Manual para Una Área de Seguridad de La Información

#ENSAYO:
MANUAL PARA UN ÁREA & SECTOR DE

‘inSEGURIDAD’ DE LA
INFORMACIÓN & INFORMÁTICA
Por ->> damián ienco

Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
Página 2
Autor – Compositor: damián ienco
Índice
Prólogo ................................................................................................................................... 5
Definiciones y aclaraciones .................................................................................................... 7
El comienzo de un Administrador de Seguridad .................................................................... 9
Sensaciones de un Administrador de Seguridad................................................................... 10
¿Cómo se debería llamar el Área de Seguridad? .................................................................. 11
Organigrama ......................................................................................................................... 14
¿Cómo diagramaríamos un organigrama de una Organización que incluya Seguridad
Informática? .................................................................................................................................. 17
¿Quién debe administrar el Firewall? ................................................................................... 20
¿Quién debe administrar el Antivirus? ................................................................................. 21
¿Quién debe administrar el Data Center? ............................................................................. 22
¿Quién debe administrar las Cámaras IP o CCTV de Seguridad? ....................................... 22
¿Quién debe resguardar las passwords de los sistemas y dispositivos críticos? .................. 24
¿Con cuáles áreas debemos tener contacto directo? (líneas punteadas en el organigrama) . 28
Usuarios que atentan contra un Área de Seguridad Informática .......................................... 30
Alianzas y aliados necesarios para la buena gestión de la Seguridad .................................. 32
Concientización y Capacitación ........................................................................................... 34
Concientización ............................................................................................................................. 35
Capacitación .................................................................................................................................. 36
Metodología de capacitación ........................................................................................................ 41
Tips o cuasi consejos previos a capacitar ...................................................................................... 43
Vigilancia – Control de Accesos .......................................................................................... 44
El Jefe, Administrador de Seguridad u Oficial de Seguridad ............................................... 46
Organización de un Área de Seguridad Informática ............................................................ 48
Desglose del personal del Área de Seguridad ...................................................................... 49
Primeras actividades al asumir un Área de Seguridad Informática .............................................. 49
Clasificación de la Información ..................................................................................................... 51
Matriz de Análisis FDOA, FODA, DAFO o SWOT ............................................................................ 54
Matriz de análisis de riesgo (de un Área de Seguridad Informática) ............................................ 56
Plan de Contingencia y Política de Backup-Restore ............................................................ 60
¿Por qué casi nadie realiza una prueba de Restore-Backup? ....................................................... 62
¿Qué datos se registran en un Plan de Restore-Backup? ............................................................. 64
¿Dónde se atesora el Plan de Contingencia y el Plan de Backup-Restore? .................................. 65
Comité de Seguridad de la Información: Desventajas y Beneficios .................................... 66
Política de Seguridad de la Información - MGSI ............................................................................ 66
Desventajas de los Comités de Seguridad..................................................................................... 68
Ventajas de los Comités de Seguridad .......................................................................................... 70
Página 3
MGSI, Normas, Estándares, Certificaciones….PUAs ......................................................... 72

PUA o Política de Uso Aceptable de… ................................................................................ 77
Ejemplo de una PUA muy básica y recortada ............................................................................... 80
Ciclo de vida de las escrituras .............................................................................................. 86
The Facebook en tu Organización ........................................................................................ 92
Los servicios en la nube = ¿Fuga de Información aceptada? ............................................... 94
¿Quién nos protege? ¿De quién nos protegemos? .............................................................. 101
Forenses dentro de la Seguridad de la Información ........................................................... 103
Conclusiones Finales: La Seguridad apasiona, la Seguridad molesta, la Seguridad es
marketing ............................................................................................................................ 106
La seguridad apasiona ................................................................................................................. 106
La seguridad molesta .................................................................................................................. 109
La seguridad es marketing .......................................................................................................... 114
La Seguridad en el futuro. ¿Seguridad Eléctrica? ¿Seguridad Hídrica?............................ 116
Fin ....................................................................................................................................... 119
Preguntas y dudas varias.................................................................................................. 120
Resumen de los principales tópicos del libro en frases ...................................................... 121
Glosario .............................................................................................................................. 125
Acerca del autor - Contacto - Diseño - Formato........................................................................ 129
Página 4
Prólogo
Este ensayo en forma de libro tratará de expresar las vivencias propias del día a día de un
Administrador de Seguridad Informática, de Seguridad de la Información, de Seguridad de la
Sociedad, o de la Seguridad que se viva al momento de leer este papel, que he terminado de
escribir hacia fines del año 2014 d. C.; por lo tanto, en este preciso momento podemos afirmar
que estamos leyendo un libro acerca de la historia de la “seguridad”.
No se trata de desanimar al individuo que está estudiando o que se inicia en un Área de Seguridad
Informática, pero lo narrado en este testimonio es la experiencia de ser Administrador de
Seguridad Informática, de realizar consultorías en seguridad en varios Organismos y empresas, y
en la de ser capacitador para variadas Organizaciones, con lo cual, no hago un raconto de lo
sucedido en un solo lugar de trabajo sino en varios, ya sean públicos o privados y en la experiencia
del dictado de cursos de Seguridad de la Información para empleados de varias entidades de la
República Argentina. De esta manera, este ensayo se basa en situaciones recreadas y vividas en el
fin del mundo.
No creo que varíe mucho lo expuesto en este escrito para la gran parte de los países
latinoamericanos, hermanos.
Así las cosas, lamentablemente se verá pocas veces descripto un escenario ideal, pero que, por lo
menos, sabrán con lo que se toparan al liderar o trabajar en un Área de Seguridad Informática, ya
que aquí se trata de contarles cómo funciona el ambiente normal y cotidiano al que se
enfrentarán diariamente.
Viendo el lado positivo dentro de lo malo de este escenario, es mucho más directo y efectivo lo
que se aprende para el futuro, ya que de salir siempre bien las cosas, de no tener que afrontar
ningún imprevisto -y rápidamente-, de no tener que afrontar ningún reto, de contar siempre con
las herramientas necesarias para resolver la situación sensible que se presenta; nos estancaremos
en lo que hemos aprendido y no sabremos como abrir el juego una vez que se nos presente el
escenario real, el de las contingencias, el de las solicitudes peligrosas para la red de datos del
Organismo, el de pedidos extraordinarios que rompen las políticas de seguridad, el de las
excepciones, el de las nuevas tecnologías desconocidas, y el del vacío legal.
Para con la persona que lea el libro y se sienta identificado con el mismo, siento un gustoso placer.
Para con la persona que lea el libro y que por su gran experiencia, al menos se lleve un párrafo de
lo escrito aquí, considero un atrapante placer.
Para la persona que lea el libro y que utilice el mismo como un nivelador de la pata de la mesa,
tenga en cuenta que por lo menos le va a salir más barato que llevar la mesita a la carpintería para
repararla. ☺.
Página 5
A medida que vayan avanzando en el texto desarrollado en este ensayo, notarán la cantidad de
signos de interrogación que encontrarán. En ocasiones esto se parecerá más a un libro de
preguntas que a uno de respuestas. No hay errores de signos. Es así.
Cuando ahondamos en el tema de las nubes, para tratar de explicar lo que nadie lee de las
políticas de uso de las mismas, no se me ocurrió otra cosa que copiar y pegar -precisamente- las
políticas de uso del servicio “Dropbox”. No podría sacar nada ni resumirlas, ya que todos los
puntos son importantes y esto es para que las lean y comprendan porque “no” es “gratis” el uso
de ésta y las demás nubes, demás redes sociales y así casi cualquier aplicación que se jacta de no
cobrar un solo piastra por su servicio.
Me avergüenza transcribir todos los términos y condiciones de semejante política, pero sino los
agrego, muy pocas personas irán a leerlas y como ya les dije, sacar cualquier letra de ése
manifiesto sería un error por el desconocimiento que en su uso nos trae aparejado.
Los textos de todo el libro están expuestos en un leguaje castellano vulgar, de manera de que
todos lo podamos tratar de interpretar.
Este manual está inconcluso, ya que es imposible parar de escribir y agotar todos los temas,
máxime con la vertiginosidad con la que cambian las tecnologías y las personas.
Por otra parte, hacerlo más extenso hace que sea muy cargante en su lectura y pasemos de leer en
un salto de la hoja 7 a la 50.
Inclusive, el título de este compendio está resumido, ya que originalmente esta publicación se
titula:
“Ensayo de lo que sería una guía o un Manuel para quienes aceptan el desafío de dirigir o
pertenecer a un Área de Seguridad de la Información, mal llamada de Seguridad Informática y
en la que se encuentran un poco perdidos, desorbitados, bajoneados o sin saber para dónde
desertar. Todo pasa, es un lindo trabajo, una buena ocupación para la mente.
Las satisfacciones a larga llegarán y de los yerros del comienzo se reirán”.
Que tengan buenos vientos. Buen viaje.
Página 6
Definiciones y aclaraciones
En este libro cuando hablamos de:
Seguridad: nos referimos a seguridad informática, de la información, física, ambiental, etc.
Oficial de Seguridad: Jefe de Seguridad: Persona a cargo del Área de Seguridad de la

Información/Informática. Qué feo se oye decir “Oficial de Seguridad”, ya es hora de cambiar esta
designación, como veremos más adelante.
Usuario jerárquico: Directores, coordinadores de alto rango, gerentes y auditores, entre otros.
Cuando hablemos de seguridad del tipo policial o de vigilancia, haremos referencia a éste tipo de
seguridad.
Data Center: Es el centro de cómputos o centro de datos o sala de servidores.
Organismo, empresa, ente, entidad hace referencia a cualquier tipo de Organización y serán
nombradas indistintamente y a granel a lo largo del libro.
Aclarar todo esto se debe a que en algunos casos, hay diferencias ciertas de definiciones
semánticas y en otros casos se da por la falta de universalidad en el desarrollo de conceptos, como
por ejemplo pishing, phishing o fishing. ¿Cómo se dice?
Director o gerente: Referencia a un cargo superior, solamente inferior al presidente de un ente.
Número mágico del Administrador de Seguridad: 95 o 95nM: Generalmente el 95% de las veces se
suelen sucederse los sucesos.
Por ej.: el 95% de los superiores o gerentes no están capacitados para administrar sus respectivos
puestos de trabajo y no vamos a tratar de saber cómo llegaron a ocuparlos.
El 95% de los ataques a las Organizaciones son internos.
El 95% de las personas trabajadoras de una Organización no quieren capacitarse, etc.
Todo gira alrededor del número 95, sino fíjense en el Americio, en Birmania y en los anteojos.
En realidad, el 95nM se aplica en casi todos los órdenes de la vida, por lo menos en el planeta
Tierra.
A lo largo de la lectura -si es que tempranamente no la abandonan-, encontraran frases o palabras

repetidas, inventadas o sin sentido. No traten de entenderlas, son así, y tengan a mano un
buscador Web para las palabras no habituales que se presentarán, como por ejemplo ‘piastra’ en
la hoja anterior.
Página 7
En orden de aparición por número de página, algunos de estos términos inentendibles son:
Manuel, Emilio, Play, Raviol, Seguridadinformáticamente, Bilardeano, Sabelista, Raviolitos,
Raviolones, Empleados acomodados, Ñoqui, Minedumbre, Pentestear, Vasitodeaguaware,
Backupear, Restorear, Botneros, Manualería Inversa, Seeeee, Naaaa, Iutube, Tutube, Chapear,
Fasebuk, Googleen, Bingeen, Duckduckdeen, Ganso, Vago, Facebook hacking, Tinder Hari,
Buchonear, Bañero, Skimistas, Caja chica, Anti-usuariodeshonesto, Barra brava y Zerodaysware.
Deberían ir hacia el final de todos los textos, al “glosario” para saber de qué queremos hablar o
intentamos determinar.
Los vocablos o modismos que no entiendan y no estén en el glosario, los pueden buscar en la Web
o me pueden mandan un Emilio o un tuit.
Puede ser que la lectura no lleve un cierto orden. Es para que no se duerman mientras lo leen y
para seguir con un estilo de redacción denominado “descontracturante”, o sea, casi sin sentido
armónico.
Finalmente, en los párrafos, citas, frases o números se encuentran algunos homenajes. A ellos,
posteridad.
Ahora sí.
Había a una vez…
Página 8
El comienzo de un Administrador de Seguridad
Escenario número 1:
Nos nombran o contratan como Administrador de Seguridad por nuestro curriculum vitae, por
nuestros estudios o por capacidad. Tenemos un área formada por profesionales de informática,
técnicos especializados, expertos en telecomunicaciones, desarrolladores, abogados con
orientación en computación y hasta secretarias. Las instalaciones edilicias son muy confortables.
Somos escuchados por los directores y gerentes, y respetados por los usuarios.
Es “el” escenario ideal. Muy difícil de encontrar.
nuestros estudios o por capacidad y nos dejan formar el área a nuestro parecer, con todos los
recursos que solicitemos.
Escenario ideal. Difícil de encontrar.
nuestros estudios o por capacidad. El oficial anterior renunció y nos dejan a las dos personas que
trabajan en el área; una de las cuales tiene carpeta médica por problemas de fobias laborales sin
fecha cierta de reincorporación y la otra tiene algún conocimiento en diseño de páginas Web, pero
llega a trabajar al medio día porque practica squash y a las 4 de la tarde da clases de redes en un
Instituto de computación cercano a la Organización.
Escenario lamentable. Seguro de encontrar.
Nos nombran o contratan como Administrador de Seguridad por nuestro curriculum vitae o por
nuestros estudios o por capacidad. El oficial anterior renunció. El área no cuenta con personal. No
hay presupuesto. Nos miran todos con recelo y se frotan las manos al conocernos.
Escenario lamentable. Muy seguro de encontrar.
Algún jefe o superior viene al piso en que trabajamos (Sistemas, Contable, Recursos Humanos,
Fotocopiadora, etc.) y pregunta:
¿Alguien aquí que sepa computación, que sepa jugar a la ‘play’ o que esté cursando “algo de
computación” en la Universidad?
…….un inocente que tímidamente dice SI, ni siquiera un SÍÍÍÍÍÍ.
Bueno, a partir de hoy serás el jefe de Seguridad Informática del Organismo. Felicitaciones.
Escenario extra-large-lamentable y normal. Muy seguro de encontrar.
Combinación de los escenarios 4 y 5.
El mismo con el que llegaron ustedes, caros lectores, o al cual estarán llegando.
Página 9
Sensaciones de un Administrador de Seguridad
Escenario Normal
Persona mal vista por el 95nM de los usuarios, directores, coordinadores y gerentes.
Incomprendido en sus ideas y labores.
Trabajador sin o con escasos recursos humanos, tecnológicos y financieros.
Escenario Ideal
Persona bien vista por el 95nM de los usuarios, directores, coordinadores y gerentes.
Idealizado a partir de sus ideas y labores.
Trabajador con prolíficos recursos humanos, tecnológicos y financieros.
Escenario Optimista
Un mix de los dos escenarios nombrados (normal e ideal).
Persona bien vista por el 40% de los usuarios, directores, coordinadores y gerentes.
En ocasiones idealizado a partir de sus ideas, sus labores, en otros momentos incomprendido, en
otros momentos ignorado.
Trabajador con limitados recursos humanos, tecnológicos y financieros.
Desembrollo del 95nM = Ampliación del ensayo sobre el número 95.
Número mágico del Administrador de Seguridad: ‘95’ o ‘95nM’, ‘95 número mágico’, o ‘95%’.
El 95nM es el número y porcentual realista de los hechos que se suceden en una Organización, a
saber:
Cuando estudiamos seguridad informática, una típica afirmación de los profesores es que “el ‘75%’
de los ataques a una empresa son hechos por el personal interno”.
Además, suele ser una pregunta de examen o certificación.
Éste número es una mentira, ya que en la práctica sabemos que “el ‘95%’ de los ataques a una
empresa son hechos por el personal interno”.
Podría ser el 99% también, pero sería llevarlo al extremo de los ejemplos, por lo que en el 95
encontramos el número perfecto para graficar estas situaciones.
Volviendo al caso de los ataques internos, lo explicaremos de la siguiente manera:
Una Organización típica tendrá que protegerse de los ataques externos con dispositivos y
aplicaciones como: firewalls, antivirus, IPS, IDS, bloqueo de contenidos Web, análisis de tráfico,
anti-SPAM, anti-BOTNET, anti-APT, anti-DDOS, anti-PISHING, anti-RANSOMWARE, etc., etc., y más
anti-etcéteras.
A partir del 95nM, podemos decir que un 5% de los ataques son externos, ya que voy a tener
como punto de ingreso externo de dichas agresiones, una o dos bocas “legales” que me
comunican con el exterior -en situaciones normales- y que, como Administradores de Seguridad
tendremos que cerrar con todos los dispositivos posibles. Es decir, por una misma vía me van a
tratar de ingresar los virus, troyanos, malware en general, bombas lógicas, botnets, APTs y la más
incontrolable de todas las amenazas, de consecuencias rápidas y peligrosas: la “ingeniería social”
practicada por seres humanos…
Página 10
¿Cómo se debería llamar el Área de Seguridad?
Antes de colgar el Área de Seguridad en el organigrama, debemos nombrarla

correctamente, ya que estas representaciones gráficas con forma de letras no se modifican
constantemente, por lo menos en el papel.
Página 11
Lo que tenemos en claro es la diferencia entre la “seguridad informática” y la “seguridad de la

información”. Mientras que la “informática” se dedica a los temas relacionados con los medios
informáticos, computacionales o electrónicos; la “de la información” abarca los datos procesados y
no procesados que encontramos en papel, en conversaciones presenciales orales, gesticulares,
telefónicas, en cestos de basura, en el ascensor, etc.
Es un poco más amplia cada definición, pero en resumen y a grandes rasgos, de ésos asuntos se
trata.
¿La seguridad informática, por nombre propio, abarca por sí sola a la seguridad de la
información…? En parte sí. ¿Qué hacemos con la parte que no?
¿La seguridad de la información, por nombre propio, abarca por sí sola a la seguridad
informática…? En gran parte sí. ¿Qué hacemos con la parte que no?
¿Si en un raviol del organigrama leemos que un Departamento se llama Recursos Humanos
entendemos de qué se trata, qué abarca? Comúnmente sí.
¿Si en un raviol del organigrama leemos que un Departamento se llama Seguridad Informática
entendemos de qué se trata, qué abarca? Frecuentemente ní. Para la gente común de la
Organización tiene que ver con computadoras. Para la gente de TI tiene que ver con informática
tendiendo a información (o por lo menos eso queremos pensar...).
¿Si en un raviol leemos que un Departamento se llama Seguridad de la Información entendemos

de se trata, que abarca? Mayoritariamente no, con escasa tendencia a ni. Para la gente común de
la Organización tiene que ver con el Área de Prensa, con Administración, con un área fantasma de
esas que se inventan crean para amontonar ineptos. Para la gente de TI tiene que ver con
información en cualquier medio de propagación y almacenamiento.
Esa dicotomía, ¿le sirve al Área de Seguridad para un futuro resguardo, ante un incidente, a la hora
de encontrar al responsable? Podría ser. Pregunto:
- ¿Tendría que haber un Área de Seguridad Informática y un Área de Seguridad de la

Información?
- ¿Las dos áreas deberían depender de Sistemas o Tecnología?
- ¿Seguridad Informática dependería de Sistemas y Seguridad de la Información sería un
área nueva y separada de su hermana Sistemas?
- ¿Seguridad Informática subordinada a la Gerencia General?
- ¿Seguridad de la Información sometida a la Gerencia General?
- ¿Seguridad de la Información obedecería al Área de RR. HH. y Organización?
Página 12
¿Cómo debería llamarse entonces el Área de Seguridad?:
- Seguridad Informática.
- Seguridad de la Información.
- Seguridad de la Informática y de la Información.
- Seguridad de la Información y de la Informática.
- Seguridad Informática/Información.
- Seguridad de las Ciencias Informáticas y Estudios de la Información.
- Ordenadores, Periféricos y Papeles Seguros.
- Área de Seguridad de las Sociedades.
- Ingeniería en Seguridad Segura.
- Ingeniería en Información Segura
- Seguridad, Sistemas e Información.
- Seguridad de la Tecnología de la Información.
- Tecnología de la Seguridad de la Información.
- Inseguridad Informática.
- Inseguridad de la Información.
- Inseguridades y Dudas de la Tecnología Informática y de la Información.
- Área Súper Secreta acerca de las Vulnerabilidades de la Tecnología Informática
Asociadas a la Información.
- Tecnología de la Inseguridad.
- Proyección de la Seguridad.
- Erradicación de la Inseguridad.
- Informática y Contrainformación.
- Área 95%.
- Sector 95.
Una vez que elegimos -o proponemos- el nombre para nuestra área, deberíamos definir el alcance
y el objetivo de la misma.
Si el área ya estaba conformada, ubicada en el organigrama y su alcance establecido, debemos ver

cuáles son nuestras responsabilidades y si es necesario hacer modificaciones, debemos
proponerlas.
Página 13
Organigrama
Una de las causas del fracaso en la gestión del Área de Seguridad Informática -además de
los gerentes y demás personal jerárquico- es el organigrama de la empresa.
Pueden estar todos los procesos, procedimientos, contingencias, circuitos administrativos y demás
documentos perfectamente redactados, entendidos y aprobados por el Comité de Seguridad de la
Información, la Gerencia General o la Dirección a la que pertenece el Área de Seguridad, pero si
dicha área es un raviol ubicado entre los últimos, sino en el último nivel de la Organización, la
llegada con poder de decisión a las gerencias y a los usuarios es prácticamente nula, y es lo que
suele suceder en la realidad.
Si el Área de Seguridad Informática no depende directamente de la Presidencia, la Gerencia

General o por lo menos está a la misma altura del Área de Auditoría Interna, su gestión se verá
débil antes los demás sectores de la empresa, organismo, organización o ente ya que serán
aceptadas las condiciones de trabajo impuestas por el Área de Seguridad solamente cuando les
“sirva” o, cuando las limitaciones aplicadas sean escasas o inofensivas.
Que el Área de Seguridad no se encuentre en los niveles superiores es la situación normal, o sea,
una situación 95nM en el organigrama y en la consideración de toda empresa.
Particularmente, creo que una de las soluciones podría ser que la Dirección de Tecnología
Informática, Dirección de Sistemas, Coordinación de Tecnología de la Información o como se llame
quién fuera el espacio que contiene a la “seguridad”, debería ser elevado a no menos de un
segundo nivel en el organigrama, en donde sus decisiones sí tengan el peso adecuado en la
Organización de manera de que sean cumplidas las directivas emanadas desde la “seguridad”.
Que dentro del organigrama de la Dirección de Sistemas, el Área de Seguridad sea el primer raviol,
y no el último como suele suceder y que dicha Área de Seguridad tenga una línea directa punteada
con la Gerencia General o el Área de Auditoría Interna. Es decir, que logre tener cierta
independencia de decisiones más allá de pertenecer a TI y con el certero aval de los sectores de
peso dentro de la entidad.
Igualmente, como veremos detalladamente en los próximos capítulos, tiene más “poder” y
decisión una persona cualquiera, independientemente de sus tareas o status laboral (en este caso
sería sus no-tareas y su status no-laboral) que una persona trabajadora y con buenas intenciones.
O, por lo menos en el 95nM de los casos.
Página 14
Ejemplo de un organigrama con un Área de Seguridad informática en escenario ideal, teórico, casi-
irreal y de pregunta de certificación:
Presidencia
Seguridad Auditoría
Informática Interna
RR. HH. Tesorería Administración
Proyectos
Informática
Desarrollo
Página 15
Así es el organigrama en una Organización (o en el 95nM de ellas) que incluye un Área de

Seguridad Informática.
Este ejemplo sería el de un Área de Seguridad Informática trabajando en un escenario normal, y en

el cual, si estuviéramos rindiendo un examen de certificación -injustamente- seríamos
“desaprobados” por presentarlo de la siguiente manera.
Presidencia
Asesores de Auditoría
Presidencia Interna
RR. HH. Finanzas Administración Legales
Informática
Proyectos
Informáticos
Desarrollo Calidad Redes de Datos
Soporte Seguridad
Técnico Informática
Página 16
¿Cómo diagramaríamos un organigrama de una Organización que

incluya Seguridad Informática?
La realidad indica que la ubicación en el raviol es -muchas veces- indiferente. La teoría dice
-por eso sólo se queda en una teoría- que el Área de Seguridad Informática de la Seguridad de la
Información debe estar ubicada en los niveles superiores, a la altura de Auditoría Interna.
Pero está totalmente demostrado que la ubicación en un raviol depende de la llegada que
tengamos hacia los niveles superiores, a los mismos horizontes, y a los niveles que se encuentran
ubicados por debajo de nosotros, y no es tan cierto que “niveles superiores dominan niveles
inferiores”.
Todo esto y mucho más, es la diferencia entre lo que un estudiante debe aprender y responder en
un examen porque de lo contrario reprueba, y lo que pasa en el trabajo en una situación real.
La efectiva y cruel distancia entre teoría y práctica.
Por ello, está más que demostrado que el “circuito administrativo y gerencial de una entidad se
mueve mucho más por decisiones personales en base a ‘intereses’ que a lo que dicen los
manuales, las políticas y los organigramas”.
Un Área de Seguridad que está en el nivel superior del organigrama puede publicar una norma o
una política aprobada por el Comité de Seguridad, de cumplimiento obligatorio y que, al llegar a
niveles inferiores, pero con mucho peso político dentro de una entidad -por apoyo interno o
externo-, determinados sectores o personal jornalero de éstos sectores se nos rían en la cara al ser
notificados, y hasta se nos burlen anunciándonos que no van a cumplir con nada de lo que les
digamos o notifiquemos.
En muchos casos llegan a advertirnos que nos abstengamos de seguir prohibiendo o recortando
permisos (pero las advertencias no son tan formales como lo describimos aquí).
Por lo expuesto, lo visto aquí lo podríamos sintetizar y citar como “nivel inferior se jacta de nivel
superior”.
Estemos ubicados dónde estemos ubicados, hagamos lo mejor posible por hacernos conocidos en
base a buenas acciones laborales, una escritura de definiciones concretas, no muy extensas y
posibles de realizar. Explicadas en un tono coloquial y entendible de tal manera que lo que
intentemos hacer por el bien -seguridadinformáticamente hablando- de los activos pase lo más
desapercibido posible en cuanto a lograr la menor reticencia al cambio de los quehaceres diarios,
pero efectivos desde lo laboral, individual y seguro.
Al momento de tener que explicar las nuevas políticas y los cambios en las labores durante las
presentaciones de comité o ante gerencias y finalmente ante usuarios en general, utilicen videos
didácticos para explicar los temas difíciles de entender; gráficos y presentaciones con imágenes de
dibujitos animados. Apelen a la risa y al conocimiento para “comprarse” a los circunstanciales
alumnos o participantes de las reuniones.
Página 17
Por ejemplo, un tema difícil de explicar y muy difícil de entender para el usuario común y no tan
común, ya sea indio o cacique, es el asunto de la firma digital.
Para ellos, la firma digital se refiere a la firma hológrafa escaneada e insertada en un archivo de
Word.
En este caso es más fácil explicar lo que no es firma digital mostrando imágenes de la firma
escaneada de John Lennon, el texto de la firma de los correos electrónicos, etc. De esta manera,
reconocerán todas las formas de visualizar no-firmas-digitales y entender por oposición lo que
pretendemos tratar de explicar.
Dentro del organigrama, las direcciones, áreas y sectores son operadas por “personas” qué, como
sabemos, son el eslabón más débil de la cadena de una Organización, de una sociedad y
finalmente de la seguridad.
A mi entender, los organigramas tendrían que ser estáticos sólo al momento de definir la
estructura de un ente. Es como la formación de un equipo de fútbol, al instante de presentar la
táctica y durante los primeros dos minutos, seguramente se mantendrán como en los papeles,
como en la creación: 4-3-3, 4-3-1-2, 3-5-1-1, 3-5-2 o 5-3-2. Disculpen los arqueros que quedan
siempre afuera, pero esto acontece porque es sabida su necesaria presencia. En tal caso agreguen
un 1-, a todas las formaciones.
Retomando la formación del organigrama, si hacemos un paralelismo con el fútbol, la formación

de una empresa típica sería: 2-3-9-25-33, 1-3-6-12, 2-7-27-57-58-12-38 o 1-7-12-2007.
En este caso, también la ubicación de ravioles es estática, solo en la teoría y por dos días
aproximadamente, ya que al igual que en el fútbol partimos de un inicial 3-5-2 ‘bilardeano’ o de un
5-3-2 ‘sabelista’ pero que al momento de inicio del match, al son del pitido del colegiado, una vez
que corre el balón, como el juego es dinámico, los jugadores se mueven, pueden ser expulsados,
cambia la táctica y demás vicisitudes del juego hacen que el inicial estático 5-3-2 pase a un
dinámico y temporal 3-3-3-1-1, 1-2-3-4-1 o 4-3 (por los expulsados (tarjeta roja)).
La formación inicial de los organigramas utilizados para la explicación del punto anterior, “Área de
Seguridad informática en escenario ideal, teórico, casi-irreal y de pregunta de certificación”, sería
1-2-3-1-1-1 y, para “Área de Seguridad Informática trabajando en un escenario normal, y en el
cual, si estuviéramos rindiendo un examen de certificación -injustamente- sacaríamos un
‘desaprobado’”, sería 1-2-4-1-1-3-2.
Retomando la formación del organigrama (repite), el cuadro estático e inicial se quedó en los
papeles.
A los dos días de la puesta en marcha de una Organización o a partir de una reorganización interna
de la estructura de la entidad y, como los ravioles son manejados por “seres humanos” y éstos por
relaciones pasionales, personales y de diversos intereses políticos, gremiales y en formato de
divisas, se pasó del inaugural 2-3-5-33 a un 2-9-38-14-87.
Apostilla: Una formación 2-7-27-57-58-12-38 indica que desde arriba hacia abajo, la primera línea
del organigrama está compuesta por 2 ravioles, la segunda por 7 ravioles, la tercera por 27
ravioles y así hasta la última línea de 38 ravioles. A medida que avanzan en el tiempo, el 95nM de
las Organizaciones tiende a inaugurar despachos gerenciales en forma de “proyectos especiales”
Página 18
en los niveles superiores. En realidad son oficinas fantasmas que acumulan idiotas, de distintas
formas humanoides que de manera temporal pueden llegar a formar parte del organigrama de
papel, pero no del organigrama real y laboral empresarial.
¿A dónde quiero llegar? A que en el pórtico de entrada de una Organización, o si queremos ser
más íntimos y cuidadosos en cada piso (floor) del edificio, o en la Intranet, tendría que haber un
cartel electrónico de matriz de led en donde, como si fueran acciones de la Bolsa de Valores,
desfilen las gerencias, direcciones, áreas y sectores en un indicador luminoso señalando que:
- Una flecha color verde tonalidad esmeralda hacía arriba indique si para este momento
empresarial, un determinado sector está trabajando bien o muy bien.
- Dos flechas color azul tonalidad egipcio encontradas indiquen si determinada área
trabaja a ritmo normal o sin sobresaltos.
- Una flecha color rojo tonalidad bermellón apuntando hacia abajo indique si dicha
gerencia no es competitiva para la Organización.
Si no queremos invertir en cartelería podemos diseñar una aplicación para ser vista sólo en la
Intranet y que sea administrada por gente de bien, sino este experimento sería tan sospechoso
como algunos cuadrantes, cuadros o rankings de dudoso crédito.
Proyectos
Seguridad Compras
Especiales Diseño
informática
Señal: A las flechas se les podría agregar porcentajes, estadísticas (reales) o cualquier otro dato
que aporte claridad y organización a la representación de la entidad.
Este podría ser un método eficaz y fiel para ver cómo se mueve en realidad el flujo laboral de una
Organización, en donde seguramente los raviolitos tenderán a ascender al punto de ebullición
dentro de la olla (o empresa) y los raviolones tenderán a deshacerse en el fondo de la cacerola (o
empresa); aunque alguno hasta podría evaporarse de esta gran e inmensa cazuela de mariscos,
medusas, peces betta y peces payaso denominada “Organización”.
Finalmente pudimos ubicar o mejor dicho nos ubicaron dentro del organigrama, creemos que lo
mejor es estar o pertenecer a la Dirección de Informática, ya que casi todas nuestras tareas se
realizan mejor en conjunto con la gente de sectores como Soporte Técnico, Redes y
Comunicaciones de Datos, Aplicaciones Web, Correo Electrónico, Administración de Proyectos,
Calidad y/o Desarrollo; a partir de necesidades “informáticas” que requieren necesidades de
buenas prácticas en el manejo de la “información” y, mientras más cerca están nuestros
escritorios, teóricamente la comunicaciones “humanas” -fundamentalmente- serán más afines,
precisas y libres de ruido. Correspondería entonces definir qué Departamentos dentro de la
Dirección nos pertenecerían o se nos acercarían y qué equipos administraríamos.
Página 19
¿Cómo resolvemos este dilema?
Con algunas preguntas:
- ¿Quién debe administrar el firewall?

- ¿Quién debe administrar el antivirus?
- ¿Quién debe administrar el Data Center?
- ¿Quién debe administrar las cámaras de seguridad?
- ¿Con cuáles áreas debemos tener contacto directo? (líneas punteadas en el
organigrama).
o ¿Con la Dirección de Gestión Ambiental?
o ¿Con el Sector de Seguridad Física (guardias, vigilancia)?
o ¿Con el Área de Auditoría Interna?
o ¿Con el Área de Recursos Humanos?
¿Quién debe administrar el Firewall?
Estamos tratando con una Organización casi normal, en donde debe haber por lo menos
un Firewall.
Si están administrando una entidad y no tienen ningún firewall instalado, salgan corriendo
inmediatamente, exactamente ahora (y dejen la lectura de este Manuel para dentro de un rato) a
comprar uno y que sea “bueno”.
El firewall, lo podemos definir como un punto neurálgico, no sólo del Área de Sistemas o de
Seguridad sino del Organismo.
Desde mi perspectiva, claramente el Área de Seguridad Informática debe administrar el Firewall

Central y demás firewalls instalados.
Quien maneja el firewall ve todo lo que pasa a través de la red de datos del Organismo hacia
adentro, hacia afuera e internamente.
Administra usuarios (más allá de que exista un dominio), perfiles de navegación Web, ports, etc.
Según el tipo de firewall instalado, dispone de las VPNs, IDS, IPS, AV, anti-Malware, anti-Etc.
Es decir, posa la mirada sobre el bosque e incluye los árboles. Reitero, me parece fundamental que
el firewall sea administrado por Seguridad Informática, ya que desde este dispositivo puede llegar
a observar casi todo lo que pasa en una institución.
De no contar con la administración de los cortafuegos y aunque pertenezcan a la Dirección de

Sistemas, lo lógico sería que el Área de Seguridad apruebe o desapruebe todas las solicitudes para
altas, bajas o modificaciones pedidas sobre las reglas del firewall.
Quien maneje el firewall tendrá al alcance de la mano la puerta trasera -o delantera- del
Organismo para evadir todo tipo de controles.
En la mayoría de las Organizaciones, el dispositivo Firewall es administrado por el Área de Redes o

Telecomunicaciones, dependiendo de cómo se llame.
Página 20
En ese caso, lo más conveniente sería que el Área de Seguridad Informática administre o por lo
menos tenga credenciales de usuario administrador sobre un dispositivo analizador de eventos de
firewall o que, de mínima tenga acceso a una cuenta de usuario “monitor” sobre todos los
firewalls, en su defecto sobre los principales .
Esto sería conveniente si son pocos los equipos. Si son demasiados como para entrar a uno por
uno o eventualmente hacer un control al azar, la mejor decisión sería manejar reportes a partir de
administrar exclusivamente un dispositivo dedicado a análisis de logs o reportes que involucre a
todos los dispositivos.
¿Quién controla entonces que el Área de Seguridad esté haciendo bien las cosas y no utilice el
poder del firewall para permitirse todo aquello que les deniega a los demás usuarios, o para hacer
habilitaciones de reglas o perfiles a escondidas?
El Área de Auditoría Interna podría pedir los logs de eventos. Eventualmente, con personal
informático, inspeccionar las reglas incluidas en las políticas del firewall, o revisar los resultados e
informes de los pentets externos e internos presentados ante la Dirección de Informática, de
manera de hacer cumplir efectivamente las recomendaciones y hallazgos producidos por la
intrusión controlada.
¿Quién debe administrar el Antivirus?
Dependiendo del tamaño de la empresa, más si es pequeña en cantidad de usuarios,

podría pertenecer al Área de Seguridad. No me parece lo más acertado, pero en algunos lugares
funciona así. Son decisiones. A no ser que tengamos un Área de Seguridad tan grande que
podamos ubicar un Sector Antivirus dentro ésta misma área.
Generalmente la administración del antivirus se encuentra en el Área de Soporte Técnico.

