Академический Документы
Профессиональный Документы
Культура Документы
Página 2
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
Índice
Prólogo ................................................................................................................................... 5
Definiciones y aclaraciones .................................................................................................... 7
El comienzo de un Administrador de Seguridad .................................................................... 9
Sensaciones de un Administrador de Seguridad................................................................... 10
¿Cómo se debería llamar el Área de Seguridad? .................................................................. 11
Organigrama ......................................................................................................................... 14
¿Cómo diagramaríamos un organigrama de una Organización que incluya Seguridad
Informática? .................................................................................................................................. 17
¿Quién debe administrar el Firewall? ................................................................................... 20
¿Quién debe administrar el Antivirus? ................................................................................. 21
¿Quién debe administrar el Data Center? ............................................................................. 22
¿Quién debe administrar las Cámaras IP o CCTV de Seguridad? ....................................... 22
¿Quién debe resguardar las passwords de los sistemas y dispositivos críticos? .................. 24
¿Con cuáles áreas debemos tener contacto directo? (líneas punteadas en el organigrama) . 28
Usuarios que atentan contra un Área de Seguridad Informática .......................................... 30
Alianzas y aliados necesarios para la buena gestión de la Seguridad .................................. 32
Concientización y Capacitación ........................................................................................... 34
Concientización ............................................................................................................................. 35
Capacitación .................................................................................................................................. 36
Metodología de capacitación ........................................................................................................ 41
Tips o cuasi consejos previos a capacitar ...................................................................................... 43
Vigilancia – Control de Accesos .......................................................................................... 44
El Jefe, Administrador de Seguridad u Oficial de Seguridad ............................................... 46
Organización de un Área de Seguridad Informática ............................................................ 48
Desglose del personal del Área de Seguridad ...................................................................... 49
Primeras actividades al asumir un Área de Seguridad Informática .............................................. 49
Clasificación de la Información ..................................................................................................... 51
Matriz de Análisis FDOA, FODA, DAFO o SWOT ............................................................................ 54
Matriz de análisis de riesgo (de un Área de Seguridad Informática) ............................................ 56
Plan de Contingencia y Política de Backup-Restore ............................................................ 60
¿Por qué casi nadie realiza una prueba de Restore-Backup? ....................................................... 62
¿Qué datos se registran en un Plan de Restore-Backup? ............................................................. 64
¿Dónde se atesora el Plan de Contingencia y el Plan de Backup-Restore? .................................. 65
Comité de Seguridad de la Información: Desventajas y Beneficios .................................... 66
Política de Seguridad de la Información - MGSI ............................................................................ 66
Desventajas de los Comités de Seguridad..................................................................................... 68
Ventajas de los Comités de Seguridad .......................................................................................... 70
Página 3
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
Página 4
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
Prólogo
Este ensayo en forma de libro tratará de expresar las vivencias propias del día a día de un
Administrador de Seguridad Informática, de Seguridad de la Información, de Seguridad de la
Sociedad, o de la Seguridad que se viva al momento de leer este papel, que he terminado de
escribir hacia fines del año 2014 d. C.; por lo tanto, en este preciso momento podemos afirmar
que estamos leyendo un libro acerca de la historia de la “seguridad”.
No se trata de desanimar al individuo que está estudiando o que se inicia en un Área de Seguridad
Informática, pero lo narrado en este testimonio es la experiencia de ser Administrador de
Seguridad Informática, de realizar consultorías en seguridad en varios Organismos y empresas, y
en la de ser capacitador para variadas Organizaciones, con lo cual, no hago un raconto de lo
sucedido en un solo lugar de trabajo sino en varios, ya sean públicos o privados y en la experiencia
del dictado de cursos de Seguridad de la Información para empleados de varias entidades de la
República Argentina. De esta manera, este ensayo se basa en situaciones recreadas y vividas en el
fin del mundo.
No creo que varíe mucho lo expuesto en este escrito para la gran parte de los países
latinoamericanos, hermanos.
Así las cosas, lamentablemente se verá pocas veces descripto un escenario ideal, pero que, por lo
menos, sabrán con lo que se toparan al liderar o trabajar en un Área de Seguridad Informática, ya
que aquí se trata de contarles cómo funciona el ambiente normal y cotidiano al que se
enfrentarán diariamente.
Viendo el lado positivo dentro de lo malo de este escenario, es mucho más directo y efectivo lo
que se aprende para el futuro, ya que de salir siempre bien las cosas, de no tener que afrontar
ningún imprevisto -y rápidamente-, de no tener que afrontar ningún reto, de contar siempre con
las herramientas necesarias para resolver la situación sensible que se presenta; nos estancaremos
en lo que hemos aprendido y no sabremos como abrir el juego una vez que se nos presente el
escenario real, el de las contingencias, el de las solicitudes peligrosas para la red de datos del
Organismo, el de pedidos extraordinarios que rompen las políticas de seguridad, el de las
excepciones, el de las nuevas tecnologías desconocidas, y el del vacío legal.
Para con la persona que lea el libro y se sienta identificado con el mismo, siento un gustoso placer.
Para con la persona que lea el libro y que por su gran experiencia, al menos se lleve un párrafo de
lo escrito aquí, considero un atrapante placer.
Para la persona que lea el libro y que utilice el mismo como un nivelador de la pata de la mesa,
tenga en cuenta que por lo menos le va a salir más barato que llevar la mesita a la carpintería para
repararla. ☺.
Página 5
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
A medida que vayan avanzando en el texto desarrollado en este ensayo, notarán la cantidad de
signos de interrogación que encontrarán. En ocasiones esto se parecerá más a un libro de
preguntas que a uno de respuestas. No hay errores de signos. Es así.
