Comentarios en: Riesgo humano http://www.securityartwork.es/2010/02/24/riesgo-humano/ Blog de Seguridad de la Información de S2 Grupo Thu, 09 Sep 2010 21:33:50 +0200 http://wordpress.org/?v=2.8.4 hourly 1 Por: Antonio Villalon http://www.securityartwork.es/2010/02/24/riesgo-humano/comment-page-1/#comment-3580 Antonio Villalon Wed, 07 Apr 2010 18:32:13 +0000 http://www.securityartwork.es/?p=2672#comment-3580 Hola Sergio Disculpa en primer lugar por tardar tanto en responder :( Contesto -más bien, doy mi opinión- a tus dos cuestiones: 1- No se trata de que los empleados "descubran"; no hemos hablado de ocultar nada, ni mucho menos... si ocultamos la "monitorización", podemos tener problemas... ojo, eso no significa que se publique qué se está analizando y qué no al detalle, simplemente que se informe debidamente y, por supuesto, que se respete la legalidad. Algo tan legal como visitar un perfil de CaraLibro o de LinkedIn puede dar más información de una persona que un análisis médico :) 2- Buena pregunta a la que no tengo una respuesta contundente... si los medios son lícitos -y, por encima de ésto, éticos-, no veo mayor problema... ¿o sí? Anda, hazme cambiar de opinión :) En cualquier caso, ningún modelo de perfiles humanos o similar sustituye a un buen ambiente laboral, a una política efectiva de gestión de personas, a animar a los colaboradores, etc. Igual que monitorizar los ataques no sustituye a parchear los sistemas; son simplemente, complementarios. Saludos! Toni Hola Sergio
Disculpa en primer lugar por tardar tanto en responder :(
Contesto -más bien, doy mi opinión- a tus dos cuestiones:
1- No se trata de que los empleados “descubran”; no hemos hablado de ocultar nada, ni mucho menos… si ocultamos la “monitorización”, podemos tener problemas… ojo, eso no significa que se publique qué se está analizando y qué no al detalle, simplemente que se informe debidamente y, por supuesto, que se respete la legalidad. Algo tan legal como visitar un perfil de CaraLibro o de LinkedIn puede dar más información de una persona que un análisis médico :)
2- Buena pregunta a la que no tengo una respuesta contundente… si los medios son lícitos -y, por encima de ésto, éticos-, no veo mayor problema… ¿o sí? Anda, hazme cambiar de opinión :)
En cualquier caso, ningún modelo de perfiles humanos o similar sustituye a un buen ambiente laboral, a una política efectiva de gestión de personas, a animar a los colaboradores, etc. Igual que monitorizar los ataques no sustituye a parchear los sistemas; son simplemente, complementarios.
Saludos!
Toni

