tag:blogger.com,1999:blog-5399811056563385935.post8305459012199046344..comments2023-09-21T14:48:16.670+02:00Comments on Security By Default: Cumplimiento normativo vs seguridadYago Jesushttp://www.blogger.com/profile/16830228750771246202noreply@blogger.comBlogger6125tag:blogger.com,1999:blog-5399811056563385935.post-3614983512177683392010-03-29T04:51:59.006+02:002010-03-29T04:51:59.006+02:00...esto, me he perdido,habeis derivado en una disc......esto, me he perdido,habeis derivado en una discusión digna de foro coches :-P, Lorenzo, regresa a la senda!!<br />La discusión es:<br />- las empresas toman medidas para pasar el trámite? las que van a 120 justos y arriesgan hasta 140/m/h. El Firewall de rigor, un IDS decente, y las tipicas auditorias de Ernesto el Joven de la Corbata firmame-aquí (Sin ofender a nadie, pero ya saben por donde voy, no tan teechie ni hackie)<br /><br /><br />- Van demasiado precavidos? de 100 a 60 Km/H . Además de lo anterior,que me entren hasta la cocina.Aprender de los errores, y realizar los correspondientes planes de contigencia teniendo a todo el mundo con "mentalidad de seguridad".<br /><br />- O son los vivalavidaqueaminomepasanadayyocontrolo: 150 km/h en adelante.Las famosas cajas de zapatos con la palabra Firewall pintada por encima.<br />Ahora, como dirian en meneame, frianme a negativos!<br />Saludos!deltonos77https://www.blogger.com/profile/13168454981109439370noreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-7712206458100085292010-03-28T23:16:47.456+02:002010-03-28T23:16:47.456+02:00<OFFTOPIC>
@Lazamazu -> ¿reducir la veloc...<OFFTOPIC><br />@Lazamazu -> ¿reducir la velocidad? Pero si no se ha reducido (ni aumentado) en más de 30 años. ¿Me quieres decir que tienes la misma seguridad con un coche de hace 30 años (los míos,... un Seat 127, un Simca 1000, un Citroen AX/BX/CX) que con los coches de ahora? <br />Lo mismo es aplicable a las infraestructuras. Reducir la velocidad ayuda a que haya menos accidentes/muertos... mejorar las carreteras también. Creo que dado el conjunto vehículos/vías actual, poner el límite en 140 (en situaciones de visibilidad completa, sin lluvia/nieve/niebla/granizo) no sería ninguna locura. El ejemplo: Alemania.<br /></OFFTOPIC><br /><br />Usé el ejemplo de los límites de velocidad, comparándolo con normativas puestas a empresas, que se preocupan más de las sanciones en caso de no cumplirlas, que de la seguridad en sí (y si no mira los coches que se ven por ahí que se caen a trozos, con la ITV perfectamente "pasada").Lorenzo Martínezhttps://www.blogger.com/profile/01754634415587750581noreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-9625245990017548342010-03-28T18:28:43.365+02:002010-03-28T18:28:43.365+02:00Reduciendo la velocidad se ha conseguido reducir m...Reduciendo la velocidad se ha conseguido reducir muchísimo la cifra de muertos por accidentes de tráfico. Menos velocidad, menos muertos. ¿Qué es lo que no se entiende de esta realidad, velocidad, muertos, o las 2 cosas?<br />Yo alucino con lo inconsciente que puede llegar a ser el ser humano.Anonymoushttps://www.blogger.com/profile/10894759199561164359noreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-44603220997142601862010-03-28T11:54:20.725+02:002010-03-28T11:54:20.725+02:00@Lorenzo Pero claro, las autobahn alemanas cuenta ...@Lorenzo Pero claro, las autobahn alemanas cuenta con una cosa: el modelo cultural alemán. Y en Suiza ocurre algo similar...<br /><br />No quiero imaginar una política similar en España :D ¿de verdad crees que el modelo de conciencia social que existe en países como Alemania o Suiza es comparable con el español?<br /><br />Yo veo muchos fallos de análisis en diversas limitaciones que se aplican (como bien señalas tú, normas ad hoc con intenciones recaudatorias o, simplemente, mal pensadas), pero por otro lado, las normas tienen mucho que ver con la orientación cultural de la sociedad donde se aplican.<br /><br />Si pones un límite de 140 en carreteras españolas, el conductor medio circulará a 190 siempre que pueda.<br /><br />Por otro lado, ¿de verdad se pierden clientes por "escándalos" de seguridad? Si fuera por eso, los sistemas operativos no tendrían base de usuarios y es todo lo contrario, aumentan en base (y aquí meta usted Debian, Windows, Mac OS, TODOS).