Cuando ahondamos en el tema de las nubes, para tratar de explicar lo que nadie lee de las
políticas de uso de las mismas, no se me ocurrió otra cosa que copiar y pegar -precisamente- las
políticas de uso del servicio “Dropbox”. No podría sacar nada ni resumirlas, ya que todos los
puntos son importantes y esto es para que las lean y comprendan porque “no” es “gratis” el uso
de ésta y las demás nubes, demás redes sociales y así casi cualquier aplicación que se jacta de no
cobrar un solo piastra por su servicio.
Me avergüenza transcribir todos los términos y condiciones de semejante política, pero sino los
agrego, muy pocas personas irán a leerlas y como ya les dije, sacar cualquier letra de ése
manifiesto sería un error por el desconocimiento que en su uso nos trae aparejado.
Los textos de todo el libro están expuestos en un leguaje castellano vulgar, de manera de que
todos lo podamos tratar de interpretar.
Este manual está inconcluso, ya que es imposible parar de escribir y agotar todos los temas,
máxime con la vertiginosidad con la que cambian las tecnologías y las personas.
Por otra parte, hacerlo más extenso hace que sea muy cargante en su lectura y pasemos de leer en
un salto de la hoja 7 a la 50.
Inclusive, el título de este compendio está resumido, ya que originalmente esta publicación se
titula:
“Ensayo de lo que sería una guía o un Manuel para quienes aceptan el desafío de dirigir o
pertenecer a un Área de Seguridad de la Información, mal llamada de Seguridad Informática y
en la que se encuentran un poco perdidos, desorbitados, bajoneados o sin saber para dónde
desertar. Todo pasa, es un lindo trabajo, una buena ocupación para la mente.
Las satisfacciones a larga llegarán y de los yerros del comienzo se reirán”.
Página 6
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
Definiciones y aclaraciones
Usuario jerárquico: Directores, coordinadores de alto rango, gerentes y auditores, entre otros.
Cuando hablemos de seguridad del tipo policial o de vigilancia, haremos referencia a éste tipo de
seguridad.
Organismo, empresa, ente, entidad hace referencia a cualquier tipo de Organización y serán
nombradas indistintamente y a granel a lo largo del libro.
Aclarar todo esto se debe a que en algunos casos, hay diferencias ciertas de definiciones
semánticas y en otros casos se da por la falta de universalidad en el desarrollo de conceptos, como
por ejemplo pishing, phishing o fishing. ¿Cómo se dice?
Número mágico del Administrador de Seguridad: 95 o 95nM: Generalmente el 95% de las veces se
suelen sucederse los sucesos.
Por ej.: el 95% de los superiores o gerentes no están capacitados para administrar sus respectivos
puestos de trabajo y no vamos a tratar de saber cómo llegaron a ocuparlos.
El 95% de los ataques a las Organizaciones son internos.
El 95% de las personas trabajadoras de una Organización no quieren capacitarse, etc.
Todo gira alrededor del número 95, sino fíjense en el Americio, en Birmania y en los anteojos.
En realidad, el 95nM se aplica en casi todos los órdenes de la vida, por lo menos en el planeta
Tierra.
Página 7
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
En orden de aparición por número de página, algunos de estos términos inentendibles son:
Manuel, Emilio, Play, Raviol, Seguridadinformáticamente, Bilardeano, Sabelista, Raviolitos,
Raviolones, Empleados acomodados, Ñoqui, Minedumbre, Pentestear, Vasitodeaguaware,
Backupear, Restorear, Botneros, Manualería Inversa, Seeeee, Naaaa, Iutube, Tutube, Chapear,
Fasebuk, Googleen, Bingeen, Duckduckdeen, Ganso, Vago, Facebook hacking, Tinder Hari,
Buchonear, Bañero, Skimistas, Caja chica, Anti-usuariodeshonesto, Barra brava y Zerodaysware.
Deberían ir hacia el final de todos los textos, al “glosario” para saber de qué queremos hablar o
intentamos determinar.
Los vocablos o modismos que no entiendan y no estén en el glosario, los pueden buscar en la Web
o me pueden mandan un Emilio o un tuit.
Puede ser que la lectura no lleve un cierto orden. Es para que no se duerman mientras lo leen y
para seguir con un estilo de redacción denominado “descontracturante”, o sea, casi sin sentido
armónico.
Finalmente, en los párrafos, citas, frases o números se encuentran algunos homenajes. A ellos,
posteridad.
Ahora sí.
Página 8
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
Escenario número 1:
Nos nombran o contratan como Administrador de Seguridad por nuestro curriculum vitae, por
nuestros estudios o por capacidad. Tenemos un área formada por profesionales de informática,
técnicos especializados, expertos en telecomunicaciones, desarrolladores, abogados con
orientación en computación y hasta secretarias. Las instalaciones edilicias son muy confortables.
Somos escuchados por los directores y gerentes, y respetados por los usuarios.
Es “el” escenario ideal. Muy difícil de encontrar.
Escenario número 2:
Nos nombran o contratan como Administrador de Seguridad por nuestro curriculum vitae, por
nuestros estudios o por capacidad y nos dejan formar el área a nuestro parecer, con todos los
recursos que solicitemos.
Escenario ideal. Difícil de encontrar.
Escenario número 3:
Nos nombran o contratan como Administrador de Seguridad por nuestro curriculum vitae, por
nuestros estudios o por capacidad. El oficial anterior renunció y nos dejan a las dos personas que
trabajan en el área; una de las cuales tiene carpeta médica por problemas de fobias laborales sin
fecha cierta de reincorporación y la otra tiene algún conocimiento en diseño de páginas Web, pero
llega a trabajar al medio día porque practica squash y a las 4 de la tarde da clases de redes en un
Instituto de computación cercano a la Organización.
Escenario lamentable. Seguro de encontrar.
Escenario número 4:
Nos nombran o contratan como Administrador de Seguridad por nuestro curriculum vitae o por
nuestros estudios o por capacidad. El oficial anterior renunció. El área no cuenta con personal. No
hay presupuesto. Nos miran todos con recelo y se frotan las manos al conocernos.