]]> Por: Sergio http://www.securityartwork.es/2010/02/24/riesgo-humano/comment-page-1/#comment-3510 Sergio Wed, 24 Mar 2010 10:17:14 +0000 http://www.securityartwork.es/?p=2672#comment-3510 Hola Toni, Interesante tema, muy interesante. Creo que el lenguaje asusta un poco, casi nos podría llegar a ofender, pero también creo que si pensamos fríamente en esta cuestión, vemos que los objetivos últimos son los mismos que perseguimos cuando montamos un firewall (que nadie se asuste aún y siga leyendo :) y estos objetivos son perfectamente entendibles: Quiero minimizar los riegos en mi organización, vengan de donde vengan. Dos dudas a este "modelo policial": 1. ¿No introduce este modelo un riesgo en si mismo si los empleados "descubren" el percal o parte del percal? ¿Como afecta esto a su relación con la empresa? ¿No les pone más alerta y recelosos y por ende incrementa el riesgo potencial de que "hagan algo que no deben"? 2. ¿El fin justifica los medios? ¿Nos deja esto atados de pies y manos en la "monitorizacion" de los RRHH? (que mal suena ya eso de RRHH por cierto, hablemos mejor de personas, ¿no?) Bueno, pensemos un momento en la gestión moderna de personas y sus técnicas: gestión por valores, gestión del talento, gestión del conocimiento, perfiles de puesto de trabajo, plan de sustitución de personal, planes de formación y motivación, seguimiento "emocional", coherencia salarial, estrategias de comunicación interna, planes de desarrollo interno, etc, etc, etc... ¿Que persigue todo esto? Creo que el fin último de toda esta gestión de personas solapa con el fin último planteado en esta entrada. Tal vez hay aspectos en lo planteado en esta entrada que no quedan cubiertos por la gestión de personas (¿más laxa? tal vez, pero ojito). Aún siendo así, si tenemos en cuenta el olor a "Estado Policial" (y lo que eso implica en la insatisfacción de las personas "vigiladas"), así como las implicaciones legales (al menos en materia de privacidad ya se huelen problemas en el horizonte).... ¿no será mejor para la seguridad y por supuesto para la marcha general de la empresa implementar una moderna y efectiva política de gestión de personas? A dia de hoy yo no tengo dudas, la respuesta es sí. Motiva a tus empleados, se tu el primer ejemplo a seguir, se coherente, explica los por que's siempre que puedas hacerlo, escucha activamente a tus colaboradores, dales ánimos y explicales donde deben mejorar, después vuelve a darles ánimos, formales, etc, etc, etc. Haz todo esto (ahí es ná!) y tendrás una tribu dispuesta a luchar por ti, a defenderte si hace falta; con su manzanas podridas, pero ahora la mitad de manzanas limpias probablemente "vigilará" por ti. Dos pluses a este modelo: primero, a buen seguro, duermes mejor; segundo, por complicado que parezca, es mas viable y, a día de hoy, más efectivo que el "modelo policial". Sí, de acuerdo, seguro que hay organizaciones de alto riesgo (ejercito, policía, organismos con una altísima necesidad de seguridad en su información como el CNI) que requieran algo más que una política moderna de gestión de personas, pero creo que esas organizaciones son las menos con mucha diferencia. Hola Toni,

Interesante tema, muy interesante. Creo que el lenguaje asusta un poco, casi nos podría llegar a ofender, pero también creo que si pensamos fríamente en esta cuestión, vemos que los objetivos últimos son los mismos que perseguimos cuando montamos un firewall (que nadie se asuste aún y siga leyendo :) y estos objetivos son perfectamente entendibles: Quiero minimizar los riegos en mi organización, vengan de donde vengan.

Dos dudas a este “modelo policial”:
1. ¿No introduce este modelo un riesgo en si mismo si los empleados “descubren” el percal o parte del percal? ¿Como afecta esto a su relación con la empresa? ¿No les pone más alerta y recelosos y por ende incrementa el riesgo potencial de que “hagan algo que no deben”?
2. ¿El fin justifica los medios?

¿Nos deja esto atados de pies y manos en la “monitorizacion” de los RRHH? (que mal suena ya eso de RRHH por cierto, hablemos mejor de personas, ¿no?)

Bueno, pensemos un momento en la gestión moderna de personas y sus técnicas: gestión por valores, gestión del talento, gestión del conocimiento, perfiles de puesto de trabajo, plan de sustitución de personal, planes de formación y motivación, seguimiento “emocional”, coherencia salarial, estrategias de comunicación interna, planes de desarrollo interno, etc, etc, etc…

¿Que persigue todo esto? Creo que el fin último de toda esta gestión de personas solapa con el fin último planteado en esta entrada. Tal vez hay aspectos en lo planteado en esta entrada que no quedan cubiertos por la gestión de personas (¿más laxa? tal vez, pero ojito). Aún siendo así, si tenemos en cuenta el olor a “Estado Policial” (y lo que eso implica en la insatisfacción de las personas “vigiladas”), así como las implicaciones legales (al menos en materia de privacidad ya se huelen problemas en el horizonte)…. ¿no será mejor para la seguridad y por supuesto para la marcha general de la empresa implementar una moderna y efectiva política de gestión de personas?