Desde el Área de Seguridad se deben pedir reportes estándares cada determinado período de
tiempo o ante situaciones que lo requieran, que pueden ser sospechas, investigaciones,
estadísticas o ataques concretos y que nos servirán para revisar y entender el entorno del malware
dentro de la Organización.
Un perfil monitor o administrador sobre los dispositivos de antivirus tampoco está de más al
momento de poder monitorizar en cualquier momento la actividad de escaneo del dispositivo o
los cambios en las reglas de administración del equipo.
Página 21
¿Quién debe administrar el Data Center?
En algunas Organizaciones, el Data Center pertenece al Sector de Infraestructura o

Comunicaciones o Redes de Datos o como se llame. Lo que sí está claro es que debe pertenecer a
la Dirección de Sistemas.
¿Sería conveniente que lo administre el Área de Seguridad Informática?
En principio parece que “no” porque es una carga importante. En lo que sí debe involucrarse
Seguridad es en los controles, permisos e ingresos que se producen al recinto, escribiendo y/o
controlando la documentación y logs generados por las aplicaciones de control utilizadas en éste
espacio.
Anualmente o en ocasiones que lo ameriten, deberían hacerse relevamientos de los usuarios que
poseen ingresos permanentes, temporales, los que son administradores y de los equipos que son
alojados en esta sala.
Si no existen controles informáticos, debemos sentarnos a escribir procedimientos y formularios,

además de utilizar un libro de actas en donde se registre todo tipo de situación o incidente dentro
del Data Center. Estos son, desde ingresos y egresos de personal y equipamiento hasta los
incidentes de seguridad (aunque sean novedades) propiamente producidos.
¿Quién debe administrar las Cámaras IP o CCTV de Seguridad?
Seguramente el Área de Vigilancia debe estar al frente de las cámaras para la prevención
ante cualquier hecho de inseguridad, robo o hurto.
Además, la vigilancia mantiene contactos con la policía local y con las empresas que proveen el
personal de seguridad (vigiladores).
Las cámaras IP o de CCTV instaladas dentro de oficinas que funcionen como depósitos de archivos
en papel -incluida información histórica que podría ser quemada, ocultada, trasladada solicitada
ante allanamientos por parte de la policía-, las cámaras con sonido instaladas en salas de
reuniones o en oficinas en donde se suelen tomar decisiones: ¿también deben ser administradas
por la vigilancia?, ¿qué pasa en los Organismos en donde el servicio de vigilancia es contratado a
una empresa o agencia externa?
¿El Área de Seguridad Informática debería monitorizar o administrar las cámaras del Data Center?
Estas cámaras instaladas en sectores sensibles son puntos de falla en cuanto a la ayuda que le
puede brindar a personas mal intencionadas para cometer, mínimamente, actos de fuga de
información.
Entonces: ¿A quién le damos la administración de las cámaras IP o CCTV para las áreas que
creemos qué, de ser expuestas, las consecuencias de perder el control y la información que pasan
por allí serían inexcusables ante acusaciones de las áreas comprometidas e inclusive a la gerencia?
Página 22
En el caso de poseer un Data Center dentro del Organismo: ¿le otorgarían la administración de las
cámaras al Sector de Vigilancia?
¿Qué pasaría si las áreas sensibles de una Organización, administraran sus propias cámaras? -que
es lo que pasa en la realidad-.
Pasaría que las cámaras podrían apagarse momentáneamente justo en el instante en que sucedió
un ilícito, o que se hayan “borrado” -sin querer queriendo- las imágenes en el servidor, o incluso
llegar a “desaparecer” el servidor.
Creo que lo más conveniente es que el Sector de Vigilancia pertenezca al propio Organismo, por lo
menos el personal que administra las cámaras IP o CCTV. Por otra parte, me parecería que las
cámaras afectadas al Centro de Datos deberían ser monitorizadas por el personal de Seguridad
Informática, los cuales también podrían colaborar en la administración de las cámaras de los
sectores sensibles del Organismo, otorgándole credenciales de usuario “monitor” al personal
jerárquico responsable de dichas áreas.
No es la mejor solución que este tipo de personajes (personal jerárquico) tenga la posibilidad de
acceder al servidor de cámaras, como tampoco que tenga credenciales de usuario
“administrador”. Con este nivel de acceso, más la llegada (en metros) que podrían tener hasta el
servidor o hacia el personal que lo administra, la situación está abierta a que la novela del robo de
notebooks, cartuchos de impresoras o expedientes del sector “X” se titule: “que parezca un
accidente…”.
Cuando decimos que el personal jerárquico llega hasta el servidor, queremos decir que en muchas
oficinas, en vez de utilizar las cámaras de seguridad del Organismo -los irresponsables-, hacen
instalar sus propias cámaras, para sí ellos espiar a qué hora llegan y se retiran los empleados,
reírse de quien entra al baño, cuanto tiempo tarda en salir y qué están viendo en sus monitores.
Lógicamente, las cámaras fueron compradas en una librería que además vende teléfonos IP,
matafuegos y cámaras de seguridad de dudosa procedencia, con su correspondiente servidor (una
vieja PC).
Página 23
¿Quién debe resguardar las passwords de los sistemas y dispositivos

críticos?
Todas las passwords críticas deben ser registradas y guardadas en un sitio seguro. Todas
las passwords deben ser confeccionadas en forma robusta, fuerte. Todas las passwords son
importantes. Repetimos: “todas las passwords son importantes”.
Definimos como “password crítica” a toda aquella contraseña de perfil administrador o usuario
con altos privilegios de: sistemas, aplicaciones y dispositivos qué, por su utilidad, complejidad e
información que procesan merecen ser resguardadas en forma privada, debido al riesgo que
causaría que dichas credenciales caigan en poder de usuarios que por sus actividades laborales o
por el riesgo de sus malas prácticas, harían tambalear la seguridad de los activos de una
Organización.
Además, deberán ser resguardadas para ser descubiertas y utilizadas en caso de contingencia,
restore, despido, renuncia, deserción u óbito.
Para este punto, denominaremos “sitio seguro” o “casi seguro” a una caja de seguridad digital
electrónica y con llave (que puede ser la misma que utilizaremos para resguardar el Plan de
Contingencia y Backup, como veremos avanzando en la lectura de este papiro).
La apertura de dicha caja deberá estar protegida por una contraseña repartida y confeccionada
entre dos personas (jefe de TI y jefe de Seguridad, jefe de TI y jefe de Sistemas, jefe de Seguridad y
jefe de Sistemas o la combinación de usuarios que más presencia tenga dentro de una
organización de seguridad).
Llamamos “contraseña repartida” a una password de por lo menos 12 (doce) dígitos en donde una
persona conoce los primeros seis dígitos y la otra persona conoce los últimos seis dígitos.
Nota de color: No se fastidien ni se disgusten, pero al principio, este método de apertura de caja
funciona a la perfección, como si estuviésemos en una zona restringida del octavo subsuelo de la
NSA. Luego de un corto período de tiempo, las dos personas que confeccionaron la password
conocen la totalidad de los doce dígitos y en un nuevo ciclo, como ninguno de los dos se acuerda
de los doce dígitos, ni tampoco están en la oficina cuando se necesita abrirla, la caja la abre la
secretaria, que tiene anotada la “súper password de apertura de caja de seguridad de contraseñas
súper críticas en su libro íntimo” y por las dudas, -precavida ella- por si llegase a perder su libro
íntimo, una copia de las contraseñas en el aplicativo “notas” del teléfono celular.
Al tiempo, notarán que en su interior, la caja de seguridad se parecerá al cajón de una mesita de
luz en donde se mezclan biblioratos, sobres con passwords, monederos, cadenitas, dijes, etc.
Página 24
El procedimiento de almacenamiento y registro de password debería (podría) ser:
Dependiendo de la criticidad de los equipos:
- Establecer un período de tiempo para cada sistema y dispositivo en el cual se debe

renovar la password.
- Al principio se utiliza un sobre de papel que contiene la password de administrador de
las principales cuentas de usuario que administran sistemas o equipos.
- Esta fastidiosa tarea de anotar y guardar en un sobre una contraseña, hace que se
cambie el procedimiento de almacenamiento y registro de password por el siguiente:
- El jefe de cada sector de la Organización que maneja contraseñas críticas (el 95nM de
estos sectores pertenecen a TI) le entrega al jefe de Seguridad, un sobre de papel que
contiene en una, dos o tres hojas de papel la siguiente información:
o Nombre y apellido del administrador.
o Nombre del sistema o dispositivo.
o IP, puerto (si es necesario).
o Nombre de usuario.
o Password.
- El sobre de papel en presencia del jefe de Seguridad y antes de cerrarlo, lo firman el
responsable del área que entrega las password y el jefe de Seguridad, cruzando dicho
autógrafo entre la solapa de apertura y cierre del mismo. Sobre un costado de las
firmas se escribe la fecha: incluyendo día, mes y año.
- Una vez firmado, se procederá a cerrar el sobre lacrando el mismo con cinta adhesiva
o similar, cubriendo en forma transparente la totalidad de la apertura del sobre, las
firmas y la fecha.
- En un libro de actas se dejará asentada la operación escribiendo:
o Nombre y apellido del administrador o jefe que concurrió a este solemne acto
con el sobre.
o Nombre del sistema o dispositivo.
o Fecha en que se guarda el sobre.
o Fecha de caducidad de la/s password/s contenida/s en el sobre.
o Firman el administrador o jefe de área correspondiente, y el jefe de Seguridad.
o En un campo ‘observaciones’, completamos qué, para este acto se ha
realizado un/a:
Registro de password.
Modificación de password.
Vencimiento de password.
Apertura de sobre por contingencia, restore, o motivo determinado.
Destrucción de sobre, papel, documentos, CD/DVD, pendrive, otro.
- Cuando sea el jefe de Seguridad quien deba resguardar la password, firman el sobre: el
jefe de Sistemas, jefe de TI, ambos o cualquier administrador designado para tal
función extraordinaria.
- Cuando sea el jefe de Sistemas o jefe de TI quien deba resguardar la password, firman
el sobre: el jefe de Sistemas o jefe de TI (dependiendo quien quede libre de este
resguardo) y el jefe de Seguridad.
Página 25
- En el caso de que la función de jefe de Sistemas o jefe de TI sea cumplida por la misma
persona, firman: el jefe de Seguridad y cualquier administrador designado para tal
función extraordinaria.
- En casos especiales en donde se deba resguardar o abrir un sobre y no se encuentren
en la oficina el Jefe de TI, jefe de Sistemas y/o jefe de Seguridad; quien esté a cargo de
la Dirección de Sistemas firma en carácter de “extraordinario” y designa a la otra
persona que también firma en carácter de “extraordinario”. Este es un caso atípico, ya
que no tendría que haber responsables de TI ni de Seguridad en un momento de
urgencia dado.
- Aclaración: Las tareas desarrolladas para el libro de actas, también pueden llegar a ser
temporales. Luego de un cierto período de tiempo de trabajo a conciencia, dadas las
quejas por el tiempo perdido y burocracia dispensadas por los administradores, no
sería extraño que solamente nos quede como procedimiento el sobre cerrado en la
caja de seguridad.
- Segunda aclaración: Papel/es es/son una, dos o tres hoja/s de papel que pueden
contener passwords o determinada, breve, o resumida información.
- Segunda aclaración y ½: Documento/s se refiere a una gran cantidad de papeles de

una misma temática. Podría ser un Plan de Contingencia, de Backup, proyecto, etc.
- Dada la confidencialidad de la información que custodia el libro de actas, el mismo

debería ser guardado en una caja de seguridad. Por ello, al momento de evaluar la
compra de la mencionada caja, pensemos en comprar una de tamaño considerable,
como para no dejar ningún documento fuera de ella, y previendo que a futuro sea
mayor la cantidad de documentos que se guarden allí.
- Si la caja es ignifuga, mejor aún.
- Si la caja esta empotrada a la pared o al piso, mejor aún.
Como es muy importante el resguardo de passwords, es también muy importante el

procedimiento de destrucción de los sobres o papeles que contienen las passwords, los planes de
contingencia que son modificados o eliminados, demás información privada o confidencial que
podría estar almacenada en formato CD/DVD/Blu-Ray/Pendrive y las tarjetas de acceso al Data
Center o sectores con entrada restringida.
Para cumplir con esta demolición de información y sus medios contenedores, debemos invertir en
una máquina destructora, trituradora de papel, de documentos, de tarjetas, de CD/DVD/Blu-
Ray/Pendrive, ¿de drones?, etc. Entonces tenemos:
Destrucción de la información:
Se debe destruir todo papel, sobre, documento, CD/DVD/Blu-Ray/Pendrive/memoria flash/vinilo

y/o informe de carácter confidencial que amerite su desbaste al ser descubierto, abierto,
modificado o eliminado.
Página 26
Dependiendo de la criticidad de la información a destruir y si la máquina destructora, trituradora

de papel y demás materiales no es suficientemente poderosa para desintegrar la evidencia de
datos, debemos pasar a la incineración manual de información en un lugar específico de la
Organización o contratando a una empresa dedicada al mencionado rubro.
Si la incineración manual no nos deja tranquilos por la extrema confidencialidad de información

manejada, tendremos que optar por la incineración natural que sólo es consumada en centros de
desbaste peculiares como:
- Kilauea.
- Piton de la Fournaise.
- San Marcelino.
- Shilveluch.
- Tungurahua.
- Galera.
- Mayon.
- Ubinas.
Página 27
¿Con cuáles áreas debemos tener contacto directo? (líneas

punteadas en el organigrama)
(Describimos como líneas punteadas a las líneas imaginarias que son las que se deberían dar (o ya
se dan) de hecho, y que se refieren a los contactos directos de interacción que deben darse entre
el personal del Área de Seguridad y demás personal de las distintas áreas que conforman una
Organización)
El Área de Seguridad se nutre de información proveniente de muchos sectores de una

Organización, y necesita que diversas áreas apoyen (cumplan) las políticas y resoluciones
enunciadas desde aquí.
Requiere colaboración de todos los sectores pertenecientes a la Dirección de Sistemas, obviando

que el primero de sus colaboracionistas debe ser el propio Director.
Indudablemente, necesita del apoyo implícito de las Direcciones que están arriba de Sistemas
(recuerden que estamos en una estructura organizacional 95nM, en donde el Área de Seguridad
está en las últimas posiciones del organigrama). Sería ideal que la Gerencia General esté de
nuestro lado.
Por ejemplo, necesita que el Área de Recursos Humanos (líneas imaginarias) le envíe los ingresos,
las bajas, los egresos y las suspensiones del personal para proceder en consecuencia con sus
cuentas de logueo, de correo electrónico, de navegación Web, de dominio, etc. Además de la
importancia de éste sector para colaborar con el agregado de los contratos de confidencialidad
(NDA) en los legajos de los usuarios, de las sanciones efectivas y de cumplimiento obligatorio para
toda aquella persona que incumpla con las Políticas de Seguridad.
Conviene trazar líneas punteadas con el Área de Prensa Institucional para la difusión de
newsletters, comunicaciones varias de avisos preventivos sobre campañas de malware en forma
de pishing de Bancos, estafa nigeriana o ransomware.
Punteadas hacia el Área de Capacitación para el dictado de talleres, seminarios y cursos de

concientización en seguridad informática, seguridad de la información, o cuidados personales y
grupales en las redes sociales.
Y de esta manera, acercar posiciones con las Direcciones sustantivas de la Organización, de

manera de convencerlos con palabras y hechos de (in)seguridad sobre las bondades de cumplir y
trabajar en un ambiente de “buenas prácticas”.
Así las cosas -como dijimos y repetimos-, si estamos en el fondo del organigrama, las líneas
punteadas e imaginarias nos pondrán a una altura de discusión, decisión y operación con las
principales Direcciones qué -a favor nuestro- no es la representada en los papeles estructurados
organizacionales.
Página 28
El lobby hecho en base a hablar con la verdad, a conciencia, fundamentada y de manera

productiva para la seguridad, lo podríamos notar en un caso concreto:
En una reunión de Comité de Seguridad:

Si el Administrador de Seguridad, luego de explicar las consecuencias que produciría en la red de
datos del Organismo que todos los usuarios escuchen radio on-line, y le pide a los miembros del
comité que voten levantando la mano derecha si se puede aprobar la política de “NO” radio en el
ente, seguramente todos o casi todos levantarían la mano para aprobar la moción.
El lobby hecho en base de hablar con la verdad a medias, sin respuestas ante interrogantes y de
manera altanera, lo podríamos ver en un caso concreto:
En una reunión de Comité de Seguridad:

Si el Administrador de Seguridad, luego de explicar las consecuencias que produciría en el
Organismo que todos los usuarios tengan habilitados sus Webmails externos, y le pide a los
miembros del comité que voten levantando la mano izquierda si se puede aprobar la política de
“NO” Webmail externo en el ente, seguramente pocos o muy pocos levantarían la mano para
aprobar la moción.
Como explicaremos en el siguiente punto (Usuarios que atentan contra un Área de Seguridad
Informática), los mismos jerárquicos que aprueban las buenas prácticas, luego hacen un llamadito
telefónico pidiendo la excepción de la regla para él y para su grupo (secretarias, asesores, amigos,
asesores de amigos y amigos de asesores, entre muchos).
En este presente del día a día, los usuarios comunes y especialmente el personal jerárquico, los
“empleados acomodados” y las secretarias, se toman el tiempo del horario laboral y los recursos
laborales asignados, para desarrollar todas sus actividades personales, las de otros empleos, las
universitarias, y aquellas que no se atreven a hacer en sus hogares (descargas de archivos o
accesos a determinados sitios Web) pero sí en la oficina, conllevando el peligro del malware,
ransomware, botnets y todo tipo de ataques a sus ordenadores, y por ellos, a la red de datos
corporativa.
Todas estas labores de malas prácticas bajo la anuencia de sus jefes.
¿Por qué los empleados hacen estas actividades en el trabajo y no en el hogar?

Porque si se “rompe” una computadora, un sistema operativo o una aplicación por haber
ingresado a un sitio infectado, o por haber descargado un “videíto” (acompañado de malware), en
el trabajo llaman a Soporte Técnico para que les arreglen la PC.
En cambio en el hogar, hay que llamar a un soporte externo y pagar mucho dinero por el servicio.
Página 29
Usuarios que atentan contra un Área de Seguridad Informática
El primero que atenta contra una buena gestión de seguridad de la información es el mismo
Administrador de Seguridad, en el caso de que:
- No esté capacitado para el puesto y no busque ayuda interna y/o externa.

- No actualice sus conocimientos -casi- diariamente. Además de los estudios universitarios,
hay cursos de capacitación, jornadas, seminarios, Webinars, Webcast, blogs, listas de E-
mails, servicios de resúmenes de noticias, colegas, amigos, etc.; para seguir aprendiendo y
todo el tiempo.
- No se abra mentalmente a estudiar, capacitarse o aplicar otros conocimientos que no sean
informáticos o de gestión de la seguridad de la información.
- Crea que realmente sabe, y mucho.
Una vez que el Administrador de Seguridad está en carrera para administrar su área dentro de una
Organización, conoce sus fortalezas y debilidades y las del ente en cuestión, pudo redactar o
personalizar una Política de Seguridad o una “PUA” y conseguir que la misma se apruebe y
publique; se topará con la amenaza más seria y dañina a la que se puede enfrentar: el usuario.
Mucho más peligroso el interno que el externo. Y el interno, a más alto rango o escalafón mayor
peligro e impunidad.
Luego en peligrosidad y poder de destrucción vienen los ataques del más allá.
No todos, pero el 95nM de cada agrupamiento organizacional que nombramos aquí, le hará ver al
Administrador de Seguridad que para ellos se deben cumplir varias excepciones.
Más adelante percibiremos que, si bien redactamos lo que está permitido y lo que no, debe haber
un espacio para las excepciones (siempre que sean laborales y que no comprometan la seguridad
del Organismo). A pesar de ello, los grupos que conoceremos ahora van a pasar por arriba de las
excepciones, por lo que habrá que “documentar” siempre las “excepciones de las excepciones”.
¿Cómo influyen cada uno de estos grupos mafiosos para conseguir niveles de acceso de
navegación Web sólo autorizados a usuarios jerárquicos, a sitios Web no permitidos, a Webmails
externos, a escuchar música online, a sitios de descarga, Facebook, chat o videochat?
¡¿Cómo que no puedo abrir mí feissssbuuuuuuuukkk en la oficinaaaaaa!?, es el grito divino.
Ahora sí, usuarios que atentan contra la seguridad de una Organización. Entre otros, distinguimos:
- Secretarias lindas o feas voluptuosas: Para conseguir sus objetivos antes jefes, utilizan el
ataque táctico denominado “arremetida de escote” o “embestida de minifalda”.
Consiguen lo que quieren.
- Directores, personal jerárquico en general: Principalmente con llamados telefónicos de

sus secretarias, en ocasiones por ellos mismos, para saltar restricciones, saltearse
normativas y resoluciones o simplemente mencionado o invocando su cargo para accesos
no permitidos que ellos mismos “denegaron” para el uso de todo el personal.
Página 30
- Gremialistas: Con las típicas frases “compañero, nos está cortando la libertad de
expresión, la comunicación con los demás militantes y afiliados, y está pasando por arriba
de nuestros derechos”. También aduciendo que el gremio oponente tiene más accesos
que el suyo.
- Ñoquis: Por el poco tiempo que pasan en la oficina y para que no estorben a los demás
usuarios, hay que darles acceso a los sitios de juegos on-line, películas y partidos de fútbol
en directo (según la visión de sus jefes).
- Acomodados: Similar a los ñoquis pero con un gran poder de influencias y un tono de
solicitud de accesos Web o dispositivos muy altanero, altivo, engreído, arrogante,
presumido, petulante, vanidoso, envanecido, orgulloso y/o soberbio.
El usuario en general, sea de rango bajo, medio o alto, es desafiante para con la gente de
Seguridad.
Siempre está a la expectativa de ver cómo puede obtener navegación Web sin filtros, sin
restricciones, de conectar sus dispositivos personales -mayoritariamente de juegos o música-,
instalar o buscar conexiones inalámbricas externas y si son sin contraseñas, mejor aún.
Rastrean programas o sitios Web alternativos o camuflados hacia los sitios prohibidos en su uso
dentro de la Organización, principalmente los que apuntan a redes sociales, chat, videollamadas,
descargas de música, películas o streaming en general.
Para la seguridad, la batalla entre el bien y el mal es interminable, agotante e irritante.
Mientras más aplicaciones, puertos y páginas Web cerramos, más aplicaciones, puertos y páginas
Web investigan y tantean sin preocuparse sin son páginas o aplicaciones peligrosas, ilegales, falsas
o de pago.
¿Por qué no les importa lo que descarguen o instalen en su computadora laboral?
Porque si se rompe, se infecta con malware o desconfigura, llaman inmediatamente al Área de

Soporte Técnico bajo la excusa del: “yo no hice nada”, “no sé cómo se instaló eso ahí”, “habrá sido
mi compañero cuando yo no estaba”, “ustedes me habrán metido el virus y ahora me culpan a
mí”, “¿ustedes saben quién es mi tío aquí dentro?, ¿los voy a hacer echar por mi papá que es
amigo del Director del Sector de Proyectos Espaciales y Especiales acerca de la caída de rocío en
los gladiolos”; y demás pretextos desagradables al oído de la seguridad.
A favor nuestro, cuando estamos rastreando a un sospechoso de ingreso a sitios Web o

aplicaciones maliciosas, y ya está viciado porque es la única tarea que desarrolla en la entidad,
tenemos que ir cerrándole el “caño” de a poco, de manera de estudiar bien sus pasos, ver que
métodos de conexión encubierta utiliza, si lleva consigo o instala un hardware singular o cómo
hace el camuflaje cuando una persona pasa cerca de su escritorio.
Página 31
Todo este lento paso a paso lo deberíamos continuar si es que sus actividades no son peligrosas
para la información, imagen institucional, equipos que maneja la Organización o si es que la
(in)justicia interna no actúa en consecuencia.
En el caso de que sus acciones sí fueran peligrosas para el Organismo o para las personas mismas,
debemos actuar rápidamente y bloquear de manera repentina todas sus credenciales y el equipo
de trabajo asignado, bajo el concepto de “bloqueo preventivo”.
¿A quién tenemos de nuestro lado durante la gestión de la seguridad?:
- Usuarios responsables y trabajadores.

- Personal jerárquico responsable y trabajador.
- Secretarias no tan lindas ni voluptuosas.
- En resumen, el 5 % de la Organización.
Alianzas y aliados necesarios para la buena gestión de la Seguridad
Es fundamental para el éxito de la gestión. Máxime si no estamos en el raviol superior del

organigrama, encontrar a los “aliados de la causa”.
El principal coligado: nuestro Director o Superior de la Dirección o Coordinación que contenga al

Área de Seguridad.
De esta manera, por lo menos dentro de nuestra Dirección, hará que tengamos la potestad de
dirigir los principios de la seguridad de la información y a través de las buenas prácticas, lograr que
los demás sectores de la Organización -a través del buen ejemplo- opten por los beneficios de
cumplir con las pautas y procedimientos de seguridad establecidos.
Sería muy provechoso que el Área de Auditoría Interna también se encuentre involucrada y
alineada con las prácticas de seguridad, y que ellos mismos auditen y promocionen las buenas
praxis en todos los sectores involucrando a usuarios rasos y personal superior.
Se deben establecer lazos de compañerismo y amiguismo con el personal de los distintos sectores
(principalmente de auditoría, legales, contables, diversas mesas de entradas, servicios generales,
cafetería, etc.), y que por medio de distintas actividades fuera del horario laboral, como jugar al
fútbol, tenis, ir a recitales de bandas musicales, al cine, cantobar, asados o “after hours”, nos
permitan -entre pase y pase (de fútbol), copa y copa, jarra y jarra- intercambiar pensamientos,
metodologías de trabajo, ¿puntajes de los pisos ☺?, y ¿recetas de cocina?
Ayudarlos a tratar de resolver el dilema de qué tableta o Smartphone comprarse según la versión
del sistema operativo y las aplicaciones que corren; aconsejarlos del porqué debemos tapar con
cinta de color o un recorte de papel dibujado la cámara Web de la notebook; asegurarse de las
conexiones https cuando sean necesarias; y “todo tipo de intercambio de información que nos
sirva para que conozcan las actividades que se desarrollan en un Área de Seguridad de la
Información”.
Página 32
De esta forma, indirectamente lograremos involucrar voces portadoras de Seguridad en sus

respectivos sectores y hogares (doble concientización, doble regocijo para nosotros).
Asimismo, estas tareas nos servirán para tener una idea del grado de conocimiento o de las ganas
de implicarse en los temas de Seguridad por parte de los jefes o directores; de la gente que
frecuentamos en la Organización, conocer el estado de ingresos y egresos de expedientes, notas,
movimientos de usuarios en servicio, etc.
O sea, tomaremos todas las posibilidades que nos ofrece la carrera de Ingeniería Social pero, de
nuestro lado.
Todos los lazos a establecer con usuarios son importantes, desde el jefe de un sector, pasando por
el personal de una mesa de entradas hasta la gente que trabaja en la cafetería, limpieza o
choferes.
Hay mucha gente que erróneamente piensa qué, porque estas personas desarrollan una tarea de
llevar papeles, manejar vehículos, limpiar o servir café no escuchan, no ven, no piensan y no
razonan. Pensamiento equivocado si lo hay, ya que “ellos” manejan un alto grado de información,
a veces confidencial, y muchas veces privada que los mismos jefes desconocen por completo.
Dos tareas muy importantes a llevar a cabo por el Área de Seguridad son la concientización y la
capacitación.
A través de los encuentros fuera de la oficina arriba mencionados, y por el solo hecho de hablar e
intercambiar palabras con el personal de distintas áreas, ya estamos “capacitando” y
“concientizando”.
No sólo por platicar sobre temas laborales, sino a través de comentarios sobre las noticas actuales
que salen publicadas en diarios (periódicos), blogs o en televisión como lo son el robo de
identidad, los peligros de las redes sociales, las aplicaciones para Smartphones, el SPAM, el
pishing, la cotización del bitcoin, las tarjetas de crédito y las operaciones bancarias on-line.
Todas actividades que se entremezclan tanto en el trabajo como en la vida cotidiana de la gente.
Como concepto final, repetir y decir que es fundamental para el éxito de la gestión de la seguridad
y más allá de la ubicación en la que estamos perdidos en el organigrama y de la jerarquía del
usuario que tenemos enfrente, encontrar a los “aliados de la causa”.
Página 33
Concientización y Capacitación
Las dos actividades que se unen constantemente.
Son muy importantes para captar “socios de la seguridad” dentro del Organismo.
Las dos tareas son muy difíciles de llevar a cabo, ya que prácticamente al 95nM de las personas
pertenecientes a una Organización no le gusta estudiar ni capacitarse. Menos aún si durante la
capacitación no se ofrece café, té rojo, galletitas y se sortean tabletas, valijas porta notebooks,
calentadores para tazas USB, remeras o ‘pads’ de calaveras para el mouse (se conforman con
cualquier cosa).
Página 34
Solamente y siempre, un certificado de capacitación debería ser entregado al finalizar el

aprendizaje, ya sea un curso, un evento o una charla. No se debería llegar al punto de tener que
ofrecer tabletas, estadías, ¿millas de tren? o puntos laborales para que se anoten los participantes.
En este escenario, sólo los motiva el premio y no la capacitación, por lo cual, la atención y
concentración que presenten en el aula va a ser escasa hasta el momento del “sorteo”.
No hay mayor y verdadera satisfacción para un orador, la demostración de una sala llena -o no tan
llena- ocupada por gente que sigue con interés una cátedra, sea cual fuere el tema expuesto.
No hay mayor incomodidad para un orador que ofrecer (a menos que sea un vendedor) sus
conocimientos en una sala repleta de personas que no levantan la vista del Smartphone, de una
tableta, que hagan crucigramas, sudokus, garabatos o se pongan en “estado siesta” hasta el
momento de prestar atención pasándose del “estado siesta” a un “estado sorteo” o “estado
huida”.
Concientización
Concientización interna: como mencionamos en un principio, con nuestros compañeros de sector,
para luego seguir con los nuevos amigotes de fútbol, de birra, o de ¿sudoku?
Recuerden que aquí estamos en una Organización 95nM que incluye un Área de Seguridad
Informática dentro de -por ejemplo- una Dirección de Sistemas.
La concientización se puede hacer en la hora del almuerzo mediante ataques de David Hasselhof,
para que recuerden siempre la importancia de bloquear la computadora con protector de pantalla
y contraseña fuerte, de apagar el monitor, de suspender la PC al momento de ir al baño, de tomar
un refrigerio, de ir a almorzar, etc.
Tomemos el ataque David Hasselhoff como el más inofensivo de una serie de ataques un poco más
arriesgados. Éste ataque, de forma más artesanal se puede realizar en teléfonos celulares con
cámara fotográfica incorporada o tabletas tomando instantáneas imprudentes y estableciéndolas
como fondo de pantalla de estos aparatos.
Todo este ‘book’ de fotos que vamos armando, es sólo con fines de concientización, acerca de las
buenas prácticas que deben tener los usuarios.
También, a través de comunicaciones internas hacia las personas mediante la publicación de

newsletters de Seguridad de la Información distribuidos por el Área de Prensa y Difusión de
Noticias, de la misma Área de Seguridad enviados por E-mail, publicados en carteleras y en la
Intranet del Organismo.
Enviando correos electrónicos en forma regular con distintas noticias extraídas de diarios digitales
o blogs relacionadas con la seguridad de la información, que describan o informen o alerten sobre
sucesos actuales como lo son el empleo de mulas informáticas, botnets, pishing incluido en E-mail
de programas de beneficios de Bancos, compañías de viajes o turismo, malware para
Smartphones, denegación de servicio en televisores inteligentes, proyectos o leyes del tipo SOPA,
PIPA, ACTA o CISPA, grupos de hacktivismo, etc. Es decir; sacándolos de la temática laboral para
llevarlos a los problemas informáticos y de información a los que se enfrenta un ciudadano común
Página 35
y corriente todos los días de su alegre y productiva vida, y que la mayoría de ellos piensan que
“esto pasa sólo en las películas”.
Concientización externa: casi siempre se valora más o se presta mayor atención a la

concientización externa como lo podría ser realizando eventos internos de seguridad de la
información a través de consultoras, agencias o estudios jurídicos que hablen sobre robo de
identidad, leyes y delitos relacionados a la informática, CERTS de entidades bancarias, etc.
Ese es el pensamiento generalizado de la jefatura y del personal en general. Estas actividades,

mientras nos sirvan a nosotros para concientizar, bienvenidas sean.
Para demostrar nuestra capacidad o para dar a conocer nuestras actividades (ambas), siempre
deberíamos compartir escenario con las entidades externas que se llegan hacía nuestra
Organización para concientizar a los usuarios. Debemos tener nuestro espacio, ya sea cerrando la
jornada o haciendo un presentación más breve antes de la representación “principal”.
Capacitación
El personal que desarrolla sus tareas dentro de un Área de Seguridad necesariamente
debe vivir capacitándose, no sólo a través de foros, RSS, suscripciones a blogs o suplementos de
tecnología; sino que a través de cursos externos, por fuera del Organismo y en temas tales como
ethical hacking, vulnerabilidades en tecnología Wireless, delitos informáticos, informática jurídica,
informática forense, tecnología de teléfonos inteligentes, auditoria, pentest, sistemas operativos,
etc., etc., y “Facking Hacking de los Etcéteras”.
En lo posible, realizar una carrera universitaria o tecnicatura en Informática, diplomatura en

Dirección de Proyectos, certificaciones, ITIL y/o cualquier temática que nos permita abrir la mente
a distintos pensamientos o actividades no informáticas que nos van a servir como complemento al
desarrollo profesional y fundamentalmente, para la toma de decisiones.
En ocasiones, no encontraremos todas las respuestas a los problemas que se vayan suscitando
durante la gestión de la seguridad dentro de los manuales o guías, precisamente de seguridad.
La documentación que ya está escrita en lo referido a la buena gestión, a los caminos normales
para las buenas prácticas, a los estándares, hacen narraciones sobre lo que ya es conocido; cómo
se solucionan problemas repetidos en distintos ámbitos, pero:
- ¿Qué pasa cuando un problema es nuevo?, lo que sería un 0-Day-Problem.

- Soy el único al que por ahora le ha pasado: ¿Cómo salgo exitoso del nuevo desafío?
A veces, tampoco sabemos cómo implementar una buena idea dentro de la Organización por no
darnos cuenta de la mejor forma de llegar a los usuarios y a las gerencias que toman las
resoluciones.
Página 36
Una posible respuesta la podríamos encontrar por fuera del ámbito de TI.
A continuación, les presentamos la “Fábula de la idea y la lapicera negra”:
Once upon a time, caros lectores, un problema al que no le encontraban solución. Mágicamente,
¿esotéricamente?, misteriosamente, ¿éste problema, no se les resolvió “soñando” por las noches,
“dormitando” durante el almuerzo, esperando un micro, un tren o viendo en la tele a ‘Perry’ el
ornitorrinco?
¿Por qué viendo una película, escuchando una canción, leyendo revistas de turismo, de deportes o
libros que no tengan nada que ver con sistemas de información, computación o hacking, no
encontraríamos la resolución al caso que estamos buscando?
Cita obligada: I still haven´t found what I´m looking for - U2 - ☺.
Alarma: Generalmente en noches de insomnio, en viajes, cuando estén en medio de un problema

por resolver para el cual llevan días pensando “la” solución, redactando nuevas políticas o
pensado “qué” inventar y, hechizadamente, en un momento de increíble lucidez se nos presenta
“la” idea, “la” solución o “el” invento…, corran instantáneamente como si fueran Usain Bolt a
anotarlo en ese exacto y puntual momento ya que, por dejarnos llevar por la alegría del
descubrimiento y de pensar, ¡qué tonto!, ¡cómo no se me ocurrió antes!, ¡si era re fácil!; hasta
llegar al fatídico maléfico pensamiento:¡Mañana lo escribo!, ¡no me voy a levantar ahora a
anotarlo!, ¡si me lo acuerdo!, ¡si es muy fácil!
Mañana por la mañana es tarde, very tarde -demasiado tarde-.