Escenario lamentable. Muy seguro de encontrar.
Escenario número 5:
Algún jefe o superior viene al piso en que trabajamos (Sistemas, Contable, Recursos Humanos,
Fotocopiadora, etc.) y pregunta:
¿Alguien aquí que sepa computación, que sepa jugar a la ‘play’ o que esté cursando “algo de
computación” en la Universidad?
…….un inocente que tímidamente dice SI, ni siquiera un SÍÍÍÍÍÍ.
Bueno, a partir de hoy serás el jefe de Seguridad Informática del Organismo. Felicitaciones.
Escenario extra-large-lamentable y normal. Muy seguro de encontrar.
Escenario número 6:
Combinación de los escenarios 4 y 5.
Escenario número 7:
El mismo con el que llegaron ustedes, caros lectores, o al cual estarán llegando.
Página 9
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
Escenario Normal
Persona mal vista por el 95nM de los usuarios, directores, coordinadores y gerentes.
Incomprendido en sus ideas y labores.
Trabajador sin o con escasos recursos humanos, tecnológicos y financieros.
Escenario Ideal
Persona bien vista por el 95nM de los usuarios, directores, coordinadores y gerentes.
Idealizado a partir de sus ideas y labores.
Trabajador con prolíficos recursos humanos, tecnológicos y financieros.
Escenario Optimista
Un mix de los dos escenarios nombrados (normal e ideal).
Persona bien vista por el 40% de los usuarios, directores, coordinadores y gerentes.
En ocasiones idealizado a partir de sus ideas, sus labores, en otros momentos incomprendido, en
otros momentos ignorado.
Trabajador con limitados recursos humanos, tecnológicos y financieros.
Número mágico del Administrador de Seguridad: ‘95’ o ‘95nM’, ‘95 número mágico’, o ‘95%’.
El 95nM es el número y porcentual realista de los hechos que se suceden en una Organización, a
saber:
Cuando estudiamos seguridad informática, una típica afirmación de los profesores es que “el ‘75%’
de los ataques a una empresa son hechos por el personal interno”.
Además, suele ser una pregunta de examen o certificación.
Éste número es una mentira, ya que en la práctica sabemos que “el ‘95%’ de los ataques a una
empresa son hechos por el personal interno”.
Podría ser el 99% también, pero sería llevarlo al extremo de los ejemplos, por lo que en el 95
encontramos el número perfecto para graficar estas situaciones.
Una Organización típica tendrá que protegerse de los ataques externos con dispositivos y
aplicaciones como: firewalls, antivirus, IPS, IDS, bloqueo de contenidos Web, análisis de tráfico,
anti-SPAM, anti-BOTNET, anti-APT, anti-DDOS, anti-PISHING, anti-RANSOMWARE, etc., etc., y más
anti-etcéteras.
A partir del 95nM, podemos decir que un 5% de los ataques son externos, ya que voy a tener
como punto de ingreso externo de dichas agresiones, una o dos bocas “legales” que me
comunican con el exterior -en situaciones normales- y que, como Administradores de Seguridad
tendremos que cerrar con todos los dispositivos posibles. Es decir, por una misma vía me van a
tratar de ingresar los virus, troyanos, malware en general, bombas lógicas, botnets, APTs y la más
incontrolable de todas las amenazas, de consecuencias rápidas y peligrosas: la “ingeniería social”
practicada por seres humanos…
Página 10
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
Página 11
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
Es un poco más amplia cada definición, pero en resumen y a grandes rasgos, de ésos asuntos se
trata.
¿La seguridad informática, por nombre propio, abarca por sí sola a la seguridad de la
información…? En parte sí. ¿Qué hacemos con la parte que no?
¿La seguridad de la información, por nombre propio, abarca por sí sola a la seguridad
informática…? En gran parte sí. ¿Qué hacemos con la parte que no?
¿Si en un raviol del organigrama leemos que un Departamento se llama Recursos Humanos
entendemos de qué se trata, qué abarca? Comúnmente sí.
¿Si en un raviol del organigrama leemos que un Departamento se llama Seguridad Informática
entendemos de qué se trata, qué abarca? Frecuentemente ní. Para la gente común de la
Organización tiene que ver con computadoras. Para la gente de TI tiene que ver con informática
tendiendo a información (o por lo menos eso queremos pensar...).
Esa dicotomía, ¿le sirve al Área de Seguridad para un futuro resguardo, ante un incidente, a la hora
de encontrar al responsable? Podría ser. Pregunto:
Página 12
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
- Seguridad Informática.
- Seguridad de la Información.
- Seguridad de la Informática y de la Información.
- Seguridad de la Información y de la Informática.
- Seguridad Informática/Información.
- Seguridad de las Ciencias Informáticas y Estudios de la Información.
- Ordenadores, Periféricos y Papeles Seguros.
- Área de Seguridad de las Sociedades.
- Ingeniería en Seguridad Segura.
- Ingeniería en Información Segura
- Seguridad, Sistemas e Información.
- Seguridad de la Tecnología de la Información.
- Tecnología de la Seguridad de la Información.
- Inseguridad Informática.
- Inseguridad de la Información.
- Inseguridades y Dudas de la Tecnología Informática y de la Información.
- Área Súper Secreta acerca de las Vulnerabilidades de la Tecnología Informática
Asociadas a la Información.
- Tecnología de la Inseguridad.
- Proyección de la Seguridad.
- Erradicación de la Inseguridad.
- Informática y Contrainformación.
- Área 95%.
- Sector 95.
Una vez que elegimos -o proponemos- el nombre para nuestra área, deberíamos definir el alcance
y el objetivo de la misma.
Página 13
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
Organigrama
Una de las causas del fracaso en la gestión del Área de Seguridad Informática -además de
los gerentes y demás personal jerárquico- es el organigrama de la empresa.
