LAS REGLAS DE SEGURIDAD
En la protección de nuestros bienes, incluyendo la información, debemos seguir tres reglas lógicas básicas para evitar incoherencias.
PRIMERA
La seguridad debe cubrir todos los huecos.
De nada sirve tener una puerta de seguridad si no la cerramos con llave o si dejamos abierta la ventana de al lado. Se trata por tanto de delimitar con precisión todos los aspectos de seguridad que se deben cubrir y prever todas las contingencias (que se pueda). La máxima seguridad que tenemos es la del elemento más débil del sistema.
SEGUNDA
Para evitar que te coman no es necesario correr más que el león, es suficiente con correr más que las otras gacelas.
Los niveles de seguridad deben ser adecuados al entorno ¿Qué medidas de seguridad toman los demás? ¿Cómo se protegen los que tienen lo mismo que yo? Mis medidas de protección deben ser solo un poco superiores a las normales en mi entorno. Unas medidas de seguridad muy superiores a lo normal no solo serán muy costosas sino que pueden llegar a ser contraproducentes por llamar la atención.
TERCERA
La seguridad debe ser adecuada a la necesidad de protección de lo asegurado y a los recursos disponibles.
La foto de mi madre, por ejemplo, es muy valiosa para mí, pero no es necesario conservarla en la caja fuerte de un banco ya que para los potenciales ladrones tiene muy poco valor. Se trata de hacer una valoración de riesgos y de los costes de la protección de forma que en ningún momento los costes superen a los riesgos.
Para la evaluación de riesgos hay que delimitar:
qué queremos proteger
cuál es su valor
qué riesgos existen
quién puede atacar
Al estimar el valor de nuestras propiedades y sus riesgos tendemos a ser muy subjetivos. Lo que debemos hacer es estimar el valor que le dan los "enemigos". Debemos suponer que los enemigos sólo actuarán cuando el valor de lo que esperen obtener sea superior al coste de conseguirlo. Debemos por tanto estimar la valoración que el enemigo hace, pero teniendo en cuenta que esa valoración puede ser también muy subjetiva. Los hackers valoran en mucho haber entrado en un ordenador muy protegido aunque la información existente en ese ordenador no les sea de ninguna utilidad; están por tanto dispuestos a dedicar cientos de horas de estudio, trabajo en equipo e incurrir en riesgos penales tan solo para obtener un premio de tipo deportivo del que, además, no pueden presumir.
En la protección de nuestros bienes, incluyendo la información, debemos seguir tres reglas lógicas básicas para evitar incoherencias.
PRIMERA
La seguridad debe cubrir todos los huecos.
De nada sirve tener una puerta de seguridad si no la cerramos con llave o si dejamos abierta la ventana de al lado. Se trata por tanto de delimitar con precisión todos los aspectos de seguridad que se deben cubrir y prever todas las contingencias (que se pueda). La máxima seguridad que tenemos es la del elemento más débil del sistema.
SEGUNDA
Para evitar que te coman no es necesario correr más que el león, es suficiente con correr más que las otras gacelas.
Los niveles de seguridad deben ser adecuados al entorno ¿Qué medidas de seguridad toman los demás? ¿Cómo se protegen los que tienen lo mismo que yo? Mis medidas de protección deben ser solo un poco superiores a las normales en mi entorno. Unas medidas de seguridad muy superiores a lo normal no solo serán muy costosas sino que pueden llegar a ser contraproducentes por llamar la atención.
TERCERA
La seguridad debe ser adecuada a la necesidad de protección de lo asegurado y a los recursos disponibles.
La foto de mi madre, por ejemplo, es muy valiosa para mí, pero no es necesario conservarla en la caja fuerte de un banco ya que para los potenciales ladrones tiene muy poco valor. Se trata de hacer una valoración de riesgos y de los costes de la protección de forma que en ningún momento los costes superen a los riesgos.
Para la evaluación de riesgos hay que delimitar:
qué queremos proteger
cuál es su valor
qué riesgos existen
quién puede atacar
Al estimar el valor de nuestras propiedades y sus riesgos tendemos a ser muy subjetivos. Lo que debemos hacer es estimar el valor que le dan los "enemigos". Debemos suponer que los enemigos sólo actuarán cuando el valor de lo que esperen obtener sea superior al coste de conseguirlo. Debemos por tanto estimar la valoración que el enemigo hace, pero teniendo en cuenta que esa valoración puede ser también muy subjetiva. Los hackers valoran en mucho haber entrado en un ordenador muy protegido aunque la información existente en ese ordenador no les sea de ninguna utilidad; están por tanto dispuestos a dedicar cientos de horas de estudio, trabajo en equipo e incurrir en riesgos penales tan solo para obtener un premio de tipo deportivo del que, además, no pueden presumir.
No hay comentarios:
Publicar un comentario