Hacia el momento del alba, cual conjuro de Baco, la gran idea, el sueño americano, la solución
cabal: se esfumó de la neurona, la neurona murió y cuál ahogo en medio del mar, cerramos los
ojos, fruncimos la frente, nos rascamos la nariz, respiramos profundo y apretamos los puños
tratando de recordar la idea que dejamos escapar… Y ni siquiera vemos una mente en blanco, sino
que en la mente la visión es totalmente negra, totalmente oscura. Adiós gran idea. ¡Leka nosht!
Moraleja: En noches de idea, dejen una libreta y dos lapiceras negras sobre la mesita de luz.
-Fin de Fábula-
No solamente es sano para nuestra mente desviar la atención sobre la tecnología, sino que se
descubre un mundo encantador y al alcance de la mano, barato y en ocasiones gratis,
desparramado por este mundo.
Hay muchísima lectura recomendada, algunas que no deberían perderse (no leerse) y que
humildemente, podrían ser:
- El mercader de Venecia, de William Shakespeare (la resolución final es ¡impresionante!)

- El nombre de la rosa, de Umberto Eco
- El alquimista, de Paulo Coelho
- A sangre fría, de Truman Capote
- Cien años de soledad, de Gabriel García Márquez
- Rayuela, de Julio Cortázar
- El Aleph, de Jorge Luís Borges
Página 37
Cuando hablamos de capacitación, en realidad tenemos que hablar de que todo el personal debe
ser capacitado (ambos sentidos de la palabra ‘capacitado’ son válidos).
No sólo en/para “seguridad de la información”, sino que para cualquier actividad que realice y
aquí involucramos a todas las áreas que forman una entidad, independientemente de la profesión
o actividad que desarrollen.
Debiera capacitarse el director de RR. HH., el director de Compras y Suministros, el empleado de la

Mesa de Entradas y el personal de Fotocopiado.
Toda capacitación ayuda para el desarrollo de las tareas que se realizan, el desarrollo intelectual
como individuo y mantiene a las neuronas en funcionamiento activo para el bienestar personal y la
salud. También es necesario alimentarse con una dieta balanceada, que incluya todos los colores,
comer frutas, practicar deportes y establecer relaciones sociales ☺. Recordemos que todas estas
actividades nos ayudarán a conseguir “socios de la seguridad” para enaltecer la causa.
Actividades de capacitación:
Ciclos de cine o proyección de documentales, películas con temática de hackers a círculos de jefes
de distintos sectores involucrando a personal de soporte técnico y diversas áreas informáticas de
manera de que se conozcan, interactúen, les cuenten de manera amable y vulgar como trabajan
las impresoras, los servidores, Internet, Android, el GPS, Google, los skimmers en los ATMs, y
cualquier tema relacionado a Internet o a la electrónica. Por ahora, la computación cuántica ni se
la nombremos ☺.
La semana de la Seguridad Informática, en el mes de diciembre de cada año, es la gran

oportunidad para realizar la más importante campaña de capacitación y concientización.
Invitando a que participen de charlas o debates, Organizaciones dedicadas a la seguridad,
profesores destacados, hackers, empresas o quien pueda ofrecer un mensaje de aprendizaje en
Seguridad.
Durante el transcurso del año se podrían definir capacitaciones de ciclos cortos, con una duración
aproximada de una hora y tituladas como:
- Café + cine + concientización o,

- Picnic + cine + capacitación o,
- Almuerzo + debate + aprendizaje o,
- Asado + discurso + formación.
En todos los casos, invitando a pequeños grupos de usuarios, de distintos niveles y áreas, en
donde se expongan documentales, el uso de herramientas informáticas o cortos cinematográficos
referidos a redes sociales, robo de identidad, buenas prácticas en el uso del correo electrónico,
malware, Deep Web, dinero virtual, compras o transacciones on-line.
Charlas o videos para los padres con respecto a los peligros que se enfrentan los niños y los
jóvenes sobre el uso de la tecnología, el ciberbulling, el sexting, y el grooming; de manera de que
haya un doble mensaje de concientización para padres e hijos. Y más allá de concientizar a los
Página 38
empleados de una entidad, invitar en jornadas especiales a familiares y amigos, capacitando de

esta manera a la “sociedad de las ciudades”.
Reflexión: Ya sabemos que es muy práctico, útil y “cool” saber hablar inglés, pero:
- El idioma castellano, nativo de muchos países ubicados en el lado izquierdo (+ España y

alguno más) del mapamundi, es también un lenguaje muy rico en sustantivos, adjetivos,
verbos y expresiones, por lo cual:
- Si va a hacer una presentación: tómese el trabajo de traducir las palabras o textos del
inglés, udmurto, sundanés u otro idioma que no sea castellano, al castellano. Solamente
deje términos que no sean posibles de traducir, técnicos o internacionalizados como:
Smartphone, Tablet, Drone, Botnet, Windows, Zlatan, etc.
- Si va a mostrar un videoclip: tómese el trabajo de traducir o subtitular el/los diálogo/s del
alemán, wu, tuareg u otro idioma que no sea castellano, al castellano. Hay poca gente que
puede llevar una conversación de otra lengua a tempo. Hay gente que asiente con la
cabeza lo que no entiende para que la gente que está a su alrededor piense que sí está
entendiendo. Hay gente que se ríe porque otros se ríen y piensan que era gracioso, pero
en realidad el que empezó a reírse no tenía idea de lo que hablaban y para que se piensen
que sí sabe de lo que hablan se rio, de manera de que un ejército de tontos (con cariño)
hicieron una catarata de risas de algo para nada gracioso.
En referencia al dictado de cursos internos por parte del personal del Área de Seguridad
Informática, con el doble mensaje de capacitar y concientizar, además de acercarlos a la
seguridad, debemos tocar temas relacionados con el quehacer diario de los empleados, como por
ejemplo seguridad en Banca on-line o suplantación de identidad. No deberían faltar contenidos
sobre:
- Definiciones de hacker y crackers, ciberbullying, crimeware, trashing.

- Ingeniería Social *.
- Diferencias entre sistemas operativos y aplicaciones. Contraseñas robustas. Método
“deThi4-go”. ☺.
- IP, proxy, DNS, redes, Internet, hacktivismo, SPAM, pishing, estafa nigeriana, etc.
- E-mail, Webmail, Servicio Web, Defacement, acortadores de URL, otros.
- Virus, troyanos, malware, DDOS, botnets, ciberguerras y ciberdefensas.
- Tecnología Wireless.
- Nomophobia, Phubbing, FOMO (Fear Of Missing Out o miedo a perderse “algo”),
Whatsappitis, síndrome del mensaje fantasma, otras.
- Propiedad intelectual, leyes, decretos y resoluciones.
Página 39
*: Es sabido que el ser humano es el eslabón más débil de la cadena de la vida seguridad, por eso
la reiteración en temática referida a Ingeniería Social, ya que podemos tener como contraseña de
acceso a la computadora la password batre253HYTG_tH14g0p(21-We)”2=2@º1AmV7!&%w467g8,
el sistema operativo actualizado con todos los parches, al igual que las aplicaciones, navegadores
Web con todos los complementos de seguridad y anti-todo-lo-inseguro, la password del correo
electrónico a75Te82P-r10·a·$P3r4m1#€¬ñ34TtT%$49bv)/%”!%158hgIiPp=sed!, pero:
- Recibo un llamado telefónico de un supuesto empleado del Área de Soporte Técnico, que me
dice que hoy por la noche van a actualizar todas las computadoras, y por ese motivo tengo que
dejar el ordenador encendido y todas las aplicaciones que utilizo con la password ingresada y,
“yo”, como “confío” en el personal del Área de Soporte Técnico, voy a dejar la computadora
encendida y mañana cuando……….., ya es tarde, muy tarde, tardísimo.
Además, como hay gente que cuando va a hacer un engaño, lo hace completo, me pueden pedir
que:
- Deje anotado en una hoja de papel -que el personal del Área de Soporte Técnico dejará en
el escritorio- todas mis passwords, por si otro día ocurre algún problema y así no tener
que llamarnos a cualquier hora ¿?.
- Que el papel con las passwords lo deje pegado debajo del teclado, para que ninguna
persona que no sea de soporte técnico lo vea ¿?
- Que si por “seguridad” no las quiero dejar anotas en un papel, pegado debajo del teclado,
les mande todas las credenciales a la cuenta de E-mail de soporte técnico especial para
estos casos: KarterElPirata@notedejo.uncentavo.porton.to ¿?
- Que las personas que trabajan en Soporte Técnico se llamen Juan, Sebastián y Duván, pero
quien nos requirió que le dejemos las contraseñas se llame Salvador ¿?
Reflexión (repite): En los eventos, principalmente cuando venden exponen las empresas de
productos o servicios sobre un determinado producto o servicio exitoso para ellos y por lo cual -al
producto o a los compradores-, estas empresas los quieren presentar como grandes clientes o
casos de éxito, es entonces que me hago una extensa pregunta que dice más o menos lo siguiente:
¿Qué pasa con una entidad que maneja información confidencial, privada, como ser fórmulas,
historias clínicas, con industrias mineras o petroleras, entre otras y que, el “caso de éxito” son los
costosos y “seguros” discos de estado sólido y las memorias flash en forma de pendrive que
utilizan para manejar información “secreta” y que son publicitados en tales presentaciones,
perdiendo de esta manera la confidencialidad del producto adquirido y -dejándoles servida en
bandeja la posibilidad a gobiernos, empresas de la competencia o hackers de dudoso sombrero-
de adquirir el mismo producto para desarmarlo, descargar de Internet el manual de usuario,
aplicarle ingeniería reversa, entender su funcionamiento, descubrir, programar, bajar o comprar
vulnerabilidades del producto o aplicación para comenzar un APT (Amenaza Persistente
Avanzada), eliminar o detener el funcionamiento de una fábrica, empresa, industria o gobierno?
¿Cómo les “caería” a los compradores verse publicados, expuestos y tal vez “desnudos de
seguridad”?
Página 40
¿No deberían permanecer en el “anonimato” 27 todo el tiempo que le sea posible de manera de
minimizar los ataques?
27
Anonimato: Estado de conservación de una persona, idea o cosa que hace referencia a una
condición antigua por la cual una persona, idea o cosa podía permanecer “oculta” o
“desapercibida” por muchos años, meses, días, horas, increíblemente minutos y hasta segundos.
Hoy en día (año 2014 d. C.) es una utopía pensar o hablar de anonimato -lamentablemente-.
Metodología de capacitación
La capacitación debería (podría) ser la aplicada según el método “Cap-THI4GOción”, cuyo
enfoque “personal” sobre el “general” de los participantes (participante: ex referencia hacia el
término: alumno/s) de una clase, hace que los mismos se sientan apoyados en todo momento
para aprender más de lo que fueron a buscar al anotarse en una cursada.
Entre los principales focos de esta metodología de estudio tenemos que:
- El “participante firme” o “profesor” se pone al mismo nivel ciudadano de los demás

“participantes móviles” o “alumnos”. Esto es bajo la premisa de Albert Einstein: “todos
somos muy ignorantes, lo que pasa es que no todos ignoramos las mismas cosas”.
- El objetivo de las cursadas es que todos aprendan, que se sientan cómodos a través de
una relación amena, y que el aula sea lo más agradable posible.
- Para explicar la teoría, se debe recurrir a desarrollar el tema a dictar con la ayuda de la
proyección de videos digitales, de herramientas gráficas, de música, páginas Web
interactivas, sitios de mashups, y todas aquellas técnicas visuales y auditivas que llamen la
atención y ayuden a entender mejor cualquier contenido, más aún, si son difíciles de
explicar y/o de comprender.
- De no poder contar con la mencionada tecnología, se debe recurrir al uso de maquetas,
dibujos o anotaciones en cartulinas, en hojas o en pizarrones. En lo posible con colores
variados, vivos, con recortes de diarios o revistas. Finalmente de no contar con nada, la
pared. Una pared con fórmulas, con escritos, con definiciones es una pared viva, que
transmite.
- Antes de comenzar cada clase, a medida que llegan los participantes y hasta el comienzo
de la misma, se pueden proyectar videos musicales, reproducir canciones o mostrar sitios
Web con noticias de actualidad. Es decir, que lleguen a la cursada distendidos en un lindo,
entretenido y encantador clima.
- Si existe un momento tenso y torturante durante una cursada es el fatídico momento del
“examen”, y más en los finales o los que definen situaciones. No todos llegan preparados
emocionalmente de la misma manera, por lo cual, alguien perfectamente entendido
puede estar segregando corticosterona (C21H30O4). En este estado y hasta que no pase el
peligro (examen), no recuperará los conocimientos adquiridos y no podrá demostrar lo
que realmente sabe e injustamente será desaprobado.
Página 41
- Si el examen es del tipo de respuesta multiplechoice, una persona sin conocimientos y con
algo al cuadrado de suerte (As), aprobará la cursada y sin saber prácticamente nada
obtendrá un certificado para trabajar en algo que no sabe, poniendo en peligro a la
sociedad y dejando sin trabajo a una persona perfectamente calificada para una
ocupación.
- Por ello, según el método “Cap-THI4GOción”, lo recomendado desde un primer momento

de la cursada, es avisar que existe un examen final (lamentablemente), que el mismo es
una formalidad (afortunadamente), que con sólo una pregunta bien contestada el examen
estará aprobado, pero que la nota final la conforman -además de la prueba escrita-: tener
una asistencia superior al 70 u 80 % de la cursada y fundamentalmente, el concepto
general del alumno: haberse inscripto “motu proprio”, tener ganas de aprender y en
mayor o menor medida participar de la clase como principales actividades (depende del
carácter de las personas).
- Finalmente, el examen encubierto es en realidad un “cuestionario” con ejercicios de

multiplechoice (sin trampas ni preguntas capciosas) de manera de que fácilmente puedan
encontrar la respuesta correcta para fijar el concepto en la mente sana in corpore sano.
Incorporar al examen: dibujos, figuras o impresiones de pantalla y que encuentren lo que
está mal. Desarrollar texto y que escriban conceptualmente lo que entiendan que están
escribiendo y porqué. Agregar ejercicios o temas relacionados con el curso pero
desarrollados en un ambiente cotidiano, etc.
- Mejor aún, es que el examen se lo puedan llevar a sus hogares y otorgarles entre cuatro
días y una semana de tiempo para realizarlo. Avisarles que la prueba es a carpeta o libro
abierto.
¿Que ganamos con que el examen sea a texto abierto?: que lean todo el contenido de la
cursada por lo menos 2 veces más (la cursada + la evaluación). Con todas estas ventajas -
generalmente-, los participantes móviles que más saben no hacen todas las respuestas
correctas y por el contrario, responden casi todas las preguntas en forma correcta quienes
menos sabían antes y durante la cursada.
- La nota final será “aprobado” o “desaprobado” ya que es un todo conceptual, no sólo un
examen.
- Por último, ha pasado que, a través de la confianza generada por el participante firme o
“profesor”, éste ha mejorado sus conocimientos a través de nuevos ejemplos y preguntas
por parte de los “alumnos” o participantes móviles; y éstos, de prácticamente saber poco
o nada sobre un tema específico, ahora lo saben concretamente e incorporaron nuevos
conocimientos.
- Se cierra el círculo de conocimiento, concientización y vínculos personales.
Más información sobre este método de enseñanza lo pueden encontrar en la Web, o escribirme.
Página 42
Tips o cuasi consejos previos a capacitar

Antes de “enfrentar” a los participantes de las clases (“enfrentar” por estar enfrentados según
la distribución del mobiliario de un aula: 1 participante firme = n participantes móviles (típica clase
estándar)), de una charla o de una presentación deberíamos:
- Tener todo el material a exponer terminado (como último plazo de exigencia) desde el día
anterior y testeado.
- Encender el ordenador (normalmente notebook) que utilizaremos para el evento por lo
menos una hora antes del inicio, ya que de “actualizarse” el sistema operativo, el
navegador o las aplicaciones que utilizaremos, con una hora anticipación tendríamos el
tiempo suficiente para la actualización, reconfiguración, adaptación y reinicio del equipo.
- Si la notebook que vamos a utilizar en la presentación es de uso general (la presta el
organizador del evento), debemos llevar distintas versiones de los documentos a mostrar.
- Antes de las primeras presentaciones, deberíamos practicar, realizando la misma jornada
o distintas partes de ella, ante algunos de nuestros compañeros, para que sean ellos los
que nos propongan corregir errores de postura, de pronunciación, de repetir las mismas
palabras con asidua frecuencia, de no entender qué es lo que se quiere explicar, etc.
- Además, podrían filmar parte de la charla (la charla de entrenamiento también podría
filmarse) para que nosotros mismos corroboremos los gestos, ademanes y posturas malas
o deficientes que ejecutamos, como por ejemplo ser demasiados expresivos con los
brazos, caminar sin prácticamente detenerse a lo ancho de la sala, etc.
- Si durante la elaboración o el repaso de la presentación hay palabras o frases que nos
cuesta recordar, deberíamos dejarlas anotadas en un lugar visible y en donde pasemos
mucho tiempo de manera de que “ésa” palabra, palabras o frase nos ingrese visualmente
a los confines de la mente.
- Confesión: en mi caso, en todo curso o charla y de manera imprevista ingreso en un
estado letológico que no me permite recordar en ningún momento una palabra muy
sencilla como podría ser teléfono, computación o pizarrón. Sigamos.
- Segundos previos a enfrentarnos a la muchedumbre o a la ¿minedumbre?:
o Hacer una visita al toilette.

o Mirarnos en un espejo: peinado, pelos (de contar con esa suerte), dientes, humor
y secreciones.
o Acomodarnos la ropa, limpiar botas, zapatos o zapatillas.
o Asegurarnos de que estén bien atados sus cordones.
o Sacarnos de las prendas los últimos pelos de gato, perro o caballo.
o Evitar tomar mate o ingerirlo con la suficiente antelación al comienzo del evento
☺. Una señal de que estamos “cancheros” con un determinado tema es que éste
punto no lo necesitamos cumplir a rajatabla.
o No mascar chicles. En caso de mascar, no hacer globos ni ruido.
o Por más que no tengamos sed, llevarnos una botellita o un vaso de agua mineral
sin gas.
o Tampoco deberían faltar en los bolsillos pastillas de frutas tropicales o caramelos
de frutilla.
o Finalmente, comprobar la firmeza de la silla en la que nos aposentaremos.
Página 43
Vigilancia – Control de Accesos
El personal que hace seguridad del tipo “policial” en accesos a oficinas, Centros de Datos o
determinados puntos de ingreso a edificios, mínimamente debería ser personal “vigilador” con
conocimientos en informática y/o dispositivos electrónicos.
Se tendrá que abrir una nueva carrera o tecnicatura de “vigilador electrónico” o “cibervigilador”.
Así, quizás, podamos contar con una guardia de accesos de 2, 3 o 4 personas, siendo uno de los
mismos, un cibervigilador encubierto o perfectamente identificable.
Debemos ser persuasivos y previsores para evitar que se produzcan acciones que atenten contra la
seguridad de las personas, de la información y de los equipos que la contienen.
No sirve de mucho obtener las pruebas de un ilícito y “atrapar” a la persona que lo cometió, si ya
el daño se produjo. Hay que tratar de llevar a cabo todas las acciones necesarias para que el
“malviviente” desestime la posibilidad de realizar un ataque.
En el caso de que la persona que vela por la seguridad de los accesos no tenga ningún
conocimiento sobre tecnología, informática o electrónica, lo más recomendable es que cierto
personal del área (preferentemente del Sector de Soporte Técnico) cumpla una guardia con
rotación de 2 a 4 horas, acompañando al personal apostado en los sitios de admisión para registrar
el ingreso y egreso de personas y equipos.
Básicamente, cuando un persona entra a un sitio en donde deben ser controlados y registrados los
dispositivos que ingresa, ya sean computadoras personales, tabletas, PCs, teléfonos inteligentes,
cámaras fotográficas, etc.; dicha persona toma a mal la revisión de equipos y generalmente trata
de esconder alguno de ellos, no declara ninguno, o dice que es “tal” dispositivo para hacerlo pasar
por “otro” de menor nivel de control y que no sea necesario exhibirlo.
Además, cuando un usuario algo experto en ingresos indebidos, con conocimientos avanzados en
Ingeniería Social, o con pocas ganas de completar formularios de entrada y salida de equipos, nota
que el hombre-vigilante apenas esgrime monosílabos o frases como: buen día, maletín por favor,
mochila, ¿qué es esto?, ¿para qué sirve?, ¿no tiene nada electrónico, no?; esta persona
deshonesta le miente desvergonzadamente en la cara (al hombre-vigilante) haciéndole creer que
una placa de alta potencia-antena direccional-WiFi-USB es en realidad una radio AM/FM para no
aburrirse dentro de una oficina o un Data Center, y consigue ingresarla.
Ahora vamos con un ejemplo, bastante trabalenguas pero real:
¿Qué sucede si?:
Un individuo entra a alguna sala en donde está prohibido tomar fotografías, y por lo tanto, en la
puerta de acceso le retienen la cámara fotográfica y un teléfono celular con capacidad para tomar
fotos, pero le dejan ingresar una Tablet PC por el desconocimiento propio de que el hombre-
vigilador es solo una persona encargada de vigilar y no saber, notar o controlar que con la Tablet
PC se pueden tomar fotos.
Al final, la persona logra ingresar con su dispositivo, toma fotos y las mismas son utilizadas en un
posterior ciberataque a la entidad o para vender “ésas” fotos a la empresa de la competencia.
Página 44
La Organización vulnerada, de contar con un “vigilador-electrónico” o una guardia permanente del

Área de Soporte Técnico, tendría muchas posibilidades de advertir que una persona pueda utilizar
la Tablet PC para tomar fotografías en un lugar restringido, y en este caso retenerle el dispositivo
hasta que salga del recinto.
Si en la puerta de acceso hubiéramos tenido un hombre-vigilador “estándar”, las fotografías se

hubieran tomado y de acuerdo al nivel de información que hemos perdido, nos preguntamos:
- ¿Cuánta culpa podremos aplicarle al hombre-vigilador?

- ¿Cuánta culpa podrá imputarle la Gerencia al Área de Seguridad?
- ¿Cuánta culpa podrá imputarle la Gerencia al Sector de Vigilancia?
- ¿Cuánta culpa podrá imputarle el Área de Seguridad al Sector de Vigilancia?
- ¿Cuánta culpa podrá imputarle el Sector de Vigilancia al Área de Seguridad?
- Si la empresa de vigilancia es externa, ¿Cuánta culpa podremos imputarle a la empresa de
Vigilancia?
- Si la información perdida es confidencial o privada, ¿Cuántas cabezas ruedan? -las que
tendrían que rodar seguramente: NO-.
Sabemos que, ante algún acto bien planificado por parte de los malignos, es difícil salir “ileso” de
esa situación -pero que, si vamos poniendo barreras para desanimar cualquier acto no permitido
dentro de una Organización, la posibilidad de que no lleguen a cometerse ilícitos sobre nuestros
activos -el bien más preciado- bajaría considerablemente.
No es lo mismo para un atacante tener que encarar para ingresar o egresar de un recinto con
dispositivos o equipos no permitidos a un hombre-vigilador que apenas cumple con la función de
tomar los datos de ingreso en una ficha de papel y que sólo pregunte: “¿qué lleva en el maletín?”,
“¿qué lleva en los bolsillos?” o, “¿para qué sirve eso?”; a tener que toparse con un agente con
conocimientos tecnológicos, a un “¿vigilador electrónico?”, o a un “guarda de seguridad”
acompañado por personal del Sector de Soporte Técnico.
Página 45
El Jefe, Administrador de Seguridad u Oficial de Seguridad
¿Cuál debería ser el perfil de la persona encargada de manejar un área tan sensible para
un Organismo como lo es la de Seguridad Informática, de la Información, TICs, o el nombre que le
plazca?
Hay siempre una gran discusión alrededor de este tema y la diferenciación que hay entre gente
con grandes conocimientos en seguridad, en informática, en programación, en hardware, y en
todo el amplio espectro que se maneja en TICs, que muchos dividen o juzgan a las personas
candidatas para el puesto de Jefe, Oficial o Administrador de Seguridad por la calificación de que si
el aspirante posee título universitario en carreras informáticas o no.
Aquí vamos a centrarnos en que el jefe o superior de esta Área de Seguridad viene encaminado
por lo menos de una de éstas ramas tecnológicas de conocimiento, con forma de Licenciado en
Sistemas de Información, Ingeniero en Sistemas Informáticos o Analista de Computación.
Lo corriente -mejor sería decir lo anormal- en las empresas u Organismos con una estructura u
organigrama definido, es que el Administrador de Seguridad sea Contador Público, Licenciado en
Administración, en Recursos Humanos o similar. No digo que estas personas no puedan cumplir
exitosamente con la mencionada función, de hecho hay profesionales de ésas ramas muy
preparados y que se capacitan en informática; pero vamos a apuntar a lo que sería un escenario
casi ideal, o sea, alguien graduado en sistemas informáticos, computación o sistemas de
información.
Página 46
Mejor aún, -si el candidato- cuenta con posgrados o estudios superiores en Administración de
Proyectos, MBA (Master in Bussiness Administration), Administración de RR. HH., o ¿Marketing?
(sí, claro).
Una Maestría en Seguridad Informática también estaría bien, pero debería acompañarse de otros
estudios diferentes a la computación para abrir la mente y tener un mayor abanico de respuestas
para la correcta toma de decisiones y el control: la información pura.
Por otra parte, ¿quién puede afirmar que alguien que no alcanzó estudios universitarios o
superiores no está capacitado para ser el Administrador de Seguridad?
Es muy difícil atreverse a afirmar esto, ya que si una persona no comenzó o no terminó una
carrera universitaria y trabaja del lado de la seguridad, seguramente esté “hackeando” desde los
14 años de edad. En los comienzos “rompiendo cosas” con un sombrero negro, de paso fugaz por
un sobrero gris, y al llegar a este puesto de trabajo ya habrá de asumir el cargo con el sombrero
blanco puesto. ¿O debería, cierto?
No en su currículum vitae (CV) escrito pero sí en el cerebral (esta persona) -ciertamente-, se habrá
especializado en “hackear” computadoras, equipos electrónicos, teléfonos, consolas de
videojuegos, aplicaciones, “jueguitos”, servidores, ¿satélites?, trenes, camiones y tractores (tanta
fuerza, tanta fuerza), barcos, aviones, submarinos (toneladas, de cemento) ¿semáforos?...
Con semejante CV, ¡Cómo no va a estar capacitado para ser el Administrador de Seguridad!
Ahora, según la magnitud del Organismo, empresa o ente, hay puestos que son más teóricos que
prácticos, más de tener que expresarse en un lenguaje coloquial que técnico; más de cuadritos,
matrices y estadísticas que de ataques de fuerza bruta, SQL injection y técnicas de lockpicking. Por
lo tanto, la responsabilidad de elegir el perfil del Jefe de Seguridad, depende de la aleación de
algunos de los ingredientes de esta ensalada de conocimientos, actitudes, aptitudes, títulos,
certificaciones, prácticas, herramientas y técnicas de ataque realizados que mencionamos en este
apartado.
Re-reiteración de propuesta: Oficial de Seguridad no me parece una denominación apropiada para

la persona que gobierna esta robusta y sensible área de una Organización. Oficial de Seguridad
parecería ser el jefe o superior de las personas encargadas de la vigilancia, suena más a un rango
policial.
Algunos de los nombres para este puesto que se me ocurren son:
- Administrador de Información.
- Administrador de Información Segura.
- Jefe de Seguridad Informacional.
- Responsable de Advertencias.
- Administrador de Confianza.
- Responsable de Certidumbre.
Página 47
Organización de un Área de Seguridad Informática
La organización, el organigrama, la distribución de los recursos humanos involucrados y la

tecnología a utilizar en el Área de Seguridad, depende de algunos factores como:
- La cantidad de gente que trabaja en la Organización.

- La cantidad de gente que trabaja en el Área de Seguridad.
- El tipo de actividad que realiza la Organización.
- La ubicación geográfica, la cultura.
- Si es un edificio único o tiene otras sedes.
- ¿Dónde las tiene?
- ¿A cuántos kilómetros de distancia? (por la importancia del cara a cara (face to
face)).
Otras variables:
- El presupuesto anual destinado al Área de Seguridad con respecto al presupuesto anual

para la Organización.
- El movimiento (altas, bajas, traslados) de las personas dentro de la Organización
(jerárquicos y usuarios finales).
- El movimiento de las personas (altas, bajas, traslados) dentro del Área de Seguridad.
- El amiguismo, la política y los intereses personales pasionales internos y externos.
Tengamos siempre en cuenta que al 95nM de las Organizaciones la manejan administran personas
incapacitadas para estos puestos de trabajo y con disfraces ejecutivos o gerenciales. Justamente
ellos como los usuarios comunes, el punto más débil de la seguridad. Siendo más nocivos para la
salud de la Organización el personal jerárquico -ya que por desgracia-, pueden tomar decisiones.
Tomemos la conformación de un Área de Seguridad de máxima, un área normal y un área de

mínima.
Área de Máxima:
- Oficial de Seguridad.
- Empleados con ascendencia en: Ingeniería en Sistemas Informáticos, Licenciados en
Sistemas de Información, Técnicos Informáticos y estudiantes de computación.
- Administrador de Firewall.
- Referente del Administrador de Antivirus.
- Referente del Administrador de Redes de Datos.
- Redactores de PUAs, manuales, normas, procedimientos y newsletters.
- Especialista en asuntos jurídicos: abogado, con orientación informática -la mejor opción-.
- Pentesters. Laboratoristas.
- Informáticos Forenses.
- Diseñador Gráfico.
- Mesa de entradas de solicitudes.
Página 48
Área normal:
Área de Mínima:
- Empleado administrativo.
- Técnico Informático.
Desglose del personal del Área de Seguridad
¿Valdría la pena tener un Área de Seguridad de máxima para una empresa conformada por
20 empleados?
En principio no, pero depende de otro factor muy importante como lo es la actividad a que se
dedica la empresa.
Decididamente no es lo mismo administrar la Seguridad en un ambiente de gobierno, una
empresa de marketing, una de turismo, una central nuclear, una consultora de publicidad o un
Banco de sangre.
No importa la cantidad de usuarios de una entidad, podríamos decir que en el 95nM de los casos,
las normas, procedimientos y circuitos administrativos son los mismos.
Cuanto más pequeña es la entidad, solamente cambia la cantidad de empleados necesarios dentro
del Área de Seguridad, porque al ser menor el número de usuarios, se necesitarán menos
redactores, menos administradores -ya que seguramente habrá menos “reglas”-, permisos y
excepciones para administrar a una menor cantidad de dispositivos de seguridad que se repiten.
Primeras actividades al asumir un Área de Seguridad Informática

Lo primero es obtener una visión general de toda la Organización.
Desde documentación, sitio Web principal, Intranet, hacer una (caminata) recorrida por las
instalaciones, entrevistas formales e informales con el personal jerárquico y con los usuarios
finales.
Esta tarea es mucho más accesible y rápida si ya somos trabajadores del Organismo, si
pertenecemos a un área informática o cercana a ella, y más aún si pertenecemos al Área de
Seguridad, en el caso de que ésta haya sido creada con anterioridad (en ocasiones, esto puede
llegar a ser una desventaja también).
Nunca debemos “quedarnos” con lo que nos cuentan o lo que leemos sobre la estructura, los
circuitos administrativos y los usuarios de las Organizaciones. El contacto visual, la recorrida y la
lectura “in situ” de procesos, formularios y notas son fundamentales para cruzar la información
que nos relatan y la que realmente sucede.
Página 49
¿Por qué decimos que primero debemos conocer la Organización y no nuestra área?
Si bien estas dos tareas son casi paralelas, debemos saber a qué se dedica la Organización, ya que
si bien el portfolio de “seguridad” a aplicar es prácticamente el mismo –independientemente del
lugar y la gente-, ése “prácticamente” hace la diferencia al momento de elegir la estrategia para
abordar el comienzo del Área de Seguridad; ya que no es lo mismo securizar a una Organización
gubernamental, un hospital, un Banco o una empresa de publicidad compuesta principalmente
por creativos.
Si tomamos este puesto de trabajo siendo una persona externa a la empresa, los primeros pasos
debieran ser los mismos, pero tenemos la desventaja de no conocer en profundidad las
actividades del ente, su organización interna y fundamentalmente a las personas.
Entre las primeras actividades también deberemos escuchar cuáles son las directrices que trazarán
nuestros jefes inmediatos y desde este punto jerárquico-organizacional de partida hacia arriba.
Una vez que hayamos recopilado la suficiente información como para tomar decisiones “lo más
correctas posible”, podremos realizar las modificaciones que creamos conveniente en los
procedimientos ya redactados. Si no había procedimientos -escritos por lo menos- nos tendremos
que sentar a redactar, lo que podría ser beneficioso para nosotros, ya que comenzaremos a
describir un circuito o un método desde cero y con todo punto (tema, apartado) que creamos
(imperativo afirmativo de creer) conveniente incluir.
Siempre, pero siempre, antes de implementar una norma, un procedimiento o un circuito

administrativo se debe describir su funcionamiento, quiénes son los involucrados y el alcance.
Una vez que lo tengamos escrito y corregido, se debe elevar para su aprobación por los caminos
formales del Organismo. Esto es a través de decretos, resoluciones, notas, su diligenciamiento y
finalmente la comunicación al personal con la fecha efectiva de comienzo de la nueva actividad.
Establecidos los circuitos administrativos, el movimiento de la información debería presentarse a

través de formularios, siempre firmados y autorizados por el Director de más alto cargo regente
del área que solicita un servicio. Toda gestión deberá consumarse dentro de tiempos de respuesta
estipulados, con una aprobación -o no-, formal y viable del área que debe ejecutar la tarea.
Por ejemplo, en el Área Informática se debería completar un formulario de solicitud de ABM

(Altas, Bajas y Modificaciones) de Sistemas, en donde previamente se habrán de inventariar todas
las aplicaciones informáticas (Sistemas) que son administradas por dicha área, con los siguientes
datos:
Solicitud de A – B – M:
Nombre del Sistema:
Perfiles de usuario:
Administrador del Proyecto:
Dueño de Datos (solicitante/responsable de la aplicación):
Área a que pertenece el Dueño de Datos:
Clasificación de la Información: (Pub/Pri/Co/Se) - (Da/Ds):
Página 50
Con toda esta información se podría armar un listado, codificando los sistemas y los perfiles para
conformar un formulario de solicitud de ABM de Sistemas, en donde los responsables de recibirlo,
aprobarlo y procesarlo tengan un control rápido y eficaz para saber si la persona (usuario) que
solicita un Sistema está autorizado a pedirlo, si el usuario que lo va a utilizar está habilitado para
operarlo, y si fehacientemente el Sistema y perfil de usuario existen.
¿Qué podríamos evitar trabajando de esta manera?:

Que un usuario del Área de Servicios Generales solicite un perfil de usuario para un Sistema
destinado solamente al personal del Área de Compras.
Este momento se puede aprovechar para realizar una tarea que no muchos hacen y que es la de
“clasificar la información”.
Es una tarea muy importante para poder achicar el margen de inseguridad, y establecer la
prioridad de puesta en marcha al momento de ejecutar un Plan de Contingencia o de echar mano
a un Restore.
Clasificación de la Información
Es un poco más amplio el tema de la clasificación de la información, pero básicamente se
dirime la resolución entre el dueño de datos y la “cúpula” de TI (Director o Director + Líderes de
Proyectos y/o Jefe de Calidad (el jefe o personal del Área de Seguridad -si es necesario- podría ser
invitado (ocasional o permanente) a clasificar o “arbitrar” en caso de desigualdad de pensamiento
clasificatorio)). Se debería realizar la clasificación de información lo más acertada posible.
Generalmente los dueños de datos tienden a clasificar todos sus Sistemas como “Confidenciales” y
es ahí en donde los demás involucrados (Seguridad Informática con Líderes de Proyectos,
¿Desarrolladores?, Calidad o la misma la Gerencia de TI) deben negociar una clasificación justa
para su debido tratamiento.
Dependiendo de la estructura y de la actividad a la que se dedica una entidad, a la información se

la pueden clasificar en Pública (Pu), Privada (Pri), Confidencial (Co) o Secreta (Se):
Información Pública
Información que puede ser conocida y utilizada sin autorización.
Información Privada
Información que sólo puede ser conocida y utilizada por un grupo reducido de empleados,
generalmente de la misma Dirección del Organismo, entre distintas Direcciones o, Direcciones y
sectores como Presidencia o Auditoría, y cuya divulgación o uso no autorizado podría ocasionar
pérdidas graves al mismo, al sector Público Nacional o a terceros.
También puede ser conocida y utilizada entre personal del Organismo y algunas entidad externas,
debidamente autorizadas, a través de convenios de confidencialidad, marco acuerdo, etc.
Página 51
Información Confidencial
Información que sólo puede ser conocida y utilizada por un grupo muy reducido de empleados,
generalmente de la alta Dirección del Organismo. Su divulgación o uso no autorizados podría
ocasionar pérdidas graves al mismo, al Sector Público Nacional o a terceros.
Al referirse a pérdidas, se contemplan aquellas mensurables (materiales) y no mensurables
(imagen, valor estratégico de la información, obligaciones contractuales o públicas, disposiciones
legales, etc.).
En el caso de utilizar información obtenida de otros Organismos o Empresas, del país o del
exterior, se los deberá clasificar como mínimo de la misma forma o equivalente a la clasificación
que acompañan.
Información Secreta
Se clasifica con esta denominación, a toda información que por su carácter e importancia requiere
de la máxima protección de seguridad que se le pueda brindar, ya que su divulgación o publicación
sería causal de un severo daño a la Nación o perjudicaría la ejecución de los planes del Estado
Nacional.
-Fin de clasificación-
Página 52
Como una buena práctica, debe recordarse siempre que a la información como se la “clasifica”
también se la debe “desclasificar”. Básicamente:
Toda información catalogada como PRIVADA, CONFIDENCIAL o SECRETA permanecerá en ese

estado por un lapso de 25 (veinticinco) años.
A partir de ese momento, la desclasificación será automática (D. A.). Dependiendo de la naturaleza
e importancia de esa información, podrá ser recategorizada o categorizada nuevamente como
privada, confidencial o secreta por 10 (diez) años más (D. S.) o ante el cumplimiento de un suceso
especifico.
-Fin de desclasificación-
Retomando:
Pasado el tercer mes de gestión (dependiendo de lo “grande” que sea la entidad), cuando ya nos
pudimos involucrar dentro de los circuitos de la Organización, de los sistemas informáticos, de las
redes de datos y, para cerciorarnos que la información que fuimos solicitando era verídica y que
prácticamente no se nos ocultó nada, podríamos empezar a realizar un pentest interno.
Al mismo tiempo, ya tendríamos que empezar a gestionar la contratación de un servicio de

pentest externo (que nos ataque). Es decir, de una empresa externa que nos detalle ciertamente
lo que a nosotros o nosotros mismos (a pedido/sugerido de un alto mando de la Organización)
podríamos hacerle la vista gorda… ocultar… Ni si quiera se debería aclarar que está muy mal esto
que estamos leyendo.
¿Para qué nos sirve realizar un pentest externo?:

