuanto más larga sea la lista, más siglas tenga y más anglosajona parezca, más mejor: CISA, CISM, SANS*, Lead Auditor… vamos, que si no caben en una transparencia, reduzco el tamaño de letra pero pongo ahí como sea mi curriculum. ¿No bastaría con un nombre, un cargo y una organización? Ya sé que si estás dando una charla en un congreso o eres bueno o tienes pasta: demuestra lo primero, no lo segundo :)
Ejemplos de consultores
No hay orador que se precie que no ponga un ejemplo de consultores: la típica anecdotilla de cuando era consultor/auditor/responsable/nosequé de una gran empresa -americana, of course- en Villabotijos de Abajo. Esto no está mal, siempre aporta algo nuevo, pero hay un ejemplo de consultores que destaca por encima de los demás: el del password apuntado en un postit en el monitor, debajo del teclado o similar. Vamos, que parece ya una leyenda urbana o un hoax: todo el mundo ha visto esto (o se lo ha dicho alguien que lo ha visto, como lo de la mujer de la curva). Que sí, estamos de acuerdo, todos lo hemos visto... No contemos esta anécdota como si fuera una experiencia que sólo nosotros hemos vivido, porque es como decir “No os lo vais a creer: el otro día iba por la calle… ¡y crucé!” Puede sorprender a nuestras madres, pero no a nuestros colegas de profesión :)
Fuente: http://www.securityartwork.es/2012/04/03/tipicos-topicos/
Comentarios
Publicar un comentario
siempre es bueno, leer tus comentarios