Comentarios en: Riesgo humano http://www.securityartwork.es/2010/02/24/riesgo-humano/ Blog de Seguridad de la Información de S2 Grupo Sat, 11 Feb 2012 01:33:51 +0100 http://wordpress.org/?v=2.8.4 hourly 1 Por: keti http://www.securityartwork.es/2010/02/24/riesgo-humano/comment-page-1/#comment-8329 keti Fri, 27 May 2011 19:14:07 +0000 http://www.securityartwork.es/?p=2672#comment-8329 yo kiero otro tipo de informacion aaasssssssssh :@ yo kiero otro tipo de informacion aaasssssssssh :@

]]> Por: d http://www.securityartwork.es/2010/02/24/riesgo-humano/comment-page-1/#comment-8321 d Tue, 24 May 2011 21:57:18 +0000 http://www.securityartwork.es/?p=2672#comment-8321 ddd ddd

]]> Por: Anónimo http://www.securityartwork.es/2010/02/24/riesgo-humano/comment-page-1/#comment-6755 Anónimo Sun, 13 Feb 2011 18:10:18 +0000 http://www.securityartwork.es/?p=2672#comment-6755 esto sirbe paramuchas cosas jajajajaja esto sirbe paramuchas cosas jajajajaja

]]> Por: Antonio Villalon http://www.securityartwork.es/2010/02/24/riesgo-humano/comment-page-1/#comment-3580 Antonio Villalon Wed, 07 Apr 2010 18:32:13 +0000 http://www.securityartwork.es/?p=2672#comment-3580 Hola Sergio Disculpa en primer lugar por tardar tanto en responder :( Contesto -más bien, doy mi opinión- a tus dos cuestiones: 1- No se trata de que los empleados "descubran"; no hemos hablado de ocultar nada, ni mucho menos... si ocultamos la "monitorización", podemos tener problemas... ojo, eso no significa que se publique qué se está analizando y qué no al detalle, simplemente que se informe debidamente y, por supuesto, que se respete la legalidad. Algo tan legal como visitar un perfil de CaraLibro o de LinkedIn puede dar más información de una persona que un análisis médico :) 2- Buena pregunta a la que no tengo una respuesta contundente... si los medios son lícitos -y, por encima de ésto, éticos-, no veo mayor problema... ¿o sí? Anda, hazme cambiar de opinión :) En cualquier caso, ningún modelo de perfiles humanos o similar sustituye a un buen ambiente laboral, a una política efectiva de gestión de personas, a animar a los colaboradores, etc. Igual que monitorizar los ataques no sustituye a parchear los sistemas; son simplemente, complementarios. Saludos! Toni Hola Sergio
Disculpa en primer lugar por tardar tanto en responder :(
Contesto -más bien, doy mi opinión- a tus dos cuestiones:
1- No se trata de que los empleados “descubran”; no hemos hablado de ocultar nada, ni mucho menos… si ocultamos la “monitorización”, podemos tener problemas… ojo, eso no significa que se publique qué se está analizando y qué no al detalle, simplemente que se informe debidamente y, por supuesto, que se respete la legalidad. Algo tan legal como visitar un perfil de CaraLibro o de LinkedIn puede dar más información de una persona que un análisis médico :)
2- Buena pregunta a la que no tengo una respuesta contundente… si los medios son lícitos -y, por encima de ésto, éticos-, no veo mayor problema… ¿o sí? Anda, hazme cambiar de opinión :)
En cualquier caso, ningún modelo de perfiles humanos o similar sustituye a un buen ambiente laboral, a una política efectiva de gestión de personas, a animar a los colaboradores, etc. Igual que monitorizar los ataques no sustituye a parchear los sistemas; son simplemente, complementarios.
Saludos!
Toni