- Para encontrar vulnerabilidades que con nuestras herramientas de análisis no
encontraríamos, o de encontrarlas: confirmarlas.
- Para que abramos los ojos y encontremos dispositivos, sistemas, protocolos o puertos que
pululan por la red de datos y que no sabíamos de sus existencias.
- Para obtener una visión y resultados calificados, expertos por parte de una empresa seria.
Por ello no debe fallarse en la elección de la empresa externa que nos va a “pentestear”
nuestras aplicaciones.
Recuerden siempre de pedir en el alcance del pentest qué, después del informe final, se realicen
una o dos jornadas de capacitación para los desarrolladores y administradores, de manera de
tener una rápida resolución de vulnerabilidades, malas prácticas de programación y/o
configuración descubiertas por el testeo.
El resultado final en mano -para la actualidad y pensando a futuro-, nos sirve para planificar el
próximo presupuesto “realzando” las vulnerabilidades encontradas, los peligros a que está
expuesta la información (activos) de la Organización, apuntalar la capacitación de las personas, y
para la renovación o adquisición de nuevos dispositivos y licencias de manera de minimizar los
riesgos a posteridad.
Página 53
Recuerden siempre (repite) de realizar otro pentest externo a los seis meses de terminado el
pentest anterior -dependiendo de la criticidad de vulnerabilidades encontradas- para asegurarnos
de que las fallas y debilidades descubiertas durante el primero de los pentest han sido corregidas.
En resumen, soliciten en el presupuesto anual la realización de dos pentest externos y dos
internos.
Como actividad y entre las iniciales, luego de las primeras conclusiones, estaría muy bien
confeccionar una “Matriz de Análisis FODA” (Fortalezas, Oportunidades, Debilidades y Amenazas)
de nuestra área y presentarla ante los niveles superiores, ya sea a través del Comité de Seguridad
o mediante reuniones programadas con la Dirección de TI.
Otra matriz que debemos tener siempre a mano y hacerla conocer (sino, no nos sirve de mucho)
es la Matriz de Análisis de Riesgo.
Ambas son importantes y nos permitirán saber en dónde estamos parados, cuánto avanzar, qué
pedir, qué podemos mejorar, en dónde no nos conviene intervenir (o por lo menos no por ahora),
y tratar de hacer un futurismo cercano y uno lejano.
Matriz de Análisis FDOA, FODA, DAFO o SWOT

Este es un sencillo y eficaz método de análisis, ideado -parecería- por Albert S. Humphrey en los
célebres años sesenta. Humphrey era de origen estadounidense y se había graduado en Ingeniería
Química.
FODA quiere decir Fortalezas, Oportunidades, Debilidades y Amenazas, que también es

mencionada como DAFO.
DAFO quiere decir Debilidades, Amenazas, Fortalezas y Oportunidades, que es la traducción al

idioma castellano del lenguaje inglés original SWOT.
SWOT quiere decir Strengths (Fortalezas), Weakness (Debilidades), Opportunities (Oportunidades)

and Threats (Amenazas).
Claro, literalmente suena feo decir Análisis FDOA, pero vamos a hacer un reconocimiento a su
traducción textual y por eso la llamaremos como tiene que ser, “FDOA”. Justica.
Rápidamente podemos decir que FDOA es una matriz o tabla de 2x2 (3x3, o 4x2 si agregamos la
fila y la columna destinada a las leyendas), en donde volcamos para cada celda -nos quedará una
gran, pero gran celda- todas las Fortalezas, Debilidades, Oportunidades y Amenazas que hemos
podido identificar para el Área de Seguridad, marcada por una tendiente visión global del
Organismo.
Esta primera identificación y las futuras, se pueden hacer entre varias personas que conozcan la
situación actual de la Organización, la situación pasada para que no se repitan los errores, y para
revivir las situaciones acertadas que fueron desatendidas. En base a los conocimientos pasados y
actuales tratar de encaminarse hacia el mejor futuro.
Página 54
Dependiendo del grupo que hemos formado (a veces -lamentablemente- esta tarea es
unipersonal), sería bueno que, para no hacer ruido, de manera de no mezclar ideas que puedan
nublar el pensamiento de otros participantes de una sesión de brainstorming o lluvia de ideas,
empezar a hacer un FDOA individual para luego sí armar uno solo, pulido y democrático a partir de
las ideas sugeridas por todos los participantes.
Para los que no la conozcan, pueden buscar en la Web muchos ejemplos de la matriz FDOA, FODA,
DAFO, SWOT o como quieran llamarla.
Cuando comiencen a rellenar cada cuadricula para las Fortalezas, Debilidades, Oportunidades y
Amenazas, ubíquenlas lo mejor posible con respecto a lo que dicen los libros, es decir, en donde
ustedes crean conveniente situarlas y en donde ustedes creen que entenderán mejor el análisis.
Trabajen de manera cómoda, por más que los libros y los “teóricos” de los libros digan otra cosa.
Si van a la teoría, las Oportunidades y las Amenazas son externas, las Fortalezas y Debilidades son
internas. Pero si yo, dentro de mi Organización tengo identificado a tres scripts kiddies, dos
lammers y un newbie: ¿dónde los ubico? Para mí -para mí-, en mi matriz, van puestos de cabeza
en Amenazas.
Para la teoría quizás sea conveniente ubicarlos en Debilidades. Y así con muchos más ejemplos que
van surgiendo a medida que encontramos algo para destacar.
Como mencionamos reiteradamente a lo largo de este ensayo sobre seguridad: tomemos las
herramientas que primitivamente han sido diseñadas, las normas, los estándares y las teorías;
tomemos de ellas lo que mejor se adapte a nuestra Organización, infraestructura y usuarios pero,
“escribamos nuestra historia como mejor nos quepa”.
Luego, los auditores que se rompan el cráneo -figuradamente- para decirnos si cumplimos o no
con las antiguas doctrinas y así y todo, discutámosles sin miedo de igual a igual, porqué
“escribimos” y “hacemos” lo que hacemos.
Aquí, un ejemplo básico y muy pobre de una matriz FDOA, FODA, DAFO o SWOT que podemos
apellidar como “FDOA del tipo Thi4GO-cial”.
FORTALEZAS OPORTUNIDADES
Mandos medios y altos aliados de la Gran proyección profesional.

seguridad y con muchos recursos.
DEBILIDADES AMENAZAS
Personal sin interés en capacitarse. Situación económica del país.
Página 55
Matriz de análisis de riesgo (de un Área de Seguridad Informática)

Este análisis nos va a permitir conocer los riesgos a los que se expone un Área de
Seguridad y que impactan en toda la Organización, para que podemos anticiparnos de manera de
minimizar sus efectos, para tratar de evitar que ocurran, o para tomarlos como una oportunidad a
nuestro favor y utilizar esta “suerte” para fortalecernos.
En la Web podrán encontrar mucha información sobre este tipo de matrices, para distintas
actividades y con distintos ejemplos.
Como siempre, nosotros adaptaremos la mejor matriz de análisis de riesgos a partir de tomar lo
que creamos conveniente de cada una de ellas, y presentaremos ante las autoridades nuestro
personalizado arquetipo.
Básicamente, nuestra matriz de análisis de riesgos debería contener al menos las siguientes celdas:
-Aquí, un ejemplo rudimentario y muy pobre de análisis de riesgos que podemos apellidar como
“Riesgos del tipo Thi4GO-cimiento”-.
Planilla en blanco
ID ACTIVO FUNCIÓN AUSENCIA RIESGO FUNCIONAMIENTO RIESGO DESCENLACE

(A/M/B) PARCIAL (A/M/B)
OBSERVACIONES
ID ACTIVO DESCRIPCIÓN
Página 56
Ej.: Planilla casi completa
ID ACTIVO FUNCIÓN AUSENCIA RIESGO FUNCIONAMIENTO RIESGO DESCENLACE

(A/M/B) PARCIAL (A/M/B)
7 Sensores Detecta la Pérdida Alto Pérdida Alto Dispositivo

de humo presencia parcial/total parcial/total de fundamental
dentro del de humo de equipamiento. dentro del
Centro de en la sala. equipamiento. DC. Nunca
Datos. debe faltar
ni fallar.
OBSERVACIONES
ID ACTIVO DESCRIPCIÓN
7 Sensores Dispositivo fundamental para prevenir incendios y no destruir y perder equipos e
de humo información del Organismo, sin los cuales no podrán desarrollarse las actividades
dentro del diarias. El costo monetario, imagen y tiempo de restauración podrían no
Centro de recuperarse.
Datos. Nunca debe faltar ni estar desatendido su mantenimiento.
La escala de impacto de riesgos y sus consecuencias se podrían definir en otra matriz de “Impacto”
pero, a mayor cantidad de niveles, mayor la desagrupación de soluciones. Como secuela, para la
vista humana sería más engorrosa de representar y presentar ante las autoridades.
En nuestra valoración de “hipótesis” de riesgo: A=Alta, M=Media y B=Baja.
Lo que en la mayoría de las tablas es ‘probabilidad’ para nosotros es RIESGO, y DESCENLACE es igual
a ‘impacto’. En donde:
ID: Es el número con el cual vamos a identificar a cada renglón perteneciente a un activo para su
seguimiento preciso por toda una matriz.
ACTIVO: Dispositivo, tarea, persona o cualquier cosa que creemos necesaria para el correcto
funcionamiento de un área y en consecuencia: de la Organización. Aquí podemos ingresar el
nombre de una persona que, en caso de que renuncie, sea despedido, o que se enferme por un
tiempo prolongado: la sustitución de la misma sería muy difícil de cubrir, poniendo en peligro los
activos de la Organización.
FUNCIÓN: Muy breve descripción de la tarea que realiza o para qué sirve el activo. De esta
manera, las personas que participen de la confección de la tabla y que pudieran ser de áreas
ajenas a Seguridad o a Tecnología podrán entender de lo que se está hablando.
Más aún, para presentaciones de “nuestra” matriz ante las autoridades gerenciales o el Comité de
Seguridad de la Información, será muy útil ésta fugaz reseña del activo.
Podemos agregar una imagen, un ícono, un símbolo o un pequeño dibujo para la mejor
identificación del objeto.
Página 57
AUSENCIA: ¿Qué pasa si el activo deja de funcionar? ¿Si es un equipo necesario para determinada
gestión que se solicita ser comprado, se dilata en el tiempo, o nunca se aprueba dicha compra?
RIESGO (A/M/B): El riesgo de la ausencia del activo puede ser ALTO, MEDIO o BAJO según la
consideración de quienes confeccionan la matriz.
En una futura presentación ante niveles gerenciales, esta valoración podrá ser discutida y
modificada a pedido de los altos mandos o los miembros del Comité de Seguridad.
Cada una de las partes deberá defender los motivos de la clasificación y dejar asentada la más
correcta clasificación posible. Si desde el Área de Seguridad no estamos de acuerdo con la nueva
valoración, tendremos que reflejar en una nueva matriz los valores corregidos, pero guardar una
copia de nuestra tasación ante futuros reclamos.
Esta diferencia en la clasificación de los riesgos se puede deber a la mala toma de decisiones por
parte de las autoridades, a los intereses personales que corren por dentro de las Organizaciones, a
la corrupción y en menos medida a la impericia de los participantes.
Como verán en otras clasificaciones de “Probabilidad” e “Impacto”, éstas se descomponen en muy

alto, alto, altito, moderado, ¿morado?, bajo, muy bajo, re-bajo, bajito, gnomo de jardín, etc.
Nosotros, para no abrir un gran abanillo de clasificaciones y que la matriz sea lo más precisa y
entendible de comprender, las clasificaremos en ALTO, MEDIO o BAJO ya que, en muchos casos,
no hay grandes diferencias entre ellas.
Si buscan ejemplos en la WWW, verán que hay cientos de casos de matrices, todas intentando
representar “información” o “datos” en una catástrofe de colores, cuadros, símbolos, números,
soluciones, clasificaciones, porcentajes, condiciones, filas, columnas, líneas punteadas, flechas,
desvíos, aclaraciones, viñetas, estrellas, etc., y variedades de etcéteras.
Un riesgo (Impacto o Probabilidad) considerado BAJO: ¿A cuántos “centímetros” o “segundos” se

encuentra de ser considerado MUY BAJO o MODERADO?
¿Cuándo cambia?, si es que cambia de estado.
¿Cada cuánto tiempo es revisada la matriz para que la leamos actualizada?, ya que estos son
tiempos muy vertiginosos en cuanto a cambios tecnológicos, nuevos estándares y/o resoluciones
que hay que cumplir.
Puede pasar que se detecte un riesgo inminente y se vaya a buscar (a leer) la descripción de la
solución y que la misma -por diversos motivos- ya no corra.
Y entonces. ¿Qué hacemos? Apelamos a un cóctel de conocimiento, consulta e imaginación para
encontrar una SOLUCIÓN que no estaba escrita; sacrificando equipos, formateando dispositivos,
dejando sin servicio a un usuario o a un grupo de ellos que va/n a tardar en darse cuenta de que ya
no cuenta con un servicio designado, o aprovechamos que la queja de éste/éstos usuario/s nunca
será escuchada. ¿Solucionamos pidiendo prestado equipo o licencias?
¿Hay riesgos cuyas soluciones nunca van a cambiar? Parecería que pocos. Lo que podríamos hacer
es asociar en una nueva matriz de soluciones, las posibles respuestas ante determinados
incidentes relacionándolas por el ID de la matriz de análisis de riesgos. Una especie de “libro
mágico de soluciones”, lo que sería un paralelismo con una “base de conocimiento”, también
llamada “knowledge base”, o una “wiki” de soluciones.
Página 58
En esta escala, una vez que se produce un incidente, se vuelve a abrir un ‘paipay’ de respuestas
como Mitigar, Transferir y Evitar. ¿Cómo comprobamos que una de estas tres acciones es la
indicada cuando podríamos resumir todo en el concepto: SOLUCIONAR?
Por ello, descartamos de plano la tabla de “escala de impacto”, por un gran cuadro con la palabra
“SOLUCIÓN”.
Como hemos mencionamos en el párrafo superior, para que no nos quede un gran cuadro de
situaciones lleno de soluciones, recurriríamos al “libro mágico de las soluciones”.
Repaso turbulento. En ocasiones, la opción “Transferir” parecería ser una gran solución, sobre
todo si “yo” soy el que tendría que solucionar un problema y “no sé cómo”. Y es eso lo que
proponen la mayoría de los “jefes” ante la ocurrencia de un problema, o previniendo (previendo)
(a veces: invocando al problema) de que ocurra un incidente y de esta manera no ser ellos los
responsables de solucionarlo. Aunque en la realidad sí serían ellos los “responsables” de retornar a
la situación normal de trabajo.
FUNCIONAMIENTO PARCIAL: En este lugar indicamos si un activo funciona parcialmente y

necesitamos que el mismo funcione full time o con mayor dedicación.
Aquí podríamos ubicar un Firewall que funciona como caja de servicios, o sea, además de cumplir
la función propia de cortafuegos tiene prestaciones de IDS, IPS, VPN y Web Filter. Si a este equipo,
cada año no se le renuevan las licencias, se convierte en una caja obsoleta, ya que no se
actualizará nunca y no podrá cumplir la función de protección para la que se lo adquirió e instaló.
Obviamente, para algunos recursos no existe el funcionamiento parcial, por lo que deberá
tacharse dicho campo.
Podría pasar también que el funcionamiento parcial y la ausencia sea descripta de la misma
manera, debido a que las consecuencias serían las mismas, ya que algunos dispositivos dependen
o se cruzan necesariamente con otros. Este caso lo podemos observar en el ejemplo superior
denominado “Planilla casi completa”.
En la siguiente columna -RIESGO (A/M/B)-, debemos indicar el “riesgo” que supone para cada
activo el funcionamiento limitado o parcial del mismo.
DESCENLACE: El desenlace es un breve desarrollo ilustrativo o, a modo de título de qué es lo que

queremos expresar para ese punto.
No es un desarrollo de la solución. Ello lo podremos describir detalladamente en el libro mágico de
las soluciones y/o en el campo “OBSERVACIONES”, ubicado hacia los confines de la matriz.
OBSERVACIONES: Este apartado final dentro de la matriz de análisis de riesgos, sirve para
explayarse sobre cada punto que necesitamos ampliar, de manera de no sobrecargar de datos la
vista principal de la planilla.
Se deben repetir las celdas ID y ACTIVO para que, quien lea cada apartado, no tenga que retornar
a las primeras hojas para relacionar los temas que se desarrollan.
Página 59
Plan de Contingencia y Política de Backup-Restore
Dos tareas a realizar y que son muy importantes, estresantes, relativamente interesantes y
muy tediosas, pero a las que les estaremos eternamente agradecidos el día en que suceda alguna
fatalidad y podamos “responder a tiempo y en forma adecuada” para seguir trabajando en
prácticamente las misma condiciones “normales” en que nos encontrábamos antes de que
“estalle” el infortunio.
¿Por qué citamos a los dos “tareas” juntas?

¿Por qué no llamarlas Política de Contingencia y Plan de Backup-Restore?
¿El Plan de Contingencia incluye a la Política de Backup-Restore?
¿Podría funcionar correctamente una Organización sin un Plan de Contingencia o sin una Política
de Backup-Restore? ¿Sin ambos?
¿Dónde se guarda el Plan de Contingencia? ¿Quiénes acceden al Plan?
¿Dónde se guarda la “Política” o el “Plan” de Backup-Restore? ¿Quiénes acceden a la Política o el
Plan?
Ante la lectura de este punto por parte de alguien que se está iniciando en éstos asuntos,
trataremos de resumir al plan y a la política de la siguiente manera:
El Plan de Contingencia es un resumen de las actividades que tenemos que cumplir centímetro a
centímetro, a partir de un evento en la Organización que no nos permita continuar con todas o
parte de las actividades diarias y sin las cuales, la Organización no puede seguir funcionando
adecuadamente.
En este Plan encontramos:
- Qué aplicaciones, qué dispositivos debemos reponer.

- Dónde se encuentran, cómo se trasladan.
- Dónde se guardan las llaves, las tarjetas y agendas completas con nombres, cargos,
teléfonos y contactos de personal jerárquico, especializado y técnico.
- Usuarios que deben ser notificados, proveedores.
- Cuáles son los tiempos de respuesta y,
- Cómo implementar el Plan de Contingencia para que se retomen las actividades normales.
- Además -seguramente-, en algún momento se deberá echar mano a la Política de Backup

para el Restore de configuraciones, bases de datos, servidores, sistemas, aplicaciones,
servicios, etc.
La Política de Backup-Restore está formada por el conjunto de:
- Configuraciones, bases de datos, procedimientos y demás datos necesarios con el objeto

de que ante la presentación de imprevistos como:
- “Eliminación accidentada” de información, datos, modificación, borrado no accidentado
o desconfiguración y/o falla de dispositivos.
Página 60
A través de la restauración (Restore) de los datos previamente backupeados (Backup), el/los

sistema/s o el/los dispositivo/s retomen al estado “natural” y “correcto” de operación/es en que
se encontraba/n antes del incidente o infortunio.
¿Por qué son necesarias las pruebas de restauración?
Entre algunas respuestas:
-Porque si nunca hago las pruebas no estoy seguro de que no falle el medio magnético que me
almacena el “Backup”, la máquina virtual que me va a levantar temporalmente el “Restore” para
levantar definitivamente el sistema o equipo con la última información recuperada (backupeada).
-Para comparar siempre las versiones y que haya compatibilidad de las mismas, de manera de no
recuperar exitosamente archivos para una aplicación actualizada que ya no soporta los archivos
backupeados.
-Para comprobar que han sido correctamente etiquetados los medios magnéticos que contienen
los backups y ante una urgencia, no nos encontremos con un “álbum de fotos de las vacaciones de
verano en Mar Azul” de uno de los técnicos en redes, o un compilado en MP3 de los grandes
éxitos del “Puma” Rodríguez, en vez del “Backup: Servidor NH3”.
Quienes decidan a qué información se le hace Backup y a cuál no, deben tener en cuenta
-principalmente- la criticidad de la información, y la rotación de la misma.
La prueba de Restore -o restauración-, es trascendental para estar “tranquilo” a la hora crítica de

hacer una “restauración” real, oficial sobre la aplicación “averiada” o “fallada”.
En la siguiente imagen se pueden observar algunos hechos que pueden desencadenar en el inicio
de una contingencia o en la necesidad de utilizar un Restore. Además una breve representación
del ataque “vasitodeaguaware”, desarrollado en los capítulos finales del presente Manuel
(Manual).
Página 61
¿Por qué casi nadie realiza una prueba de Restore-Backup?

Por el miedo a que deje de “funcionar” algo que “funciona” correctamente o “casi bien”.
Es muy tenso (nervios + adrenalina + dolor de panza + ¿síndrome del mensaje fantasma? +
visiones de la cara del jefe) el momento de la prueba en el que hay que “simular” en la realidad
operativa que se “cayó” un sistema completo, o una base de datos, o parte de una aplicación, y
debemos “tirarle” la restauración para que siga operando correctamente algo que estaba
funcionando correctamente.
El tiempo (en minutos, horas) que dura la restauración es de incertidumbre y zozobra.

El momento culmine del éxito de la prueba es comparable al éxito del lanzamiento de un cohete
en misión a Urano.
Por respeto a los caídos en pruebas de Restore-Backup, no me voy a explayar en el tema.
Defendiendo el honor del “Restore”. A la Política de Backup-Restore, por muchos humanoides

llamada Política de Backup a solas, creyendo, suponiendo que no se cita a la contraparte, o sea, al
Restore, porque se cree o se supone que si se hace un Backup, este Backup se lo voy a “tirar por
arriba” al sistema, aplicación o dispositivo que dejó de funcionar y éste va a funcionar.
Pero antes. Terminado el momento del Backup, lo que tenemos a partir de ése nanosegundo es un
Restore. Es en este instante cuando “por alquimia pura” llega a nuestras manos el “Restore”
salvador. Por ello, se podrá aplicar en los procedimientos, libros, rótulos o charlas -gracias al
respeto que impone su nombre por peso propio-: La Política de Restore o Política de Restore-
Backup. ¡Salud!
En un ambiente de testing, podemos hacer muchas restauraciones que van a servir para imaginar
el momento de la “catástrofe”.
Van a servir para corregir, establecer tiempos, saber si los campos, las bases de datos o las
políticas son las necesarias para que todo funcione tal cual estaba funcionando en su modo
normal, pero esto nunca es tan real, audaz y valioso como hacer una prueba de Restore en
caliente. Es decir, sobre los mismos equipos, bases de datos o aplicaciones que están siendo
utilizadas en un ambiente de producción.
La prueba de Restore-Backup, es una prueba que atinadamente, asiduamente solicita el Jefe de

Seguridad, pero al que siempre se le oponen el administrador de Bases de Datos, el jefe de
Sistemas, el director de Sistemas y en ocasiones (casi siempre) el dueño de datos.
Si bien todas las partes conocen lo fundamental de realizar por lo menos una vez por año éstas
acciones, el riesgo que implica que se suceda un imprevisto o un error y que deje de funcionar el
sistema o dispositivo como lo estaba haciendo, no lo quieren asumir.
Prefieren esperar a que ocurra el evento cruel y rezar para que el Backup (en realidad en Restore)
funcione correctamente en el instante ígneo de la restauración, ante un hecho cuanto mínimo
grave para la continuidad de las operaciones de la Organización.
Página 62
Las primeras tareas del Plan de Contingencia para una Organización estándar serían:
- Establecer cuáles son los sistemas, equipos e información críticos.

- Establecer la prioridad para determinar el orden en que los sistemas y equipos serán
restablecidos a sus funciones estables.
- Acordar quienes son los responsables de accionar el Plan y su estructura de escalamiento:
o Nombres, teléfonos, E-mails, domicilios, proveedores, empresas, etc.
- Acordar quiénes deben ser notificados (gerentes, dueño de datos, áreas, usuarios) y el
modo de comunicación a partir del ingreso al estado de contingencia.
El Plan de Contingencia debería estar formado por la siguiente información:
- Sistema o equipo a restablecer.

- Ubicación física/ubicación virtual.
- Paso a paso para la configuración, ingreso y restauración de la información y/o
reconfiguración.
- Tiempo aproximado de recuperación del servicio.
- Confirmación del retorno a las situaciones normales de trabajo y aviso a las personas que
deben ser notificados (gerentes, dueño de datos, áreas, usuarios).
- Finalmente, realizar y asentar el informe de lo sucedido, desde el inicio, hasta el final.
¿El Plan de Contingencia debería contener además al Plan de Backup-Restore?

Claramente que sí (no griten, no pataleen acuérdense de que esto es solo un humilde ensayo).
Si en algún momento debo echar mano al Plan de Restore-Backup porque se borraron,

¿perdieron? o eliminaron “sin querer queriendo” los correos electrónicos de la bandeja de entrada
del último mes de todas las cuentas de E-mails corporativos, ¿no he ingresado en una pequeña
contingencia, que es una “contingencia” al fin? ¿O qué?
¿Cuánto tiempo podrían pasar los Directores, los usuarios de las áreas de Compras, Licitaciones o
Prensa sin el último mes de correos electrónicos? (en realidad todos los usuarios).
¿Rodaría alguna cabeza por un tema que no mereció catalogarse como contingencia?
¿No fue una contingencia para quién? ¿Sí para el Organismo, pero no para TI?, ya que sería un
lunar en ¿la buena gestión de Tecnología?
¿Sí fue una contingencia para TI, pero no para la Gerencia (que está por encima de TI), ya que sería
un lunar en ¿la buena gestión gerencial?
Obviamente que no todo es contingencia, hay muchos pocos administradores que correctamente
actualizan sistemas o equipos fuera del horario laboral o los fines de semana, pero muchos
ocasionalmente puede suceder que un novato (o un experto kamikaze) actualice o tire un “Backup
en caliente”, en plena jornada de trabajo y todo deje de funcionar. (En verdad está tirando un
“Restore en caliente”, ¿o me equivoco?).
Ahora sí, muchas veces suele acontecer (tirar un Restore en caliente) con equipos o sistemas poco
relevantes (¿poco relevantes para quién?), con una ventana de tiempo de corte de servicio amplia
y ahí sí puede ser que echemos mano al Restore (en la jerga: Backup) y no entremos en
Página 63
contingencia por más que se supere la hora de interrupción y que el servicio no se haya
restablecido.
Es más, en este escenario, ni el jefe de TI ni los compañeros de sector suelen enterarse de lo

ocurrido. Seguramente años más tarde, en una noche de copas, risas y confesiones de “riesgos
corridos por las malas prácticas de trabajo implementadas por los mismos integrantes de TI”, éstas
situaciones, se narrarán como anécdotas: “se acuerdan el día que no pudieron enviar el informe
anual de la Dirección de Compras a…… moooozzzzzoooooooooooo………sírvame en la copa
rota………..bueno… ese día borramos sin querer una política en el firewall, no nos acordábamos
cómo se hacía y todavía no habíamos hecho el backupppppp…….”
Seriedad. A partir de lo expuesto, está claro que el Plan de Contingencia es uno y el Plan o Política
de Backup-Restore es otro. Que siempre o casi siempre -para no ser demasiado exactista- el Plan
de Contingencia va a estar asociado al Plan de Backup-Restore, porque si recupero un equipo
necesariamente voy a tener que recuperar (restaurar) los datos.
Que si no están en la misma carpeta o documentación, van a tener que estar muy juntas o
cercanas.
Pero qué, en ocasiones, vamos a tener que restaurar sistemas o configuraciones de dispositivos
qué, dada su baja o media criticidad no necesariamente entremos en un “estado de contingencia”.
Hay una delgada línea -muchas veces- entre un estado político organizacional de Contingencia o
de Backup-Restore. A veces no convine aceptar o avisar que estamos en contingencia, y a veces a
una restauración exitosa le colgamos el rótulo de “Salida de Contingencia Victoriosa”.
¿Qué datos se registran en un Plan de Restore-Backup?

Visiblemente, son prácticamente los mismos datos que en el Plan de Contingencia:
- Establecer cuáles son los sistemas, equipos e información a backupear.

- Dependiendo de la cantidad de sistemas/equipos y distancias:
- Acordar quiénes son los responsables de accionar el Plan de Restore-Backup:
o Nombres, teléfonos, E-mails, domicilios, proveedores, empresas, etc.
- Acordar formalmente a pedido de quién se realiza el Restore-Backup-Restore, quiénes
deben ser notificados (gerentes, dueño de datos, áreas, usuarios) y el modo de
comunicación a partir del ingreso al estado de Restore-Backup.
El Plan de Restore- Backup debería estar formado por la siguiente información:
- Sistema o Equipo a buckupear-restorear.

- Ubicación física/ubicación virtual.
- Paso a paso para la configuración, ingreso y restauración de la información y/o
reconfiguración del sistema informático o equipo.
- Paso a paso para la configuración, ingreso y restauración de la información.
- Tiempo aproximado de recuperación del servicio.
Página 64
- Confirmación del retorno a la situación normal de trabajo y aviso a las personas que deben
ser notificadas (gerentes, dueño de datos, áreas, usuarios).
- Finalmente, realizar y asentar el informe de lo sucedido, desde el inicio, hasta el final.
Una tarea monótona pero muy necesaria, es actualizar los planes (Contingencia y Backup-Restore)
cada vez que se produce una modificación relevante en los equipos o sistemas.
De no producirse ninguna novedad, debería realizarse una revisión anual de los planes, actualizar
la versión y fecha de la documentación.
¿Dónde se atesora el Plan de Contingencia y el Plan de Backup-Restore?

