Las ciencias duras y blandas en Seguridad de la Informacion
¿Porque se piensa exclusivamente en perfiles técnicos cuando se habla de seguridad?
Imaginemos que le entregamos la responsabilidad de diseñar un paso a nivel de trenes a un especialista de Seguridad Informática .Seguramente propondrá las mejores tecnologías: barreras automáticas, señales previas con alarmas, doble cableado hasta los sensores de aproximación del tren, y hasta dos guardabarreras por turno por si uno de ellos se queda dormido.
Pero nada evitará el indefectible accidente: Un vehiculo tratará de adelantarse a la bajada de la barrera o eludirá a esta por un costado e inevitablemente será arrollado por el tren...
Porque decimos esto?
Porque se tomaron en cuenta todas las medidas tecnológicas y es posible aun que se hayan desarrollado las mas férreas metodologías de trabajo, pero la condición humana terminó generando la catástrofe. El componente "individuo" y su comportamiento destrozó todas las previsiones.
Esto ocurre permanentemente en el manejo de la Seguridad de la Información. Multiplicamos los esfuerzos, enfocamos nuestra visión, y por sobre todas las cosas, gastamos todo nuestro presupuesto en las maravillas tecnológicas que nos permitirán "estar" seguros.
Y sin embargo los incidentes ocurren. Porque menospreciamos la habilidad de nuestros usuarios y visitantes de vulnerar nuestras previsiones. Sobre todo a partir de la naturaleza "inquisitiva" de las personas que utilizan las tecnologías informáticas.
Si en EEUU usted le dice al usuario que solo debe clickear la tecla Enter, eso es lo que siempre hará, aunque nada funcione. En nuestras tierras, muchos probaran utilizar cualquier otra función, solo para ver "que hace", y ni hablar si la opción indicada no funciona...
Otro ejemplo clave son las enseñanzas del 11 de Setiembre del 2001. Miles de norteamericanos murieron por respetar las normas, ya que por todos los medios posibles, durante largo tiempo se explicó a los ocupantes de las torres que permanecieran en sus puestos de trabajo porque todo era seguro y las normas decían que debían esperar a que vinieran a rescatarlos.
Si un acontecimiento similar se hubiera producido en algún país de Latinoamérica, los únicos muertos adicionales al impacto de los aviones hubieran sido los ocasionados por las avalanchas en las escaleras...
De allí entonces que nuestra preocupación fundamental es alertar acerca de la equivocación de concentrar nuestros esfuerzos solo en la gestión de la ciencias "duras" olvidando las "blandas".
La Seguridad de la Información sigue teniendo una parte importante de visión tecnológica tanto en su campo de acción como en sus instrumentos, pero cada vez toman mas preponderancia los aspectos que incluyen a las personas y su comportamiento desde todo punto de vista.
Es por eso que insistimos en que la caracterización del especialista de Seguridad de la Información como una extensión de las habilidades de un técnico en Infraestructura Tecnológica recorta fuertemente las capacidades de gestión adecuada de la seguridad en toda la organización.
Es probable que la evolución de los temas obligue a tener mas de un rol para todos los temas, ya que habitualmente solemos ser univalentes y un perfil "blando" desconoce lo técnico y viceversa. Tal vez la solución llegue por vía de las ayudas externas, pero es mandatorio incorporar este enfoque para responder adecuadamente a los desafíos de esta ciencia.
Fuente: Seccuracy
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!