Cómo mienten los idiotas… o cuán hipócritas son las empresa

Seba Bortnik —  29 diciembre 2009 — 5 comentarios

Hay una nota que tengo apuntada hace muchas semanas para comentar. La encontré en el blog sobre seguridad, Cryptex, y básicamente dice el 20% de los profesionales en seguridad mienten (o hacen trampa) en las auditorías.

Algo más de info del post:

El 20% ha admitido haber hecho trampa en las auditorías que pasaron.

La encuesta fue realizada a 151 profesionales en seguridad IT.

Se descubrió que el 63% de las empresas sólo chequean el firewall entre los 3 meses y ¡el año!. Un 9% nunca chequearon sus firewalls y el 51% admitió que las reglas en el firewall son “un lío”.

También se descubrió que el 70% de las auditorías de firewall llevaron sólo unos pocos días.

Esto tiene dos lecturas, a mi criterio.

La primera, culpemos al mentiroso. Digo: ¿a quién se le puede ocurrir mentir en una auditoría que se supone que está hecha para verificar la calidad de algo? No parece tener mucho sentido. Los profesionales se esconden con frecuencia en la hipocresía de ocultar los errores y seguir adelante como si nada pasara. En ese contexto, estamos más contentos si ocultamos los errores, en lugar de decir “aparecieron estas fallas y han sido solucionadas”. Ahí no, ahí si te equivocás sos un salame bárbaro. Pero, ¿quién se cree una infraestructura sin errores? No tiene sentido. De nuevo, es sólo para hipócritas.

La segunda lectura creo que es un poco más generosa, cuál es el sentido de las auditorias. Si las empresas hacen las auditorias para mostrar la chapa, eso es justamente lo que genera que hoy en día veamos un logo ISO 9001 en ciertas empresas y de a poco pase de ser novedad a un mero dato que no nos dice nada. Además, cuántos son los recursos que se dedican para hacer algo por lo que sólo se busca un papelito. ¿Por qué no liberar a los que saben de sistemas y poner a un par de abogados mentirosos a hacer la tarea?

Y hay una pregunta mas profunda, que desvela las pocas ganas de mejorar. Supongamos que el mayor interés al hacer una auditoría es el resultado final, la chapa, el papel. ¿Por qué no aprovechar ese proceso para mejorar? Estoy seguro que en ese caso estaría la mejor respuesta en términos de productividad. A la vez que se mejoran las cosas se obtienen las aprobaciones correspondientes.

Por eso digo que hay mucha hipocresía, y lo único que se desvela cuando encuentra este tipo de datos es la falta de profesionales de calidad y la poca voluntda de las empresas por mejorar.

Anuncios

5 comentarios para Cómo mienten los idiotas… o cuán hipócritas son las empresa

  1. 

    Interesante nota Sebastián te agregaré respecto del final que cuando uno dice “las empresas” está hablando de las personas (con nombre y apellido) que ocupan cargos de decisión, muchas veces profesionales y bastantes veces gente muy capacitada.

    Entonces cabe preguntarse ¿que lleva a profesionales bien capacitados que llegan a ocupar cargos de decisión manifestar esa falta de voluntad por mejorar?.

    Dejo la pregunta abierta, no por falta de respuesta, sino como estímulo para el pensamiento crítico tuyo y de los lectores de este blog.

    Saludos.

  2. 

    Me olvidè de aclarar que los sitios y toda la info en ellos estaban intàctos. Solamente (solamente?) utilizaban el servidor para hacer spam porno y fishing con las cuentas @dominio.tld. 😛 imaginate que quilombo

  3. 

    Seba creo qua la situaciòn merece un anàlisis mucho mas extenso ( al cual puedo aportar poco por ignorante). Voy a contarte una anécdota:
    Hace unos 7 años trabajé por unos meses en una empresa de Milan (como php developer y coordinador de desarrollo) , el mismo dìa que ingresé descubro que el servidor que alberga todas las bases de datos (cosa que ya no me gustaba) no tenìa los discos en RAID, ni hacìan backups periòdicos, …. (lista de cosas….muchas…que no tiene sentigo nombrar)….. y para ponerle un moño (se escuchan redobla tambores)

    Username: root
    Password:
    Accesso via web browser con la uri de cada sitio con la ùnica escasa, mediocre, medida de seguridad de utilizar un puerto diferente al 80.

    Una fealdad que nunca habìa visto.

    Obviamente como me habìan contratado como coordinador del team de desarrollo puse el grito en el cielo. No me dieron ni bola.. 3 meses despuès ya habìa conseguido trabajo en otra empresa.

    Cuàl era la escusa para no hacer las cosas bièn? -“los sitios que albergamos no tienen ningùn interes para los hackers”

    Resultado: 1 año despues tuvieron que declarar default y abrir otra empresa a nombre de un tercero para zafar de 3 juicios por parte de clientes importantes pues como solemos decir, el servidor hacìa bastante tiempo que no estaba controlado por ellos 😉

    Moraleja:
    Lo bueno y malo de la tecnología informàtica es que està cada vez màs al alcance de todos y ya sabemo lo peligroso que puede ser un mono con navaja.
    Muchas empresas son concientes de la ineficiencia de sus empleados y prefieren gastar poco en el inmediato (un profesional serio cuesta) con la esperanza de que no pase nada. Es como andar con el auto sin seguro…total yo manejo con cuidado…que puede pasar?…

  4. 

    La seguridad informatica es generalmente una ilusion
    Los vendedores de ilusiones en general suelen ser mentirosos

    No deberia sorprender y si deberia preocupar

    rr.-

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s