Juntos o separados. En un mismo documento electrónico o de papel, físicamente deberán
ser alojados. ¿Dónde? ¿Quiénes los acceden?
Que alguien ajeno al Área de Sistemas o perteneciente al Área de Sistemas pero sin permisos para
saber sobre el corazón del “Área 51” de la Organización, y peor aún que seres humanos o bots
foráneos a la entidad sepan, conozcan o accedan a una documentación tan confidencial como lo
es el Plan de Contingencia-Backup-Restore (P-CBR por sus siglas supersecretas ☺); es un grosero
error de privacidad y confidencialidad por parte de quienes son administradores de seguridad,
sistemas o tecnologías, dependiendo de quién sea la persona que tenga la decisión final para saber
dónde y cómo será enclaustrado el mencionado manifiesto secreto.
Los planes de CBR (P-CBR), deberían ser remitidos al Área de Seguridad para su control y
corrección junto con la pertinente asistencia del personal destacado de áreas adjuntas a sistemas,
como podrían ser Calidad o Proyectos y el mismo director de TI.
Una vez que el anteproyecto del Plan de CBR se convierta en realidad y sea aprobado, ambas
carpetas tipo bibliorato -la del Plan de Contingencia y la del Plan de Backup-Restore-,
correspondería que sean resguardadas en una caja de seguridad, empotrada al piso o a la pared,
dentro de un sitio con restricciones de acceso para el grueso de los empleados pertenecientes a la
Dirección de Sistemas y que podría ser la oficina del Director. (No es muy buena la idea pero
muchas opciones de accesos “casi” restringidos no tenemos…).
Además, de acuerdo a las distancias entre las oficinas (Seguridad, Redes, Servidores, Dirección) y
las instalaciones (Data Center, racks, depósitos), la documentación del P-CBR debería ser
presentada en formato electrónico, en lo que podría ser una especie de “Wiki”, accesible sólo a los
responsables de redactar y aprobar los Planes como: usuarios con permisos totales, y otorgarles a
los usuarios operadores o ejecutantes: permiso de solo lectura, ya que serán responsables de
intervenir en las operaciones al momento de ejecutar el Plan.
Página 65
Comité de Seguridad de la Información: Desventajas y Beneficios
Política de Seguridad de la Información - MGSI

El Comité de Seguridad de la información está integrado por el presidente, por personal de
la Gerencia General y por los directores de las áreas sustantivas (principales) de una Organización.
Dependiendo de la estructura de la entidad, puede ser que una Dirección específica y necesaria
para la conformación de las reuniones no forme parte de la mencionada estructura y,
dependiendo del tema a tratar, debamos invitarla a las reuniones para su adecuada intervención.
También deben formar parte del convite, aquellas personas de otras áreas que conozcan la
temática a tratar en cada intervención.
De las actividades más relevantes, la principal sería -¿es?- la redacción de la Política de Seguridad
de la Información, plasmada en el Manual de Gestión de Seguridad de la Información o MGSI.
Al manual se le suman las normas, los procedimientos y los estándares técnicos. Es decir, un
conjunto de muchísimos papeles que nunca se terminan de escribir, nunca se termina de leer
(nadie los lee) y nunca se terminan de comprender, ya que con el avance tecnológico, los cambios
de políticas internas, las áreas y ocupaciones que se crean y las que se descrean, las
impresentables nuevas decisiones impuestas por los Organismos nacionales de control y auditoría,
más algunos desafortunados mandamientos de entidades internacionales hacen que, lo que en un
principio empezamos a escribir con ansias, se termine desechando en el cesto de la basura,
arrojándolo por la ventana, pasando hoja por hoja por el destructor de papel y/o, satinizando el
disco rígido para eliminar todo rastro de tiempo perdido-escrito en un procesador de textos
electrónico.
La Política de Seguridad de la Información adoptada por los Organismos públicos de la República

Argentina es un modelo y traducción del idioma inglés al lenguaje castellano de la norma ISO/IEC
27001:2013, antes 27001:2005, antes ISO/IEC 17799 y originaria de la BS 7799-1 del año 1995
(aquí citamos a las principales versiones, hay más de ellas).
Verdaderamente la Política es muy completa, abarca muchos “controles” de la “seguridad”

dejando muy pocos por fuera de ella. Es muy extensa y útil para tener una gran paneo de lo que
engloba la seguridad de la información. Pero…
No todos o prácticamente ninguno los Organismos y empresas tienen un MGSI. Algunos toman el
modelo completo, solamente le agregan el nombre y el logotipo del Organismo o empresa que lo
está semi-“elaborando”, lo presentan con confeti, se sacan la foto para la Intranet, y lo archivan en
donde próximamente será recubierto por polvillo, dentro de un armario que nadie se acuerda
dónde está ni quién tiene la llave para abrirlo.
Puede pasar también que nos guste mucho esta tarea de escribir el Manual de Gestión de
Seguridad de la Información, las normas, los procedimientos y los estándares técnicos; se lo
presentemos a nuestro Director de TI o a los integrantes del Comité de Seguridad, y nos reprochen
con un: ¡Está loco usted!, ¡escriba algo que podamos cumplir, esos textos están muy lindos pero si
tengo una Auditoría no la supero ni invitándolos a comer un asado!
Página 66
¿Qué es entonces lo que debemos hacer, escribir, documentar, copiar y pegar?
Yo creo -creo yo- que hay que desarrollar los lineamientos generales de la Política de Gestión de la
Seguridad de la Información y una “PUA” o Política de Uso Aceptable. En este caso NO referimos el
acrónimo PUA a “Aplicaciones Potencialmente no Deseadas” o Potentially Unwanted Applications.
(Ver PUA, descripta en este mismo libro, más adelante, en algún momento…).
Retomemos el funcionamiento del honorable Comité de Seguridad de la Información. Básicamente

descansa opera de la siguiente manera:
Como mencionamos, son miembros permanentes las distinguidas autoridades pertenecientes a la

presidencia, la gerencia general y a las principales Direcciones de la Organización.
En realidad la agenda, las citaciones de miembros, las minutas y los temas a tratar lo maneja una
persona de la Dirección de TI, o del Área de Seguridad Informática designada informalmente para
tal fin.
Los integrantes del comité, se deben reunir mínimamente dos veces al año. Se pueden (deberían)
realizar reuniones extraordinarias ante amenazas latentes o hechos que afecten a la “seguridad”
organizacional de manera crítica.
Se deben realizar actas de cada reunión y las mismas deben circular entre sus participantes.
Las resoluciones adoptadas por el Comité, que finalmente quedarán reflejadas en el MGSI o en
distintas disposiciones, serán sometidas a votación en dónde por mayoría de votos se aprobará. En
caso de empate el voto del presidente vale doble.
Sin trabajar a conciencia, el resumen de las actividades de los Comités de Seguridad y de los
manuales, normas y estándares técnicos emitidos por ellos, sería que es básicamente una pérdida
de tiempo para la gente normal que debe trabajar aquí. Para los que van a sentarse a tomar café,
comer medialunas, mensajear, jugar al “preguntados” (abriendo Google en una ventana del
navegador del Smartphone, obviamente) o dormitar, es un aburrido momento de distracción en la
cargada agenda de actividades y decisiones inútiles e inoperantes de lastre que trascurren en sus
días organizacionales.
El mejor comité que se puede formar, se debería conformar tomando de la Dirección de TI y de las
principales Direcciones de una entidad, a aquellas personas calificadas intelectualmente o
técnicamente, responsables y honestas para que sumen sus conocimientos, aptitudes y actitudes
en pos del progreso institucional de cada entidad.
De dicho progreso dependen las mejores y buenas prácticas que se puedan implementar a partir
de una gran PUA o “Política de Uso Aceptable del Organismo”, de cumplimiento obligatorio para
todos los usuarios, desde la A hasta Ω.
Durante las reuniones, y el desarrollo de la documentación que concluirá con el debate de

aprobación final de la PUA, incluida o no en el MGSI, sólo debería participar de éstas asambleas el
grupo de notables mencionado hacia dos párrafos arriba, y que deberían ser los verdaderos y
genuinos integrantes de un Comité de Seguridad de la Información.
Página 67
Por la salud, el buen clima laboral y la mejor toma de decisiones, el incapaz personal jerárquico
solamente debería participar en la reunión final de aprobación de la PUA. Para el cual, también
debería apersonarse alguna Organización u Organismo con formato de CERT (Computer
Emergency Response Team o Equipo de Respuesta ante Emergencias Informáticas) de manera de
acorralar entre el CERT y el grupo trabajador a los jerárquicos incompetentes de cada
Organización, para que de ninguna manera puedan aportar su desconocimiento en el debate
temático y arruinar la nueva disposición laboral.
Obviamente que hay entidades en que el comité y el personal gerencial es realmente competente,
estudioso y trabajador. La recomendación de formar un Comité de notables es solamente para el
95nM de las Organizaciones.
Desventajas de los Comités de Seguridad

Machacamos, por si no fuimos claros: La principal desventaja de los Comités son sus
miembros.
Por ser parte de los mismos el personal jerárquico, no tienen (tampoco les interesa) mucha idea
de los temas que se tratan en las sesiones.
En pocos casos los coordinadores, directores o superiores llegan a ocupar éstos puestos por su
dedicación, su antigüedad, sus conocimientos, y sus ganas de progresar intelectualmente. Llegan a
ocupar cargos ¿laborales? por favores, política, acomodo, negocios, sindicalismo, etc.
Dichosas las entidades en las que se llega a las jefaturas por mérito propio, por el saber, por
cualidades humanas. En esos casos sí los Comités son de gran utilidad.
Un gran inconveniente es la programación de las reuniones. Es prácticamente imposible juntar a

todos o a casi todos los “miembros permanentes” debido a que están de comisión fuera de la
oficina, en reuniones de otras entidades, reuniones “¿importantes?” de último momento,
licencias, o por la excusa que más os plazca.
Durante el transcurso del año y ante la necesidad de cumplir con las reuniones mínimas
obligatorias (son dos, recordemos, por reglamento usual de funcionamiento), generalmente se les
pide a los miembros permanentes que nombren a un “miembro delegado” en representación del
titular, que es la persona que va a participar de las reuniones ordinarias pero no de las votaciones.
Rememoremos que si el Comité estuviera formado por “personas calificadas intelectualmente o

técnicamente, responsables y honestas para que sumen sus conocimientos, aptitudes y actitudes
en pos del progreso institucional de cada entidad”, toda esta narración de desventajas no tendría
razón de plasmarse en papel. Volvamos a la tétrica realidad de las Organizaciones.
Ahora tenemos otra desventaja dentro de la ventaja de que no participen los miembros
permanentes, y es que el miembro delegado o suplente es la persona más inservible de un área o
sector, que como no tiene nada que hacer, se lo ofrenden al Comité.
Página 68
Es muy importante la participación de los miembros titulares, ya que son la voz oficial y
¿calificada? de las áreas más significativas de una entidad, representan a sectores como la
Gerencia General, RR. HH., Tecnología, Finanzas o Administración.
El miembro delegado puede ser más complicado aún si es una persona que cree saberlo todo,
porque entorpece y retrasa la duración de las reuniones con preguntas torpes, sin sentido o con
discursos fuera de la temática que se expone.
Al momento de finalizar las reuniones y llegar a crear un nuevo circuito/entorno de trabajo o

establecer en la Organización modificaciones favorables desde el punto de vista de la “Seguridad
de la Información”, los sujetos pertenecientes a los niveles jerárquicos son los primeros en pedir
una excepción por fuera de la nueva resolución para ellos, sus secretarias, para su entorno más
cercano, para los amigos de su entorno más cercano, y así sucesivamente hasta llegar a una buena
cantidad de seguidores a quienes le deben o deberán un “favor”.
Esto pasa en muchos casos comprometiendo la seguridad de Organismo, ya que por lo general se
prohíbe el uso de sitios o aplicaciones perjudiciales para los datos y equipos de las Organizaciones.
Precisamente “ésos” sitios y aplicaciones de mala fama, dañinos o innecesarios laboralmente, son
los requeridos por los jerárquicos, sus amigos y amigos de amigos.
Un típico ejemplo de este caso es cuando se autoriza la prohibición en el uso de gran parte de las
redes sociales, ya que muchas de ellas -dada la gran cantidad de usuarios que las visitan-, tienen
en sus filas spammers, pedófilos, botneros, ladrones de identidad o malvivientes que introducen
malware en todas sus variantes.
Algunas de estas redes sociales, no suman en lo referido a la buena reputación de los empleados
de las empresas, a la imagen que pretende ofrecer una entidad, y menos aún cuando ingresa
personal externo a un ente para realizar trámites, reuniones o diligencias, y ven como algunos
energúmenos empleados navegan o chatean en portales Web de citas, contactos, encuentros
piratas, apuestas u horóscopos del amor.
El patrón de las redes sociales es Facebook. Al cerrar su acceso en una Organización por resolución
del Excelentísimo Comité de Seguridad de la Información, son las personas “trabajadoras” de las
esferas más altas de una Institución las que, mediante un llamadito telefónico, solicitan
“cordialmente, amablemente y de muy buena manera” forzar a una “excepción” -sin registro, ni
formulario de por medio, obviamente- en principio sólo para ellos y su entorno no laboral más
cercano, de ingreso permanente al sitio Web “The Facebook”.
(Ver Facebook en tu Organización, más adelante, en este mismo documento…).
Otro punto de conflicto entre quienes quieren hacer bien sus deberes y quienes entorpecen la
buena labor del Comité de Seguridad, son esos personajes que a toda costa quieren dejar su sello
distinguido (fácilmente detectable por lo lamentable de su aporte) en una presentación o un
escrito a aprobarse, ya sea una resolución, una norma, un procedimiento o cualquier punto de una
PUA o un MGSI.
Normalmente una, a veces dos, en los mejores casos tres personas son las encargadas de pensar y
redactar el documento a aprobarse, de corregirlo, de husmear por leyes, reglamentos,
resoluciones internas y externas, nacionales e internacionales; de presentarlo y defenderlo ante
Página 69
los miembros del Comité, y de llegar felizmente a hacerse entender de la idea y del porqué de la
propuesta a implementar. ¿Para qué?
Para que normalmente casi todos, en los mejores casos tres, a veces dos, con mucha suerte un
“integrante jerárquico” del Comité pretenda -con un alto porcentaje de éxito- dejar su sello
distinguido (fácilmente detectable por lo lamentable de su aporte (repite lamentable)) en un
escrito a aprobarse; ya sea una resolución, una norma, un procedimiento o cualquier tópico de un
MGSI o una PUA, arruinando de esta manera la mejor redacción posible de uno o varios puntos
formadores del Manual o la Política.
Después de un tiempo de discusión en el que sólo lograremos reducir el daño a nuestro

documento final en una tasa de alrededor del 40% (en el mejor escenario posible), se aprobará la
sesión y el escrito, dándole forma a una nueva disposición para la entidad.
Al retirarse, marchase cabizbaja la gente de bien que integra el prestigioso consejo.
Marchase exultante y oronda la gente obtusa que desintegra la desprestigiada junta.
Ventajas de los Comités de Seguridad

A partir de algunas desventajas podemos sacar algunas ventajas, como por ejemplo:
Al ser la mayoría de los integrantes permanentes del Comité, personal calificado como
“jerárquico”, -¿calificado por quién?- no tienen conocimiento de los temas que se tratan y menos
aún cuando a cada presentación se les da un toque informático con un agregado sutil de siglas,
símbolos, términos y notaciones computacionales o relacionados a ellos.
Más desventajas que podemos encontrar (que dentro de un momento se transformarán en

ventajas): Si de las sesiones participan las personas delegadas o suplentes que, generalmente, por
ser un poco más jóvenes que los miembros permanentes y, tienen un perfil de usuario en
Facebook -no creo que de Twitter-, Badoo, Tinder, de ver videos en YouTube, comprar tickets on-
line, tener una tableta, un Smartphone, auriculares de vincha y, todos los accesorios que les hacen
creer a estos seres especiales que realmente saben de electrónica, informática, seguridad, leyes,
marketing, RR. HH., compras, auditoría y demás yerbas como para entender, debatir y justificar
una idea dentro del honorable Comité: estamos perdidos.
¿Habrá algún caso asilado de alguien que participe de las reuniones y sí, sepa? Puede ser.
Probabilidades y estadísticas de la materia lo contemplarán.
¿De qué nos sirve que todo tipo y anatomía de ser humano nombrado en el comienzo de este
punto participe de las reuniones?
Bueno, éstos sujetos son fácilmente engañables a partir de exagerar un poquito -sólo un poquito-
todo lo que pasaría si no se compran más firewalls, si no se renuevan licencias de antivirus, si no se
bajan las cantidades de redes sociales permitidas dentro de la navegación Web, los peligros de
fuga de información a partir de la habilitación de sitios de almacenamiento y compartir archivos en
Página 70
la nube, el hecho de permitir ilimitadamente la utilización de sitios de streaming, etc., etc. Y

exageraciones de etcéteras.
A partir de una entretenida y apocalíptica presentación, una vez que tomaron conciencia de los
“peligros en la red” y de las catástrofes que se avecinarían -tal vez un poco exageradas, pero
hecatombes al fin-, seguramente les correrá por sus almas un miedito que los harán tomar
conciencia de los recaudos que hay que tomar y lo necesario de la prevención en materia de
Seguridad de la Información, aunque sea para salvaguardar las conversaciones de chat, fotos,
canciones y “videítos”, resguardados en sus ordenadores.
En las exhibiciones de comité, se pueden mostrar representaciones, dibujos o cuadros con

situaciones en donde se demuestra cómo los sistemas informáticos internos se quedan “colgados”
a partir de la gran cantidad de usuarios que utilizan YouTube para ver y escuchar música en línea;
la fuga de información hacia empresas de la competencia realizadas sin control a partir de utilizar
Webmails externos en vez del servicio de correo electrónico corporativo; la desbordante afluencia
de malware en forma de troyanos, ransomware o botnets que toman el control de las
computadoras a través de las principales redes sociales; las numerosas cuentas de E-mail que son
“tomadas (entregadas)” a partir de ataques de Ingeniería Social en forma de pishing en correos
electrónicos, increíblemente respondidos por los usuarios creedores ganadores de las fortunas
regaladas por el jeque petrolero Razim Al Hamed, la herencia que nos comparte Paul Kunert, o los
U$S 600.000 que nos ganamos sin siquiera haber comprado un billete de la lotería de Australia con
sede en Nigeria.
Con este susto inicial, lo que tendremos es una Política o una PUA bastante favorable hacia
nosotros, que después de ser implementada los usuarios cumplirán en su mayoría de los puntos, y
al fin, tendremos una resolución de nuestro lado a partir de transformar las desventajas en
ventajas.
Aprovechemos este tiempo, ya que todos estos logros, como veremos más adelante, serán de
forma temporal.
Página 71
MGSI, Normas, Estándares, Certificaciones….PUAs
Si no recibimos directivas desde la Gerencia General o TI sobre las políticas, estándares o

certificaciones que debemos cumplir -que en parte sería un escenario ideal-, o a que norma
apegarnos, ¿cuál tomamos?
Me parece que lo mejor es tomar un poco de cada escrito publicado y elaborar nuestro propio
manual. Hay varios estándares, normas y manuales, pero ninguno nos va a calzar al 100% para lo
que necesitamos.
Vamos a hacer el camino inverso, vamos a aplicar técnicas artísticas de “Manualería Inversa”.
Entonces, la receta para tener un buen Manual de Seguridad de la Información o una Política
aplicable podría ser:
- Tomamos un poco de cada documentación publicada.

- Cortamos y pegamos a gusto.
- Agregamos nuestro toque personal sobre la Organización.
- Ordenamos los textos, corregimos.
- Nuevamente ordenamos y corregimos.
- Se lo manifestamos a la gente de nuestra área y a gente que no pertenezca a nuestra área
para escuchar otras voces, otra opinión y otros ¿por qué escribiste esto?
- Ordenamos y corregimos nuevamente.
- Aplicamos un formato colorido y un lindo diseño.
- Lo presentamos ante las autoridades para su aprobación, en una presentación que incluya
videos ilustrativos, informativos y café (del bueno, no agua con barro).
- Esperamos las críticas y correcciones de las autoridades, ya que siempre tienen que hacer
notar su experiencia para arruinar lo que está bien hecho.
- Tratamos de minimizar las correcciones “gerenciales” para que el daño sobre el manual
sea menor.
- Lo presentamos formalmente ante las autoridades para su aprobación final e iniciamos el
circuito administrativo que lo convertirá en un Manual, Guía o Política Oficial.
- Lo difundimos, esperamos.
- ……Ventana de tiempo……. Adaptación……
- Go Top.
- Debemos siempre: actualizar -casi- permanentemente lo textos. No ante cambios

menores, pero una vez que juntamos muchas modificaciones o una gran modificación
entonces sí, presentemos la nueva documentación, la hacemos aprobar y la difundimos.
Esto sucede porque la tecnología avanza mucho más rápido que todo lo que podamos escribir y
controlar. Ni hablar del atraso gigantesco que existe entre las leyes jurídicas, la justicia ciega y la
tecnología.
Página 72
Por ejemplo:
Hacia mediados del año 2014 d. C., están en pleno auge las noticias sobre drones (Dron (Drone)).
Seguramente, para esta época, el 95nM de las PUAs o Políticas de Seguridad todavía no hayan
incluido la prohibición del uso de drones domésticos, personales o de pulsera dentro de las
empresas para evitar la fuga de información o la invasión a la privacidad.
No habrá de pasar mucho tiempo para que los geeks o alguna rama nerd de extrema derecha
cambien a sus amigas mascotas tradicionales como perros, gatos, colas de espada o dragones de
Komodo (Varanus Komodoensis) por drones lazarillos, drones de compañía, o drones aulladores.
Habrá que escribir normas e invertir en cartelería que mencione:
- Dónde estacionar un dron.

- Recuerde apagar sus cámaras de video.
- No vuele a una altura menor a 2 metros de la cabeza de la gente.
- Limpie los residuos producidos por su dron-mascota.
- Cumpla con la regulación legal de drones.
Importante: Cuando escribimos o presentamos textos, siempre hay que citar las fuentes o títulos
de donde tomamos información.
Internet, los buscadores, las técnicas de Google hacking, Bing hacking, la Ley Patriótica de los EE.
UU., y la globalización de contenidos hacen que quedemos “tocados” por “copiar y pegar” sin citar
a su autor.
Si nadie se las sabe todas, ¿para qué queremos figurar como creadores o ideadores de
conocimiento?
Página 73
En la siguiente imagen se puede ver el compilado de una “entidad modelo” que cumple con todas
las políticas referidas a manuales, normas, estándares técnicos y certificaciones.
El problema va sucederse al momento de una contingencia o una urgencia en la resolución de un
caso y encontrar al “manual salvador” y actualizado.
¿Se podrían reemplazar todos estos papiros por una pequeña y práctica PUA?
Claro que sí. ¿Qué que es la PUA?, en escasos minutos de lectura lo sabrán.
Retomamos:
Hay ítems, controles o capítulos, dentro de los estándares, normas o metodologías más populares
que cuando son publicadas, determinadas tecnologías o equipamientos ya han quedado obsoletos
o en desuso.
Por el contrario, a veces, se publica la última versión de una metodología y por los tiempos de
escritura, revisión, edición, aprobación y publicación -lógicamente- no están contemplados
dispositivos, tecnologías o nuevos circuitos administrativos que ahora forman parte de una brecha
de (in)seguridad muy importante o de un vacío legal que es aprovechado por el personal que suele
ser tramposo, por usuarios que les conviene éste “vacío”, que leen en detalle qué está escrito y
Página 74
qué está omitido para poder ingresar a sitios Web peligrosos o “sociales”, y utilizar aplicaciones
nocivas para la seguridad de las Organizaciones.
Al comenzar o finalizar un apartado dentro de un capítulo de una guía, metodología o política que
estemos desarrollando, deberíamos agregar unas líneas de texto de “preventivo” como:
- “Las presentes citas no se limitan sólo a prohibiciones o usos inaceptables”.

- “Todos los enunciados que se proclaman en este punto penan las actividades que no sean
laborales, o laborales sin ser anunciadas fuera de horario estipulado”.
- “En este espacio se cita, pero no se limita sólo a …”
- “… y cualquier tecnología o dispositivo que su uso introduzca un peligro para las
actividades laborales y personales”
Retomando la redacción del Manual o Política Organizacional: ¿a qué metodología nos adherimos
entonces?
A todas y a ninguna.
¿Y cómo nos va a ir? Generalmente bien, con una gran tendencia a muy bien.
Veremos que ante una auditoría interna o una auditoría externa, cumpliremos con la mayoría de
los puntos auditables ante la sorpresa del auditor. Lo dijimos: una mezcla de todo lo razonable y
un agregado personal nos da como resultado una nueva metodología de trabajo, documentada,
aprobada y útil.
Distinto es el caso de empresas o entidades que por control o por depender de entes
internacionales, y para pertenecer a ellos, estén obligados a cumplir con determinados requisitos.
Lo que podría ser SOX (The Sarbanes–Oxley Act. 2002), o en los Bancos la Comunicación “A” 5460
del BCRA, para la República Argentina.
Al igual que en seguridad, las auditorías a las que somos condenamos, nunca nos muestran que las
hemos superado con una efectividad del 100%, por más que presentemos todos los documentos
que nos solicitan y respondamos a todos las preguntas que forman parte del interrogatorio
guionado al que somos interpelados.
Los auditores deben, por lo menos -por lo menos, deben- encontrar un hallazgo de algo que
estemos haciendo mal, que no tengamos, que no cumplamos o que no documentemos; por más
que tengamos todo lo que nos piden en regla y detalladamente documentado. Este escenario es el
más común de encontrar dentro de una auditoría.
Hablando puramente de los Comités de Seguridad, las Organizaciones delegan su funcionamiento,

las políticas y los fracasos del mismo al Área Informática, y más precisamente a los dos inocentes
que integran el Área de Seguridad de la información para 77, 777, 7777 o 77777 usuarios que
conforman el Organismo.
Sin voz, sin voto y sin llegada a las autoridades, estos dos pobres tíos son entregados a las
auditorias de entidades del Estado, de Organismos internacionales y de empresas privadas -según
las tareas que cumple el ente-, para ser indagados casi sin defensa propia.
Página 75
Para estos tiempos, las auditorias llevadas a cabo por entidades del Estado, de Organismos
internacionales y de empresas privadas, saben de sobremanera que cargarán contra la inocencia
de dos personas, en vez de caerle con todo el peso de las normas y procedimientos del buen gusto
de la seguridad y de la información a las altas esferas de la conducción, a la Presidencia, a la
Gerencia General o directamente a los “nombres” que figuran como miembros permanentes del
ya citado honorable Comité de Seguridad.
Pero toman la más fácil y demagógica de las decisiones, se almuerzan a la “danionella” en vez de
servirse en bandeja un “piracucú”.
Escribir un Manual de Seguridad de la Información lleva mucho tiempo, sabemos que luego de
terminado el mismo viene la corrección, las adaptaciones a nuestra Organización, el pedido de los
niveles gerenciales de un “enfoque para el lado a dónde vamos a apuntar los cañones…”, el
circuito formal de aprobación, la comunicación al personal y la puesta en marcha de las políticas
allí redactadas.
En caso de ser aplicable -a mi humilde entender-, la mejor solución, práctica, ágil y de bolsillo es la
confección de una “PUA” o Política de Uso Aceptable.
¿Cómo podríamos hacer para escribir una “PUA” y cumplir con los requerimientos de tener un
MGSI del Organismo?
Podríamos escribir y aprobar ante el Comité de Seguridad los lineamientos generales de la Política
Institucional, la introducción, los tópicos y una breve descripción de los puntos más significativos.
Con sólo eso cumpliremos parcialmente con nuestro Organismo, con una auditoría y con los
cumplimientos formales por parte de los Organismos de gobierno destinados a impartir y profesar
el uso de las buenas prácticas de administración, especialmente de la seguridad de la información.
Luego de que el Organismo cuente con su MGSI aprobado (entre nos, sólo citamos los principales
tópicos para cumplir -nada más-, no nos vamos a abocar en copiar y pegar el resto de la ISO
castellanizada), nos abocaremos a redactar la PUA.
Como última instancia, ante pedidos gerenciales -esto no creo que suceda- o auditorias, tanto
internas como externas -pero más enfocados hacia las externas-, podríamos tomar como ejemplo
las acciones y decisiones ilegales, ilícitas, abusivas e invasivas implementadas por los Organismos
de seguridad del Territorio Yuxtapuesto de Septentrión Amerrique, para responder “como si
fuéramos ellos”, ante el interrogatorio de los auditores:
- “No podemos revelar el contenido del MGSI por su clasificación SECRETA”.

- “El manual solamente muestra los controles, el contenido de los mismos está clasificado
como PRIVADO”.
- “Por la seguridad nacional y de los ciudadanos de este “pacifico” territorio, la información
documentada en la PUA está codificada y no podemos cederle la clave secreta”.
- “Estamos preparados para proteger la integridad del universo, por lo tanto de ninguna
manera vamos a presentarle nuestra PUA”.
- “Debo recibir un llamado desde el teléfono rojo de la Morada Alba para revelar el Plan de
Seguridad de la Organización”.
Página 76
PUA o Política de Uso Aceptable de…
... lo que queramos publicar.
Algunas PUAs rápidas de escribir y que abarquen los controles más necesarios y de gran alcance
podrían ser:
- Política de Uso Aceptable de Internet, Red de Datos y Correo Electrónico.

- Política de Uso Aceptable de Internet, Intranet, Red de Datos y Correo Electrónico.
- Política de Uso Aceptable de Internet.
- Política de Uso Aceptable de Navegación Web.
- Política de Uso Aceptable de Correo Electrónico y Navegación Web.
En la PUA podremos describir fácilmente, rápidamente: lineamientos generales, qué está

permitido, qué está prohibido, y las sanciones previstas para quienes incumplan con lo allí
redactado.
Para desarrollarlo, podemos hacer un resumen de los estándares internacionales más comunes en
lo que se refiere a “Seguridad de la Información” más nuestros “vicios organizacionales”.
Primero debemos estar atentos a las legislaciones de nuestro país, y si vamos a escribir para actuar
entre países. Se debe tomar todo en cuenta: leyes sobre Firma Electrónica y/o Firma Digital, reglas
específicas de Bancos y entidades que coticen en Bolsa de Valores. Incluso asociaciones o grupos
de Seguridad de la Información.
Para la escritura de la PUA; a la lectura de leyes y normas referidas a la computación, medio

ambiente, información y buenas prácticas, le agregaremos lectura de documentación a tener en
cuenta sobre administración de proyectos, y cada redactor deberá (podrá) leer e interpretar “lo
Página 77
que quiera y como lo quiera” para escribir “su” guía o metodología sobre la temática (fuera de
sistemas de información/informáticos) que le plazca. De todo siempre algo se puede rescatar.
Pido disculpas por las normativas que he olvidado, o las que aún no han sido publicadas al
momento de escribir este punto.
Entonces, tenemos:
- ISO/IEC 27000 y familia, especialmente 27001, 27002 y 27037. (International Organization

for Standardization)/IEC (International Electrotechnical Commission), en donde:
o 27001: Sistema de gestión de la seguridad de la información.
o 27002: Buenas prácticas para la gestión de la seguridad de la información.
o 27037: Guía para la identificación, recolección, adquisición y preservación de la
evidencia digital.
- ISO/IEC 2000 de Service Management.
- BS 7799-2 de la BSI (British Standards Institution).
- CobiT (Control Objectives for Information and Related Technology), patrocinada por ISACA
(Information Systems Audit and Control Association).
- ITIL (Information Technology Infrastructure Library).
- COSO (Committee of Sponsoring Organizations of the Treadway Commission).
- SOX, Sarbox o Ley Sarbanes-Oxley.
- OWASP (Open Web Application Security Project) o Proyecto Abierto de Seguridad para
Aplicaciones Web.
- PCI DSS (Payment Card Industry Data Security Standard) o Estándar de Seguridad de Datos
para la Industria de Tarjeta de Pago.
- ISO 14000 para Gestión Ambiental.
- ¿Seguridad de emisiones: EMSEC/Tempest? Depende de las características de nuestra
entidad. De todos modos, es muy interesante leer sobre ella y poder “reciclar” algo.
- Principios internacionales sobre la aplicación de los DD. HH. a la vigilancia de las
comunicaciones. Elaborado por el Consejo de DD. HH. de la ONU. Todo sirve. Todo suma.
Todo se transforma.
Si bien algunos preceptos forman parte de otros, para adaptar y adoptar un tema, una guía o una
metodología, podemos encontrar algo específico que cuadre con nuestro Manual de Seguridad de
la Información, en una versión anterior de lo presentado en este listado.
También tenemos muchas certificaciones en seguridad, pero son para aplicar más que para
desarrollar, aun así, podemos sacar texto para acomodarlo a nuestra Política.
Página 78
Una PUA debería contemplar al menos los siguientes puntos principales:
Qué está permitido y qué está prohibido para:
- Correo electrónico.
- Red de Datos.
- Internet (Web).
- Intranet.
- Contrato de Confidencialidad.
- Derechos de los usuarios.
- Sanciones.
Una PUA debería contemplar al menos los siguientes puntos (además de los principales):
- Objetivo.
- Alcance.
- Definiciones.
- Propiedad de los recursos.
- Responsables de autorizaciones.
- Responsabilidades de los usuarios.
- Tratamiento de contraseñas.
- Glosario.
A diferencia del contenido que forma parte de un MGSI, en la PUA está todo junto, todo a mano.
Depende de lo extenso que se haga, se podrá hacer un documento adjunto con referencias o
separarla internamente por temas específicos.
El MGSI está conformado por Normas, Procedimientos y Estándares Técnicos.

Con el avance de la tecnología y el retroceso o desaparición de otras tecnologías: ¿un estándar
técnico de que serviría?
Para poner operativa una determinada implementación escrita en un MGSI, tenemos que empezar
a realizarla a partir de la página 71 de la Norma, continuamos por la página 25 del Procedimiento,
para terminar con la hoja 54 del Estándar Técnico (en el mejor de los casos).
Otro escenario de implementación podría ser (en uno de los peores casos):
Comenzamos por la página 64 de la Norma, saltamos a la carilla 92 del Procedimiento. Por

distintas circunstancias, el Procedimiento no lo podemos implementar, volvemos a la página 64 de
la Norma, pero optamos por utilizar la hoja 83 de la Norma que es la que mejor podría encajar en
una nueva tarea. Volvemos a la hoja 92 de Procedimiento, que me lleva a carilla 97 de los
Estándares Técnicos, pero “ése” equipamiento no está permitido por los Organismos que redactan
los lineamientos de compras de equipamiento del Estado, Organizaciones o Entidades, o no se
consigue en el país, o la política de compras de la Organización lo hace tan burocrático que para
cuando se pueda adquirir, la tecnología a implementar estará desfasada con la realidad.
Página 79
Entonces tratamos de adaptar el Estándar Técnico de la página 163, pero éste Estándar Técnico no
cumple con el Procedimiento y no me sirve nada de todo lo que quisimos hacer de manera
ordenada, metodológicamente y legal.
En que termina toda esta implementación, todo este papeleo, en que apenas redactamos la
mínima documentación -en el mejor de los casos-, que en la realidad no cumple con lo que vamos
a hacer, pero que de otra manera no se podría comprar nada de lo que en realidad necesitamos
comprar.
Además, haciéndolo erróneamente de esta manera, Auditoría dirá que parcialmente cumplimos,
algo que en realidad no cumplimos.
Con una “PUA” breve, clara y concisa: cumplimos.
Ejemplo de una PUA muy básica y recortada

En este caso intitulada: “PUA para el uso del servicio de Correo Electrónico, Internet, Intranet y la
Red de datos del Organismo”.
ALCANCE:
El Comité de Seguridad de la Información considera indispensable regular el uso del servicio de Correo
Electrónico y el acceso a Internet, Intranet y la Red de datos, para lo cual emite los siguientes lineamientos,
que son de cumplimiento obligatorio para todo el personal del Organismo independientemente de su
situación de revista y de su asiento de funciones.
El uso de la red, así como los recursos de información del Organismo, están disponibles para fortalecer el
flujo de información interna, la investigación, la capacitación, la administración y el apoyo a las diferentes
tareas encomendadas, haciendo el trabajo más eficiente y productivo.
Todos los usuarios están sujetos a esta política, y a una actuación con altos principios morales y éticos al
utilizar los recursos. El uso inapropiado de los mismos será sancionado y conllevado a la aplicación de las
sanciones disciplinarias respectivas, además de las consecuencias de índole legal que sean aplicables.
PROPIEDAD DE LOS RECURSOS
El Organismo define que todos los recursos relacionados con las tecnologías de la información (datos,
sistemas, equipos e instalaciones) son de su propiedad y serán tratados como activos siendo, por lo tanto,
sujetos de administración y control.
En cuanto a los datos e información, los considera como activos estratégicos, por lo tanto deberán ser
usados en función del trabajo asignado.
Para asegurar el correcto uso y detectar acciones indebidas, todos los recursos serán monitorizados
mediante archivos de logs, registros de ingresos, requerimientos realizados, cantidad de bytes transferidos y
Página 80
recibidos, éxitos y fracasos en las transferencias, fechas y horarios infrecuentes de accesos, rastreos de IP y
por todo aquel control manual o automático implementado para tal fin.
CORREO ELECTRONICO - DERECHOS Y OBLIGACIONES DE LOS USUARIOS
A. Acceder a la cuenta personal/institucional de E-mail oficial al menos 1 (una) vez al día (jornada laboral),
de manera de evitar la acumulación de mensajes en ella. En este sentido se advierte que debido a
políticas internas relativas a la administración de los recursos informáticos, al exceder determinado
volumen, los mensajes excedentes serán rechazados automáticamente y la cuenta bloqueada. Esto se
realiza con el fin de no seguir generando tráfico de correos electrónicos no depositados en la casilla.
B. La única cuenta de correo electrónico válida para utilizar por los agentes para transmitir y/o recibir
información es la oficial, de dominio @organismo.gob.ar.
C. Evitar en todos los casos la divulgación de su password o contraseña de acceso.
D. El correo electrónico es el mecanismo más común de transporte e ingreso de malware (virus
informático). Por esta razón, se deberá cumplir con las siguientes reglas básicas:
No se deben abrir NUNCA archivos extraños, anexos a los mensajes de correo electrónico
provenientes de un remitente desconocido, sospechoso o poco confiable. Estos mensajes deben ser
eliminados inmediatamente.
Se deben suprimir los correos electrónicos del tipo Spam (correos electrónicos no solicitados y
distribuidos a muchos destinatarios), cadenas (correos electrónicos cuyo contenido invita a replicarlo
varias veces a otras personas), y cualquier otro correo electrónico que no esté relacionado con las
actividades propias del Organismo y que no haya sido solicitado por el usuario.
Se debe ser estrictamente cuidadoso con su dirección electrónica, NO la publique ni participe en
foros poco confiables o en cadenas de E-mail, ello ayudará a reducir considerablemente los ataques
de malware y el ingreso de Spam.
CORREO ELECTRONICO - PROHIBICIONES O USOS INACEPTABLES
E. Utilizar los servicios de comunicación, en este caso el correo electrónico, para intimidar, insultar,
difamar, ofender, acosar a otras personas o interferir en el trabajo de otros usuarios.
F. Utilizar el servicio para cualquier actividad que sea lucrativa o comercial de carácter individual, privado o
negocio particular.
G. Distribuir o divulgar cualquier información o material inapropiado, sacrílego, ilícito, obsceno, xenofóbico,
indecente o ilegal.
H. Utilizar o ingresar a otra cuenta de usuario que no sea la propia, excepto autorización expresa del titular
de la cuenta, en cuyo caso caerá bajo su responsabilidad toda consecuencia legal, administrativa o
judicial emanada de dicha autorización.
Página 81
INTERNET - DERECHOS Y OBLIGACIONES DE LOS USUARIOS
A. El Servicio Web es necesario para el uso de las tareas diarias y está disponible para fortalecer la
investigación, la capacitación (ya sea por medios virtuales o en línea), la búsqueda de información, así
como herramienta de apoyo para el desarrollo de la actividad de cada sector del Organismo. La
comunicación entre los usuarios e investigadores, académicos, profesionales y personas del exterior
relacionadas con las labores desempeñadas por el Organismo, tanto en el ámbito nacional como
internacional.
B. Los mensajes que se envíen vía Internet, serán de completa responsabilidad del usuario emisor, y en
todo caso deberán basarse en la racionalidad y la responsabilidad individual. Se asume que en ningún
momento dichos mensajes podrán emplearse en contra de los intereses de personas individuales, de
otras Instituciones o en contra del propio Organismo.
C. Conducirse de forma tal que se refleje positivamente la imagen del Organismo, ya que se encuentran
identificados como usuarios del mismo.
D. Todo usuario tiene derecho a solicitar mediante el formulario de “Excepciones Web”, los sitios Web
inaccesibles por el nivel de navegación otorgado y que le son necesarios para desarrollar sus tareas.
INTERNET - PROHIBICIONES O USOS INACEPTABLES
A. Accesos a sitios obscenos, que distribuyan, emitan o promocionen material pornográfico, o bien material
ofensivo que pueda ofender la moral de terceros.
B. Usar el servicio en relación a sitios de juegos y actividades recreativas o de promoción de intereses
personales tales como redes sociales, hobbies, chat, Webmail, encuestas, concursos, mensajes no
solicitados (Spamming), mensajes duplicativos, etc.
C. La distribución por Internet de material que cause daños, como la piratería, el sabotaje y más
específicamente la distribución de software dañino.
D. Descargar archivos e instalar archivos descargados vía Internet. Únicamente se podrá llevar a cabo esta
tarea en situaciones previamente convenidas con el Área de Seguridad Informática.
E. Cualquier conducta ilegal, contraria a la legislación local vigente o a la aplicable en los países a los que se
pueda tener acceso por Internet.
F. Congestionar, afectar, interferir o paralizar el uso del servicio.
Página 82
INTRANET - DERECHOS Y OBLIGACIONES DE LOS USUARIOS
G. Se establece que “TODO MATERIAL POR DIVULGAR EN FORMA INSTITUCIONAL DEBE SER PUBLICADO EN
LA INTRANET DEL ORGANISMO”. De esta manera, mantener información actualizada y accesible a través
del servicio de Intranet, ha probado ser una herramienta efectiva para agilizar la gestión y circulación de
información en las Organizaciones.
H. Todas las áreas, a través de la Coordinación correspondiente, deberán difundir sus servicios, estructura y
función, logrando de esta manera una integración de sectores y usuarios. Estas actividades mejorarán la
calidad de comunicación institucional.
I. Es obligación para todos los usuarios del Organismo, dejar configurada la página de Intranet del
Organismo como página por defecto del navegador principal y “navegarla” aunque sea una vez al día, ya
que en la misma se deberá dar aviso a los usuarios de las fechas de cobro de sueldos, depósitos de
viáticos, demás información contable, noticias de prensa, información del personal, gremiales, anuncios,
novedades o servicios nuevos y datos propios de la Organización.
INTRANET - PROHIBICIONES O USOS INACEPTABLES
A. El uso del servicio Intranet para propósitos que puedan influir negativamente en la imagen del
Organismo, de sus autoridades o usuarios.
B. Subir información que infrinja los derechos de los demás.
C. Subir información que sea confidencial.
D. La corrupción o destrucción de datos o cualquier acción que pueda impedir el acceso legítimo a la
información, incluyendo la carga intencional de virus o de software dañino.
E. El otorgamiento de autorizaciones o permisos a terceros no conectados a la red del Organismo para que
la utilicen ilegalmente e invadan la privacidad de un sitio resguardado sólo al personal interno.
F. Congestionar, afectar, interferir o paralizar el uso del servicio.
RED - DERECHOS Y OBLIGACIONES DE LOS USUARIOS
A. Está totalmente prohibida la divulgación del nombre de usuario y de las claves de acceso a cualquier
servicio de red.
B. Asumir una absoluta responsabilidad respecto de los archivos y del contenido de datos que se
transmiten utilizando los recursos o medios proporcionados por la red, se tomarán las medidas
respectivas en caso de envío adrede con virus o información confidencial del Organismo.
C. La demanda de servicios puede ocasionalmente exceder la disponibilidad de los recursos, por lo que
serán establecidas prioridades, siendo las más altas las actividades más esenciales para llevar a cabo la
misión del Organismo.
Página 83
D. Todo usuario debe respetar la naturaleza confidencial del acceso de una persona o cualquier otra
información que pueda caer en su poder, ya sea como parte de su trabajo o por accidente, en este caso
la información recibida deberá ser eliminada inmediatamente.
RED - PROHIBICIONES O USOS INACEPTABLES
A. Utilizar los servicios de comunicación, en este caso, aquellos que utilizan la red de datos como medio de
propagación para intimidar, insultar, difamar, ofender o acosar a otras personas o interferir en el trabajo
de otros usuarios.
B. Transmitir material en violación de derechos de autor, marcas, información protegida por secreto
comercial o en violación de cualquier regulación de la República Argentina o del resto de los países.
C. Enviar y/o compartir virus, gusanos, troyanos o cualquier tipo de malware, provocar deliberadamente el
mal funcionamiento de computadoras, servidores, equipos y periféricos de sistemas o redes, el sabotaje
o permitir el ingreso de virus y/o software malicioso al Organismo.
D. Usar el servicio para juegos y actividades recreativas como pensamientos, leyendas urbanas, chistes,
deporte, música, hobbies, pornografía, etc.
E. Monopolizar el uso de los recursos de red en perjuicio de otros usuarios.
F. Congestionar, afectar, interferir, deteriorar o paralizar el uso del servicio.
G. Intentar o ganar acceso a otros equipos, sistemas o recursos informáticos para los cuales no se tiene
permiso de ingreso, ya sean accesos locales o remotos.
H. Cambiar la Dirección o Identificador IP asignado.
I. Modificar el hardware y/o configuraciones de red para recursos asignados u otros, así como incorporar
sin autorización a la red dispositivos tales como hubs, switchs, routers, puntos de accesos Wireless,
cámaras, filmadoras, antenas, teléfonos celulares, teléfonos inteligentes o Smartphones, teléfonos IP,
tarjetas de red, módems (de cualquier tecnología), impresoras, PC, Notebook, Netbook, tabletas, drones,
bots, otros.
SANCIONES
El incumplimiento de las Políticas de Buen Uso establecidas en el presente documento acarrea distintos
tipos de penalidades, las cuales son:
Primer incumplimiento: suspensión de los servicios de correo electrónico, Intranet, Internet y red por 14
(catorce) días.
Segundo incumplimiento: suspensión de los servicios de correo electrónico, Intranet, Internet y red por
25 (veinticinco) días.
A partir de un tercer incumplimiento, toma intervención la Dirección de Recursos Humanos del
Organismo.
Página 84
Cada instancia de mala práctica por parte del usuario será registrada en el legajo del usuario.
Asimismo, se establece que las acciones disciplinarias enumeradas, no impiden que se establezcan
procedimientos administrativos para aplicar sanciones disciplinarias mayores, -dependiendo del grado de
trasgresión efectuado- así como someter al agente que este incumpliendo esta política al rigor de la Justicia
Penal Argentina y/o Justicia Penal del país en donde se produzca la infracción o delito.
--Fin de PUA –
A la PUA, de manera de cumplir con las obligaciones organizativas de poseer una Política de
Seguridad de la Información, la podemos anexar como parte de la sección que crean conveniente
del Manual de Gestión de la Seguridad de la Información o MGSI.
Esto es en caso de que por obligaciones, debemos cumplir reglamentariamente o auditablemente

