martes, 5 de mayo de 2020

Técnica para redactar correos

Empieza con la conclusión. En una frase o máximo 3 oraciones debes de incluir "toda" la información que necesita el destinatario, sobre todo si es un directivo que recibe decenas de correos por día (¿o cientos?), apreciará saber lo importante de tu correo a las de ya.

También es útil cuando quieres un dato de alguien y así evitar que tenga que leer todo el mensaje para que desentierre lo que le estás solicitando.

Asume que el destinatario no seguirá leyendo tu correo si ya le dijiste lo que necesita saber.

Como es posible que el destinatario solo lea las primeras líneas de tu mensaje, asegúrate de que escribes con claridad; no "cifres" la información de tal manera que sea necesario leer varias veces lo que intentas decir, mira: 
  • No debemos incumplir la negativa de la decisión de no seguir con la recomendación...
Lee todo varias veces, evita el error de escribir y mandar. Redacta y regresa a leer lo que estás diciendo; ajusta lo que debas. Elimina palabras o expresiones innecesarias:
  • Más sin en cambio.
  • Ahora bien.
  • De nueva cuenta vuelvo a enfatizar la importancia.
  • Actualmente el estado al día de hoy.

Después de esa introducción donde expresaste todo lo que debes de decir, entonces ya puedes hablar de los detalles del correo en caso de que el lector tenga interés/tiempo en seguir adelante con tu mensaje.

A continuación algunos ejemplos de cómo iniciar el correo en el entendido de que después vendrían los detalles:

Ejemplo 1 (te hacen una pregunta).
No, no di el visto bueno. La decisión de no habilitar esa característica en Windows la tomó él, y ni yo ni  mi equipo de trabajo le dimos un visto bueno ni nada que se le parezca.

Ejemplo 2 (necesitas algo)
Buen día, necesito de favor conocer la cantidad de nuevos empleados que tendrá tu área el siguiente año para yo poder presupuestarles licencias de antivirus. De no recibir respuesta para el 20 de abril, asumiré que no tendrás nuevos empleados y por lo tanto no requieres más licencias. 

Ejemplo 3.
El reporte del escaneo adjunto lista 7 debiliades críticas que debes de solucionar aplicando parches en máximo 3 días hábiles.

Ejemplo 4 (mandaron correo a varios destinatarios y de ti solamente piden un punto e informas a tu superior).
Me piden el VoBo para que un servidor tenga acceso a internet, revisé la solicitud y estoy de acuerdo; si tú también entonces así responderé. La petición de acceso es puntual a ciertos sitios y cumple con el resto de lo que dicta la política de seguridad.

lunes, 4 de mayo de 2020

Balance de seguridad y requerimientos de negocio

Si no tienes claridad en qué requiere el negocio para operar, está difícil que definas la seguridad requerida porque no sabes exactamente lo que hay que proteger. Hasta aquí es algo obvio.

También necesitas saber qué va a pasar "arriba de los fierros", para entender al negocio y no solo estar protegiendo bits y bytes sin saber qué está pasando "arriba". De otra forma puedes proteger de más o al contrario: de menos.

Así pues, el primer paso es que se tenga una definición de lo que un área de negocio necesita para que una TI le funcione, y ya luego el área de seguridad puede evaluar ese requerimiento y definir los controles de seguridad para proteger esa nueva infraestructura tomando en cuenta diversos factores como riesgo, políticas internas y cumplimiento de un tercero, controles existentes, etc.

Al final hay que tener un balance entre el requerimiento de negocio y la seguridad definida, y ante un choque entre ambos mundos, tener identificado a alguien o un área que asuma el riesgo por tener algo que le funcione al negocio con baja seguridad, o un esquema que no cumple al 100 con los requerimientos del negocio pero con una seguridad adecuada.