Pueden estar todos los procesos, procedimientos, contingencias, circuitos administrativos y demás
documentos perfectamente redactados, entendidos y aprobados por el Comité de Seguridad de la
Información, la Gerencia General o la Dirección a la que pertenece el Área de Seguridad, pero si
dicha área es un raviol ubicado entre los últimos, sino en el último nivel de la Organización, la
llegada con poder de decisión a las gerencias y a los usuarios es prácticamente nula, y es lo que
suele suceder en la realidad.
Que el Área de Seguridad no se encuentre en los niveles superiores es la situación normal, o sea,
una situación 95nM en el organigrama y en la consideración de toda empresa.
Particularmente, creo que una de las soluciones podría ser que la Dirección de Tecnología
Informática, Dirección de Sistemas, Coordinación de Tecnología de la Información o como se llame
quién fuera el espacio que contiene a la “seguridad”, debería ser elevado a no menos de un
segundo nivel en el organigrama, en donde sus decisiones sí tengan el peso adecuado en la
Organización de manera de que sean cumplidas las directivas emanadas desde la “seguridad”.
Que dentro del organigrama de la Dirección de Sistemas, el Área de Seguridad sea el primer raviol,
y no el último como suele suceder y que dicha Área de Seguridad tenga una línea directa punteada
con la Gerencia General o el Área de Auditoría Interna. Es decir, que logre tener cierta
independencia de decisiones más allá de pertenecer a TI y con el certero aval de los sectores de
peso dentro de la entidad.
Igualmente, como veremos detalladamente en los próximos capítulos, tiene más “poder” y
decisión una persona cualquiera, independientemente de sus tareas o status laboral (en este caso
sería sus no-tareas y su status no-laboral) que una persona trabajadora y con buenas intenciones.
O, por lo menos en el 95nM de los casos.
Página 14
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
Ejemplo de un organigrama con un Área de Seguridad informática en escenario ideal, teórico, casi-
irreal y de pregunta de certificación:
Presidencia
Seguridad Auditoría
Informática Interna
Proyectos
Informática
Desarrollo
Página 15
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
Presidencia
Asesores de Auditoría
Presidencia Interna
Informática
Proyectos
Informáticos
Soporte Seguridad
Técnico Informática
Página 16
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
La realidad indica que la ubicación en el raviol es -muchas veces- indiferente. La teoría dice
-por eso sólo se queda en una teoría- que el Área de Seguridad Informática de la Seguridad de la
Información debe estar ubicada en los niveles superiores, a la altura de Auditoría Interna.
Pero está totalmente demostrado que la ubicación en un raviol depende de la llegada que
tengamos hacia los niveles superiores, a los mismos horizontes, y a los niveles que se encuentran
ubicados por debajo de nosotros, y no es tan cierto que “niveles superiores dominan niveles
inferiores”.
Todo esto y mucho más, es la diferencia entre lo que un estudiante debe aprender y responder en
un examen porque de lo contrario reprueba, y lo que pasa en el trabajo en una situación real.
La efectiva y cruel distancia entre teoría y práctica.
Por ello, está más que demostrado que el “circuito administrativo y gerencial de una entidad se
mueve mucho más por decisiones personales en base a ‘intereses’ que a lo que dicen los
manuales, las políticas y los organigramas”.
Un Área de Seguridad que está en el nivel superior del organigrama puede publicar una norma o
una política aprobada por el Comité de Seguridad, de cumplimiento obligatorio y que, al llegar a
niveles inferiores, pero con mucho peso político dentro de una entidad -por apoyo interno o
externo-, determinados sectores o personal jornalero de éstos sectores se nos rían en la cara al ser
notificados, y hasta se nos burlen anunciándonos que no van a cumplir con nada de lo que les
digamos o notifiquemos.
En muchos casos llegan a advertirnos que nos abstengamos de seguir prohibiendo o recortando
permisos (pero las advertencias no son tan formales como lo describimos aquí).
Por lo expuesto, lo visto aquí lo podríamos sintetizar y citar como “nivel inferior se jacta de nivel
superior”.
Estemos ubicados dónde estemos ubicados, hagamos lo mejor posible por hacernos conocidos en
base a buenas acciones laborales, una escritura de definiciones concretas, no muy extensas y
posibles de realizar. Explicadas en un tono coloquial y entendible de tal manera que lo que
intentemos hacer por el bien -seguridadinformáticamente hablando- de los activos pase lo más
desapercibido posible en cuanto a lograr la menor reticencia al cambio de los quehaceres diarios,
pero efectivos desde lo laboral, individual y seguro.
Al momento de tener que explicar las nuevas políticas y los cambios en las labores durante las
presentaciones de comité o ante gerencias y finalmente ante usuarios en general, utilicen videos
didácticos para explicar los temas difíciles de entender; gráficos y presentaciones con imágenes de
dibujitos animados. Apelen a la risa y al conocimiento para “comprarse” a los circunstanciales
alumnos o participantes de las reuniones.
Página 17
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
Por ejemplo, un tema difícil de explicar y muy difícil de entender para el usuario común y no tan
común, ya sea indio o cacique, es el asunto de la firma digital.
Para ellos, la firma digital se refiere a la firma hológrafa escaneada e insertada en un archivo de
Word.
En este caso es más fácil explicar lo que no es firma digital mostrando imágenes de la firma
escaneada de John Lennon, el texto de la firma de los correos electrónicos, etc. De esta manera,
reconocerán todas las formas de visualizar no-firmas-digitales y entender por oposición lo que
pretendemos tratar de explicar.
Dentro del organigrama, las direcciones, áreas y sectores son operadas por “personas” qué, como
sabemos, son el eslabón más débil de la cadena de una Organización, de una sociedad y
finalmente de la seguridad.