con poseer un MGSI.
Si fuera necesario -como mencionamos-, sólo escribimos los títulos y una breve descripción casi
mentirosa o fabuladora de su contenido que no vamos a cumplir, pero sí “adjuntamos” nuestra
PUA salvadora.
Página 85
Ciclo de vida de las escrituras
El ciclo de vida de un nuevo documento (norma, política, procedimiento, resolución o el formato

que deseamos aplicar) lo podríamos representar de la siguiente manera:
APOGEO -> PESADUMBRE -> DESMADRE -> APACIBILIDAD -> EFIMERIDAD ->….APOGEO -> PESA
DUMBRE -> DESMADRE -> APACIBILIDAD -> EFIMERIDAD ->….APOGEO -> PESADUMBRE -> DES
MADRE -> APACIBILIDAD -> EFIMERIDAD ->….APOGEO- > PESADUMBRE -> DESMADRE……
Apogeo: Ni bien sale a escena una nueva PUA, política, o norma, este documento se encuentra en
su período de apogeo. El cumplimiento obligatorio y la novedad, hacen que el nuevo régimen sea
consumido en prácticamente un 100% de sus líneas.
Este período debe ser tomado por los miembros del Área de Seguridad y los integrantes nobles del
Comité de Seguridad como un tiempo de disfrute y goce por la efectividad de las nuevas medidas
implementadas en una Organización.
El apogeo es el período de menor duración a lo largo del tiempo en que rige una Política.
Sabemos que la seguridad molesta y es antipática para quienes no quieren o no necesitan trabajar
dentro de una entidad. No tardarán mucho tiempo en llegar los primeros pedidos informales y
luego formales para desobedecer la naciente Política, para imponer excepciones a las excepciones,
para ignorar resoluciones, y muchas más formas de evasión jerárquica y pseudo jerárquica que
podamos describir aquí.
Pesadumbre: Son los primeros momentos de enfado del personal del Área de Seguridad y los
participantes nobles del Comité de Seguridad, debido a que una situación de “Seguridad de la
Información” que venía siendo controlada empieza a tener fisuras.
Se otorgan permisos “especiales” a los niveles jerárquicos, sus secretarias, amigos, socios políticos
y camaradas de conveniencias o mejor dicho asociaciones ilícitas nacientes o ya establecidas.
En este período hay que empezar a escribir las primeras modificaciones en la Política para agregar
a los textos lo que no esta redactado y no tener nosotros que desobedecer lo que hicimos
aprobar.
Desmadre: Desborde total de solicitudes de excepción de sitios Web (principalmente redes

sociales), puertos (ports), permisos en general para instalar aplicaciones sin licencias, juegos,
conexiones ilegales (hacia señales de Wi-Fi aledañas), ingreso y egreso de equipos laborales y
particulares, de servicios de VPN, de personas, etc., etc., y lluvia de estrellas de etcéteras.
En este lapso los llamados telefónicos, los apersonamientos y los formularios de excepciones ya no
contienen justificaciones honestas y laborables. Directamente no se justifican los pedidos o se
efectúan llamados amenazantes por:
(Reproducción de típicos diálogos entre el Oficial de Seguridad (OFSe) y una determinada rama
laboral de personas de una entidad a los que podríamos definir -para las siguientes pláticas- como
filibusteros (Fi)).
Página 86
-Comienzo del primer sketch-
- Fi: Le voy a iniciar un sumario administrativo por atentar contra el trabajo de nuestro
sector, por cortar el ingreso de páginas Web de uso laboral como ser… ehhhh…ehhhh…
OFSe: ¿cuál, por ejemplo?
FI: no se me ocurre ninguna ahora porque son muchas, pero por ejemplo se me prohíbe el
ingreso a Google ¿? ... Fin del embuste, no tiene sustento. Caso cerrado.
- Fi: Hola, no me anda Internet.

OFSe: sí que anda, pruebe de ingresar a una página Web.
Fi: hola, me dice “error al ingresar”.
OFSe: ¿a qué página quiso acceder?
Fi: fesibuk
OFSe: ahhhhh, discúlpame, las consultas son sólo por sitios Web laborales.
Fi: tu tu tu tu (por si no escucharon bien, sonido de teléfono colgado ☺).
- Fi: ¡Necesitamos que nos habiliten las radios on-line para escuchar música para poder
trabajar! ¡Qué es ésto, un trabajo o el servicio militar!
OFSe: ¿no tiene un mp3, un mp4 o un Smartphone no, no?
Fi: andaaa a la %$%$$# y ¡°”#$”!”$&* y también #$%&)/$n@30.
- Fi: Necesitamos que nos habiliten los Webmails externos porque tenemos que enviar
archivos muy pesados y el correo electrónico corporativo no tiene capacidad.
OFSe: ok. ¿Cuál necesita habilitar?
Fi: Gmail, Yahoo!, Mixmail, Aol, Hotmail (todavía no se acostumbran a decir Outlook) y el
de la Universidad.
OFSe: ah, qué bonito, ¿desean agregar fesibuk, también?
Fi: Ehhh, creíamos que estaba prohibido fesibuk acá, ¿entonces me podes agregar
Pinterest, Instagram, YouTube, Myspace, Tumblr, Orkut, Tuenti y Cuevana?
OFSe: … los entiendo, sé que el trabajo es duro y monótono y hay que tener un momento
para la distracción, ¿pero si revisan todos estos servicios, van a tener tiempo de terminar
sus labores diarias?, ¿de almorzar?
Fi: seeeee, de una. ¿Cómo podemos hacer para tener una cuentita de Badoo, Second Love,
Ohthel y Beautiful People?
OFSe: desde el teléfono o, ¿no tienen computadoras en sus casas?, ¿qué van a decir sus
compañeros o la gente que vaya a sus oficinas si ustedes están en plena farra laboral?
Fi: ahhhh, no pasa naaaa, avisen cuándo ya lo podemos usar.
OFSe: bueno, bueno, chauuu chauuuu (impresentablesss (dicho por dentro eh)).
-Fin del primer sketch-
Página 87
La época de desmadre puede también llegar a verse complicada por intervalos de AMENAZAS:
-Comienzo del segundo sketch-
- Fi: Hola, habla el Licenciado Martín MacFly de la Coordinación Estatal de Asuntos

Internacionales e Interplanetarios de Ayuda Muta entre Soberanos Residentes Poblanos y
Cercanos o “CEAIIAMSRPC”. Lo estoy llamando porque necesito ingresar a sitios Web para
compartir archivos en la nube y ésto está bloqueado.
OFSe: hola Licenciado, por Políticas de Seguridad interna, estos sitios están prohibidos
para ingresar en el Organismo.
Fi: me parece que no me entendió bien, habla el Licenciado Martín MacFly de la
Coordinación Estatal de Asuntos Internacionales e Interplanetarios de Ayuda Muta entre
Soberanos Residentes Poblanos y Cercanos o CEAIIAMSRPC.
OFSe: licenciado, está prohibido por Política de Seguridad y para todos los usuarios, es
más, usted es uno de los integrantes del Comité de Seguridad que lo prohibió.
Fi: usted es un tonto, un cabeza dura, me parece que no me entiende. Voy a hablar con el
Presidente Rosbiff Tannen y con su propio Director para que lo encausen…
OFSe: eeeh (Offside (orsai)).
- Fi: Hola, habla la secretaria del Doctor Federico Brandsen perteneciente a la Dirección
Nacional de Prevención de Contrabando de Mandarinas hacia el Polo Sur, le quería pedir
que le resetee la contraseña de “Internet” al Doctor, ya que no la recuerda y tiene que
cargar un formulario Web ¡urgente!
OFSe: tiene que enviarnos un formulario de “solicitud de reseteo de contraseña”,
adjuntando la fotocopia del documento nacional de identidad del Doctor.
Fi: secretaria NN (nunca va a decirnos cómo se llama). Pero usted no me entiende, el
Doctor Federico Brandsen, de la Dirección Nacional de Prevención de Contrabando de
Mandarinas hacia el Polo Sur está ocupado en este momento y no puedo pedirle que le
mande un formulario y menos, una fotocopia.
OFSe: bueno, por favor páseme con el Doctor, no se puede pedir un cambio de contraseña
por teléfono y menos aún sin ser la persona responsable de su cuenta.
Fi: le voy a decir al Doctor Brandsen que no le quieren arreglar su problema, que no puede
navegar por culpa suya y voy a hablar con sus superiores. ¡Plum#! (sabemos que en
realidad lo que quiere es la password para navegar por la Web ilimitadamente, o por lo
menos con pocas restricciones por los permisos extras otorgados al Director). (Además,
sabemos “extraoficialmente” que el Doctor Brandsen está de vacaciones comisión en el
Parque Nacional Talampaya).
- Una típica conversación entre nuestro director (Nd) en este caso Joaquín Correa y otro
director, coordinador o empleado básico, estándar, ñoqui o acomodado que podría
sucederse, podría ser:
Nd: Hola mi querido amigo Miguel Corleone (MC). ¿Cómo va?

MC: mal mi estimado Joaquín Correa, parece que un empleado suyo, jefe del Área de
Seguridad, no le quiere otorgar a mi secretaria YouTube para escuchar música trabajar, y
Página 88
la piba secretaria me tiene repodrido alterado pidiéndome que lo agarre tome a

trompadas del cogote gollete y lo haga echar a éste empleado suyo.
Nd: no se preocupe mí apreciado Corleone, vio como son estos pibes modernos, yo voy a
hablar con él para ver como lo solucionamos.
MC: gracias mí admirado Joaquín Correa, ahora le di dos semanitas a la piba secretaria
para que se desestrese, la mande a Acapulco a un curso de lenguaje corporal, y espero
que cuando vuelva pueda tener ese “coso” de iutube, tutube o como se llame en la
computadora.
Nd: hasta pronto Corleone, que descanse.
-Fin del segundo sketch-
Todos los diálogos expuestos en estos párrafos son más extensos, con más palabrotas (del tipo la
$%%#$@$!!”$#”#”@#”# y la %/&%@#”$”##”#”#” de @#”$$), subidos de tono o en tono suave
burlón y ladino, pero el fin de los mismos es explayarse sobre cómo te instigarán a bajar o
desactivar los niveles de seguridad para aprovecharlo en pos de beneficios personales, ya sean
laborales externos, educativos (¡ojalá!), particulares, lúdicos o piratas.
Apacibilidad: Para este tiempo, la gran mayoría de los usuarios gozan de privilegios que antes sólo
tenía el personal jerárquico. Hay demasiadas excepciones Web, de puertos y permisos.
La paz que reina en el ambiente se debe a que ganaron su lugar de “Internet full” los trabajadores
del ocio, porque se le tuvieron que habilitar mayores permisos a “algunos”, y a “otros” para
igualarlos con “algunos” se los debió reacondicionar también, así que el “desmadre” ya es general.
Es un período apto e inevitable para reescribir las políticas y adecuarlas de la mejor manera
posible a los tiempos actuales. En las próximas reuniones del honorable Comité de Seguridad,
habrá que empezar a negociar -cual si fuésemos sindicalistas-, con del típico “te mejoro estos
permisos pero esto de salir a cualquier puerto NO”, “se abre esta red social de contactos, pero
sólo para pocos usuarios, piensen en la justificación”, y demás pactos de manera de no perder
tanta seguridad.
Efimeridad: Algún intento asilado de chapear, mentir o recordarnos de accesos a privilegios de

alguien que no los tenía y ahora se los quiere adicionar. Suele suceder en momentos de
reacomodamiento de personal en distintos sectores, en donde algunos usuarios sin privilegios de
mayor “Internet” aprovechan la confusión o el reordenamiento para tirarse el lance
-advertirnos- que antes podían navegar a full y ahora están limitados ¿?
Por la baja audacia con la que solicitan estos chantajes, son manejables. Casi no llegarán a
molestar y pasarán a ser contados como anécdotas.
Siempre, pero siempre, trabajen todas las solicitudes con formularios y que estén completos todos
los campos obligatorios o necesarios de conocer, completar; y, con todas las firmas y sellos de
autorización incrustados. De esta forma los lanceros no podrán ganar el acceso “mejorado” que
solicitan. Ya que podremos chequear el estado de “nivel de Internet” que ya tenían asignados los
“usuarios lanceros” y compararlo con el que dicen haber perdido. En las carpetas se esconde la
verdad.
Página 89
Después de algunos años, a partir de la ocurrencia de algún hito interno o externo al Organismo,
comienza nuevamente el período de APOGEO, con usuarios, ñoquis, dandys y pedidos renovados.
¡Suerte para el segundo ciclo!, para el tercero, para el cuarto y para siempre.
El Manual y las Políticas de Seguridad se podrían comparar con un Smartphone. Nadie utiliza ni
siquiera el veinte por ciento -siendo generosos- de sus prestaciones, ni llega a entender su
funcionamiento cuando ya lo cambiaron por otro modelo más avanzado o por otra tecnología de
un distinto fabricante.
Con los manuales pasa lo mismo, y más si se copia y pega directamente el clásico y normado MGSI
o SGSI o traducción del idioma inglés-castellano de la norma ISO/IEC 27001:2013 o anterior que, si
bien mejora en cada actualización, se producen recortes o se sacan ítems que había que cumplir
antes si y ahora no, ahora no y antes si y siempre corremos detrás.
Perpetuamente estamos atrasados con nuestros manuales. Si estamos adelantados a una nueva
normativa, en realidad para las auditorías no cumplimos y todos estos “teóricos” bajo imposición
se creen sabios cuando lo único que tienen es el poder de policía para “desaprobarte”, imponerse,
decretar y decidir.
Aclaremos que esto no sólo pasa con el MGSI, creemos que en el 95nM de las Normas y Políticas
es así.
¿Qué pasaría si yo, como Oficial de Seguridad o miembro del Comité de Seguridad de la
Información entiendo modestamente, justificadamente, que un determinado control no está bien
que debamos de cumplirlo y no lo cumplimos, pero tengo una auditoría que me pide
concretamente por ese control -sabemos que los auditores tienen y se guían por un libreto,
método, estándar o norma, y no se preguntan, o no les dejan cuestionarse si “ése” control está
bien o no definido- y yo en mi postura, no lo cumplo ni lo pienso cumplir?
¿Qué pasará? ¿Qué será? ¿Será será?
Medianamente, saldremos mal parados de la auditoría, con objeciones y no cumplimientos, pero

si podemos bancar el tifón ¡que pase nomás!
A ver, este punto es muy personalista, para nada quiere decir que este bien lo que estoy
planteando, pero ¿qué pasa si en una próxima enmienda sobre la norma ISO/IEC 27001, 27002 o
27mil enésima ISO, el control que nosotros nos negamos sistemáticamente a cumplir, es retirado o
modificado? Mínimante, es una satisfacción interna agradable haber sostenido nuestra propia
teoría. ¿No lo creen así?
Particularmente, me suele suceder de no cumplir con las Normas o Procedimientos que se

proclaman en referencia a la “sanitización de discos duros” o “borrado seguro”.
No me parece correcto que en los Organismos Públicos y que para empresas de “particulares
rubros” se les realicen estas prácticas de borrado seguro a computadoras o dispositivos utilizados
por usuarios que ocupan puestos laborales jerárquicos, en donde se administra y resguarda
información muy importante como lo es la presupuestaria o el manejo de contratos y
contrataciones, entre otras.
Página 90
En verdad, en la realidad, esta “sanitización” los está salvando, protegiendo, ¿demorando su

detención?, ¿su pedido de captura?
Estas computadoras o equipos deberían ser auditadas en cualquier momento e imprevistamente

por los sectores de auditoría oficiales de las distintas naciones, por Organismos especiales o por
empresas confiables.
Estamos hablando de auditorías por parte de Órganos gubernamentales o empresas del sector
privado de reconocida trayectoria, trasparencia, honestidad (transparencia, honestidad,
transparencia, honestidad, transparencia, honestidad) y buena conducta. De lo contrario sería una
pérdida de tiempo y un gasto innecesario de recursos, querer “auditar” esta sanitización y otras
“vulnerabilidades” internas de gestión.
Obviamente que hay áreas o sectores de distintas Organizaciones que sí deben recurrir al “borrado
seguro de datos” como lo pueden ser oficinas de proyectos, distintas áreas comunes a ésta por
manejar formulas, el sector de la salud y sus historias clínicas u otras empresas de características
similares.
Entidades que manejen información pública o irrelevante para que sea conocida, que no
necesariamente deban ser auditables (es difícil escribir esto, puede ser utilizado en mi contra, ya
que todo y todos son y somos importantes, ¿o no?) y que sus computadoras sean trasladadas o
donadas. Y que la información que puedan llevar consigo sea indiferente para que sea conocida.
Página 91
The Facebook en tu Organización
¿Facebook SÍ en tu Organización? ¿Facebook NO en tu Organización?
Citamos a Facebook como el malo de la película dentro de una Organización pero, según pasa el
tiempo ¿deberíamos agregar WhatsApp, Instagram, demás empresas pertenecientes y a las que
próximamente pertenecerán al consorcio?
Además, le caemos a esta compañía debido a que ‘The Facebook’, es el sitio Web más solicitado
por todos los usuarios, independientemente del escalafón que ocupan en una Organización, y por
el cual la negativa fundamentada por parte del Área de Seguridad Informática de no habilitar dicho
servicio es causal de “ira” en muchas personas.
O sea, es el malo de la película por ser un gran transmisor de malware a través de los “usuarios
irresponsables” que clickean links engañosos y que redirigidos, son una puerta abierta de ingreso
de virus (Virus, antiguo pero ¡suena bien! Virus: Locura, excelente disco) y la toma del “control” de
las computadoras de la empresa.
Por más campaña de prevención y concientización de usuarios que hagamos, un solo click y todos
los dispositivos de seguridad que utilizamos para prevenir el ingreso de amenazas para reforzar la
seguridad de los equipos y la red, más las campañas de educación, más la costosa inversión
monetaria de todo este coctel de hardware, software y capacitación: se desploman.
Se suman a estos conceptos, los miles de millones de usuarios de esta red social diseminados por
todo el mundo. Por eso la gran tasa de éxito para adjuntar malware en un link aquí dentro.
Reflexión primera: los usuarios se quejan asiduamente de que no se les permite ingresar a
“feisbuk” (así escriben “Facebook” en las solicitudes), las radios online, YouTube o Match. Pero no
se dan cuenta de que tienen al alcance de la mano a Google y a su archiconocido y abierto para
todos “Google Hacking” y, para los especialistas Bing y su “¡Bing Hacking!” Shhhhhh.
Está claro que en el 95nM de las Organizaciones -dependiendo del segmento/mercado a que se
dedican-, no queda bien visto que un usuario vaya hasta el escritorio de otro usuario a solicitar un
informe o dejar un formulario, o a hacer una consulta, y que la otra persona no lo atienda hasta
que éste no lee, publica o envía lo que “está pensando”.
Peor aún cuando una empresa o un sector de la misma tiene servicio de atención al público, a
proveedores, o a externos y las pantallas de las computadoras de recepción están “frizadas”
(congeladas) en “The Facebook”.
Es muy importante la imagen que un ente desea brindar hacia sus empleados y hacia el mundo.
Nosotros citamos a “Facebook” por su gran popularidad, pero dentro de este apartado incluimos a
la gran mayoría de las redes sociales, sitios de citas, de juegos o de cualquier actividad que en
privado, en lo particular no hay impedimento de su uso, pero que en público o en horario laboral
no ofrece la seriedad que pretende conseguir una Organización.
Página 92
Obviamente que las empresas de marketing, de espionaje, de comidas rápidas, los detectives y los
gobiernos -dentro de su organigrama-, deben tener el “Sector Facebook” bien definido, inmóvil y
ubicado en los raviolones superiores del mismo.
Por algunos de estos motivos, ¿a “The Facebook” hay que prohibirlo, permitirlo o limitarlo?
La respuesta correcta depende -como siempre- de la actividad que emprenda una Organización,
sea cual fuera de ellas, los cuidados preventivos tienen que estar bien afinados y los usuarios
alertas.
Reflexión segunda: Dada la incesante llegada voluntaria de las personas a “Facebook”, la

penetración de ésta red social5 en todos los ámbitos y estamentos del planeta Tierra (sólo por
ahora. En cualquier momento llega a las oficinas de la NASA un formulario de solicitud de
habilitación para la aplicación ‘Facebook’ para la Estación Espacial Internacional o ISS), el tiempo
que le dedican a pasear por esta plataforma, las fotos personales de los usuarios activos y de las
personas que no tiene cuenta de usuario que son subidas (¡y las que son bajadas, editadas,
procesadas, comercializadas y ascendidas a ésta o similares plataformas!), los videos, los
pensamientos que son declarados, los estados de ánimo, las proclamaciones, los desahogos y las
confesiones vertidas aquí: me hacen pensar (y disfrutar) en el fracaso de ideas, misiones,
operativos y de los millones de millones de dinero derrochados, malgastados por los gobiernos -
principalmente el de los Unidos Estados de la América Boreal-, en crear puestas en escena para
invasiones a países con petróleo, programas, algoritmos y señuelos de espionaje masivo, invasivo,
desleal, abusivo, injusto, ilegal y engañoso a los ciudadanos ordinarios de este universo y a las
empresas, Organizaciones y otros gobiernos del mismo mundo, presas preferidas de este “sucio”
gran exterminio digital creado y perpetrado por el prójimo malvado.
En las mesas de reuniones supersecretas, llevadas a cabo en el vigésimo subsuelo del desierto, las
montañas o ultramar; los principales “gobiernos del mundo”, sus presidentes:
“Representados en este acto por el Pingüino, el Conde Drácula, Loki, Darth Vader, Dr. Evil, Severus
Snape, Cruella de Vil y Conrad von Siegfried”, habrán asumido el fracaso de gastar tantísimo
dinero en “hackear” silenciosamente (a veces ruidosamente) a todos y a todos y a todos los
ciudadanos del universo ¿y no haber sido los creadores de The Facebook?, ¿de Google? O eso es lo
que creemos…
Elucidación en defensa de los malignos citados en el párrafo anterior: en comparación con los
malvados gobernantes y tomadores de decisiones de la vida real, los arriba citados son Heidi,
Mork, Mindy, la Pantera Rosa, Papá Pitufo, Gadget, Bob Esponja y el Capitán Piluso (¡no hay
merienda si no hay capitán!).
5
: ¿Es en verdad “The Facebook” una red social o se trata de una empresa de “Data Mining”
encubierta? ¿La mayor empresa de minería de datos del universo?
Página 93
Los servicios en la nube = ¿Fuga de Información aceptada?
Las típicas solicitudes de los usuarios “laboriosos” de las Organizaciones, realizadas al Área de
Soporte Técnico o al Área de Seguridad Informática y por orden de “necesidad” son:
1) Gmail, Yahoo!, Outlook, Webmail de la Facultad y Webmail de otros trabajos.

2) Facebook.
3) YouTube.
4) Dropbox y alguna que otra nube más.
5) Sitios de descarga y subida de archivos.
6) Radios en línea.
7) Sitios Web laborales
(La ‘pareidolia’ es un fenómeno psicológico en donde un estímulo -generalmente una imagen-, es

percibido como una forma reconocible. En el dibujo superior, lo que ustedes creen que son países
o continentes, en realidad son nubes) ☺.
No entienden (pero aun cuando lo entienden, de todas maneras lo quieren) que el objetivo que se
busca es proteger la información propia y vital del Organismo que ellos mismos crean y generan,
pero que al subir a la nube -que en realidad bajan a tierra o al subsuelo- la están compartiendo
con la competencia, con empresas que espían y recolectan para vender de publicidad, con hackers
buenos -¿es necesario seguir aclarando que los hackers son buenos, que los otros “pseudo-
hackers” son delincuentes?-, que no dirán nada de lo que encontraron y con el otro tipo de
“hackers” (delincuente) que publicarán o venderán al mejor postor la información recolectada.
Página 94
Además del usufructo ($$$$) de la misma entidad que te “regaló” el servicio para que
“gratuitamente” lo puedas disfrutar, y que le está asignando a tus datos.
Una vez que los usuarios hayan subido informes, fotos, música, videos, planes, proyectos, recetas
de cocina, recorridos de vacaciones; quien se frota las manos es:
(Los sucesivos puntos de políticas enunciados aquí debajo, al momento de su lectura pudieron
haber sido modificados o actualizados. En cualquier caso, el espíritu de ganancia ($$$.$$$.$$$ x
U$S) y abuso por parte de estas empresas es el mismo).
"Usted entiende que Microsoft puede necesitar usar, modificar, adaptar, reproducir, distribuir y
mostrar contenido publicado en el servicio exclusivamente hasta el límite necesario para prestar el
servicio, y por la presente concede a Microsoft estos derechos."
“Cuando cargue o someta su contenido a nuestros servicios, estará concediendo a Google (y con
quienes trabajamos) una licencia mundial para utilizar, alojar, almacenar, reproducir, modificar,
crear trabajos derivados (tales como las traducciones, adaptaciones o cambios que hacen que su
contenido funcione mejor con nuestros Servicios), comunicar, publicar, ejecutar públicamente,
mostrar públicamente y distribuir dicho contenido".
Es muy interesante que lean la “Política de Privacidad de Facebook” y sus semejantes, ya que
además de agregar puntos similares a los expuestos en las líneas superiores y en las líneas
siguientes, todas estas aplicaciones “gratuitas”, ¿gratuitas?, además de “ayudarte” a “subir”, a
“compartir” y “resguardar” “tus” (“tus” “propias”) “fotos” y “sensaciones”, “necesitan”:
(Para todos los casos es “tu/tus…” y “la/s de tu/s…”):
- Ubicación geográfica.
- Contactos.
- Usuarios, contraseñas.
- Red de comunicación telefónica, Wi-Fi.
- Software y hardware.
- Sitios Web navegados, historial.
- ¿Qué haces de tu vida? ¿Qué te puede interesar para tu vida?
- Si son flaco, gordo, alto, petiso, orejudo, patón, pelado, peludo, feo, fachero o narigón.
- Interacciones.
- Vida social.
- Pagos, deudas, enfermedades, pensamientos, gustos, disgustos, etcéteras.
- Números de tarjeta de débito, crédito, obra social, clubes, gimnasios, etcéteras de
números.
- ¡Sáben que te gusta el helado en cucurucho de naranja y granizado o chocolate con
almendras!
- Otros datos (que puede ser todo lo que no citen por Política, de manera de abarcar todo y
más que todo, hasta información de gente que -ignoradamente crea que- no pertenece al
“servicio” brindado).
Página 95
A ver, para qué seguir desarrollando el punto en cuestión cuando tenemos éste resumen textual a
mano, para el cual no debemos agregar nada más, sólo que las próximas “enmiendas” serán
peores hacia nosotros:
“Política de privacidad de Dropbox
Publicación: 20 de febrero de 2014
Entrada en vigencia: 24 de marzo de 2014
Gracias por usar Dropbox. Aquí describimos la forma en que recopilamos, usamos y procesamos tu
información cuando usas nuestros sitios web, software y servicios (“Servicios”).
Qué recopilamos y por qué lo hacemos
Recopilamos y usamos la siguiente información para prestar, mejorar y proteger nuestros Servicios:
Cuenta. Recopilamos cierta la información y la vinculamos a tu cuenta, como tu nombre, dirección de correo
electrónico, número de teléfono, información de pago y dirección física. Algunos de nuestros servicios te
permiten acceder a tus cuentas y a tu información relacionada con otros proveedores de servicios.
Servicios. Cuando usas nuestros Servicios, almacenamos, procesamos y transmitimos tus archivos (incluidos
tus fotos, datos estructurados y correos electrónicos) e información relacionada con ellos (como etiquetas
de ubicación en fotos). Si nos concedes acceso a tus contactos, almacenaremos esos contactos en nuestros
servidores para que puedas usarlos. De este modo, te será más fácil llevar a cabo ciertas acciones, como
compartir tus archivos, enviar mensajes de correo electrónico e invitar a otras personas a usar los Servicios.
Uso. Recopilamos información de los dispositivos que usas para acceder a los Servicios y acerca de ellos.
Aquí se incluyen las direcciones IP, el tipo de explorador y dispositivo, la página web que visitaste antes de
acceder a nuestros sitios y los identificadores asociados con tus dispositivos. Es posible que tus dispositivos
(según la configuración) también transmitan información a los Servicios acerca de tu ubicación.
Cookies y otras tecnologías. Aplicamos ciertas tecnologías, como cookies y etiquetas de píxeles para prestar,
mejorar, proteger y promocionar nuestros Servicios. Por ejemplo, las cookies nos ayudan a recordar tu
nombre de usuario para tu próxima visita, a comprender la forma en que interactúas con nuestros Servicios
y a mejorar nuestros Servicios en función de esa información. Puedes configurar tu explorador para que no
admita las cookies, pero ello puede limitar la capacidad de usar los Servicios. Si nuestros sistemas reciben
una señal DNT:1 de tu explorador, responderemos a esa señal según se indica aquí.
Con quiénes se comparte la información
Podremos compartir información según se describe a continuación, pero no la venderemos a anunciantes ni

a otros terceros.
Otras personas que trabajan para Dropbox. Dropbox usa determinados terceros de confianza para prestar,
mejorar, proteger y promocionar los Servicios. Estos terceros solamente tendrán acceso a tu información
para llevar a cabo tareas en representación de nosotros y de conformidad con esta Política de privacidad.
Página 96
Otros usuarios. Nuestros Servicios revelan cierta información, como tu nombre y dirección de correo
electrónico, a otros usuarios en tu perfil de usuario y las notificaciones de uso compartido. Determinadas
características te permiten poner información adicional a disposición de otros usuarios.
Otras aplicaciones. También puedes conceder acceso a tu información y a tu cuenta a terceros, por ejemplo,
a través de las API de Dropbox. Ten en cuenta que, en ese caso, el uso de tu información se regirá por las
políticas de privacidad y las condiciones de uso correspondientes.
Administradores de Dropbox para Empresas. Si usas Dropbox para Empresas, tu administrador podrá
acceder a tu cuenta de Dropbox para Empresas y controlarla. Consulta las políticas internas de tu empleador
si tienes alguna consulta respecto de esta regla. Si no usas Dropbox para Empresas, pero interactúas con un
usuario de Dropbox para Empresas (por ejemplo, al unirte a una carpeta compartida o al acceder a archivos
que ese usuario comparte), los miembros de esa organización podrán ver el nombre, la dirección de correo
electrónico y la dirección IP asociados con tu cuenta en el momento de la interacción.
Fuerzas del orden público. Podremos divulgar tu información ante terceros si determinamos que ello es
razonablemente necesario para (a) cumplir con la ley, (b) proteger a una persona de la muerte o de lesiones
graves, (c) prevenir fraudes o el abuso hacia Dropbox o hacia nuestros usuarios o (d) proteger los derechos
de propiedad de Dropbox.
La correcta administración de tus datos es fundamental para nosotros y es una responsabilidad que
asumimos con compromiso. Consideramos que los datos de los usuarios deben recibir las mismas
protecciones legales, independientemente de si están almacenados en nuestros servicios o en el disco duro
de sus computadoras. Nos regiremos por los siguientes principios de solicitud del gobierno cada vez que
recibamos, analicemos y respondamos a las solicitudes del gobierno relacionadas con los datos de nuestros
usuarios:
- Ser transparentes
- Combatir las solicitudes masivas
- Proteger a todos los usuarios
- Prestar servicios de confianza
Para obtener más información, consulta nuestros principios de solicitud del gobierno y nuestro informe de
trasparencia.
Cómo protegemos tu información
Seguridad. Disponemos un equipo dedicado a preservar la seguridad de tu información y a llevar a cabo