]]> Por: Sergio http://www.securityartwork.es/2010/02/24/riesgo-humano/comment-page-1/#comment-3510 Sergio Wed, 24 Mar 2010 10:17:14 +0000 http://www.securityartwork.es/?p=2672#comment-3510 Hola Toni, Interesante tema, muy interesante. Creo que el lenguaje asusta un poco, casi nos podría llegar a ofender, pero también creo que si pensamos fríamente en esta cuestión, vemos que los objetivos últimos son los mismos que perseguimos cuando montamos un firewall (que nadie se asuste aún y siga leyendo :) y estos objetivos son perfectamente entendibles: Quiero minimizar los riegos en mi organización, vengan de donde vengan. Dos dudas a este "modelo policial": 1. ¿No introduce este modelo un riesgo en si mismo si los empleados "descubren" el percal o parte del percal? ¿Como afecta esto a su relación con la empresa? ¿No les pone más alerta y recelosos y por ende incrementa el riesgo potencial de que "hagan algo que no deben"? 2. ¿El fin justifica los medios? ¿Nos deja esto atados de pies y manos en la "monitorizacion" de los RRHH? (que mal suena ya eso de RRHH por cierto, hablemos mejor de personas, ¿no?) Bueno, pensemos un momento en la gestión moderna de personas y sus técnicas: gestión por valores, gestión del talento, gestión del conocimiento, perfiles de puesto de trabajo, plan de sustitución de personal, planes de formación y motivación, seguimiento "emocional", coherencia salarial, estrategias de comunicación interna, planes de desarrollo interno, etc, etc, etc... ¿Que persigue todo esto? Creo que el fin último de toda esta gestión de personas solapa con el fin último planteado en esta entrada. Tal vez hay aspectos en lo planteado en esta entrada que no quedan cubiertos por la gestión de personas (¿más laxa? tal vez, pero ojito). Aún siendo así, si tenemos en cuenta el olor a "Estado Policial" (y lo que eso implica en la insatisfacción de las personas "vigiladas"), así como las implicaciones legales (al menos en materia de privacidad ya se huelen problemas en el horizonte).... ¿no será mejor para la seguridad y por supuesto para la marcha general de la empresa implementar una moderna y efectiva política de gestión de personas? A dia de hoy yo no tengo dudas, la respuesta es sí. Motiva a tus empleados, se tu el primer ejemplo a seguir, se coherente, explica los por que's siempre que puedas hacerlo, escucha activamente a tus colaboradores, dales ánimos y explicales donde deben mejorar, después vuelve a darles ánimos, formales, etc, etc, etc. Haz todo esto (ahí es ná!) y tendrás una tribu dispuesta a luchar por ti, a defenderte si hace falta; con su manzanas podridas, pero ahora la mitad de manzanas limpias probablemente "vigilará" por ti. Dos pluses a este modelo: primero, a buen seguro, duermes mejor; segundo, por complicado que parezca, es mas viable y, a día de hoy, más efectivo que el "modelo policial". Sí, de acuerdo, seguro que hay organizaciones de alto riesgo (ejercito, policía, organismos con una altísima necesidad de seguridad en su información como el CNI) que requieran algo más que una política moderna de gestión de personas, pero creo que esas organizaciones son las menos con mucha diferencia. Hola Toni,

Interesante tema, muy interesante. Creo que el lenguaje asusta un poco, casi nos podría llegar a ofender, pero también creo que si pensamos fríamente en esta cuestión, vemos que los objetivos últimos son los mismos que perseguimos cuando montamos un firewall (que nadie se asuste aún y siga leyendo :) y estos objetivos son perfectamente entendibles: Quiero minimizar los riegos en mi organización, vengan de donde vengan.

Dos dudas a este “modelo policial”:
1. ¿No introduce este modelo un riesgo en si mismo si los empleados “descubren” el percal o parte del percal? ¿Como afecta esto a su relación con la empresa? ¿No les pone más alerta y recelosos y por ende incrementa el riesgo potencial de que “hagan algo que no deben”?
2. ¿El fin justifica los medios?

¿Nos deja esto atados de pies y manos en la “monitorizacion” de los RRHH? (que mal suena ya eso de RRHH por cierto, hablemos mejor de personas, ¿no?)

Bueno, pensemos un momento en la gestión moderna de personas y sus técnicas: gestión por valores, gestión del talento, gestión del conocimiento, perfiles de puesto de trabajo, plan de sustitución de personal, planes de formación y motivación, seguimiento “emocional”, coherencia salarial, estrategias de comunicación interna, planes de desarrollo interno, etc, etc, etc…

¿Que persigue todo esto? Creo que el fin último de toda esta gestión de personas solapa con el fin último planteado en esta entrada. Tal vez hay aspectos en lo planteado en esta entrada que no quedan cubiertos por la gestión de personas (¿más laxa? tal vez, pero ojito). Aún siendo así, si tenemos en cuenta el olor a “Estado Policial” (y lo que eso implica en la insatisfacción de las personas “vigiladas”), así como las implicaciones legales (al menos en materia de privacidad ya se huelen problemas en el horizonte)…. ¿no será mejor para la seguridad y por supuesto para la marcha general de la empresa implementar una moderna y efectiva política de gestión de personas?

A dia de hoy yo no tengo dudas, la respuesta es sí. Motiva a tus empleados, se tu el primer ejemplo a seguir, se coherente, explica los por que’s siempre que puedas hacerlo, escucha activamente a tus colaboradores, dales ánimos y explicales donde deben mejorar, después vuelve a darles ánimos, formales, etc, etc, etc. Haz todo esto (ahí es ná!) y tendrás una tribu dispuesta a luchar por ti, a defenderte si hace falta; con su manzanas podridas, pero ahora la mitad de manzanas limpias probablemente “vigilará” por ti.

Dos pluses a este modelo: primero, a buen seguro, duermes mejor; segundo, por complicado que parezca, es mas viable y, a día de hoy, más efectivo que el “modelo policial”.

Sí, de acuerdo, seguro que hay organizaciones de alto riesgo (ejercito, policía, organismos con una altísima necesidad de seguridad en su información como el CNI) que requieran algo más que una política moderna de gestión de personas, pero creo que esas organizaciones son las menos con mucha diferencia.