A mi entender, los organigramas tendrían que ser estáticos sólo al momento de definir la
estructura de un ente. Es como la formación de un equipo de fútbol, al instante de presentar la
táctica y durante los primeros dos minutos, seguramente se mantendrán como en los papeles,
como en la creación: 4-3-3, 4-3-1-2, 3-5-1-1, 3-5-2 o 5-3-2. Disculpen los arqueros que quedan
siempre afuera, pero esto acontece porque es sabida su necesaria presencia. En tal caso agreguen
un 1-, a todas las formaciones.
En este caso, también la ubicación de ravioles es estática, solo en la teoría y por dos días
aproximadamente, ya que al igual que en el fútbol partimos de un inicial 3-5-2 ‘bilardeano’ o de un
5-3-2 ‘sabelista’ pero que al momento de inicio del match, al son del pitido del colegiado, una vez
que corre el balón, como el juego es dinámico, los jugadores se mueven, pueden ser expulsados,
cambia la táctica y demás vicisitudes del juego hacen que el inicial estático 5-3-2 pase a un
dinámico y temporal 3-3-3-1-1, 1-2-3-4-1 o 4-3 (por los expulsados (tarjeta roja)).
La formación inicial de los organigramas utilizados para la explicación del punto anterior, “Área de
Seguridad informática en escenario ideal, teórico, casi-irreal y de pregunta de certificación”, sería
1-2-3-1-1-1 y, para “Área de Seguridad Informática trabajando en un escenario normal, y en el
cual, si estuviéramos rindiendo un examen de certificación -injustamente- sacaríamos un
‘desaprobado’”, sería 1-2-4-1-1-3-2.
Retomando la formación del organigrama (repite), el cuadro estático e inicial se quedó en los
papeles.
A los dos días de la puesta en marcha de una Organización o a partir de una reorganización interna
de la estructura de la entidad y, como los ravioles son manejados por “seres humanos” y éstos por
relaciones pasionales, personales y de diversos intereses políticos, gremiales y en formato de
divisas, se pasó del inaugural 2-3-5-33 a un 2-9-38-14-87.
Apostilla: Una formación 2-7-27-57-58-12-38 indica que desde arriba hacia abajo, la primera línea
del organigrama está compuesta por 2 ravioles, la segunda por 7 ravioles, la tercera por 27
ravioles y así hasta la última línea de 38 ravioles. A medida que avanzan en el tiempo, el 95nM de
las Organizaciones tiende a inaugurar despachos gerenciales en forma de “proyectos especiales”
Página 18
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
en los niveles superiores. En realidad son oficinas fantasmas que acumulan idiotas, de distintas
formas humanoides que de manera temporal pueden llegar a formar parte del organigrama de
papel, pero no del organigrama real y laboral empresarial.
¿A dónde quiero llegar? A que en el pórtico de entrada de una Organización, o si queremos ser
más íntimos y cuidadosos en cada piso (floor) del edificio, o en la Intranet, tendría que haber un
cartel electrónico de matriz de led en donde, como si fueran acciones de la Bolsa de Valores,
desfilen las gerencias, direcciones, áreas y sectores en un indicador luminoso señalando que:
- Una flecha color verde tonalidad esmeralda hacía arriba indique si para este momento
empresarial, un determinado sector está trabajando bien o muy bien.
- Dos flechas color azul tonalidad egipcio encontradas indiquen si determinada área
trabaja a ritmo normal o sin sobresaltos.
- Una flecha color rojo tonalidad bermellón apuntando hacia abajo indique si dicha
gerencia no es competitiva para la Organización.
Si no queremos invertir en cartelería podemos diseñar una aplicación para ser vista sólo en la
Intranet y que sea administrada por gente de bien, sino este experimento sería tan sospechoso
como algunos cuadrantes, cuadros o rankings de dudoso crédito.
Proyectos
Seguridad Compras
Especiales Diseño
informática
Señal: A las flechas se les podría agregar porcentajes, estadísticas (reales) o cualquier otro dato
que aporte claridad y organización a la representación de la entidad.
Este podría ser un método eficaz y fiel para ver cómo se mueve en realidad el flujo laboral de una
Organización, en donde seguramente los raviolitos tenderán a ascender al punto de ebullición
dentro de la olla (o empresa) y los raviolones tenderán a deshacerse en el fondo de la cacerola (o
empresa); aunque alguno hasta podría evaporarse de esta gran e inmensa cazuela de mariscos,
medusas, peces betta y peces payaso denominada “Organización”.
Finalmente pudimos ubicar o mejor dicho nos ubicaron dentro del organigrama, creemos que lo
mejor es estar o pertenecer a la Dirección de Informática, ya que casi todas nuestras tareas se
realizan mejor en conjunto con la gente de sectores como Soporte Técnico, Redes y
Comunicaciones de Datos, Aplicaciones Web, Correo Electrónico, Administración de Proyectos,
Calidad y/o Desarrollo; a partir de necesidades “informáticas” que requieren necesidades de
buenas prácticas en el manejo de la “información” y, mientras más cerca están nuestros
escritorios, teóricamente la comunicaciones “humanas” -fundamentalmente- serán más afines,
precisas y libres de ruido. Correspondería entonces definir qué Departamentos dentro de la
Dirección nos pertenecerían o se nos acercarían y qué equipos administraríamos.
Página 19
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
Estamos tratando con una Organización casi normal, en donde debe haber por lo menos
un Firewall.
Si están administrando una entidad y no tienen ningún firewall instalado, salgan corriendo
inmediatamente, exactamente ahora (y dejen la lectura de este Manuel para dentro de un rato) a
comprar uno y que sea “bueno”.
El firewall, lo podemos definir como un punto neurálgico, no sólo del Área de Sistemas o de
Seguridad sino del Organismo.
Es decir, posa la mirada sobre el bosque e incluye los árboles. Reitero, me parece fundamental que
el firewall sea administrado por Seguridad Informática, ya que desde este dispositivo puede llegar
a observar casi todo lo que pasa en una institución.