pruebas de vulnerabilidad. Seguimos trabajando en nuevas características para preservar la seguridad de tu
información, además de otros desarrollos, como la autenticación de dos factores, el cifrado de archivos
inactivos y las alertas cuando se vinculan a tu cuenta nuevos dispositivos y aplicaciones.
Retención. Retendremos la información que almacenes en nuestros Servicios durante todo el tiempo
necesario para prestarte esos Servicios. Si eliminas tu cuenta, también eliminaremos esa información. Pero
ten en cuenta que: (1) puede haber latencia en la eliminación de esta información de nuestros servidores y
almacenamiento de copias de seguridad y (2) podremos retener esta información si es necesario para
cumplir con nuestras obligaciones legales, resolver disputas o ejercer nuestros acuerdos.
Página 97
Dónde se almacenan los datos
En todo el mundo. Para prestar los Servicios, podremos almacenar, procesar y transmitir información en
ubicaciones de todo el mundo (también fuera de tu país). La información también podrá almacenarse de
forma local en los dispositivos que usas para acceder a los Servicios.
Safe Harbor. Dropbox cumple con los principios y el marco de Safe Harbor de UE-EE. UU. y Suiza-EE. UU.
(“Safe Harbor”). Certificamos nuestro cumplimiento y puedes ver nuestros certificados aquí. Para obtener
más información acerca del marco Safe Harbor, visita http://export.gov/safeharbor. TRUSTe es la
organización independiente responsable de analizar y resolver los reclamos acerca de nuestro cumplimiento
con el marco Safe Harbor. Te solicitamos que nos envíes cualquier reclamo directamente a
privacy@dropbox.com. Si no te satisface nuestra respuesta, comunícate con TRUSTe; para ello, visita
https://feedback-form.truste.com/watchdog/request.
Cambios
Si participamos de una reorganización, fusión, adquisición o venta de nuestros activos, tu información podrá
transferirse como parte de esa transacción. Te informaremos (por ejemplo, mediante un mensaje a la
dirección de correo electrónico asociada con tu cuenta) cualquier transacción de este tipo y te indicaremos
las opciones disponibles.
Podremos revisar esta Política de privacidad oportunamente y publicar la versión más actualizada en
nuestro sitio web. Te informaremos en caso de que tus derechos se vean apreciablemente afectados como
consecuencia de una revisión”.
-Fin de la astucia-
Sobre los párrafos arriba mencionados, podría haber marcado en “negrita” lo más importante,
pero entonces tendría que haber marcado toda la Política.
Nada que agregar, es vuestra la decisión de que si lo usan, para qué lo usan, qué comparten, qué
pierden y ¿qué ganan?
De parte de las empresas “prestadoras” de “servicios”, podríamos resumir que para ellos las
palabras más importantes y las cuales sus abogados parecería que nunca deberían olvidarse de
redactar en una Política de Uso, son: “copiar”, “ilimitada “, “irrevocable”, “modificar”, “mundial”,
“perpetua”, “presta” y “usted”.
La mejor decisión que puede tomar la cúpula de TI (a través del Comité de Seguridad y sin él
también), es que la propia Organización ofrezca un servicio de nube propio.
Es decir, un espacio de disco para cada usuario en donde sí puedan subir, bajar, modificar y
compartir documentos y proyectos de trabajo.
Si es necesario el intercambio de información con personal externo a la Organización, se le debería

habilitar a este tipo de usuario foráneo una credencial -previa firma del contrato de
Página 98
confidencialidad o NDA- para que puedan intercambiar trabajos, documentos e información sin
tener que utilizar los servicios piratas empresariales y tradicionales de nube.
Saliendo del ámbito laboral, de lo privado, de lo personal y de lo serio; el servicio y la utilidad de la

nube, de las redes sociales, y de la mayoría de los productos que allí son ofrecidos es práctico.
Subamos entonces allí información que podría ser pública, que de perderla no significaría más que
un breve “uhhhh”, o que de ser expuesta en la Web por terceros o por ¿amigos graciosos? no nos
cambiaría el humor. Por ejemplo, podríamos subir:
- El mapa colaborativo hecho entre amigos del itinerario que haremos en carpa para las
vacaciones de verano: La Plata, Parque San Martín, Estadio “Pancho Varallo”, Ignacio
Correas y Poblet.
- Listado de canciones y películas para escuchar y ver el fin de semana largo.
- Receta para hacer chipa.
Además, como estos proveedores de “servivos”, quiero decir de “servicios”, se encargarán de leer
todo lo que subimos, nos mandarán a nuestra cuenta de E-mail: descuentos, publicidades y
recomendaciones de campings, recorridos, el top 27 de canciones ochentosas y la cantidad justa
de harina (marca incluida) para hacer los chipa.
Estos datos los podemos utilizar y llevar a casi cualquier lado del planeta sin siquiera almacenarlos
en un pequeño dispositivo físico. Ya ven, en estos casos es útil la nube.
Además, si la información que subimos al “cumulonimbus” no tiene importancia para nosotros,
mejor aún, ya que el negocio de las nubes y las redes sociales no será tan invasivo y menos aún
rentable.
Gratis no hay nada gratis. No hay razón para festejar que nos bajamos aplicaciones o utilizamos
servicios sin tener que desembolsar ni siquiera 1 centavo.
El costo para nosotros es cero pesos con cero centavos, pero incluye la pérdida de privacidad de la
información, de nuestros datos personales, de nuestros equipos y dispositivos caseros, la de
nuestros compañeros, amigos y familiares, la información de nuestros gustos, nuestros colores
predilectos, nuestra canción favorita, nuestros comentarios, todo, todo y más que todo por un
costo de cero pesos, cero centavos = cero privacidad.
Ahora bien, si yo tengo redactada una Política de Seguridad en la que:
- Se prohíbe el uso de Webmails externos (No hay anda mejor que consolidar la imagen
institucional a partir de que todos los usuarios utilicen como único medio de comunicación
la cuenta oficial del Organismo), y que:
- La página de inicio del navegador Web sea la Intranet.
- Se prohíban las redes sociales o por lo menos las de contactos (casi todos los
usuarios tienen un Smartphone para chequear el estado de ánimo de sus
vecinos).
- Se prohíban los servicios en la nube, ofreciendo “nosotros” como Organización
una nube propia, que podríamos llamar internamente -por ejemplo- nube 9. Para
de esta manera minimizar los riesgos de ingreso de malware y de fuga de
información.
Página 99
- Me pregunto:
- ¿Por qué los usuarios, esencialmente los jerárquicos, se desesperan por subir proyectos e
información privada a las nubes ofrecidas por las empresas? Obviamente con cuentas
gratuitas.
- ¿Por qué quieren compartir documentación, archivos o informes con otras empresas que
“¿oficialmente?” sí utilizan los “servicios gratuitos” de la nube?
- ¿Soportarían estos usuarios jerárquicos un análisis de metadatos sobre los documentos
copiados o encargados producidos?
- ¿Por qué los usuarios, indistintamente de cualquier rango, esbozan como excusa que se
llevan las tareas laborales a sus hogares, las suben a la nube y las quieren abrir en el
trabajo?
- ¿Qué protecciones y cuidados utilizan estos usuarios en las computadoras de sus casas
para llevarse material laboral?
- ¿Qué protecciones y cuidados utilizan estos usuarios para transportar el material laboral
desde sus hogares hacia la oficina, y desde la oficina hasta sus hogares? ¿Desde la oficina
hacia el gimnasio? ¿Desde el gimnasio hacia un bar? ¿Desde el bar hasta sus hogares?
¿Tengo que responder a estas preguntas? Obviamente que el 95nM de estos seres no hacen ni
cuidan nada. No son precavidos.
No entienden que si en verdad el trabajo lo hicieron, al subirlo, al compartirlo, “prácticamente” lo
perdieron.
No, no lo entienden.
Igualmente, la fuga de información se hace materialmente indetectable o imparable a partir del

uso abusivo de las memorias flash en pendrives, discos externos, tabletas, Smartphones y
grabadoras de CD/DVD. ¿Drones? Todos estos dispositivos en confabulación con el usuario.
El tema BYOD o “utiliza tu propio dispositivo” agiganta el problema.
Si al menos los usuarios -mínimamente-, no utilizan contraseñas robustas (les recomiendo que
googleen, bingeen o duckduckdeen el método “deThi4-go” para formar passwords (casi) seguras o
por lo menos robustas ☺), no dividen el uso del móvil entre horarios o aplicaciones personales y
laborales, no tienen incorporado software de rastreo, bloqueo y borrado remoto de datos; no se
dan cuenta que los datos y la fuga de ellos van de la mano, y peor aún facilitándole la tarea a los
“cazadores de información”.
Los primeros casos nombrados (pendrives, discos externos, tabletas, Smartphones y grabadoras
de CD/DVD) se podrían detener mediante la detección y bloqueo de éstos dispositivos
(bloquearlos, situación muy difícil hoy en día dentro de las Organizaciones), o que por lo menos no
puedan almacenar datos en los mismos.
Finalmente. Toda esta maraña electrónica de aparatos de ataque y las solicitudes a Webmails
externos, radios online, redes sociales y servicios de nube, son planteadas por los seres humanos.
Si los individuos fueran conscientes de las malas decisiones de sus actos, todo lo escrito aquí no se
tendría que aplicar y los riesgos serían casi nulos.
Página 100
Se invertiría la tristemente célebre afirmación de que “el 95nM de que los ataques a las empresas
‘son’ internos”, por un mensaje alentador como “el 95nM de las empresas ‘no’ sufren ataques
internos”.
¿Quién nos protege? ¿De quién nos protegemos?
Redactamos una linda y eficiente PUA o un exquisito Manual de Seguridad, llegamos al

momento de las sanciones para quienes incumplan con la Política y…, tenemos los primeros casos
de malas prácticas realizadas por usuarios deshonestos que nos llevan inmediatamente -en un
principio- a bloquearle sus credenciales en forma preventiva.
Pasado el primer instante en que un usuario no puede acceder a su computadora y que su “furia”
lo ciega, comienza a “pesar” el apellido, el amiguismo, o el sector en que desarrolla “tareas” en
una Organización para que pasemos de ser “justicieros” a “ajusticiados”.
Este tipo de usuario, tiene que ser muy, pero muy, pero muy ganso y/o vago, y que sea hasta
indefendible por sus secuaces, para que sea ejemplarmente sancionado.
Para esta persona, toda la situación del bloqueo preventivo debido a accesos ilegales o a malas
prácticas laborales quedará expuesta -con suerte para nosotros- en un apercibimiento, una
mínima lección de buenas prácticas laborales y la explicación del porqué de su suspensión de
cuentas. Para él, borrón y cuenta nueva y a pensar en la próxima maldad.
Para el Oficial de Seguridad que osó preventivamente quitarle sus accesos, una pequeña (pero
dura) y persuasiva reprimenda por bloquear a alguien que políticamente no está bien bloquear.
Pongámonos serios y empecemos a escalar (ya que dentro del ámbito laboral no somos
escuchados) en busca de justicia a través de las leyes nacionales.
En casi todos los países hay jurisprudencia relacionada con la Seguridad de la

Información/Seguridad Informática.
En Argentina, ¿se aplica lo que está escrito en la ley?: casi nunca.

La ley es firme. ¿La ley es firme?
¿Las penas son ejemplificadoras?: no, de ninguna manera.
Sigamos escalando, lleguemos a la máxima justicia de la máxima autoridad de los gobiernos de los
distintos países incrustados en el globo terráqueo.
Pero antes de golpear a sus puertas, leemos en todas partes que los gobiernos tienen “hackers” de
dudoso color de sombrero y en tonalidades oscuras trabajando para ellos que: espían a los
ciudadanos, violan derechos constitucionales nacionales e internacionales, son saboteadores;
desarrollan y compran malware y 0-days, espían embajadas, correos electrónicos de presidentes y
desde ése nivel hacia abajo: todo.
Nos mienten “cuentan” que persiguen a la piratería, ¿atacan centrales nucleares?, satélites,
empresas, laboratorios y plantas de energía.
Página 101
Son “indetectables para algunos antivirus”, y utilizan software especializado en vigilancia

“teledirigida” o “masiva” combinándolas con técnicas de “Google hacking” y “Facebook hacking”.
Ya no necesitan reclutar a muchas “Mata Hari”, porque cuentan con las técnicas modernas de
“Tinder Hari”.
Entonces:
- ¿Quién nos protege?

- ¿De quién nos protegemos?
¿Sirve para algo tener antivirus, anti-spyware, anti-botnet, anti-tanque, el firewall?
- ¿Quién podrá ayudarnos?

- ¿A quién denunciamos?
- ¿Ante qué autoridad denunciamos?
¿¡Qué nos puede pasar por realizar una denuncia!?
Los gobiernos de algunos países, reclutan, les ofrecen bajar las penas por “buchonear” (si hicieron
algo malo, ¿por qué hay que bajar una condena?) y “reconvierten” a los “hackers” más peligrosos,
entonces:
- ¿El hacker de sombrero negro o delincuente, deja de ser hacker de sombrero negro?
- ¿Cambian sus aspiraciones, sus intenciones?
- ¿No se tentarían con “hackear” puertas adentro, cambiar de gobierno por un mejor
sueldo, por traición, por idealismo, por fanatismo, por adoración o por colores?
- ¿Un experto “ladrón” digital de Bancos: puede ser reconvertido?

- ¿Le pueden bajar sus penas y llamarlo a ser “Administrador de Seguridad” de un Banco?
Puse el ejemplo de un Banco por ser un lugar muy seguro. Nunca se escuchan noticias de Bancos
que han sido “robados informáticamente”, suplantada la identidad de los clientes, que hayan
desviado divisas, que han sido “hackeados” y etcéteras de hacks bancarios.
Página 102
Forenses dentro de la Seguridad de la Información
Muy pocas o prácticamente ningún Área de Seguridad o TI, como así tampoco las
Organizaciones en general, cuentan con un especialista o un sector determinado para las prácticas
específicas de “Informática Forense”.
La Informática forense es una de las disciplinas más determinantes a la hora de las resolución
“finita” de la disputa entre el Área de Seguridad y todo caso a resolver o “denuncia” relacionada
con el borrado de información (intencional o no), la “rotura” de discos duros, memorias flash
disfrazadas en cualquier envase (se las ha visto con forma de minions) y el “sembrado” de
pruebas.
Al “yo no hice nada”, “se abra apretado solo el botón”, “yo no modifiqué ése archivo”, “yo no lo
borré”, “seguro que es un virus que se metió en mi maquina”, “alguien se logueó en mi pc”, “yo
nunca tuve Facebook”, “yo no saqué esa foto” y demás torpes excusas e intentos de borrar
evidencias o limpiar la escena de la fechoría.
No solamente es de gran ayuda tener a un “informático forense” trabajando en un Área de

Seguridad, sino que es determinante en la ayuda que le puede brindar a distintos sectores de una
Organización como ser: Compras, Licitaciones, Movimientos de Fondos, Tesorería, Dictámenes o
RR. HH., entre otros, para ayudar a investigar (resolver) casos de estafa, desvíos de fondos, o
falsificación de datos, y más.
Si habría un perito informático en cada Organismo, ¿cuántas defraudaciones por parte del
personal interno se podrían evitar?, ya que estos defraudadores no querrían correr el riesgo de ser
pescados (atrapados) y encarcelados -¡ojalá fueran apresados!- en el mejor de los casos.
Del mismo modo, se podrían evitar ataques o delitos desde un Organismo hacia otro u hacia
diversos destinos de ataques, ya que el forense podría llegar a determinar el “origen de las
especies” (el origen de las conexiones, el tráfico cifrado, el “destino”).
Página 103
Asimismo, no estaría de más la posibilidad de sumar un “Laboratorio de Esteganografía” al Área de

Seguridad.
Me parece que el Área de Seguridad de la Información moderna, dado el avance supersónico,

desenfrenado y brusco de la tecnología no sólo laboral (servidores, routers, switchs, firewalls,
cámaras IP, etc.) necesaria para la operatoria de las Organizaciones; sino que además el hogareño
y particular que llega a las entidades en formato personal del tipo BOYD legales e ilegales
(Smartphones, tabletas, reproductores MP3, MP4,¿MPn?, cámaras digitales, memorias flash tipo
pendrives, módems 3G, 4G, NG, discos externos, antenas Wi-Fi, ¿dress intelligent?, ¿drones?, etc.),
y en forma hogareña-laboral y no laboral (VPN, Webmails, Extranet, Intranet desde afuera,
escritorios remotos, “TeamViewer”, similares y etcéteras remotos) hacen que el Área de Seguridad
sea mucho más técnica que administrativa, narrativa y formal.
Entendiéndose por “formal” el hecho de tener todas las actividades documentadas y al día,
agregando, eliminando o corrigiendo siempre manuales, procedimientos, planes, cuadros,
estadísticas, presentaciones, informes, burocracia, otras, y más.
Ojo, recuerden que siempre en la base de la documentación en formato de PUA o Manual, deben -
sí o sí-, existir las típicas cláusulas de:
- “….. y/o todo aquel dispositivo o tecnología no citada en el presente manual...”.

- “…. Los textos aquí citados incluyen pero no se limitan a...”.
Lo que hay que tener es celeridad en resolver situaciones problemáticas o no problemáticas

(mejoras) y estar permanentemente monitorizando las actividades de los equipos en busca de
inconsistencias, fallas, o cualquier log o dato dudoso (curioso) que podamos observar, ya sea por
procedimientos automáticos, manuales u oculares.
Los logs y los reportes son muy importantes (y muy extensos), pero también es muy importante
depurar los logs y los reportes que se nos presentan para tomar y analizar los datos más
importantes o relevantes, de manera de no perder tiempo en revisar demasiada información, ya
que una potencial amenaza o una amenaza concreta podría instalarse, “romper” y esconderse por
mucho tiempo hasta que nos demos cuenta fehacientemente de lo que está sucediendo dentro de
la Organización.
Es habitual que en los comienzos, cuando empezamos a utilizar una nueva herramienta de
recolección de información, durante su configuración, marquemos todos los ítems de
posibilidades de reporte como imprescindibles. Al principio y con mucho entusiasmo nos
devoramos todos los puntos del reporte. Al mes, ese prolongado informe se reduce a casi la mitad
del mismo y a los tres meses (o hacia los dos años), el mismo reporte se lee en cuatro minutos y
consta de dos hojitas, pero con información concreta y precisa.
Como corolario, es aquí que formando una agradable, amena, consistente y robusta Área de
Seguridad integrada por redactores, especialistas y técnicos, estaremos insertos en el día a día de
la Organización (y en lo que sucede fuera de ella), de manera de tratar de prevenir las acciones
humanas maliciosas internas o externas que con la ayuda de los robots (bots) desean introducirse
y delinquir dentro de las entidades, o, a través de las entidades, delinquir contra la sociedad.
Página 104
Cuando hablamos de “especialistas” y “técnicos” queremos decir que para ser competitivos contra
los delincuentes (tanto los externos como los internos), de mínima, necesitaríamos para abarcar
un gran campo de acción: un forense, un pentester y un administrador de firewall. NO como
siempre suele ocurrir que, para ahorrar sueldos, recursos humanos y -a veces en forma adrede-
personal calificado (el no saber, en ocasiones, tiene sus beneficios para algunos desequilibrados
jefes y contratistas), las empresas realizan búsquedas laborales como ser:
¿Importante? empresa solicita una persona con:
- Estudios en informática forense, test de intrusión, administración y configuración de

firewall, sólidos conocimientos de Linux (excluyente saber Debian, Ubuntu, RedHat, Suse
Enterprise, Mint y Mandriva), IIS, SQLite, Python, C++, Assembler, Cobol, RPG, Asterisk,
Android, FirefosOS, VxWorks, RT-11, Sox, Kali Linux, Backtrack, ISO/IEC 27001:2013,
14001:2004, 26000, OHSAS 18001:2007, configuración de redes IPv6, manejo de MS Office
(Paint excluyente), Autocad y Project. Con perfil electricista, haber aprobado el curso de
primeros auxilios expedido por la Cruz Roja Internacional, el curso de bañero, no tener
multas de tránsito, buena predisposición para preparar el mate, disponibilidad para viajar,
trabajo bajo presión, ¿dinámica?, trato con proveedores, puntualidad para el horario de
entrada y sin horario de salida…
Página 105
Conclusiones Finales: La Seguridad apasiona, la Seguridad molesta,

la Seguridad es marketing
La seguridad apasiona
La seguridad apasiona. Estudiar, trabajar, jugar, escribir, practicar actividades de seguridad
es -muy- bastante -muy (zugabe)- interesante (si♭M), sano y divertido.
Realizar, practicar hacking ético. Hackear (en su original y verdadero sentido).
Ser hacker es algo muy pasional, ya que muchas veces al llegar al objetivo, se experimenta una
sensación de ‘RSMA’ o Respuesta Sensorial Meridiana Autónoma.
Estas tres definiciones (hacking ético, hackear y hacker) son malogradas y manchadas en su
verdadero espíritu por aquellos delincuentes (gobernantes, empresarios) que las utilizan para
malas prácticas en beneficio propio o vendiendo sus servicios a terceros.
Aquí citamos al “hacking ético” como lo que es: las buenas prácticas o el arte de ‘hackear’ en pos
de encontrar vulnerabilidades, mejorar la programación y las configuraciones o controles de
seguridad implementados y encontrados tanto en el software como en el hardware.
“Hackear” llamamos a las distintas técnicas y prácticas decentes con las cuales aplicamos el
hacking ético sobre las “cosas”.
“Hacker”, es la persona de buena fe que inicializa éstas actividades y se complementa en muchas

ocasiones con herramientas informáticas para llevarlas a la práctica.
La única forma de hackear sin ayuda de la tecnología de nuestra parte, se me ocurre que es
mediante técnicas de Ingeniería Social. Hackeando o engañando a un dispositivo que reciba
instrucciones por medio de la voz (podría darse algún caso de engaño biométrico pero sin
intervención de nada que no sea “corporal”, para cumplir con esta definición).
Están las clásicas definiciones de “hacker”, como lo son:
- De sombrero blanco: los buenos.

- De sombrero gris: que son indecisos. Son el ying y el yang, en ocasiones el ‘Robin Hood’
del hackeo, y finalmente,
- De sombrero negro: los malos.
Parecería que los hombrecitos de gris y de negro no mantendrían el espíritu hacker, porque tienen
su lado malo, extorsivo, pirata y delincuente. Entonces:
¿Merecen llamarse hackers?: No, sí malhechores.
Es raro que en estos tiempos de tonalidades primavera-verano, aún no hayan renombrado o

agregado variantes de color para las definiciones de hackers.
Página 106
Tiempo de ilusionarse despierto. Leamos un cuentito:
En este momento de la lectura estamos virtualmente dentro de una cárcel.
Supongamos que dentro de ella, ubicamos un pabellón especial dentro de una prisión normal para
los “hackers malos” y qué - dentro del anexo, los hackers- estén divididos (separados) para no
perfeccionar sus conocimientos -y salir de la mazmorra con un posgrado en delincuencia
informática incluida la salida laboral- en distintas dependencias de celdas (habitación pequeña y
con escaso mobiliario, con rejas en uno de sus lados. No la típica creencia nerd de que una celda
es un lugar único, espacio o campo donde se puede introducir un dato en una hoja de cálculo). ☺.
De este modo, podríamos pensar en una suerte de penitenciaría 3.0, en donde los reclusos se
ubiquen de la siguiente manera:
- Hacker de sombreo negro: El delincuente más peligroso. Diez pisos bajo terra y sin
conexión ni siquiera de electricidad para evitar futuros ataques ‘Smart Grid’.
- Hacker de sombreo gris: Siete pisos bajo terra. Sin conexión de electricidad, y con libros
de cocina gourmet para que se entretengan, purifiquen sus mentes y se olviden del
mundo hacker.
Es como obligarlos a un proceso de desintoxicación. Como (Kokomo) si estuviesen en una clínica o

granja de rehabilitación en donde no tengan derecho a electricidad, tampoco acceso a libros con
temática informática, ni con manuales de usuario de nada, ni siquiera de lavarropas.
- Hackers de sobrero rosa: Ubicados en la misma planta baja de ingreso al penal. Ya que su
alcance, la mira de su objetivo sólo se limita a robar contraseñas de novias o novios para
él/ella y sus amigos o amigas, espiarles el chat o reenviar cadenas con pensamientos.
Entre estos tres (tristes tigres) tipos de sombrero y agregando algún que otro tipo de gorro, birrete
o boina según el target y crimen digital cometido -incluida su debida tonalidad, ¡por favor que no
sea de la escala de grises!-, deberían pronunciarse por parte de un sistema de injusticia mundial
(que sea local o regional no sirve, ya que no se pueden establecer claramente las fronteras
digitales), las distintas penas carcelarias y sus respectivos múltiples años de encierro (de condena
efectiva) para estafadores financieros, timadores y bancarios, gobernantes, skimistas, ladrones de
identidad, saboteadores, falsificadores, copiadores y pegadores sin citar fuente, creadores de
malware, ingenieros sociales, y para todo nuevo practicante (de novedosa actividad) de los
modelos de ataques futuristas.
Lamentablemente, la seguridad absoluta no existe, es un “estado ideal onírico”. Puede ser que en
algún caso en donde se pudieren establecer “condiciones especiales” se llegue a la “seguridad casi
absoluta periódica y mixta”. Por ejemplo, en la empresa TyNyI: “Este sector de calidad maneja un
ambiente de seguridad periódica mixta del 99, 4850164922158270 % para todas las pruebas
controladas”.
Página 107
Hablando en modo “Seguridad Informática” y dentro de un Organización, para llegar a este

“estado ideal onírico”, no tendrían que existir los firewalls, los antivirus, las DMZ (sólo para
ordenamiento y clasificación de servidores y equipos, no para prevención), los sistemas de desvío
de tráfico ante ataques de DDOS, los anti-spam, anti-botnets, anti-ransomware, anti-etcéteras.
En este “estado ideal onírico”, habría que jugar con la fantasía de pensar: “mirá si a alguien se le
ocurre crear una red de ordenadores, llamarlos zombies y desde allí lanzar ataques informáticos,
tomar el control de las computadoras y teléfonos inteligentes…”
En este “estado ideal onírico”, se podría tomar como una ofensa que a una persona cuando
ingresa a trabajar a una empresa, se le haga firmar un “NDA” o ‘Contrato de Confidencialidad’.
Sólo se podría llegar a este “estado ideal onírico”, en una sociedad regida por la justicia (justicia
cierta y verdadera), un mundo rodeado de personas honestas.
Para lograrlo, habría que -lamentablemente esto debería suceder por decantación, por ser una
situación normal, no por ser un caso de estudio o un caso de éxito aislado- crear una nueva
valoración o calificación a las entidades: “UTÓPICA”.
Entonces citaríamos, por ejemplo:
- Empresa Utópica de Agroquímicos.

- Utópica Oficina Anticorrupción.
- Servicio Nacional y Utópico de Calidad Alimentaria.
- Estudio Utópico de Abogados.
- Ente Utópico de Regulación de la Electricidad.
- Gobierno de los Estados Utópicos Unidos.
- Escuela Utópica N°8.
- Confederación de Estados Utópicos del Polo Sur.
- Estación Espacial Utópica Internacional.
- Utópico Planeta Tierra.
- Sueños utópicos…
Página 108
La seguridad molesta
Dentro de una Organización típica, los gerentes quieren que funcionen (casi) todos los
sistemas informáticos todo el tiempo, al mismo tiempo. Al llegar a la oficina: ingresar y chequear
antes de empezar a trabajar, al mediodía y a media tarde:
- Internet (servicio Web), el correo electrónico y que la red de datos corporativa vuele en
términos de velocidad, que se les permita leer todos los periódicos y revistas de chismes
del día.
- Adoran ver todo el tiempo las cámaras de seguridad instaladas en sus casas (las de sus
vecinos), sus cuentas de Yahoo!, Gmail y Outlook.
- Ver el horóscopo chino y su ascendente, los números de la lotería del país de origen y
limítrofes, la cotización del dólar, el euro, el oro y las coronas danesas.
- Los videos de YouTube con las clases de Yoga Kundalini, el último año de la serie “los días
felices”, el campeonato mundial de Curling, la radio online que pasa música de reflexión y
meditación que utiliza servicio de streaming desde Kuala Lumpur, Dropbox, OneDrive,
iCloud, Evernote, FACEBOOK, Instagram, Pinterest, Taringa, Poringa, la bahía pirata,
Badoo, Ashley Madison y The Beautiful People (ah, no te la crees nada ¿eh? ☺). Pero,
dirán:
¡¡¡¡Qué no haya un solo virus en la empresa, qué no se cuelgue Internet, y qué la gente no entre
en ningún lado raro!!!!!!!!!¿?¿?¿? eeehhhhhh !!!!!!!!!¿?¿?¿?
Todo esto representado, administrado y controlado por dos personas, a lo sumo tres que
comparten dos escritorios y que cuentan con un presupuesto anual que les alcanza para elegir
entre cambiar los monitores de las computadoras o que uno de los integrantes del Área de
Seguridad realice un curso de “Ataques a las redes Wi-Fi con bolsas de papas fritas”.
La seguridad, sea cual fuera de ellas molesta, estorba, incomoda, retarda los tiempos y encarece la
economía. Pero al momento de un “accidente”, una “filtración” o un “ataque”, ruegan e imploran
que la “seguridad” funcione y que “funcione” correctamente, no a medias tintas.
Narrando estas vivencias en forma de cuento tenemos que:
Dentro de lo lamentable de un accidente automovilístico e inmediatamente a preguntar por el

estado de salud del accidentado -casi siempre-, lo segundo que averiguamos es que si la persona
accidentada tenía puesto el cinturón de seguridad. Entonces:
Le agradeceremos al cinturón de seguridad sino paso nada malo o si el accidente fue menor en su
impacto gracias al cinto.
Si el desenlace del infortunio pudo haberse evitado o minimizado por el uso del cinturón de
seguridad y éste no fue utilizado, maldeciremos con cuantiosa abominación a la persona que no se
lo abrochó, en este caso el “accidentado”.
Si además del cinturón de seguridad, la economía de nuestro bolsillo puede comprar un vehículo
equipado con el sistema de bolsa de aire o “airbag”, la probabilidad de evitar un daño mayor se
puede reducir o llegado el caso, hasta anular.
Página 109
Le agradeceremos eternamente a la bolsa de aire si se activó correctamente en el momento

preciso y nos evitó un daño posterior.
Si el desenlace del infortunio pudo haberse evitado o minimizado por la activación del airbag, pero
éste no se impulsó por falta de mantenimiento programado o porque estaba dañado y nunca se
reparó, maldeciremos con abundante abominación a la persona que no lo llevó al taller mecánico
a mantenerlo o a repararlo.
Peor todavía, si además de tener una billetera solvente o no tanto pero que, con un ajuste en
nuestros “gustos banales”, al momento de adquirir el vehículo optamos por securizar nuestra nave
de cuatro ruedas con un sistema de frenos de antibloqueo de ruedas o “ABS”; las probabilidades
de impedir o precaver un accidente en caso de que ocurra o que se encuentre en camino a ocurrir
son más favorables hacia nosotros.
Haciendo un paralelismo entre un automóvil y una empresa tenemos que:
El “vehículo” es la “Empresa”.
El conductor del automóvil es el Director de la Empresa.