<br /><br />Nadie pagaría con tarjetas de crédito (al final, el medio de pago no es más que otra organización que presta servicio), productos alimenticios etc.<br /><br />Sinceramente, las empresas tienen perfectamente claro cuánto cliente real y cuánto potencial se puede perder por estas cosas... por eso, a muchas, les importan un huevo.<br /><br />Solamente la sanción y un regulador fuerte hacen que se impliquen...<br /><br />Mira casos como Exxon Mobile y los temas medioambientales, mira Enron vs Arthur Andersen, mire usted otras BigN y empresas de inversión...<br /><br />Al final, como sabiamente dice Bruce Schneier, la seguridad es un tema de dinero, coste vs beneficio, coste inversión etc.<br /><br />Premisa de Empresa: Si A es más barato que B y generaré el mismo beneficio o superior, pago por A ;)<br /><br />Entra en juego el regulador: Pero si elijo A y el regulador me sanciona con C, de forma que A + C > B, las cosas cambian, por lógica las empresas optarán por B.Román Ramírezhttp://www.rootedcon.esnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-44686221990479861922010-03-28T11:41:28.036+02:002010-03-28T11:41:28.036+02:00@Román -> Como individuos que somos. ¿Has estad...@Román -> Como individuos que somos. ¿Has estado alguna vez en Alemania? ¿Has ido por la Autobahn? Ojo que no promuevo en ningún momento el "no limits" pero sí que digo que 120 me parece poco y que está pensado para recaudar dinero por lo fácil que es pasarse de tal límite. ¿Qué se logra con medidas como el carnet por puntos por ejemplo? Acojonar aún más al personal y por supuesto que provocar sueño :D <br /> <br />Como empresa, estoy de acuerdo contigo en que lo que se mira es no sólo el coste por la sanción versus el coste de implantación de la medida y el mantenimiento anual de la misma, sino la probabilidad de que ocurra el incidente para decidir si merece la pena mitigarlo o asumirlo. <br /><br />Sin embargo, pienso que no se asignan cifras reales a daños muy importantes como la pérdida de clientes por mala imagen. Cuando un escándalo sale a la luz por un fallo de seguridad, la cantidad de clientes que dejan de comprarte o de irse a la competencia, ¿cómo lo cuantificas?... Qué es mejor entonces, provisionar dinero para fraude o evitarlo?Lorenzo Martínezhttps://www.blogger.com/profile/01754634415587750581noreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-85624865912683850662010-03-28T11:28:13.838+02:002010-03-28T11:28:13.838+02:00Yo veo una diferencia clara entre la acción de un ...Yo veo una diferencia clara entre la acción de un invididuo y la de una organización.<br /><br />Como individuo, se toman decisiones con mayor o menor riesgo sin tener una percepción real de éste o, simplemente, creyendo que nuestras capacidades personales exceden como para "obviar" una norma("Yo controlo"). Así, a pesar de contar con la cultura necesaria sobre el riesgo de ir a alta velocidad, todavía hay mucha gente que conduce a más de 180 km/h, por el "yo controlo".<br /><br />En cambio, las organizaciones funcionan por otros parámetros. Asumiendo un único indicador, el económico, podemos predecir fácilmente lo que una organización va a hacer de acuerdo a una norma o patrón regulador.<br /><br />Si la aplicación de la norma cuesta 20 y la no aplicación de ésta implicará una sanción de 12 (sumado el perjuicio en imagen estimado y otros costes no evidentes), la organización, con toda probabilidad no aplicará esa norma.<br /><br />Si la sanción, en cambio, implicara un coste directo de 21 y un coste reputacional valorado en 3 unidades, así como costes indirectos de 4... la organización abordaría, sin duda, las mejoras necesarias para cumplir la norma (es evidente que pagar 20 es menos que pagar 28).<br /><br />Como último comentario... ¿qué ocurre cuando cumplir con la norma implica unos costes de mantenimiento anuales que a medio-largo plazo nos van a hacer pagar más? (por ejemplo, la sanción es de 12 cada año, pero los costes de mantenimiento son de 13).Román Ramírezhttp://www.rootedcon.esnoreply@blogger.com