A dia de hoy yo no tengo dudas, la respuesta es sí. Motiva a tus empleados, se tu el primer ejemplo a seguir, se coherente, explica los por que’s siempre que puedas hacerlo, escucha activamente a tus colaboradores, dales ánimos y explicales donde deben mejorar, después vuelve a darles ánimos, formales, etc, etc, etc. Haz todo esto (ahí es ná!) y tendrás una tribu dispuesta a luchar por ti, a defenderte si hace falta; con su manzanas podridas, pero ahora la mitad de manzanas limpias probablemente “vigilará” por ti.

Dos pluses a este modelo: primero, a buen seguro, duermes mejor; segundo, por complicado que parezca, es mas viable y, a día de hoy, más efectivo que el “modelo policial”.

Sí, de acuerdo, seguro que hay organizaciones de alto riesgo (ejercito, policía, organismos con una altísima necesidad de seguridad en su información como el CNI) que requieran algo más que una política moderna de gestión de personas, pero creo que esas organizaciones son las menos con mucha diferencia.

]]> Por: Antonio Villalon http://www.securityartwork.es/2010/02/24/riesgo-humano/comment-page-1/#comment-3343 Antonio Villalon Thu, 25 Feb 2010 13:06:06 +0000 http://www.securityartwork.es/?p=2672#comment-3343 Hola Wiki La idea no es automatizar un perfil humano y en base a eso tomar decisiones "a ciegas", a partir únicamente de los resultados (nada más lejos de la realidad); como casi siempre a la hora de hablar de riesgos, los resultados son una guía que permite luego tomar decisiones... esa guía, ese análisis, te puede hacer sospechar de una persona determinada, por ejemplo, y con esa información -y mucha otra que no es controlable de forma automática, como los comentarios del café- se pueden tomar decisiones. ¿Cuáles? No se trata de detener o despedir a nadie, a priori, pero si yo sospecho de que un empleado puede tener una situación que introduzca riesgos (por ejemplo, una falta de autocontrol) trataré de que esa situación sea lo menos mala posible para todos. ¿Cómo? Pues desde no enviando a esa persona a un cliente, hasta apuntándolo a un curso para potenciar el autocontrol, o simplemente tomándome un café con él y apoyándole... como decía, muchas veces las soluciones más simples son las más efectivas :) Hola Wiki
La idea no es automatizar un perfil humano y en base a eso tomar decisiones “a ciegas”, a partir únicamente de los resultados (nada más lejos de la realidad); como casi siempre a la hora de hablar de riesgos, los resultados son una guía que permite luego tomar decisiones… esa guía, ese análisis, te puede hacer sospechar de una persona determinada, por ejemplo, y con esa información -y mucha otra que no es controlable de forma automática, como los comentarios del café- se pueden tomar decisiones. ¿Cuáles? No se trata de detener o despedir a nadie, a priori, pero si yo sospecho de que un empleado puede tener una situación que introduzca riesgos (por ejemplo, una falta de autocontrol) trataré de que esa situación sea lo menos mala posible para todos. ¿Cómo? Pues desde no enviando a esa persona a un cliente, hasta apuntándolo a un curso para potenciar el autocontrol, o simplemente tomándome un café con él y apoyándole… como decía, muchas veces las soluciones más simples son las más efectivas :)

]]> Por: Wiki http://www.securityartwork.es/2010/02/24/riesgo-humano/comment-page-1/#comment-3342 Wiki Thu, 25 Feb 2010 10:54:34 +0000 http://www.securityartwork.es/?p=2672#comment-3342 automatizar un "perfil ideologico" de las personas que trabajan en una organizacion?? no sera peor el remedio que la enfermedad? y ante sospechas..que medidas tomas? en plan minority report? le detenemos porque el sistema pre-cog indica que usted va a cometer un delito-robo de informacion- destruccion de informacion valiosa...?? automatizar un “perfil ideologico” de las personas que trabajan en una organizacion?? no sera peor el remedio que la enfermedad?

y ante sospechas..que medidas tomas? en plan minority report? le detenemos porque el sistema pre-cog indica que usted va a cometer un delito-robo de informacion- destruccion de informacion valiosa…??

