domingo, 19 de julio de 2009

Pareto aplicado a la seguridad.

Me encuentro leyendo el libro llamado "Desarrolle el Líder que Está en Usted" de John C. Maxwell y en cuyo capítulo dos habla de las prioridades y que para establecerlas una de las principales herramientas es el Principio de Pareto o el Principio del 20-80. Me pregunté cómo podríamos aplicar este principio al área de seguridad de la información y llegué a las siguientes conclusiones.

+ La aplicación del 20% de los parches de seguridad eliminarán el 80% de los ataques informáticos más peligrosos.

+ El 20% de las herramientas tecnológicas de seguridad proveerán/contribuirán al 80% de la protección de la infraestructura.

+ El 20% de las personas (empleados, externos) causará el 80% de los incidentes de seguridad más críticos.

+ El 20% del contenido de una campaña de seguridad ("security awareness") causará el 80% del impacto deseado.

+ El 20% de los incidentes causarán el 80% de las interrupciones a la continuidad del negocio.

+ El 20% del código malicioso causará el 80% de las infecciones más peligrosas en la infraestructura.

+ El 20% del tiempo totalmente dedicado por los desarrolladores a eliminar "bugs" de seguridad en su código, eliminará el 80% de las vulnerabilidades.

+ El 20% dedicado totalmente por la alta dirección al Gobierno de Seguridad de la Información derivará en que 80% de los procesos internos de la organización sean positivamente impactados por aspectos de seguridad.

+ El 20% de las excepciones de seguridad (paso libre de ejecutables, desactivación de antivirus) causarán el 80% de los incidentes de seguridad más graves.

+ El 20% de la política de seguridad estará íntimamente ligada a mantener el 80% de la seguridad -en niveles aceptables- dentro de la organización.

+ El 20% del tiempo del personal de seguridad de la información estará relacionado con el 80% del trabajo prioritario orientado a proteger la información organizacional. (Leer correos, llenar documentación inútil, arreglar problemas comunes de infraestructura o asistir a una junta "useless" no contribuyen a proteger la seguridad).

+ Escuchar al 20% de los proveedores que presentan productos de seguridad derivará en el 80% de las futuras compras decisivas.

Como yo lo entiendo y resumo, el principio de Pareto se basa en que un porcentaje reducido del 20% causará un 80% del impacto (positivo o negativo). Así pues y en general, podríamos decir que el 20% del personal en una organización contribuye al 80% del éxito de la misma o que el 20% de las personas hará el 80% de las decisiones relevantes (o que el 80% de nuestra felicidad proviene del 20% de nuestro tiempo).

Este principio nos conmina a prestar especial atención y recursos a ese 20% que tiene el potencial de causar el 80% del impacto positivo. En cuestiones de seguridad se puede seguir esta recomendación y dedicar más recursos a ese 20%. Menos es más cuando nos concentramos en las pequeñas cosas que son verdaderamente importantes. Y no, todo lo anterior no es una ley universal, pero en mi opinión hay mucho de cierto en este principio; ustedes tienen la última palabra.

 

2 comentarios:

Anónimo dijo...

Buena analogía ...solo falto que el 20 % de la ¨CAPA 8¨ tiene conciencia de la importancia de la seguridad , el 80 % restante ....son los que dan de comer a los Hackers

MC Fausto Cepeda, CISSP, CISA. dijo...

Tienes razón, debí de poner esta en primer lugar. :-) Podría ser algo como "El 20% de los usuarios dan chamba al 80% de los crackers".