Página 20
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
En ese caso, lo más conveniente sería que el Área de Seguridad Informática administre o por lo
menos tenga credenciales de usuario administrador sobre un dispositivo analizador de eventos de
firewall o que, de mínima tenga acceso a una cuenta de usuario “monitor” sobre todos los
firewalls, en su defecto sobre los principales .
Esto sería conveniente si son pocos los equipos. Si son demasiados como para entrar a uno por
uno o eventualmente hacer un control al azar, la mejor decisión sería manejar reportes a partir de
administrar exclusivamente un dispositivo dedicado a análisis de logs o reportes que involucre a
todos los dispositivos.
¿Quién controla entonces que el Área de Seguridad esté haciendo bien las cosas y no utilice el
poder del firewall para permitirse todo aquello que les deniega a los demás usuarios, o para hacer
habilitaciones de reglas o perfiles a escondidas?
El Área de Auditoría Interna podría pedir los logs de eventos. Eventualmente, con personal
informático, inspeccionar las reglas incluidas en las políticas del firewall, o revisar los resultados e
informes de los pentets externos e internos presentados ante la Dirección de Informática, de
manera de hacer cumplir efectivamente las recomendaciones y hallazgos producidos por la
intrusión controlada.
Un perfil monitor o administrador sobre los dispositivos de antivirus tampoco está de más al
momento de poder monitorizar en cualquier momento la actividad de escaneo del dispositivo o
los cambios en las reglas de administración del equipo.
Página 21
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
En principio parece que “no” porque es una carga importante. En lo que sí debe involucrarse
Seguridad es en los controles, permisos e ingresos que se producen al recinto, escribiendo y/o
controlando la documentación y logs generados por las aplicaciones de control utilizadas en éste
espacio.
Anualmente o en ocasiones que lo ameriten, deberían hacerse relevamientos de los usuarios que
poseen ingresos permanentes, temporales, los que son administradores y de los equipos que son
alojados en esta sala.
Seguramente el Área de Vigilancia debe estar al frente de las cámaras para la prevención
ante cualquier hecho de inseguridad, robo o hurto.
Además, la vigilancia mantiene contactos con la policía local y con las empresas que proveen el
personal de seguridad (vigiladores).
Las cámaras IP o de CCTV instaladas dentro de oficinas que funcionen como depósitos de archivos
en papel -incluida información histórica que podría ser quemada, ocultada, trasladada solicitada
ante allanamientos por parte de la policía-, las cámaras con sonido instaladas en salas de
reuniones o en oficinas en donde se suelen tomar decisiones: ¿también deben ser administradas
por la vigilancia?, ¿qué pasa en los Organismos en donde el servicio de vigilancia es contratado a
una empresa o agencia externa?
¿El Área de Seguridad Informática debería monitorizar o administrar las cámaras del Data Center?
Estas cámaras instaladas en sectores sensibles son puntos de falla en cuanto a la ayuda que le
puede brindar a personas mal intencionadas para cometer, mínimamente, actos de fuga de
información.
Entonces: ¿A quién le damos la administración de las cámaras IP o CCTV para las áreas que
creemos qué, de ser expuestas, las consecuencias de perder el control y la información que pasan
por allí serían inexcusables ante acusaciones de las áreas comprometidas e inclusive a la gerencia?
Página 22
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
En el caso de poseer un Data Center dentro del Organismo: ¿le otorgarían la administración de las
cámaras al Sector de Vigilancia?
¿Qué pasaría si las áreas sensibles de una Organización, administraran sus propias cámaras? -que
es lo que pasa en la realidad-.
Pasaría que las cámaras podrían apagarse momentáneamente justo en el instante en que sucedió
un ilícito, o que se hayan “borrado” -sin querer queriendo- las imágenes en el servidor, o incluso
llegar a “desaparecer” el servidor.
Creo que lo más conveniente es que el Sector de Vigilancia pertenezca al propio Organismo, por lo
menos el personal que administra las cámaras IP o CCTV. Por otra parte, me parecería que las
cámaras afectadas al Centro de Datos deberían ser monitorizadas por el personal de Seguridad
Informática, los cuales también podrían colaborar en la administración de las cámaras de los
sectores sensibles del Organismo, otorgándole credenciales de usuario “monitor” al personal
jerárquico responsable de dichas áreas.
No es la mejor solución que este tipo de personajes (personal jerárquico) tenga la posibilidad de
acceder al servidor de cámaras, como tampoco que tenga credenciales de usuario
“administrador”. Con este nivel de acceso, más la llegada (en metros) que podrían tener hasta el
servidor o hacia el personal que lo administra, la situación está abierta a que la novela del robo de
notebooks, cartuchos de impresoras o expedientes del sector “X” se titule: “que parezca un
accidente…”.
Cuando decimos que el personal jerárquico llega hasta el servidor, queremos decir que en muchas
oficinas, en vez de utilizar las cámaras de seguridad del Organismo -los irresponsables-, hacen
instalar sus propias cámaras, para sí ellos espiar a qué hora llegan y se retiran los empleados,
reírse de quien entra al baño, cuanto tiempo tarda en salir y qué están viendo en sus monitores.
Lógicamente, las cámaras fueron compradas en una librería que además vende teléfonos IP,
matafuegos y cámaras de seguridad de dudosa procedencia, con su correspondiente servidor (una
vieja PC).
Página 23
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
Todas las passwords críticas deben ser registradas y guardadas en un sitio seguro. Todas
las passwords deben ser confeccionadas en forma robusta, fuerte. Todas las passwords son
importantes. Repetimos: “todas las passwords son importantes”.
Definimos como “password crítica” a toda aquella contraseña de perfil administrador o usuario
con altos privilegios de: sistemas, aplicaciones y dispositivos qué, por su utilidad, complejidad e
información que procesan merecen ser resguardadas en forma privada, debido al riesgo que
causaría que dichas credenciales caigan en poder de usuarios que por sus actividades laborales o
por el riesgo de sus malas prácticas, harían tambalear la seguridad de los activos de una
Organización.
