tag:blogger.com,1999:blog-6843244.post2090788139016082214..comments2023-09-26T16:39:30.097+02:00Comments on Gobierno de la ciberseguridad: El negocio de las fugas de información: el caso Renault.Javier Cao Avellanedahttp://www.blogger.com/profile/09736963835602147031noreply@blogger.comBlogger5125tag:blogger.com,1999:blog-6843244.post-84641859263685884362011-01-10T15:19:12.963+01:002011-01-10T15:19:12.963+01:00Estoy de acuerdo con lo que comentáis, no obstante...Estoy de acuerdo con lo que comentáis, no obstante en el caso BP la seguridad ha sido otra excusa más (se ha revisado la seguridad del resto de plataformas? NO).Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-6843244.post-29817724637984702742011-01-10T15:10:04.730+01:002011-01-10T15:10:04.730+01:00Para este caso, creo que mejor me remito al post s...Para este caso, creo que mejor me remito al post sobre la <a href="http://secugest.blogspot.com/2010/09/cuestion-de-confianza.html" rel="nofollow">confianza en el personal privilegiado</a>... ampliando las consideraciones a los directivos, que no dejan de ser otro tipo de personal privilegiado.Joseba Enjutohttps://www.blogger.com/profile/18377573571989848760noreply@blogger.comtag:blogger.com,1999:blog-6843244.post-967791570274095442011-01-08T12:36:35.725+01:002011-01-08T12:36:35.725+01:00Si, estoy completamente de acuerdo contigo. No se ...Si, estoy completamente de acuerdo contigo. No se si es problema de la cultura de nuestro país pero aquí eso de que "Cuando veas las barbas de tu vecino pelar, pon las tuyas a remojar" se aplica poco. Se aprende a base de incidentes y aun con eso, a veces cuesta justificar el por qué de algunas de las medidas de seguridad.<br /><br />El problema del ROSI es cómo valorar posibles impactos de hechos o eventos que no han sucedido. Comparto contigo que siempre la prevención será más barata que la recuperación de un incidente, pero cuando te basas en supuestos, nunca puedes estimar cuales serían los peores daños. Tenemos un ejemplo claro con el incidente de BP en el Golfo de México. El ahorro de costes en las medidas de seguridad parece que ha sido una de las causas de un incidente que va a costar reparar como mil veces más de lo que hayan podido ahorrarse al relajar o abaratar las medidas. La cuestión es que nadie puede imaginar con caracter previo qué consecuencias tiene abaratar costes en seguridad y si el responsable pinta el peor de los escenarios, puede que acaben llamándolo paranóico o catastrofísta. Por eso es complejo eso de medir el ROSI aunque es cierto que es la única fórmula que puede acabar entendiendo la Dirección. La decisión respecto a cuanto me cuesta evitarlo frente a cuanto cuesta reparar daños.Javier Cao Avellanedahttps://www.blogger.com/profile/09736963835602147031noreply@blogger.comtag:blogger.com,1999:blog-6843244.post-46223948745114077622011-01-08T11:54:46.503+01:002011-01-08T11:54:46.503+01:00Tienes toda la razón del mundo. Seguramente Renaul...Tienes toda la razón del mundo. Seguramente Renault no debe ser un caso de falta de implantación de medidas de seguridad, sino más bien todo lo contrario. Pero si al final, aquellos que son los encargados de ordenar su implantación, son los primeros en incumplirlas y robar la información, poco o nada se puede hacer al respecto. Siempre llegará un punto en el que por muchos medios que pongamos, dependeremos única y exclusivamente de la lealtad del trabajador y su ética, por muchos contratos de confidencialidad que les hagamos firmar. El factor humano, por mucho que se digitalize la sociedad, seguirá existiendo y la tentación siempre estará ahí si alguien te pone el caramelo.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-6843244.post-32106541961796286102011-01-08T11:07:45.861+01:002011-01-08T11:07:45.861+01:00El robo de información confidencial está a la orde...El robo de información confidencial está a la orden del día. Cuando realizo consultoría o auditoría me doy cuenta de un fenómeno curioso pero totalmente lógico: cuando una empresa ha sufrido un determinado incidente de seguridad, aplica las medidas correctivas necesarias para que no se repita. Si una empresa no ha sufrido un determinado incidente de seguridad, piensa que es muy improbable que suceda y que no es rentable aplicar medidas preventivas.<br /><br />Es poco habitual que una empresa anuncie que ha sufrido un robo de información confidencial, de información propia o de sus clientes, por lo que las empresas que no han sufrido un incidente de este tipo piensa que es improbable que les pase a ellas.<br /><br />Con las medidas de seguridad oportunas, tal como comentas, podrían reducir el riesgo hasta un nivel más adecuado.<br /><br />Estoy de acuerdo en parte con que el trabajo en seguridad informática, especialmente ser el responsable de seguridad, puede ser una tarea desagradecida pero creo que un trabajo bien hecho siempre es reconocible, que las métricas e indicadores son un punto de apoyo fundamental, que el ROSI (retorno de la inversión en seguridad) aunque muy abstracto puede ser útil en ocasiones y en todo caso los conceptos de riesgo, reducción y aceptación de riesgo residual deben ser algo asimilado por Dirección.Florencio Canohttp://www.seinhe.comnoreply@blogger.com