]]> Por: Antonio Villalon http://www.securityartwork.es/2010/02/24/riesgo-humano/comment-page-1/#comment-3343 Antonio Villalon Thu, 25 Feb 2010 13:06:06 +0000 http://www.securityartwork.es/?p=2672#comment-3343 Hola Wiki La idea no es automatizar un perfil humano y en base a eso tomar decisiones "a ciegas", a partir únicamente de los resultados (nada más lejos de la realidad); como casi siempre a la hora de hablar de riesgos, los resultados son una guía que permite luego tomar decisiones... esa guía, ese análisis, te puede hacer sospechar de una persona determinada, por ejemplo, y con esa información -y mucha otra que no es controlable de forma automática, como los comentarios del café- se pueden tomar decisiones. ¿Cuáles? No se trata de detener o despedir a nadie, a priori, pero si yo sospecho de que un empleado puede tener una situación que introduzca riesgos (por ejemplo, una falta de autocontrol) trataré de que esa situación sea lo menos mala posible para todos. ¿Cómo? Pues desde no enviando a esa persona a un cliente, hasta apuntándolo a un curso para potenciar el autocontrol, o simplemente tomándome un café con él y apoyándole... como decía, muchas veces las soluciones más simples son las más efectivas :) Hola Wiki
La idea no es automatizar un perfil humano y en base a eso tomar decisiones “a ciegas”, a partir únicamente de los resultados (nada más lejos de la realidad); como casi siempre a la hora de hablar de riesgos, los resultados son una guía que permite luego tomar decisiones… esa guía, ese análisis, te puede hacer sospechar de una persona determinada, por ejemplo, y con esa información -y mucha otra que no es controlable de forma automática, como los comentarios del café- se pueden tomar decisiones. ¿Cuáles? No se trata de detener o despedir a nadie, a priori, pero si yo sospecho de que un empleado puede tener una situación que introduzca riesgos (por ejemplo, una falta de autocontrol) trataré de que esa situación sea lo menos mala posible para todos. ¿Cómo? Pues desde no enviando a esa persona a un cliente, hasta apuntándolo a un curso para potenciar el autocontrol, o simplemente tomándome un café con él y apoyándole… como decía, muchas veces las soluciones más simples son las más efectivas :)

]]> Por: Wiki http://www.securityartwork.es/2010/02/24/riesgo-humano/comment-page-1/#comment-3342 Wiki Thu, 25 Feb 2010 10:54:34 +0000 http://www.securityartwork.es/?p=2672#comment-3342 automatizar un "perfil ideologico" de las personas que trabajan en una organizacion?? no sera peor el remedio que la enfermedad? y ante sospechas..que medidas tomas? en plan minority report? le detenemos porque el sistema pre-cog indica que usted va a cometer un delito-robo de informacion- destruccion de informacion valiosa...?? automatizar un “perfil ideologico” de las personas que trabajan en una organizacion?? no sera peor el remedio que la enfermedad?

y ante sospechas..que medidas tomas? en plan minority report? le detenemos porque el sistema pre-cog indica que usted va a cometer un delito-robo de informacion- destruccion de informacion valiosa…??

]]> Por: Antonio Villalón http://www.securityartwork.es/2010/02/24/riesgo-humano/comment-page-1/#comment-3333 Antonio Villalón Wed, 24 Feb 2010 17:05:30 +0000 http://www.securityartwork.es/?p=2672#comment-3333 Zankius Edgar :) Saludos T Zankius Edgar :)
Saludos
T

]]> Por: Edgard http://www.securityartwork.es/2010/02/24/riesgo-humano/comment-page-1/#comment-3332 Edgard Wed, 24 Feb 2010 17:04:28 +0000 http://www.securityartwork.es/?p=2672#comment-3332 Toni, aquí lo tienes www.eddasec.com/?p=53 Saludos, Toni,
aquí lo tienes
http://www.eddasec.com/?p=53
Saludos,

]]> Por: Antonio Villalón http://www.securityartwork.es/2010/02/24/riesgo-humano/comment-page-1/#comment-3331 Antonio Villalón Wed, 24 Feb 2010 16:22:50 +0000 http://www.securityartwork.es/?p=2672#comment-3331 Hello Paco Evidentemente no sé si los gobiernos implementan este tipo de controles. Más quisiera yo saber! :) Lo que está claro es que si alguien está haciendo algo, serán justo los gobiernos (militares, inteligencia...), mucho antes que el ámbito civil o de empresa privada; de hecho, el documento referenciado en el post es militar (muy interesante). Saludos Toni Hello Paco
Evidentemente no sé si los gobiernos implementan este tipo de controles. Más quisiera yo saber! :)
Lo que está claro es que si alguien está haciendo algo, serán justo los gobiernos (militares, inteligencia…), mucho antes que el ámbito civil o de empresa privada; de hecho, el documento referenciado en el post es militar (muy interesante).
Saludos
Toni

]]>