martes, 19 de abril de 2016
Cómo seleccionar personal para su área de seguridad informática
TechTarget publicó un artículo mío, se los pongo a su disposición.
sábado, 9 de abril de 2016
La Importancia de las Cifras
Siempre
que tengo unos minutos disponibles, leo la columna de Sergio Sarmiento.
Considero que sus opiniones sobre el entorno político nacional e internacional
son interesantes y de relevancia. Particularmente me llamó la atención su
artículo del 8 de abril del año en curso, en el que expresa sus dudas sobre las
cifras que maneja el gobierno de la Ciudad de México en torno a las 22 mil
muertes prematuras en un año asociadas a la mala calidad del aire. Lo anterior
enmarcado en el nuevo hoy no circula de la capital.
En
su artículo, toca el tema de que estas cifras pareciera que no tienen un
sustento claro. El periodista solo ubicó un dato certero de la Cofepris que
indica que en el año 2010 hay reportes de entre 2,000 y 4,000 defunciones al
año causadas por partículas inhalables que están en la atmósfera. Sin embargo
no logró encontrar más datos duros que sustentaran fehacientemente las 22 mil
muertes anuales ya mencionadas en la capital y asociadas a la contaminación.
Por
otro lado, el periódico Milenio en su sitio de internet, publicó el 8 de abril
una noticia referente a un hackeo de la página web de un candidato para
gobernar un estado de nuestro país. En ese informe, la reportera Isabel Zamudio
comenta que el hackeo sucedió la madrugada del jueves (supongo que se refiere
al jueves 7 de abril) y que se usaron hackers de nacionalidades como la de
Estados Unidos, Rusia y Asia. También agrega que el hackeo usó recursos
millonarios.
Al
leer el artículo de Sergio y la noticia de Isabel, de inmediato correlacioné
ambos casos donde pareciera que hay datos no verificados que salen de alguna
fuente no especificada y poco clara. En particular sobre la noticia del
periódico Milenio, me quedan varias dudas.
¿Cómo pudieron saber tantos datos en
tan poco tiempo? Interpreto por el reporte que el sitio fue afectado el jueves 7, y un
día después ya sabían desde dónde había sucedido y cuánto había costado. Tal
vez el primer dato se puede obtener rápidamente en unas horas, aunque yo
preferiría tener más tiempo para tener una mayor seguridad antes de hacerlo
público. Sin embargo el costo es más complicado y desconozco cómo pudieron “definirlo”
en tan poco tiempo.
¿Cómo estimaron que se usaron
millones para el hackeo del sitio web? La noticia no establece si son
millones de pesos, dólares u otra moneda, ahí está otra duda. Tampoco ofrece
una cifra concreta, sino solo se limita a informar que fueron “millones”; pero ni
hablar, de alguna manera lograron en muy poco tiempo hacer una estimación de este
dato.
¿Un hackeo a un sitio web involucra
millones?
Sé qué puede implicar técnicamente poder afectar un sitio web y aunque me
atrevo a generalizar, estimo que no cuesta millones de pesos o dólares dado que
técnicamente no es algo complejo; obvio, depende de las protecciones de
seguridad con que cuenta el sitio, y parto del supuesto de un sitio con
seguridad promedio o un poco debajo del promedio. Y por cierto, me llama la
atención que se haya comentado que utilizaron hackers de diversas
nacionalidades; al parecer afectar ese sitio no se pudo realizar por alguna
razón con recursos mexicanos.
Cuando
leí la noticia del hackeo al sitio, simplemente me hice esas preguntas pero no
le dediqué más tiempo; de hecho tal vez con esos datos no se tomen decisiones
que afecten a muchos. Sin embargo en el caso de la opinión de Sergio, pareciera
que se pudieran estar tomando decisiones que afectan a un número importante de
personas con base en cifras que pudieran no estar bien identificadas o que no
se está difundiendo su fuente con claridad.
En
mi opinión y en nuestro campo de acción, ya sea por ejemplo la seguridad física
o la informática, creo que es importante tener claro de dónde se obtienen
cifras y estadísticas porque en más de una ocasión estaremos tomando decisiones
con base en ellas y que por ejemplo estarán afectando el rumbo de la seguridad
dentro de nuestras organizaciones o afectando presupuesto.
Cuando no hay
claridad en la fuente de información o está ambigua (recuerden el costo de
“millones”), debemos exigir que se clarifiquen y se concreten, igual que
transparentar la fuente de donde viene ese dato.
Decir
que existen “muchas infecciones de virus al mes”, “desde Asia intentan vulnerar
el perímetro” o mi preferida: “evidencias de que no seguimos las mejores prácticas”,
significa que estaremos arrojando de alguna forma datos, pero sin un
significado real.
De hecho, existen ocasiones en que no queda muy clara la
manera de obtener un indicador y otras más donde no hay una sola manera de
lograrlo y cada quien lo obtendrá siguiendo una metodología diferente. El
ejemplo puede ser si nos preguntan “cuántos ataques recibes al mes” o “cuántos
intentos de ataques recibes al mes”: cada quien podrá tomar en cuenta diversas
fuentes de información y criterios para llegar a un número, que sobra decir,
será subjetivo y por lo tanto no será comparable.
En
fin, sirva el presente artículo para reflexionar sobre este asunto y estar al
pendiente de cuando nos presenten “cifras” que realmente son ambiguas, sin
sustento claro o cuya fuente no es especificada.
Suscribirse a:
Entradas (Atom)