Ingeniería social – El hackeo al ser humano. Un enfoque holístico

By |2019-02-11T12:46:00-05:00octubre 10th, 2014|

“Sólo hay dos cosas infinitas: el universo y la estupidez humana. Y no estoy tan seguro de la primera…”. Albert Einstein Introducción La primera vez, hace muchos años, cuando escuché el término “ingeniería social”, en la acepción que lo usamos en seguridad de la información, me pareció un poco contradictorio debido a mi concepción de [...]

Factor humano: el talón de Aquiles de la seguridad I – La percepción del valor de la información

By |2019-02-11T12:53:31-05:00octubre 10th, 2014|

En la actualidad podemos vislumbrar un paralelismo entre el mito de Aquiles - a quien su madre Tetis sumergió en las aguas de la laguna Estigia para hacerlo inmortal, dejando fuera el talón que se mantuvo vulnerable -, con la vulnerabilidad que genera el ser humano en el manejo de la información que gestiona. Reflexionaremos [...]

La seguridad y nuestros elefantes (segunda parte)

By |2019-02-13T13:07:40-05:00diciembre 26th, 2012|

En la primera parte de este artículo expuse el caso de Chanchis, responsable de seguridad en Acme S.A., quién comenta con Cuco, un buen amigo suyo, sus frustraciones por no encontrar “eco” en sus esfuerzos por mejorar la seguridad de la información de la empresa. Cuco, basado en el libro “Switch: How to Change Things [...]

La seguridad y nuestros elefantes (primera parte)

By |2019-02-13T13:12:38-05:00septiembre 26th, 2012|

Chanchis, la encargada de seguridad informática de Acme, está cansada de los pocos frutos del programa de concientización en seguridad que ha implementado en la empresa. Durante los últimos dos años ha hecho diversos esfuerzos: pláticas, cursos, trípticos, pósters, juntas con gerentes y empleados, actualización constante de las políticas de seguridad, y otras tareas más, [...]

Logrando credibilidad en los esfuerzos de seguridad (parte 4)

By |2019-02-10T21:12:02-05:00junio 30th, 2010|

En la última entrega de la serie, se revisarán escenarios de riesgo para ejemplificar su uso como herramienta para convencer a empleados y ejecutivos para que apoyen los esfuerzos de seguridad; también se hablará brevemente del ROSI (return on security investment) y, finalmente, se darán algunas conclusiones.   Escenarios de riesgo  El objetivo de los escenarios [...]

Logrando credibilidad en los esfuerzos de seguridad (parte 3)

By |2019-02-10T21:12:48-05:00junio 24th, 2010|

En esta entrega continuaremos revisando algunas herramientas para convencer a empleados y ejecutivos para que apoyen los esfuerzos de seguridad e incluiremos algunas recomendaciones para el CISO en la implementación de estas herramientas. ¿Cómo mantener y extender el apoyo?  Una vez que el CISO ha logrado el patrocinio de los ejecutivos, es muy importante que [...]

Logrando credibilidad en los esfuerzos de seguridad (parte 2)

By |2019-02-10T20:59:41-05:00junio 22nd, 2010|

En la primera parte de esta serie nos enfocamos a revisar algunos términos importantes y, sobre todo, a comentar acerca de los conocimientos y habilidades que un CISO (recordemos que así llamaremos al responsable de seguridad) debe tener. Ahora nos concentraremos en dar recomendaciones concretas sobre la forma de convencer a la organización para apoyar [...]

Logrando credibilidad en los esfuerzos de seguridad (parte 1)

By |2019-02-10T00:08:43-05:00junio 16th, 2010|

A pesar del crecimiento de las amenazas a los sistemas informáticos y los riesgos que enfrentan los negocios en el manejo de su información, todavía existen organizaciones en donde los ejecutivos y los responsables de seguridad tienen percepciones muy distintas sobre dichos riesgos. Esas diferencias de percepción generan distintos tipos de problemas, pudiendo incluir sentimientos [...]