Además, deberán ser resguardadas para ser descubiertas y utilizadas en caso de contingencia,
restore, despido, renuncia, deserción u óbito.
Para este punto, denominaremos “sitio seguro” o “casi seguro” a una caja de seguridad digital
electrónica y con llave (que puede ser la misma que utilizaremos para resguardar el Plan de
Contingencia y Backup, como veremos avanzando en la lectura de este papiro).
La apertura de dicha caja deberá estar protegida por una contraseña repartida y confeccionada
entre dos personas (jefe de TI y jefe de Seguridad, jefe de TI y jefe de Sistemas, jefe de Seguridad y
jefe de Sistemas o la combinación de usuarios que más presencia tenga dentro de una
organización de seguridad).
Llamamos “contraseña repartida” a una password de por lo menos 12 (doce) dígitos en donde una
persona conoce los primeros seis dígitos y la otra persona conoce los últimos seis dígitos.
Nota de color: No se fastidien ni se disgusten, pero al principio, este método de apertura de caja
funciona a la perfección, como si estuviésemos en una zona restringida del octavo subsuelo de la
NSA. Luego de un corto período de tiempo, las dos personas que confeccionaron la password
conocen la totalidad de los doce dígitos y en un nuevo ciclo, como ninguno de los dos se acuerda
de los doce dígitos, ni tampoco están en la oficina cuando se necesita abrirla, la caja la abre la
secretaria, que tiene anotada la “súper password de apertura de caja de seguridad de contraseñas
súper críticas en su libro íntimo” y por las dudas, -precavida ella- por si llegase a perder su libro
íntimo, una copia de las contraseñas en el aplicativo “notas” del teléfono celular.
Al tiempo, notarán que en su interior, la caja de seguridad se parecerá al cajón de una mesita de
luz en donde se mezclan biblioratos, sobres con passwords, monederos, cadenitas, dijes, etc.
Página 24
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
- El jefe de cada sector de la Organización que maneja contraseñas críticas (el 95nM de
estos sectores pertenecen a TI) le entrega al jefe de Seguridad, un sobre de papel que
contiene en una, dos o tres hojas de papel la siguiente información:
o Nombre y apellido del administrador.
o Nombre del sistema o dispositivo.
o IP, puerto (si es necesario).
o Nombre de usuario.
o Password.
- El sobre de papel en presencia del jefe de Seguridad y antes de cerrarlo, lo firman el
responsable del área que entrega las password y el jefe de Seguridad, cruzando dicho
autógrafo entre la solapa de apertura y cierre del mismo. Sobre un costado de las
firmas se escribe la fecha: incluyendo día, mes y año.
- Una vez firmado, se procederá a cerrar el sobre lacrando el mismo con cinta adhesiva
o similar, cubriendo en forma transparente la totalidad de la apertura del sobre, las
firmas y la fecha.
- En un libro de actas se dejará asentada la operación escribiendo:
o Nombre y apellido del administrador o jefe que concurrió a este solemne acto
con el sobre.
o Nombre del sistema o dispositivo.
o Fecha en que se guarda el sobre.
o Fecha de caducidad de la/s password/s contenida/s en el sobre.
o Firman el administrador o jefe de área correspondiente, y el jefe de Seguridad.
o En un campo ‘observaciones’, completamos qué, para este acto se ha
realizado un/a:
Registro de password.
Modificación de password.
Vencimiento de password.
Apertura de sobre por contingencia, restore, o motivo determinado.
Destrucción de sobre, papel, documentos, CD/DVD, pendrive, otro.
- Cuando sea el jefe de Seguridad quien deba resguardar la password, firman el sobre: el
jefe de Sistemas, jefe de TI, ambos o cualquier administrador designado para tal
función extraordinaria.
- Cuando sea el jefe de Sistemas o jefe de TI quien deba resguardar la password, firman
el sobre: el jefe de Sistemas o jefe de TI (dependiendo quien quede libre de este
resguardo) y el jefe de Seguridad.
Página 25
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
- En el caso de que la función de jefe de Sistemas o jefe de TI sea cumplida por la misma
persona, firman: el jefe de Seguridad y cualquier administrador designado para tal
función extraordinaria.
- En casos especiales en donde se deba resguardar o abrir un sobre y no se encuentren
en la oficina el Jefe de TI, jefe de Sistemas y/o jefe de Seguridad; quien esté a cargo de
la Dirección de Sistemas firma en carácter de “extraordinario” y designa a la otra
persona que también firma en carácter de “extraordinario”. Este es un caso atípico, ya
que no tendría que haber responsables de TI ni de Seguridad en un momento de
urgencia dado.
- Aclaración: Las tareas desarrolladas para el libro de actas, también pueden llegar a ser
temporales. Luego de un cierto período de tiempo de trabajo a conciencia, dadas las
quejas por el tiempo perdido y burocracia dispensadas por los administradores, no
sería extraño que solamente nos quede como procedimiento el sobre cerrado en la
caja de seguridad.
- Segunda aclaración: Papel/es es/son una, dos o tres hoja/s de papel que pueden
contener passwords o determinada, breve, o resumida información.
Para cumplir con esta demolición de información y sus medios contenedores, debemos invertir en
una máquina destructora, trituradora de papel, de documentos, de tarjetas, de CD/DVD/Blu-
Ray/Pendrive, ¿de drones?, etc. Entonces tenemos:
Destrucción de la información:
Página 26
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
Página 27
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
(Describimos como líneas punteadas a las líneas imaginarias que son las que se deberían dar (o ya
se dan) de hecho, y que se refieren a los contactos directos de interacción que deben darse entre
el personal del Área de Seguridad y demás personal de las distintas áreas que conforman una
Organización)
Indudablemente, necesita del apoyo implícito de las Direcciones que están arriba de Sistemas
(recuerden que estamos en una estructura organizacional 95nM, en donde el Área de Seguridad
está en las últimas posiciones del organigrama). Sería ideal que la Gerencia General esté de
nuestro lado.