El que viaja a su lado es el Coordinador de TI.
Sentado atrás (si nos guiamos por un organigrama estándar, iría en el baúl o cajuela) viaja el Oficial
de Seguridad.
El asiento libre es para un usuario cualquiera, independientemente de su jerarquía y funciones.
Un automóvil económico o estándar con sólo cinturones de seguridad, es la típica infraestructura

de seguridad que posee una típica empresa típica tipo.
Un automóvil de gama media con sólo cinturones de seguridad y con el sistema de bolsa de aire o
airbag, es la típica infraestructura de seguridad que posee una típica empresa típica tipo, mejorada
por un eficiente Oficial de Seguridad que tiene apoyo de la Gerencia de TI.
Un automóvil de alta gama que posee cinturones de seguridad, sistema de bolsa de aire o airbag y
sistema de frenos ABS, es la típica infraestructura de seguridad que posee una típica empresa tipo,
muy mejorada por un eficiente Oficial de Seguridad, dotado de un grupo numeroso y calificado de
empleados, que tiene suficiente apoyo de la Dirección de TI y de las altas gerencias.
Un automóvil de luxe que posee cinturones de seguridad, sistema de bolsa de aire o airbag,
sistema de frenos ABS, sistema de asistencia de frenado o BAS, control o programa electrónico de
estabilidad o ESP, sistema de control de tracción o TCS, reparto electrónico de frenada o EBV, es la
típica infraestructura de seguridad que posee una típica empresa tipo ideal o casi ideal,
exorbitantemente mejorada por un Oficial de Seguridad, dotado de un abundante grupo
numeroso y calificado de empleados, que tiene un cúmulo de apoyo de la Dirección de TI y de las
altas gerencias, y administra una caja chica de por lo menos 2x3 metros.
En todos los casos, o por lo menos en el 95nM de ellos, el Oficial de Seguridad es un piloto de
automóvil con superlicencia para conducir en fórmula 1; que muchas veces le dan para manejar un
Talbot-Lago T26, en otras ocasiones un Matra MS120 y en pocas ocasiones un Mercedes MGP
W05.
Página 110
(La comparación de autos es sólo a título ilustrativo, como para diferenciar a las distintas
empresas, estructuras e infraestructuras, equipos y especialistas. Desde ya que sabemos que son
todos autazos ☺).
Retornemos al principio de este punto, a la comparación del automóvil y la empresa, y a la idea de
lo molesta que es la seguridad.
Las empresas automotrices prefieren invertir dinero, ideas, diseños y recursos en “chiches” (Ver a
que llamamos “chiches”, aproximadamente 47 renglones hacía abajo) para el interior y el confort
de los vehículos pero NO para la seguridad de la gente (usuarios). O, invierten en una falsa
campaña de difusión de seguridad que no se ve o no es tal, es parcial, o en una seguridad que no
funcionó al momento de necesitarla por no haber sido probada con suficiente tiempo o
condiciones óptimas.
Para ellos, a mayor seguridad mayor inversión monetaria. Mayor el tiempo de la presentación por
la demora en pruebas de funcionamiento o pruebas de calidad, y hasta es motivo de rediseño
interior, exterior o ambos, ya que la parte “dura” de la seguridad en ocasiones debe ser visible
para “vender”.
En una empresa (o en el 95nM de ellas) el pensamiento es el mismo: si todo anda bien, en mayor o
menor medida, pero anda, hay que dejarlo así (como suele suceder con las pruebas de Restore-
Backup que nunca se realizan).
Prefieren invertir en el último modelo de computadora, tableta y Smartphone, en tener

ambientada y bien pintada la oficina, la cafetera de cápsulas, la sala de reunión, muebles con
diseño de vanguardia hechos en madera de teca (Tectona Grandis), muchas cámaras de seguridad
apuntando a todos los pasillos y escritorios, monitores cada vez más grandes y del más full HD
posible de comprar, el catering, los almuerzos, los viáticos salidas, paseos laborales a los mejores
hoteles, en la mejor categoría de avión, remís o micro; en adquirir “cositas” que no aplican o no
sirven para la Organización pero está bien o es “cool” tenerlas.
Y comprar más y más componentes, elementos y objetos lo más modernosos posibles y

encontrados en el mercado mundial on-line, a tener que invertir en más firewalls, analizadores de
tráfico de red, software de inventario, en hacer pentest, adquirir certificados de sitio seguro, tener
servidores potentes para “bancarse” la red y el tráfico, tener un buen antivirus con todas las
funciones anti-malware-posible, renovar licencias de todo (suelen argumentar: “Si ya lo compré y
anda” “¿Para qué lo querés actualizar” “¿Qué nos puede pasar?” “¿Qué tomaste en el desayuno
hoy?” “¡Eso pasa sólo en las películas!” “¿Ves mucho cine fantástico últimamente?”, son algunas
de las respuestas de salón que tienen previstas los cráneos huecos que toman decisiones en las
Organizaciones.
En ambos casos -el auto y la empresa-, debería ser una prioridad (hasta debería ser una cuestión
de Estado impulsando leyes para tales fines) que todos (todos) los autos debieran salir de fábrica
incluyendo obligatoriamente todos los cinturones de seguridad necesarios de acuerdo a la
cantidad de personas que puedan viajar en el vehículo, apoyacabezas, airbags, frenos ABS,
asistente de frenado (servofreno de emergencia), control de estabilidad, botiquín, balizas,
matafuegos, etc.
Página 111
(Muchos de estos elementos NO vienen incluidos de fábrica o no son prioridad, pero SÍ todos los
autos incluyen un encendedor de cigarrillos para matarse lentamente o ayudar a matar gente
inocente).
Todos ellos (menos el nefasto párrafo superior: “Muchos de estos elementos NO...”), piezas de
seguridad necesarios para preservar la vida de las personas en caso de accidente.
A partir de toda esta infraestructura automotriz de mínima, luego sí, que todos los “chiches” que
se le agreguen al móvil SÍ incrementen el costo de la nave: las pantallas touch, Heap Up Display, el
GPS -podría ser marcado como ítem de seguridad-, CD/DVD/BlueRay, bluetooth, comandos por
voz, techo de vidrio, faros de neón con sensor de movimiento, asientos de cuero, el volante del
mach 5 de meteoro, el condensador de flujo del DeLorean DMC-12 y las puertas “ala de gaviota”.
En las empresas, la prioridad número uno debería ser cuidar y preservar los activos de la
Organización, la integridad física e intelectual de las personas que trabajan en ella, y de las que
están de paso.
Para ello es fundamental contar con un Administrador de Seguridad capacitado y personal que lo
acompañe en esta misión también calificada de la mejor manera, en permanente capacitación,
con llegada inmediata a las esferas de poder y con toma de decisión escuchada, respetada y
aplicada por el personal de todos los niveles pertenecientes a la entidad, y hacérselas conocer a
quienes no son parte efectiva de la misma.
Proteger los activos, que junto con las personas, conforman el corazón de cada Organización, con
el debido equipamiento informático, electrónico, eléctrico, preventivo y reactivo de Seguridad de
la Información, entre otros, como ya hemos citado con firewalls, IPS, IDS, antivirus, anti-botnet,
anti-usuariodeshonesto, filtros Web y de aplicaciones, hardening de servidores y equipamiento en
general, BYOD, Planes de Contingencia y Políticas de Backup-Restore, etc.
Todo como siempre actualizado y en marcha.
Y fundamentalmente, con gente buena y honesta trabajando dentro de las Organizaciones,

capacitada y con permanente aptitud y actitud para capacitarse. Que cumpla con las buenas
prácticas de trabajo en todos los sentidos, ya que de nada sirve equipar a una entidad con todos
los equipos de seguridad nombrados a lo largo de este relato, si uno solo de los empleados es
deshonesto y comete toda clase de abuso y destrucción de los recursos.
La gente honesta, responsable y trabajadora, atrae gente honesta, responsable y trabajadora. No

hay situación más incómoda, insalubre y estorbante para una persona honesta, responsable y
trabajadora que juntarla en equipo con una persona deshonesta, irresponsable y corrupta.
No hay situación más cabreante y estorbante para una persona deshonesta, irresponsable y
corrupta que juntarla en equipo con una persona honesta, saludable, responsable y trabajadora.
Figúrense lo molesta e incomprendida que es la seguridad y la escasa importancia que le dan los
mismos usuarios -en este caso hablando primeramente de la seguridad física de las personas,
luego de la seguridad de la información-, que hoy en día dentro de los edificios que contienen a las
entidades, a los pisos que albergan a las distintas oficinas saturadas de personas, cables y equipos,
se les agrega qué -en una gran cantidad de ellas- las zapatillas eléctricas o PDU (unidades de
distribución de energía) y los puestos de trabajo (red de datos, telefonía y electricidad) que
Página 112
conectan teléfonos, computadoras, notebooks, switchs (en algunos esquemas ¡servidores!), y

distintos equipos de telecomunicaciones, son ocupados también por “hornos a microondas y
heladeras”.
Si al “BOYD” se lo traduce como “traiga su propio dispositivo a la empresa”, a esta práctica de

instalar heladeras, microondas, televisores, platos, cubiertos, vasos, percheros y más, la podemos
apellidar como BOY-HSH: Bring Own Your – Home Sweet Home o “traiga su propio ´hogar dulce
hogar’ a la empresa”.
Estas personas, no dudan un solo instante en desenchufar cualquier equipo de los citados para
enchufar tabletas y Smartphones personales, pavas eléctricas, televisores o el ya mencionado
horno eléctrico. Las heladeras permanecen fijas en sus enchufes, ¡no se vaya a cortar la cadena de
frío!
Un caso similar, es pretender retirar los percheros de pie cargados de ropa, ubicados en los
cuartos que resguardan los racks de cada piso. ¡No vayamos a querer desarmar el vestidor del
personal de vigilancia o el probador de las chicas! ☺.
Si al “BOY-HSH” se lo traduce como “traiga su propio ´hogar dulce hogar’ a la empresa”, a esta
práctica de instalar percheros, espejos y muebles dentro de los “recintos” o “salas” que hospedan
a los racks de cada piso, la podemos apellidar como BOY-DR: Bring Own Your – Dressing Room
“traiga su propio ´vestuario´ a la empresa”.
Página 113
La seguridad es marketing
Algunos directores o gerentes de Organizaciones se jactan de tener un Área de Seguridad
Informática. Hoy en día es casi habitual poseerla, aunque a veces sin personal y en muchas
ocasiones comandada por una sola persona. Estos “gerentes”, hasta presentan al responsable de
“seguridad” como a un calificado “¿Ingeniero en Internet?” ante sus pares de otras Organizaciones
o dentro del mismo ente, sólo por el marketing o la “chapa” que ofrece el nombre. Suena
importante, ¿no?
Dentro de las entidades, todas las áreas quieren sacar provecho de saltear las reglas de seguridad
para beneficios personales como ser el ingreso Web a radios on-line, redes sociales, Webmails
externos, pornografía, videos, etc.
Ahora bien, cuando ingresa a un sector, a un área, a una dirección o a una coordinación NO-
Seguridad Informática una consulta, un pedido de habilitación o una solicitud “riesgosa” por el
calibre de alguien “pesado por sus contactos” o “pesado por sus galones” dentro o fuera de la
empresa y que no traería consecuencias agradables la negación o desaprobación de “tal” solicitud
para quienes toman decisiones jerárquicas, la respuesta evasiva e inmediata de la “real jerarquía”
es: “preguntale a seguridad”, “que decida seguridad”, “esa nota es para seguridad” o, “eso es
responsabilidad de seguridad”.
Traducción: cuando no convine, nadie respeta las decisiones de seguridad y nadie la escucha.
Nadie, o sólo algunos empleados rasos y otros pocos intelectuales jerárquicos, pero si la mano
viene “pesada”, la respuesta siempre es la misma: “que decida seguridad”.
Resultado: cuando es funcional -ya sea por marketing o por chapa- tengo un Área de Seguridad.
Cuando molesta: “que esto no pase por seguridad, porque no te van a dejar hacer nada”.
En ocasiones, puede suceder que tengamos un Área de Seguridad que implementa todas las
soluciones que salen al mercado -sirvan o no-, haciendo un acopio importante de “appliances”.
Esto sucede -generalmente- por decisiones marketineras o miedosas del Coordinador o Gerente
de TI, que está por encima del Jefe de Seguridad, y para “chapear” ante entidades externas o ante
las mismas otras autoridades del Organismo, sobre la “tecnología” que “ellos” manejan.
Una empresa que cuenta con un antivirus, un firewall o una cantidad acorde de firewalls, u algún
equipo dedicado de IPS, IDS, filtrado de contenido Web, una “PUA” concisa, precisa y con buenos
planes de capacitación y concientización NO es menos INSEGURA que:
Una empresa que amontona antivirus, firewalls, equipos dedicados de IPS, IDS, DLP, PGP, VPN,
WAF, DAF, anti-spam, QoS, analizadores de espectro, aceleradores Web, escape a la nube ante
ataques de DDOS, servicio de anti-botnet, anti-APTs, anti-ransomware, DMZ, RADIUS, LDAP, Active
Directory, pendrives con soporte FIPS 140-2 Level 3, terminales biométricos de reconocimiento
facial 3D, la cúpula de hierro, PERO que NO cuenta con un buen PLAN de CAPACITACIÓN y
CONCIENTIZACIÓN para todo el personal, o no cuenta con gerentes honestos.
Es la misma situación que se da en las “campañas” -marketineras, sucias y mentirosas- o “logros”

de los políticos que hablan de mayor protección o tranquilidad para los ciudadanos
vanagloriándose de las 300 nuevas cámaras de seguridad instaladas en las calles o, en ubicar
Página 114
estratégicamente patrulleros (autitos de policía) y policías (vigilantes) en esquinas peligrosas (por

los delincuentes); y resulta que dentro del patrullero los policías duermen, y los vigilantes que
están parados en las esquinas chatean o revisan las redes sociales todo el tiempo dejando de
“vigilar” a su alrededor y ser “precautorio” del delito.
Obviamente que las 300 cámaras “no funcionaron” en el momento exacto en que pasaron las
camionetas con las bolsas de dinero robadas de la financiera o las 30 cámaras ubicadas en la
puerta de acceso del estadio se apagaron justo cuando entraba la “barra brava” del club. En las
Organizaciones, esta situación se da cuando se robaban una computadora, se apagaba
manualmente un servidor, se llevaban una impresora con la mesita incluida a casa, cuando
entraba y salía “gente importante” de alguna “oficina importante”, etcéteras de apagados
intencionales.
Sería más preventivo, proactivo y persuasivo poner en cada esquina a una persona disfrazada del
hombre araña, del increíble Hulk, Tadeo Jones, el agente Perry, Popeye, Thor, Flash y el agente 86
(NO Lex Luthor, porque generaría confusión) que las 300 cámaras de seguridad, el #911 y su
cuestionario on-line y los policías contestando al ¿Qué estás pensando? en sus Smartphones.
Como mencionamos a lo largo de este corto discurso, la diferencia entre la seguridad marketinera
y la real, la preventiva y la reactiva, la negligente y la capacitadora, es que todas ellas son
manejadas por seres humanos vulnerables, vulnerados y vulneradores.
Por ello, deberíamos acopiar, utilizar y reutilizar más mentes brillantes para la toma de decisiones
y trabajadores honestos y capacitados, que cerebros abreviados, de ideas nefastas, de insumos,
tiempos y tecnologías malgastados.
Página 115
La Seguridad en el futuro. ¿Seguridad Eléctrica? ¿Seguridad Hídrica?
¿Cómo será la seguridad en el futuro?
¿Dentro de las próximas 5 horas, quince semanas, 25 meses, treinta y cinco años, 45 décadas o
cuatrocientos cincuenta decalustros?
¿Se seguirá produciendo información privada o confidencial?

¿El gran hermano será el administrador de datos del mundo?
¿El hermoso planeta Tierra se seguirá llamando así o pasara a ser conocido como “The Facebook
Planet” o “Google Star”?
¿Será Mark nuestro presidente universal?
¿Serán Larry y Sergey sus ministros?
¿Volverán a ser indispensables los papeles, los lápices y las conversaciones orales?
Si todos los servidores, computadoras, tabletas y memorias flash son destruidos a partir del odio
visceral del malvado ser humano creador de conflictos y refriegas, ¿dónde subsistirá la
información contenida en éstos medios electrónicos/magnéticos?
A la mayoría de los gobernantes les encanta crear y comprar malware, especialmente los 0-days,
software “espía” sobre la población, reclutar hackers de sombrero oscuro. Espiar, sabotear,
destruir e innovar en armas de guerra y mejor aún si son de destrucción masiva, en esta loca
carrera contra la muerte.
Con la ayuda de la informática y la electrónica avanzan a pasos agigantados, siendo los radares, las
antenas de telecomunicaciones, y la “Internet regional”, los blancos -objetivos- primeros y
preferidos a la hora de “atacar” o “jugar” con ellos.
Cuando sobre el planeta Tierra no quede un recóndito lugar en donde resguardar nuestra
información, ¿qué habrá que hacer?, ¿utilizar “servicios” en la mesosfera, ya que la “nube” será
aún más vulnerable? -si para esos tiempos ya no ha sido destruida-, ¿replicar los centros de datos
en Urano? -si a Urano todavía no le han puesto un cartelito de inmobiliaria: “Dueño Alquila” o
“Dueño vende excelentes lotes. Contáctese con nosotros al número 00 1 (925) 294-49920-.
En el futuro, que puede ser dentro de un tris o mañana, ¿la información tendrá valor?, ¿la “no”
información cotizará en la bolsa de valores?, ¿servirá para algo estar informado, o será más
saludable estar desinformado?, ¿cuánto costará ser anónimo?, ¿las vacaciones serán
promocionadas en lugares “anónimos”: sin señal de celular, ni TV, ni diarios, ni revistas, ni
Internet, ni vuelos rasantes de drones?
Será un nuevo formato de reality en televisión: “Ganará quien se mantenga oculto por más tiempo
sin ser encontrado, ni ubicado, ni filmado, ni fotografiado, ni rastreado, ni escuchado, ni nada”.
¿Seguirá existiendo Internet?, o podrás pagar más cara una tarifa de alquiler por un servicio si “no
cuenta con servicio de Internet”.
Página 116
En el futuro, que puede ser dentro de 9,58 s (WR):
¿Quién tendría más poder o decisión dentro de una Organización?:
- El Administrador de Información (antiguamente llamado Oficial de Seguridad) o,

- El Administrador de Electricidad (antiguamente electricista, trabajador del Sector de
Servicios Generales).
Si la información se propaga entre computadoras, entre servidores, entre dispositivos Wi-Fi,

¿entre lamparitas LI-Fi?, entre distintos y diversos equipos electrónicos a través de la “madre
electricidad” o la “diosa Ámbar” y, sin el poder de la misma, los datos no fluyen, no se procesan:
¿Quién gana más poder, más influencia y más prestigio dentro de una Organización?:
- ¿El Administrador de Información (antiguamente llamado Oficial de Seguridad)?

- ¿El Administrador de Electricidad (antiguamente electricista, trabajador del Sector de
Servicios Generales)? o,
- ¿El Administrador del Agua? (fuente de una fuerza inagotable de sabiduría, pureza y
destrucción).
Página 117
Se necesita de vuestra tranquilidad y comprensión para los siguientes párrafos:
Si el Administrador de Información, a través de su anticuado, volumétrico, arcaico y

desactualizado MGSI protege las posibles fugas de información del Organismo, nos capacita sobre
las buenas prácticas, netiquetas y los siguientes 114 controles de etcéteras más -empero-, un solo
empleado deshonesto “vuelca el contenido de un vasito de agua o cualquier otro líquido” en un
toma corriente -> que produce un corte de corriente eléctrica asilado o general -pero corte al fin
qué- -> por más UPS, cortacorriente, llave térmica, equipo de contingencia eléctrica o grupo
electrógeno que se active -casi nunca va a estar disponible para todos los usuarios y equipos de la
Organización-, -> los dispositivos y aplicaciones que corren (se ejecutan) en ellos y, con los
sucesivos -(recordemos que estamos atacando con vasitos de agua)- cortes de energía que harán
qué, -> equipos e información no funcionen y no trabajen correctamente durante los próximos
cortes y micro-cortes de energía con la consecuente degradación de información y el mal
funcionamiento de los equipos debido a los sucesivos cortes que crecerán hasta hacer deficientes
a la gran mayoría de dispositivos (desde ordenadores de usuario final hasta discos de servidores,
paseándose por switchs, aires acondicionados, routers y llegar a quemar las “heladeras” de la
gente que toma a las oficinas como su propio “loft”. Entonces:
Podríamos nombrar a este tipo de ataque como:
“APT-BeVdA o Advanced Persistent Threat-Basados en Vasitos de Agua”.
¿Habrá que estar prevenido de los ataques de malware, APT tradicional, APT-BeVdA, crimeware,
ransomware, zerodaysware y vasitodeaguaware?
Hacia finales del año 2015 y posteriores, el ser humano consiente y capacitado, ¿seguirá
recogiendo del piso de las oficinas o de la calle los “pendrives”? ¿Se ubicarán éstos artefactos
estratégicamente y olvidadamente en los baños de sectores de accesos restringidos?
¿El “Comando Especial de Seguridad” de cada Organización -formado por el Administrador de

Información, el Administrador de Electricidad y el Administrador del Agua- podrá detener los
ataques de pendrives cargados con líquido de freno?, o ¿ataques “Pendrives bomba TNT”?
Entonces (bis). ¿Tomará más notoriedad el “Oficial Eléctrico” (Administrador de Electricidad o

ElectroAdmin) que el “Oficial de Seguridad” (Administrador de Seguridad o AdminAdmin)?:
- ¿Ingeniero Electricista será “la” carrera universitaria del futuro cercano?

- ¿Abogado con diplomatura en electricidad será otra de las grandes alternativas?
- ¿El Administrador de Electricidad tendrá que contratar “Ingenieros Hidroeléctricos” para
realizar los test de intrusión?
¿En vez de los tradicionales test de intrusión se deberán realizar “test de presión y de
estanqueidad”? ¿Pruebas de desagües?
¿El Área de Seguridad informática estará compuesta por un Administrador de Información, un

Administrador de Electricidad y un Administrador de Agua?
Página 118
El joven encargado de reponer los bidones de agua de las máquinas dispensadoras ubicadas en las
oficinas, ¿será nombrado Asesor “hídrico” de Seguridad?
El pez grande se come al pequeño, por lo tanto, la jerarquía del Área de Seguridad Informática de
la Información, ¿estará conformada de la siguiente manera?:
- Administrador de Agua.
- Administrador de Electricidad.
- Administrador de Información.
Al fin y al cabo, el siguiente podría ser un organigrama-tipo de empresa-típica del futuro:
Presidencia
Asesores Asesores
Hídricos Eléctricos
Administrador Administrador Administrador Legales

de Agua de Electricidad de Información
Informática ¿Community Finanzas RR. HH.

Managers?
Estemos atentos…
Fin
Final Caja Negra.
Página 119
Preguntas y dudas varias
Obviamente mi conclusión acerca de la “seguridad” está llena de preguntas que me pueden

responder, si son tan amables:
¿Cómo será el organigrama de un grupo de hackers de sombrero negro?
¿Tienen una política de Backup-Restore?
¿A los sombrereros que ingresan les hacer firmar un contrato de confidencialidad o NDA?
¿Tienen un Comité de Seguridad? ¿Quiénes serían sus miembros?
¿Se guían por un MGSI, Normas, Procedimientos y Estándares Técnicos? ¿PUAs?
¿Para ellos o cualquier entidad dedicada al mal, “MGSI” significa “Manual de Gestión de Seguridad
de la Información” o “Manual de Gestión de InSeguridad de la Información”?
¿Uno de sus principales blog de referencia es el www.elladodelbien.com “UN INFORMATICO EN EL

LADO DEL BIEN”?
¿Usan antivirus los malos? ¿Cuáles? ¿Me podrían recomendar algunos de los mejores?, ¿o peores?
¿Si los gobiernos espían y hackean a los buenos, los gobiernos son operados por gente buena o
por gente mala? ¿Están de nuestro lado para protegernos?
Página 120
Resumen de los principales tópicos del libro en frases
Definiciones y aclaraciones
“Me la dejó servida, lo único que tuve que hacer fue enfrentar a Taffarel, gambetearlo y definir".
Claudio Paul Caniggia, sobre el gol a Brasil en el mundial de Italia 90.
Prologo
“Estos son malos tiempos. Los hijos han dejado de obedecer a sus padres y
todo el mundo escribe libros”.
Marco Tulio Cicerón, anticipándose a este ensayo.
El comienzo de un Administrador de Seguridad

“Nuestra recompensa se encuentra en el esfuerzo y no en el resultado.
Un esfuerzo total es una victoria completa”.
Mahatma Gandhi
Sensaciones de un Administrador de Seguridad

“A veces sentimos que lo que hacemos es tan solo una gota en el mar, pero el mar sería menos si
le faltara una gota”.
Madre Teresa de Calcuta
¿Cómo se debería llamar el Área de Seguridad?

“La botánica no es una ciencia; es el arte de insultar a las flores en griego y latín”.
Jean Baptiste Alphonse Karr (no sé si es la frase indicada, pero me gustó ubicarla aquí).
Organigrama
“La estadística es una ciencia según la cual todas las mentiras se tornan cuadros”.
Pitigrilli (cuadros = raviol = organigrama)
¿Con cuáles Áreas debemos tener contacto directo? (líneas punteadas en el organigrama)
“Cuando quieres realmente una cosa, todo el Universo conspira para ayudarte a conseguirla”.
Paulo Coelho
Usuarios que atentan contra un Área de Seguridad Informática

“Un hombre razonable es aquel que se adapta al mundo a su alrededor. El hombre no razonable
espera que el mundo se adapte a él.
Por lo tanto, todo progreso depende del hombre irrazonable".
George Bernard Shaw
Página 121
Alianzas y aliados necesarios para la buena gestión de la seguridad

“Dad al hombre salud y metas a alcanzar y no se detendrá a pensar sobre si es o no feliz".
George Bernard Shaw
Concientización y Capacitación
“Donde hay educación no hay distinción de clases”.
Confucio
“Educación es lo que la mayoría recibe, muchos transmiten y pocos tienen”.
Karl Kraus
Tips o cuasi consejos previos a capacitar

“No es la apariencia, es la esencia; no es el dinero, es la educación; no es la ropa es la clase”
Gabrielle Bonheur “Coco” Chanel
Vigilancia – Control de Accesos

"El miedo atento y previsor es madre de la seguridad".
Edmund Burke
El Jefe, Administrador de Seguridad u Oficial de Seguridad

“El sueño del héroe es ser grande en todas partes y pequeño al lado de su padre”.
Víctor Hugo
Organización de un Área de Seguridad Informática

"Todo arte se caracteriza por un cierto modo de organización alrededor de un vacío".
Jacques Lacan
Desglose del personal del Área de Seguridad

“Dame un empleado del montón pero con una meta y yo te daré un hombre que haga historia.
Dame un hombre excepcional que no tenga metas y yo te daré un empleado del montón.”
James Cash Penney
Primeras actividades al asumir un Área de Seguridad Informática

“Proyecta lo difícil, partiendo de donde aún es fácil. Realiza lo grande partiendo de donde aún es
pequeño. Todo lo difícil comienza siempre fácil. Todo lo grande comienza siempre pequeño”.
Lao Tse
Plan de Contingencia y Política de Backup-Restore

"En los momentos de crisis sólo la imaginación es más importante que el conocimiento".
Albert Einstein
Página 122
Desventajas de los Comités de Seguridad

“Cada Organización tiene un cupo de puestos a cubrir por inútiles”.
Edward Aloysius Murphy Jr.
Ventajas de los Comités de Seguridad

"Es más fácil engañar a la gente que convencerla de que ha sido engañada".
Mark Twain
MGSI, Normas, Estándares, Certificaciones….PUAs

"Es más fácil escribir diez volúmenes de principios filosóficos que poner en práctica uno solo de
sus principios".
León Tolstói
PUA o Política de Uso Aceptable de…

“En la vida no hay premios ni castigos, sino consecuencias”.
Robert Green Ingersoll
Ciclo de vida de las escrituras

“Cualquier necio puede escribir en lenguaje erudito. La verdadera prueba es el lenguaje
corriente”.
Clive Staples Lewis
The Facebook en tu Organización

“La privacidad ha muerto y Social Media la mató”.
Pete Cashmore
Los servicios en la nube = ¿Fuga de Información aceptada?

“Quienes son capaces de renunciar a la libertad esencial a cambio de una pequeña seguridad
transitoria, no son merecedores ni de la libertad ni de la seguridad”.
Benjamin Franklin
¿Quién nos protege? ¿De quién nos protegemos?

“¡Por Odín y por Asgard!”.
Thor
Forenses dentro de la Seguridad de la Información

“En principio la investigación necesita más cabezas que medios”.
Severo Ochoa
Conclusiones Finales
Página 123
“Cuando creíamos que teníamos todas las respuestas, de pronto, cambiaron todas las preguntas”.
Mario Benedetti
La Seguridad en el futuro ¿Seguridad Eléctrica? ¿Seguridad Hídrica?

“Al infinito y más allá”.
Buzz Lightyear
Preguntas y dudas varias

“A quien teme preguntar, le avergüenza aprender”.
Proverbio danés
Fin
“Sin música la vida sería un error”.
Friedrich Nietzsche
Página 124
Glosario
Modismos y palabras inventadas por no encontrar las precisas. Como dijo Samuel
Langhorne Clemens “la diferencia entre la palabra adecuada y la casi correcta, es la misma que
entre el rayo y la luciérnaga”, por eso la necesidad de este apartado.
Además, si la prestigiosa Real Academia Española define:
Pirata informático: Traducción recomendada para la voz inglesa hacker, ‘persona con grandes
habilidades en el manejo de ordenadores, que utiliza sus conocimientos para acceder ilegalmente
a sistemas o redes ajenos’. Qué se nos puede imputar a nosotros por instaurar las definiciones
exhibidas en este glosario. ¡Salud!
El número de página (Pág.) indica en cuál de ellas aparece el término por primera o única vez.
Manuel: Manual. Pág. 6.
Emilio: E-mail o correo electrónico. Pág. 8.
Play: El término ‘play’ define cualquier y todas las consolas de videojuegos independientemente
de marcas o modelos. Pág. 9.
Raviol: Figuras geométricas que forman las áreas, sectores, direcciones o gerencias de un
organigrama. Pág. 12.
Seguridadinformáticamente: Seguridad Informática. También quiere decir Seguridad de la

Información, pero sólo nosotros nos damos cuenta de eso ☺. Pág. 17.
Bilardeano: Que es partidario de Bilardo, Carlos Salvador. Jugador de fútbol y DT campeón de

Estudiantes de La Plata. Pág. 18.
Sabelista: Que es partidario de Sabella, Alejandro. Jugador de fútbol y DT campeón de Estudiantes

de La Plata. Pág. 18.
Raviolitos: Raviol chiquito. Se refiere a los cuadros que forman el organigrama y que se
encuentran ubicados en los niveles inferiores. Pág. 19.
Raviolones: Raviol grande. Se refiere a los cuadros que forman el organigrama y que se
encuentran ubicados en los niveles superiores. Pág. 19.
Empleados acomodados: Perfil de “persona” que simula ser un trabajador más de una
Organización, pero que a diferencia de los empleados rasos, cobra el doble/tripe/cuádruple de
sueldo que los demás, no tiene por qué venir a trabajar todos los días, ni realizar actividades
laborales; entre otros “beneficios”. ¿Qué entenderá éste tipo de persona por “beneficio? Pág. 29.
Ñoqui: Persona malvada que le quita la posibilidad de trabajar a un ciudadano capacitado o en

vías de capacitarse para ocupar un lugar de trabajo. Pág. 31.
Página 125
Minedumbre: Antónimo de muchedumbre. Poca cantidad de gente. Pág. 43.
Pentestear: Acción de realizar un pentest. Pág. 53.
Vasitodeaguaware: Tipo de ataque que consiste en volcar el contenido liquido de un vaso de agua
tamaño dispenser 180 cm3 en un enchufe, canales o terminales de flujo eléctrico. La reiteración
de este tipo de ataque da comienzo a una mayor amenaza denominada “APT-BeVdA”. Pág. 61.
Backupear: Acción de realizar un Backup. Pág. 64.
Restorear: Acción de realizar un Restore. Pág. 64.
Botneros: Creadores, administradores o usuarios de redes de botnets. Pág. 69.
Manualería Inversa: Proceso por el cual elaboramos nuestro propio manual, política, norma o
cualquier documento a partir de utilizar los textos que nos son útiles de otros manuales, políticas o
normas ya publicados, más nuestro agregado “personalizado” del tema que nos incumbe. Pág. 72.
Seeeee: Afirmación. Sí canchero. Sí de un “dandy”. Pág. 87.
Naaaa: Pronombre indefinido. “Nada” canchero. “Nada” pronunciado por un “dandy”. Pág. 87.
Iutube: YouTube. Pág. 89.
Tutube: YouTube. Pág. 89.
Chapear: Solicitar, pedir o amenazar por la habilitación de un servicio en nombre de un superior

de la Organización, por un externo “pesado”, o bien invocando su condición de hijo de…, sobrino
de…, vecino de…, compañero de jardín…, kínder… o inicial de… Pág. 89.
Googleen: Buscar información en la Web a través del servicio Google. Pág. 100.
Bingeen: Buscar información en la Web a través del servicio Bing. Pág. 100.
Duckduckdeen: Buscar información en la Web a través del servicio Duck Duck Go. Pág. 100.
Ganso: Tonto (con perdón a los bellos gansos del reino animal o Anser Anser). Pág. 101.
Vago: Proyecto de persona (trabajándolo, podría llegar a encausarse). Parte de la personalidad de

un ñoqui. Pág. 101.
Facebook hacking: Técnicas de ataque para robo de información, suplantación de identidad y

sembrado de malware a través de los servicios ofrecidos por la aplicación Facebook. Pág. 102.
Tinder Hari: Técnicas de ataque para robo de información, estafas y delitos en general
perpetrados y cometidos a través de los servicios ofrecidos por la aplicación Tinder. Pág. 102.
Página 126
Buchonear: Buchón. Botón. Ser humano despreciable que “cuenta” o “inventa” situaciones
personales de la vida real o virtual a otros semejantes. Los “buchones”, son más aborrecibles
cuando inventan o cuentan “chismes” ante jefes o superiores.
Algunos de estos innobles, adoptan esta práctica como “profesión”, principalmente hacia los
“superiores” de una Organización, en revistas y programas de televisión, o porque les encanta ser
buchones de los jefes. Pág. 102.
Bañero: Guardavida. Persona encargada de chamuyar, vigilar, prevenir y rescatar de los mares,
ríos o piletas a seres en peligro acuático. Pág. 105.
Skimistas: Todo aquel que se dedica al estudio, desarrollo y/o implementación de skimmers.
Persona que toma por oficio la práctica del skimming. Pág. 107.
Caja chica: Caja en donde se guarda y se tiene a mano dinero contante y sonante. También es
llamada Caja Menor o ¡Plin Caja! $$$$, u$s u$s u$s, € € €, o £ £ £. Pág. 110.
Anti-usuariodeshonesto: Medio de protección ante el avance de usuarios deshonestos. Pág. 112.
Barra brava: Delincuente que frecuenta un estadio de fútbol. Puede verse en otros ámbitos
(política), pero es más habitual encontrarlos en el ambiente del fútbol argentino. Pág. 115.
Zerodaysware: Agrupación o conjunto de malware del tipo 0-Day. Pág. 118.
Página 127
Página 128
Acerca del autor - Contacto - Diseño - Formato
Autor: damián ienco.
Estudios:
Programador Basic de Microprocesadores (1986)
Bachiller en Ciencias Naturales (1989)
Programador DBase IV (1994)
Exploiting & Security Wireless Technologies (2010)
Hincha de: Estudiantes de La Plata y Asociación Coronel Brandsen.
E-mail: damianienco@gmail.com (Sí, si yo no llego a ver tu correo e., Google me lo va a leer,

revisar y avisar que llegó. Por eso lo elegí y Gmail me eligió a mí ☺).
Twitter: @damianienco (básicamente un espacio dedicado al fútbol, deportes de habilidad,

música, fotos, geografía y datos arcaicos). Igualmente podemos tuitearnos (acción de enviar un
tuit (tuit: mensaje enviado a través del servicio de microblogging Twitter (Twitter Inc.))) con
confianza.
Diseño de tapa e ilustraciones:
Diseñador: thiago ienco (volante central, en ocasiones volante por derecha).
Hincha de: Estudiantes de La Plata y jugador de Asociación Coronel Brandsen.
Estudios:
Jardín de infantes completo.
Primaria: primer grado completo.
Formato – Arreglos:
Diseñadora: manuela carné

E-mail: manuelacarne@yahoo.com.ar
Fecha: aaaa AC DC/mm/dd
Este ensayo se terminó de escribir en el año 2014 d. C., durante su mes de diciembre, en su
séptimo día.
Página 129
Página 130
Ensayo: MANUAL PARA
UN ÁREA & SECTOR DE
‘inSEGURIDAD’ DE LA
INFORMACIÓN &
INFORMÁTICA
Autor:
damián ienco
Material protegido por derechos de autor.
Citando la fuente, se puede publicar cualquier parte del presente ensayo.S THAIGUITO

Manual para Una Área de Seguridad de La Información

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Manual para Una Área de Seguridad de La Información

Загружено:

Авторское право:

Доступные форматы

#ENSAYO:

MANUAL PARA UN ÁREA & SECTOR DE

Por ->> damián ienco

MGSI, Normas, Estándares, Certificaciones….PUAs ......................................................... 72

Que tengan buenos vientos. Buen viaje.

En este libro cuando hablamos de:

Seguridad: nos referimos a seguridad informática, de la información, física, ambiental, etc.

Oficial de Seguridad: Jefe de Seguridad: Persona a cargo del Área de Seguridad de la

Data Center: Es el centro de cómputos o centro de datos o sala de servidores.

Director o gerente: Referencia a un cargo superior, solamente inferior al presidente de un ente.

A lo largo de la lectura -si es que tempranamente no la abandonan-, encontraran frases o palabras

Había a una vez…

El comienzo de un Administrador de Seguridad

Sensaciones de un Administrador de Seguridad

Desembrollo del 95nM = Ampliación del ensayo sobre el número 95.

Volviendo al caso de los ataques internos, lo explicaremos de la siguiente manera:

¿Cómo se debería llamar el Área de Seguridad?

Antes de colgar el Área de Seguridad en el organigrama, debemos nombrarla

Lo que tenemos en claro es la diferencia entre la “seguridad informática” y la “seguridad de la

¿Si en un raviol leemos que un Departamento se llama Seguridad de la Información entendemos

- ¿Tendría que haber un Área de Seguridad Informática y un Área de Seguridad de la

¿Cómo debería llamarse entonces el Área de Seguridad?:

Si el área ya estaba conformada, ubicada en el organigrama y su alcance establecido, debemos ver

Si el Área de Seguridad Informática no depende directamente de la Presidencia, la Gerencia

RR. HH. Tesorería Administración

Así es el organigrama en una Organización (o en el 95nM de ellas) que incluye un Área de

Este ejemplo sería el de un Área de Seguridad Informática trabajando en un escenario normal, y en

RR. HH. Finanzas Administración Legales

Desarrollo Calidad Redes de Datos

¿Cómo diagramaríamos un organigrama de una Organización que

Retomando la formación del organigrama, si hacemos un paralelismo con el fútbol, la formación

¿Cómo resolvemos este dilema?

Con algunas preguntas:

- ¿Quién debe administrar el firewall?

¿Quién debe administrar el Firewall?

Desde mi perspectiva, claramente el Área de Seguridad Informática debe administrar el Firewall

De no contar con la administración de los cortafuegos y aunque pertenezcan a la Dirección de

En la mayoría de las Organizaciones, el dispositivo Firewall es administrado por el Área de Redes o

¿Quién debe administrar el Antivirus?

Dependiendo del tamaño de la empresa, más si es pequeña en cantidad de usuarios,

Generalmente la administración del antivirus se encuentra en el Área de Soporte Técnico.

¿Quién debe administrar el Data Center?

En algunas Organizaciones, el Data Center pertenece al Sector de Infraestructura o

¿Sería conveniente que lo administre el Área de Seguridad Informática?

Si no existen controles informáticos, debemos sentarnos a escribir procedimientos y formularios,

¿Quién debe administrar las Cámaras IP o CCTV de Seguridad?

¿Quién debe resguardar las passwords de los sistemas y dispositivos

El procedimiento de almacenamiento y registro de password debería (podría) ser:

Dependiendo de la criticidad de los equipos:

- Establecer un período de tiempo para cada sistema y dispositivo en el cual se debe

- Segunda aclaración y ½: Documento/s se refiere a una gran cantidad de papeles de

- Dada la confidencialidad de la información que custodia el libro de actas, el mismo

Como es muy importante el resguardo de passwords, es también muy importante el

Se debe destruir todo papel, sobre, documento, CD/DVD/Blu-Ray/Pendrive/memoria flash/vinilo

Dependiendo de la criticidad de la información a destruir y si la máquina destructora, trituradora

Si la incineración manual no nos deja tranquilos por la extrema confidencialidad de información

¿Con cuáles áreas debemos tener contacto directo? (líneas

El Área de Seguridad se nutre de información proveniente de muchos sectores de una

Requiere colaboración de todos los sectores pertenecientes a la Dirección de Sistemas, obviando

Punteadas hacia el Área de Capacitación para el dictado de talleres, seminarios y cursos de

Y de esta manera, acercar posiciones con las Direcciones sustantivas de la Organización, de

El lobby hecho en base a hablar con la verdad, a conciencia, fundamentada y de manera

En una reunión de Comité de Seguridad: