, 7 octubre 2010 | Imprime

Aquellos que me conocen saben que hace aproximadamente cuatro meses comencé un curso de escalada, en concreto de la modalidad denominada “deportiva” (que es a la que me referiré el resto de la entrada, aunque en gran parte es aplicable a la clásica), casi por curiosidad, y aquello ha desembocado en lo que es sin duda mi principal afición hoy en día. La cuestión es que no se me ocurren muchos ámbitos en los que la seguridad tenga un componente tan importante, tanto en material, como en técnicas; es tan importante que el arnés esté en perfecto estado como saber cómo montar una reunión a 250 m. de altura. Como casi cualquier actividad, la escalada tiene sus riesgos intrínsecos, derivados de desprendimientos de rocas, una mala caída, material defectuoso,o el simple azar que hace que la cuerda vaya por un lado y no por otro; no por nada cualquier material de escalada trae una leyenda que advierte de los peligros mortales de la actividad.

Uno de los temas más importantes y costosos en la escalada (y en el montañismo en general) es el material. Mientras que para jugar al baloncesto el material deportivo puede ser más o menos importante, para la escalada es algo vital, literalmente, y eso se paga: una cuerda en mal estado puede dar con tus huesos en el suelo, y pueden imaginarse que lo siguiente es organizar el funeral. Por ello, todo el material de escalada tiene que pasar una serie de normas de seguridad ISO, que comprueban la resistencia del elemento y certifican que el material es adecuado para dicha actividad; luego, cada cual que lo utilice bajo su responsabilidad. En cierto modo, es similar a nuestro sector: una hoja Excel sirve para lo que sirve, y no es válida (en general) para gestionar datos de salud de un centro médico; no obstante, eso queda a discreción de la empresa, que deberá asumir la responsabilidad si se enfrenta a una inspección de la AEPD o a una pérdida de datos.

Como en la seguridad a la que probablemente usted esté acostumbrado, en este contexto también existe una dura riña entre la “funcionalidad”, representada principal pero no únicamente por el peso, y la seguridad; podríamos hacer cuerdas que fuesen capaces de aguantar la caída de un coche, pero su peso supondría una dificultad añadida e innecesaria que no quieres tener cuando estás escalando. En el otro extremo, subir con una cuerda de 5 mm que apenas aguante 5 Kn es lo más cómodo después de subir en libre, pero no muy recomendable si aprecias tu vida en algo. La idea, como en cualquier otro ámbito, es conseguir la mayor funcionalidad posible, con las mayores garantías de seguridad (más Kn, más caídas de nivel 2, más resistencia, etc.).

Dicho esto, la cantidad de material que se utiliza en escalada susceptible de deteriorarse y cuya degradación conlleva un gran peligro es muy grande: mosquetones de seguridad (HMS), cuerdas, arneses , cintas express (véase la imagen), etc. Lo cierto es que aunque uno preste atención al material, es imposible asegurar que todo él se encuentra en perfecto estado; es difícil llevar la cuenta del número de caídas que se han tenido, o de la fuerza de una caída. Debido a ello, el material de escalada tiene fecha de caducidad aproximada: aunque no hayamos utilizado apenas una cinta express, su uso no está recomendado más allá del tercer o cuarto año, y si el uso ha sido intensivo, este periodo puede reducirse de manera importante. Algunos fabricantes incluso indican la fecha de fabricación, de manera que uno puede saber cuánto tiempo hace que la cuerda se manufacturó.

Por supuesto, todas estas recomendaciones vienen directamente dadas por el fabricante. Sin embargo, algunas voces del mundo de la escalada critican que esta política se deriva no siempre de una situación real de riesgo, sino del interés económico de las compañías; nadie puede negar que el negocio del miedo es algo muy lucrativo. Recuerdo haber leído que Petzl había realizado pruebas de resistencia sobre algunos arneses con muchos más años de los recomendados, y los resultados fueron muy superiores a lo esperado, manteniéndose dentro de los parámetros aceptables.

Tras esta breve pero interesante (no me lo negarán) introducción, llega la aplicación a nuestro sector, en la que aunque somos juez y parte, haré más de juez que de parte. Por tanto, déjenme, sin perder el hecho de que S2 Grupo es una empresa de seguridad, plantearlo desde una perspectiva externa: ¿hasta qué punto podemos decir que las compañías de seguridad, informática en este caso, se parecen a las empresas de material de escalada en lo que les comentaba? ¿Son necesarios todos los sistemas, aplicaciones, estructuras y personal implicado en la gestión de la seguridad? Ya sea el desarrollo de un Plan de Continuidad de Negocio, un programa antivirus o antispyware, la adaptación a la LOPD, los sistemas cortafuegos software o hardware, la implantación de SGSIs, la monitorización de infraestructuras o la formación de los trabajadores ¿Está el negocio de la seguridad alimentado en parte y de manera intencionada por falsas amenazas? ¿Exageran las empresas los riesgos de seguridad a los que las organizaciones están expuestos? Visto de otra forma, ¿somos presa de organizaciones paranoicas que ven incendios, virus, intrusiones y criminales hasta en la taza del váter? ¿Es Internet realmente tan insegura? ¿Nos estamos volviendo todos locos?

O por el contrario, ¿están las empresas de seguridad en lo cierto, y en realidad sólo hemos visto la punta del iceberg de lo que se avecina? ¿Son los ataques de denegación de servicio, o los robos de información confidencial y personal no sólo algo mucho más habitual de lo que suponemos, sino también más serio? ¿Nos estamos preparando correctamente para las actividades de redes de criminales que operan, gracias a Internet, de manera global? ¿Estamos olvidando con demasiada facilidad la importancia, capacidad y habilidades de miles de usuarios malintencionados repartidos por el globo, a menudo sin un control legislativo nacional que limite e impida sus actividades? ¿Tenemos en cuenta los intereses geopolíticos que se juegan en Internet las grandes potencias? ¿Ignoramos demasiado a menudo las consecuencias de conectar un sistema a Internet, potenciando la funcionalidad sobre la seguridad? Dicho de otra forma, y volviendo a la analogía con la escalada, ¿hasta qué punto nos la estamos “jugando”?

Más allá de los comentarios que puedan dejar a continuación (que espero que sean muchos), ¿cual es su opinión al respecto?

Las empresas de seguridad ...

  • ... exageran intencionadamente las amenazas y los riesgos con un propósito lucrativo. (34%, 30 Votos)
  • ... se quedan cortas al alertar de las amenazas que hay y que nos esperan. (34%, 30 Votos)
  • ... mantienen una posición objetiva respecto a los peligros TIC. (32%, 27 Votos)

Votantes: 87

Loading ... Loading ...
(Puedes seguirnos en Twitter: @SecurityArtWork)
No me gusta esta entradaMe gusta esta entrada (+11 rating, 11 votes)
Loading ... Loading ...




7 comentarios a “GOTO IX: El negocio de la seguridad”

(Tenga en cuenta que los comentarios en español y en inglés están mezclados por lo que puede necesitar un traductor online para entender los comentarios de otros usuarios)

Interesante reflexión y más en estos momentos que dado el interés del mercado proliferan las empresas dedicadas tanto a esto como a la protección de datos. Este comentario será una respuesta al hilo de cada pregunta:
[P]-¿Está el negocio de la seguridad alimentado en parte y de manera intencionada por falsas amenazas?
[R]- Como dirían los amigos de Expediente X, las amenazas están ahí fuera.

[P]-¿Exageran las empresas los riesgos de seguridad a los que las organizaciones están expuestos?
[R]- Las empresas que lo hagan bien no, porque la información de los riesgos debe venir de la propia empresa que estima sus posibles daños y sus posibilidades de recibirlos.

[P]-¿Es Internet realmente tan insegura? ¿Nos estamos volviendo todos locos?
[R]- A mi siempre me gusta hacer símiles con otras ciencias o áreas de conocimiento que han pasado antes por donde se encuentra la seguridad. Si la Informática y el desarrollo de los sistemas de información se hubiera realizado de una forma reglada, normalizada y sobre todo, sujeta a responsabilidades y garantías, podríamos pensar que por la propia calidad del proceso de construcción, todas las adversidades habrían sido planteadas en el diseño y los productos o sistemas implantados gozan de esas garantías. A nadie se nos ocurre pensar si se nos cae la casa o si el frigorífico puede matarnos por una fuga de corriente que acabe electrocutándonos. Sin embargo, la cláusula universalmente aceptada de “irresponsabilidad” asumida en el entorno TI no deja tranquilo a nadie porque no hay pruebas en las que basar la confianza.

Por tanto, ahora toca revisar y pensar en si los sistemas de información cubren las expectativas y si podrán o no gestionar bien los riesgos a los que se ven sometidos.
La seguridad se puede vender desde el miedo o desde la aproximación basada en estudiar los riesgos. Lo primero es un pozo sin fondo que apela a “sensaciones de seguridad”. Lo segundo es una aproximación intelectual que intenta estimar opciones y evidenciar resultados en los que basar la confianza. El problema es que esta realidad es compleja y no es visible pero los datos hablan de incrementos de fraude y el usuario online es víctima de robo. A ello se suma la complejidad de la investigación policial y la globalidad de este tipo de delitos.

Conclusión: las cosas no deben estar demasiado bien si atraen a los delincuentes.

Javier Cao [web], 7 de octubre de 2010, 12:55 pm

Muy interesante la reflexión y los paralelismos entre las medidas de seguridad escalando y la gestión de la seguridad TIC. El matiz de la pregunta sobre el ánimo de lucro se le supone a toda actuación de una empresa, con lo que la cuestión queda en si te quedas corto, se es objetivo, o se exagera.

Mi opinión es que las empresas de seguridad como vosotros no tienen más remedio que estar todo el día comunicando e insistiendo en la existencia de las amenazas que acechan a vuestros clientes actuales y potenciales. Es la necesidad que tenéis que cubrir. Exagerar, no creo que nadie exagere, pues me imagino que ni siquiera una empresa especializada puede transmitir el alcance de todos los riesgos presentes y futuros que acechan en la jungla cibercriminal- ¿o sí?. Y el cliente, ¿lo entiende como una estrategia de ventas?.

La diferencia significativa entre las 2 actividades, la escalada y el riesgo en Internet, es precisamente la percepción de riesgo del usuario. Cuando escalas el primer día, tu cuerpo manifiesta muy explícitamente que no está muy de acuerdo con que te subas a una pared ni de 20 metros (no te digo de 200): te suben las pulsaciones, si se complica la vía te sudan las manos…. Él (tu cuerpo serrano) ya conoce el alcance del riesgo, tiene muy claras las consecuencias de no prestar atención a las medidas de seguridad y de que no seas capaz de actuar en modo errores = 0. Como comentas, las instrucciones de uso de todos los elementos están llenas de calaveras: así no – peligro de muerte – indican en cada página. Cuando me he comprado, por ejemplo, material de escalada por Internet, si me han sudado las manos ha sido de pensar dónde me iba a meter con una nueva cuerda, no del potencial cíber-atraco que pudiese estar sufriendo.

Vuestra actividad de servicios de seguridad TIC, ¿cómo es percibida por vuestros clientes actuales y potenciales?. Sí, perciben que hay riesgo, pero ¿cuántas empresas de su sector han perdido clientes por no estar adecuadamente protegidas?. Ya que no suele hacerse mucha publicidad de estos ataques, ¿cómo cuantificar la realidad de la amenaza?. Interesante el reto de convencer a un cliente que rapela de que quieres organizarle la cuerda y ser su machard (un nudo de seguridad) si no tiene muy claro que está rapelando.

Me imagino que tenéis bastante trabajo de difusión y concienciación, y este blog está poniendo su granito de arena al respecto. Enhorabuena.

Rafa [web], 7 de octubre de 2010, 1:23 pm

Después de leer la reflexión y la analogía que has hecho con la escalada, debo exponer que (si bien me ha gustado) hay una cuestión básica a la hora de valorar la amenaza que puede entrañar Internet :

1 – La escalada es un acto individual – déjame simplificarlo – que hace que tu mismo seas quien este velando por tu seguridad.
2 – La escalada tiene unos riesgos conocidos y unas materias primas identificadas, no existe legalidad sobre el individuo pero las materias primas usadas para el producto (escalar) deben pasar una norma ISO.

Ahora déjame llevarlo al campo de la informática, voy a intentar resolver la intangibilidad de Internet en nuestras vidas. Llegas al trabajo, te sientas y te pones a trabajar en los medios que pone la empresa, no eres dueño de tu seguridad DIGITAL , y tu seguridad DIGITAL esta muy ligada a la de la empresa. La empresa es dueña de su seguridad, y la relativiza en costes, evalúa los riesgos y los cuantifica. ¿Realmente es consciente la empresa de las consecuencias de la no adecuación de las medidas de seguridad? No es tangible, no es medible, no es ‘tocable’, si te caes ‘no te rompes’, simplemente te caes. Y tú, que usas sus medios muchas veces para temas personales, como esta opinión que vierto en el blog, comprometes la seguridad de la empresa, con controles que ella no pone, haciendo un uso personal. Interesante.

Ahora llegamos a casa, queremos que Internet vaya deprisa, muuuy deprisa, y gratis, por eso nos gusta mucho bajarnos ‘pelis’, y demás programas freeware, y no tan freeware. Y claro, esto no duele, no hace pupa. Y ¿si no hace pupa como actuaremos en el resto de los lugares? Igual, exactamente igual.

Ahora veamos un caso un poco más drástico, pero real, hará unos 10 años cierta persona detectó que su conexión iba lenta. Decidió pedirle a alguien mas experto en el windows de entonces que le mirase que pasaba. Allí la sorpresa que tenía un servidor FTP con pornografía DE TODO TIPO en su PC, ni que decir que cabe que no era suyo pero también diremos que no es que se preocupara mucho de su ‘activo’ personal, más bien diría que las licencias no eran originales. Naturalmente fue prudente, denunció el hecho a la Brigada de Delitos Informaticos.

Si esto sucede en una organización, y además hablamos de pornografía de menores ¿ya hace pupa?

La concienciación es necesaria, las amenazas existen, pero el riesgo no es tangible. Cuando te caes, lo notas, pero en este mundo digital cuando te caes puede que no lo sepas, y hacer escalada sin cuerda (o con cuerdas a ratos) será más doloroso pero puede ser tan peligroso como hacer oídos sordos a las noticias que oímos día tras día.

Si son sensatos, tirese en paracaidas, pero si son más sensatos no se tire, deje que se tiren los demás.

(me parece que me he pasado de largo).

Francisco Benet [web], 7 de octubre de 2010, 3:39 pm

Pues nada, a hacer tangibles las amenazas, no os queda otro remedio.

Rafa [web], 7 de octubre de 2010, 4:44 pm

Perdón, acabo de darme cuenta que “Francisco Benet” no es “Manuel Benet”…

Rafa [web], 7 de octubre de 2010, 4:47 pm

Rafa, buen apunte, y menuda suerte para nosotros…no se que hariamos con dos Manuel Benet en el mundo…

Francisco Benet [web], 7 de octubre de 2010, 9:48 pm

[...] Practicando deportes también encontramos situaciones en las que la seguridad de uno mismo depende en gran medida de la actuación de un compañero. Un claro ejemplo es el de la escalada, donde un compañero situado sobre terreno firme se encarga de asegurar al escalador (Manolo dio algunos detalles en una entrada previa). [...]

Let’s Rock! | Security Art Work [web], 19 de abril de 2012, 11:24 am

Deja un comentario

(Los datos que nos proporciones serán incorporados al fichero LECTORES DEL BLOG cuyo responsable es S2 Grupo, cuya única finalidad es la gestión de las acciones e interacciones que se desarrollen con los usuarios de los blogs de S2 Grupo, entre los que se encuentra Security Art Work. Los datos recogidos no serán en ningún caso cedidos a terceras partes ni tratados para una finalidad distinta a la indicada. Puedes ejercer tus derechos de Acceso, Rectificación, Cancelación y Oposición enviando un correo a admin@securityartwork.es, en el que deberás proporcionarnos la información necesaria para verificar tu identidad. Para cualquier otra consulta o duda relativa a cómo gestionamos tus datos personales, puedes utilizar el mismo correo electrónico.)