]]> Por: Antonio Villalón http://www.securityartwork.es/2010/02/24/riesgo-humano/comment-page-1/#comment-3333 Antonio Villalón Wed, 24 Feb 2010 17:05:30 +0000 http://www.securityartwork.es/?p=2672#comment-3333 Zankius Edgar :) Saludos T Zankius Edgar :)
Saludos
T

]]> Por: Edgard http://www.securityartwork.es/2010/02/24/riesgo-humano/comment-page-1/#comment-3332 Edgard Wed, 24 Feb 2010 17:04:28 +0000 http://www.securityartwork.es/?p=2672#comment-3332 Toni, aquí lo tienes www.eddasec.com/?p=53 Saludos, Toni,
aquí lo tienes
http://www.eddasec.com/?p=53
Saludos,

]]> Por: Antonio Villalón http://www.securityartwork.es/2010/02/24/riesgo-humano/comment-page-1/#comment-3331 Antonio Villalón Wed, 24 Feb 2010 16:22:50 +0000 http://www.securityartwork.es/?p=2672#comment-3331 Hello Paco Evidentemente no sé si los gobiernos implementan este tipo de controles. Más quisiera yo saber! :) Lo que está claro es que si alguien está haciendo algo, serán justo los gobiernos (militares, inteligencia...), mucho antes que el ámbito civil o de empresa privada; de hecho, el documento referenciado en el post es militar (muy interesante). Saludos Toni Hello Paco
Evidentemente no sé si los gobiernos implementan este tipo de controles. Más quisiera yo saber! :)
Lo que está claro es que si alguien está haciendo algo, serán justo los gobiernos (militares, inteligencia…), mucho antes que el ámbito civil o de empresa privada; de hecho, el documento referenciado en el post es militar (muy interesante).
Saludos
Toni

]]> Por: Antonio Villalón http://www.securityartwork.es/2010/02/24/riesgo-humano/comment-page-1/#comment-3330 Antonio Villalón Wed, 24 Feb 2010 16:20:27 +0000 http://www.securityartwork.es/?p=2672#comment-3330 Hola Edgar Gracias por la aportación; revisaré los números de SIC para leer el artículo con detalle. Estamos de acuerdo en que modelar el comportamiento humano al 100% es imposible (y mucho más, anticipar hechos); el objetivo suele ser una primera aproximación, algo que nos permita tomar decisiones -equivocadas o no- o fijarnos con más atención en alguien o algo spsoechoso. En cuanto a temas legales... eso da no para un post, sino para una serie completa!! Saludos Toni Hola Edgar
Gracias por la aportación; revisaré los números de SIC para leer el artículo con detalle.
Estamos de acuerdo en que modelar el comportamiento humano al 100% es imposible (y mucho más, anticipar hechos); el objetivo suele ser una primera aproximación, algo que nos permita tomar decisiones -equivocadas o no- o fijarnos con más atención en alguien o algo spsoechoso.
En cuanto a temas legales… eso da no para un post, sino para una serie completa!!
Saludos
Toni

]]> Por: Francisco Benet http://www.securityartwork.es/2010/02/24/riesgo-humano/comment-page-1/#comment-3329 Francisco Benet Wed, 24 Feb 2010 15:39:22 +0000 http://www.securityartwork.es/?p=2672#comment-3329 Toni, volviendo al tema, y despues de un flash mental que he tenido, en este aspecto me parece que son los gobiernos (inteligencia) donde este aspecto puede ser el más crítico, no es que la bolsa no sea crítico pero es diferente. Me refiero al comportamiento del personal que tiene acceso a información crítica, libros como el Manifiesto Negro o la película 'la lista' me recuerdan la fragilidad del ser humano en cuanto se le pone delante una zanahoría bien grande. ¿sabes si los gobiernos implementan controles adicionales a los técnicos relacionados con el cambio de comportamiento y demás aspectos? Si bien se supone que la contra-inteligencia puede hacer esto tengo más que curiosidad por saber hasta que punto estamos llegando, por que imaginar hasta que punto llegaremos es imposible, Toni,

volviendo al tema, y despues de un flash mental que he tenido, en este aspecto me parece que son los gobiernos (inteligencia) donde este aspecto puede ser el más crítico, no es que la bolsa no sea crítico pero es diferente. Me refiero al comportamiento del personal que tiene acceso a información crítica, libros como el Manifiesto Negro o la película ‘la lista’ me recuerdan la fragilidad del ser humano en cuanto se le pone delante una zanahoría bien grande.

¿sabes si los gobiernos implementan controles adicionales a los técnicos relacionados con el cambio de comportamiento y demás aspectos? Si bien se supone que la contra-inteligencia puede hacer esto tengo más que curiosidad por saber hasta que punto estamos llegando, por que imaginar hasta que punto llegaremos es imposible,

]]> Por: Edgard http://www.securityartwork.es/2010/02/24/riesgo-humano/comment-page-1/#comment-3328 Edgard Wed, 24 Feb 2010 13:09:53 +0000 http://www.securityartwork.es/?p=2672#comment-3328 Muy interesante. De hecho el artículo que publicamos en la revista SIC iba, con ciertas particularidades, orientado a mitigar/evitar los riesgos humanos. Desde luego prever, predecir, anticipar, etc. el comportamiento humano es algo bastante complicado por no decir imposible. De hecho han habido y hay líneas de investigación en psicología que intentan simular el comportamiento humano desde una perspectiva computacional (ver Herbert Simon, Alan Newell, Ulric Neisser, ......). No obstante, hay tantos aspectos, situaciones, etc. a considerar que a excepción de algunas situaciones controladas y limitadas es algo completamente inabordable (al menos a día de hoy). En esencia creo que la solución pasa por el propio usuario. Visto desde fuera hay poco que hacer. El objetivo a alcanzar es que el usuario interiorice, tome consciencia, etc. de sus propias conductas y actúe en consecuencia. También, como ha comentado Manuel en el primer comentario, habría mucho que decir sobre temas legales relativos a la privacidad de las personas. Una cosa es registrar la actividad del usuario (logs y poco más) y otra obtener "perfiles psicológicos" de esa actividad..... suena a ciencia-ficción pero ya hay cosas por ahí que se parecen........ hablemos dentro unos añitos ;-) Muy interesante. De hecho el artículo que publicamos en la revista SIC iba, con ciertas particularidades, orientado a mitigar/evitar los riesgos humanos. Desde luego prever, predecir, anticipar, etc. el comportamiento humano es algo bastante complicado por no decir imposible. De hecho han habido y hay líneas de investigación en psicología que intentan simular el comportamiento humano desde una perspectiva computacional (ver Herbert Simon, Alan Newell, Ulric Neisser, ……). No obstante, hay tantos aspectos, situaciones, etc. a considerar que a excepción de algunas situaciones controladas y limitadas es algo completamente inabordable (al menos a día de hoy).

En esencia creo que la solución pasa por el propio usuario. Visto desde fuera hay poco que hacer. El objetivo a alcanzar es que el usuario interiorice, tome consciencia, etc. de sus propias conductas y actúe en consecuencia.

También, como ha comentado Manuel en el primer comentario, habría mucho que decir sobre temas legales relativos a la privacidad de las personas. Una cosa es registrar la actividad del usuario (logs y poco más) y otra obtener “perfiles psicológicos” de esa actividad….. suena a ciencia-ficción pero ya hay cosas por ahí que se parecen…….. hablemos dentro unos añitos ;-)

]]>