Cerrar Menú Blogs
Las opiniones de los blogueros son de su estricta responsabilidad y no representan la opinión de este portal.
Profile image

Ingresa o regístrate acá para seguir este blog.

Seguir este blog

Revisando el capítulo 2 titulado “The security industry”, del libro de SHOSTACK y STEWART publicado por Addison Wesley en 2008 denominado The New School of Information Security, se presentan de manera clara y abierta la forma como la industria se da a la tarea de vender la distinción de seguridad de la información, tanto en el tema de productos y servicios, así como en buenas prácticas, listas de chequeo y estándares.

Dicen los autores que la industria se apalanca en las siguientes estrategias para “vender” la distinción de seguridad de la información:

* Uso del miedo e incertidumbre para crear la sensación de que estamos en el filo del abismo.

Esta estrategia busca generar inquietud en las organizaciones frente al tema de seguridad de la información para que vean en los productos y servicios una salida para alejarse del abismo que se les ha presentado. Si bien el miedo y la incertidumbre son propios de la inseguridad de la información, también es cierto que una adecuada administración de riesgos y una cultura de seguridad organizacional nos permiten mitigar y manejar la exposición natural a las vulnerabilidades propias de la tecnología.

* Productos de seguridad de la información que son expuestos a los intrusos para que intenten quebrarlo y cuando no lo hacen, se proclaman “imposibles de hackear”.

Esta manera de vender los productos exige al fabricante para ofrecer un producto de alta calidad, pero generalmente las cantidades ofrecidas por violar el sistema o comprometerlo, no son lo suficientemente motivadoras para los “reales atacantes”, por lo cual esta estrategia no siempre es muy confiable. Someterse al escrutinio de terceros es una buena estrategia pero requiere un alto nivel de participación y calidad de los evaluadores del producto.

* Productos y servicios que son utilizados por una compañía específica o una entidad del gobierno, lo cual le ofrece al proveedor una visibilidad en el mercado.

Esta forma de mercadear la seguridad de la información es muchas veces el resultado de procesos internos de las organizaciones que generalmente son desconocidos para los terceros. Es probable que acuerdos de licenciamiento, alianzas estratégicas o poca variedad de productos sean la razón por la cual se ha adquirido el producto. Para contar con esta referencia de confiabilidad y uso del producto, lo mejor es contactar directamente a la organización para conocer en detalle el tema de contratación y uso de la misma.

* Los servicios y productos son sometidos a evaluación en revistas populares de la industria, las cuales emiten conceptos sobre los mismos.
Aparecer como uno de los productos evaluados en una revista reconocida en la industria de la seguridad de la información es en sí misma una manera de mercadear el producto. No interesa el resultado mismo de la evaluación, el sólo hecho de haber sido seleccionado como uno de los productos que se reconocen en el mercado, ya lo hace acreedor de un prestigio importante y ha logrado el objetivo de ser considerado como una de las opciones válidas por los futuros clientes.

* Se establecen y recomiendan por parte de los proveedores y organizaciones internacionales lista de chequeo, certificaciones de negocio y modelos de control que procuran salvaguardar a las organizaciones de los más importantes peligros en temas de seguridad de la información.
Esta estrategia, basada en la orientación de la academia, acude a nuestro lado educacional y formativo, para sugerirnos que los estudios realizados por estas empresas nos permiten ver situaciones que van más allá de las prácticas actuales y que están alineadas con las tendencias internacionales, gracias a sus amplios esfuerzos y experiencia basada en sus trabajos con sus clientes. Muchas veces los resultados de estos estudios internos que adelantan estas organizaciones, muestran apartes de la realidad y tendencias que deben ser consideradas dentro de la dinámica de las organizaciones, pero no tomadas como estudios formales, basados en consideraciones estadísticas exigentes, datos confiables o similares.

* Los productos y servicios se encuentran alineados con las “buenas prácticas”, las cuales representan lo que la industria y la práctica sugieren que es lo más adecuado.
Comenta el autor que las “buenas prácticas” generalmente no toman en consideración las diferencias entre compañías, o más generalmente, entre industrias. Las “buenas prácticas” son esos discursos conceptuales que procurar establecer la dinámica propia de las organizaciones frente a sus necesidades particulares y no necesariamente son extrapolables a otras. Las “buenas prácticas”, pueden ser buenas para unas organizaciones y no tan buenas para otras.

En conclusión podemos comentar que las diferentes formas de vender la distinción de seguridad deben pasar por un filtro de evaluación de necesidades propias de la organización, la comprensión clara de la dinámica del negocio y las limitaciones propias de los productos, pues sólo así podemos advertir cómo la inseguridad de la información podrá sorprendernos, no para dejarnos “mal parados”, sino para continuar aprendiendo que sólo mientras más la conocemos podemos avanzar en sistemas más confiables.

(Visited 46 times, 1 visits today)

Etiquetas

PERFIL
Profile image

Un apasionado de la inseguridad informática, que trata de indagar en sus posibilidades y relaciones, aunque ella siempre tenga la manera maestra para soprendernos y cuestionarnos, y ésta, es la mejor motivación para continuar estudiándola.

    Sigue a este bloguero en sus redes sociales:

Más posts de este Blog

Ver más

Lo más leído en Blogs

1

A través de campañas de información y concientización dirigidas por organismos(...)

2

Acabo de recetarle esta dosis de Metformina para adelgazar, a una(...)

3

El primer día de tomar 15 mg de Acxion para adelgazar(...)

1 Comentarios
Ingresa aquí para que puedas comentar este post
  1. el concepto de seguridad esta en evolucion permanente, hoy en dia las ayudas electronicas son la base de
    la prevencion, cada dia se implementan nuevas normas de seguridad, el personal de guardias son profesionales en esta inductria y son la base de una seguridad eficiente, hoy tenemos camaras que cubren
    areas extensas, detectores de explosivos, detectores de armas, sistemas de vijilancia nocturnos, sistemas
    de arlarmas, areas vijiladas por satelites, es una industria en rapido desarrollo. pero los enemigos de la
    seguridad implementas sistemas para tratar de burlarla. yo soy especialista en seguridad y consultor. por
    esdta razon estoy al dia en los ultimos sistemas, en mi ultima visita a colombia encontre que estan bien
    en prevencion y seguridad en alguna areas, deben preparar especialistas en esta area, con cursos en el
    exterior para ver como operan, los ultimos sistemas.. Miami, 05.13.08
    ——–

Reglamento de comentarios

ETCE no se responsabiliza por el uso y tratamiento que los usuarios le den a la información publicada en este espacio de recomendaciones, pero aclara que busca ser la sombrilla de un espacio donde el equilibrio y la tolerancia sean el eje. En ese camino, disponemos de total libertad para eliminar los contenidos que:

  1. Promuevan mensajes tipo spam.
  2. El odio ante una persona o comunidad por su condición social, racial, sexual, religiosa o de situación de discapacidad.
  3. Muestren o impulsen comportamientos o lenguajes sexualmente explícitos, violentos o dañinos.
  4. Vulneren o atenten contra los derechos de los menores de edad.

Además, tenga en cuenta que:

  • - El usuario registrado solo podrá hacer un voto y veto por comentario.
Aceptar
¿Encontraste un error?

Para EL TIEMPO las observaciones sobre su contenido son importantes. Permítenos conocerlas para, si es el caso, tomar los correctivos necesarios, o darle trámite ante las instancias pertinentes dentro de EL TIEMPO Casa Editorial.


Debes escribir el comentario
¡Gracias! Tu comentario ha sido guardado
Tu calificación ha sido registrada
Tu participación ya fue registrada
Haz tu reporte
Cerrar
Debes escribir tu reporte
Tu reporte ha sido enviado con éxito
Debes ser usuario registrado para poder reportar este comentario. Cerrar