martes, 19 de abril de 2016

Cómo seleccionar personal para su área de seguridad informática

TechTarget publicó un artículo mío, se los pongo a su disposición.

sábado, 9 de abril de 2016

La Importancia de las Cifras

Siempre que tengo unos minutos disponibles, leo la columna de Sergio Sarmiento. Considero que sus opiniones sobre el entorno político nacional e internacional son interesantes y de relevancia. Particularmente me llamó la atención su artículo del 8 de abril del año en curso, en el que expresa sus dudas sobre las cifras que maneja el gobierno de la Ciudad de México en torno a las 22 mil muertes prematuras en un año asociadas a la mala calidad del aire. Lo anterior enmarcado en el nuevo hoy no circula de la capital.


En su artículo, toca el tema de que estas cifras pareciera que no tienen un sustento claro. El periodista solo ubicó un dato certero de la Cofepris que indica que en el año 2010 hay reportes de entre 2,000 y 4,000 defunciones al año causadas por partículas inhalables que están en la atmósfera. Sin embargo no logró encontrar más datos duros que sustentaran fehacientemente las 22 mil muertes anuales ya mencionadas en la capital y asociadas a la contaminación.

Por otro lado, el periódico Milenio en su sitio de internet, publicó el 8 de abril una noticia referente a un hackeo de la página web de un candidato para gobernar un estado de nuestro país. En ese informe, la reportera Isabel Zamudio comenta que el hackeo sucedió la madrugada del jueves (supongo que se refiere al jueves 7 de abril) y que se usaron hackers de nacionalidades como la de Estados Unidos, Rusia y Asia. También agrega que el hackeo usó recursos millonarios.

Al leer el artículo de Sergio y la noticia de Isabel, de inmediato correlacioné ambos casos donde pareciera que hay datos no verificados que salen de alguna fuente no especificada y poco clara. En particular sobre la noticia del periódico Milenio, me quedan varias dudas.

¿Cómo pudieron saber tantos datos en tan poco tiempo? Interpreto por el reporte que el sitio fue afectado el jueves 7, y un día después ya sabían desde dónde había sucedido y cuánto había costado. Tal vez el primer dato se puede obtener rápidamente en unas horas, aunque yo preferiría tener más tiempo para tener una mayor seguridad antes de hacerlo público. Sin embargo el costo es más complicado y desconozco cómo pudieron “definirlo” en tan poco tiempo.

¿Cómo estimaron que se usaron millones para el hackeo del sitio web? La noticia no establece si son millones de pesos, dólares u otra moneda, ahí está otra duda. Tampoco ofrece una cifra concreta, sino solo se limita a informar que fueron “millones”; pero ni hablar, de alguna manera lograron en muy poco tiempo hacer una estimación de este dato.

¿Un hackeo a un sitio web involucra millones? Sé qué puede implicar técnicamente poder afectar un sitio web y aunque me atrevo a generalizar, estimo que no cuesta millones de pesos o dólares dado que técnicamente no es algo complejo; obvio, depende de las protecciones de seguridad con que cuenta el sitio, y parto del supuesto de un sitio con seguridad promedio o un poco debajo del promedio. Y por cierto, me llama la atención que se haya comentado que utilizaron hackers de diversas nacionalidades; al parecer afectar ese sitio no se pudo realizar por alguna razón con recursos mexicanos.

Cuando leí la noticia del hackeo al sitio, simplemente me hice esas preguntas pero no le dediqué más tiempo; de hecho tal vez con esos datos no se tomen decisiones que afecten a muchos. Sin embargo en el caso de la opinión de Sergio, pareciera que se pudieran estar tomando decisiones que afectan a un número importante de personas con base en cifras que pudieran no estar bien identificadas o que no se está difundiendo su fuente con claridad.

En mi opinión y en nuestro campo de acción, ya sea por ejemplo la seguridad física o la informática, creo que es importante tener claro de dónde se obtienen cifras y estadísticas porque en más de una ocasión estaremos tomando decisiones con base en ellas y que por ejemplo estarán afectando el rumbo de la seguridad dentro de nuestras organizaciones o afectando presupuesto. 

Cuando no hay claridad en la fuente de información o está ambigua (recuerden el costo de “millones”), debemos exigir que se clarifiquen y se concreten, igual que transparentar la fuente de donde viene ese dato.

Decir que existen “muchas infecciones de virus al mes”, “desde Asia intentan vulnerar el perímetro” o mi preferida: “evidencias de que no seguimos las mejores prácticas”, significa que estaremos arrojando de alguna forma datos, pero sin un significado real. 

De hecho, existen ocasiones en que no queda muy clara la manera de obtener un indicador y otras más donde no hay una sola manera de lograrlo y cada quien lo obtendrá siguiendo una metodología diferente. El ejemplo puede ser si nos preguntan “cuántos ataques recibes al mes” o “cuántos intentos de ataques recibes al mes”: cada quien podrá tomar en cuenta diversas fuentes de información y criterios para llegar a un número, que sobra decir, será subjetivo y por lo tanto no será comparable.


En fin, sirva el presente artículo para reflexionar sobre este asunto y estar al pendiente de cuando nos presenten “cifras” que realmente son ambiguas, sin sustento claro o cuya fuente no es especificada.