Por ejemplo, necesita que el Área de Recursos Humanos (líneas imaginarias) le envíe los ingresos,
las bajas, los egresos y las suspensiones del personal para proceder en consecuencia con sus
cuentas de logueo, de correo electrónico, de navegación Web, de dominio, etc. Además de la
importancia de éste sector para colaborar con el agregado de los contratos de confidencialidad
(NDA) en los legajos de los usuarios, de las sanciones efectivas y de cumplimiento obligatorio para
toda aquella persona que incumpla con las Políticas de Seguridad.
Conviene trazar líneas punteadas con el Área de Prensa Institucional para la difusión de
newsletters, comunicaciones varias de avisos preventivos sobre campañas de malware en forma
de pishing de Bancos, estafa nigeriana o ransomware.
Así las cosas -como dijimos y repetimos-, si estamos en el fondo del organigrama, las líneas
punteadas e imaginarias nos pondrán a una altura de discusión, decisión y operación con las
principales Direcciones qué -a favor nuestro- no es la representada en los papeles estructurados
organizacionales.
Página 28
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
El lobby hecho en base de hablar con la verdad a medias, sin respuestas ante interrogantes y de
manera altanera, lo podríamos ver en un caso concreto:
Como explicaremos en el siguiente punto (Usuarios que atentan contra un Área de Seguridad
Informática), los mismos jerárquicos que aprueban las buenas prácticas, luego hacen un llamadito
telefónico pidiendo la excepción de la regla para él y para su grupo (secretarias, asesores, amigos,
asesores de amigos y amigos de asesores, entre muchos).
En este presente del día a día, los usuarios comunes y especialmente el personal jerárquico, los
“empleados acomodados” y las secretarias, se toman el tiempo del horario laboral y los recursos
laborales asignados, para desarrollar todas sus actividades personales, las de otros empleos, las
universitarias, y aquellas que no se atreven a hacer en sus hogares (descargas de archivos o
accesos a determinados sitios Web) pero sí en la oficina, conllevando el peligro del malware,
ransomware, botnets y todo tipo de ataques a sus ordenadores, y por ellos, a la red de datos
corporativa.
En cambio en el hogar, hay que llamar a un soporte externo y pagar mucho dinero por el servicio.
Página 29
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
El primero que atenta contra una buena gestión de seguridad de la información es el mismo
Administrador de Seguridad, en el caso de que:
Una vez que el Administrador de Seguridad está en carrera para administrar su área dentro de una
Organización, conoce sus fortalezas y debilidades y las del ente en cuestión, pudo redactar o
personalizar una Política de Seguridad o una “PUA” y conseguir que la misma se apruebe y
publique; se topará con la amenaza más seria y dañina a la que se puede enfrentar: el usuario.
Mucho más peligroso el interno que el externo. Y el interno, a más alto rango o escalafón mayor
peligro e impunidad.
Luego en peligrosidad y poder de destrucción vienen los ataques del más allá.
No todos, pero el 95nM de cada agrupamiento organizacional que nombramos aquí, le hará ver al
Administrador de Seguridad que para ellos se deben cumplir varias excepciones.
Más adelante percibiremos que, si bien redactamos lo que está permitido y lo que no, debe haber
un espacio para las excepciones (siempre que sean laborales y que no comprometan la seguridad
del Organismo). A pesar de ello, los grupos que conoceremos ahora van a pasar por arriba de las
excepciones, por lo que habrá que “documentar” siempre las “excepciones de las excepciones”.
¿Cómo influyen cada uno de estos grupos mafiosos para conseguir niveles de acceso de
navegación Web sólo autorizados a usuarios jerárquicos, a sitios Web no permitidos, a Webmails
externos, a escuchar música online, a sitios de descarga, Facebook, chat o videochat?
Ahora sí, usuarios que atentan contra la seguridad de una Organización. Entre otros, distinguimos:
- Secretarias lindas o feas voluptuosas: Para conseguir sus objetivos antes jefes, utilizan el
ataque táctico denominado “arremetida de escote” o “embestida de minifalda”.
Consiguen lo que quieren.
Página 30
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
- Gremialistas: Con las típicas frases “compañero, nos está cortando la libertad de
expresión, la comunicación con los demás militantes y afiliados, y está pasando por arriba
de nuestros derechos”. También aduciendo que el gremio oponente tiene más accesos
que el suyo.
- Ñoquis: Por el poco tiempo que pasan en la oficina y para que no estorben a los demás
usuarios, hay que darles acceso a los sitios de juegos on-line, películas y partidos de fútbol
en directo (según la visión de sus jefes).
- Acomodados: Similar a los ñoquis pero con un gran poder de influencias y un tono de
solicitud de accesos Web o dispositivos muy altanero, altivo, engreído, arrogante,
presumido, petulante, vanidoso, envanecido, orgulloso y/o soberbio.
El usuario en general, sea de rango bajo, medio o alto, es desafiante para con la gente de
Seguridad.
Siempre está a la expectativa de ver cómo puede obtener navegación Web sin filtros, sin
restricciones, de conectar sus dispositivos personales -mayoritariamente de juegos o música-,
instalar o buscar conexiones inalámbricas externas y si son sin contraseñas, mejor aún.
Rastrean programas o sitios Web alternativos o camuflados hacia los sitios prohibidos en su uso
dentro de la Organización, principalmente los que apuntan a redes sociales, chat, videollamadas,
descargas de música, películas o streaming en general.
Mientras más aplicaciones, puertos y páginas Web cerramos, más aplicaciones, puertos y páginas
Web investigan y tantean sin preocuparse sin son páginas o aplicaciones peligrosas, ilegales, falsas
o de pago.
Página 31
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
Todo este lento paso a paso lo deberíamos continuar si es que sus actividades no son peligrosas
para la información, imagen institucional, equipos que maneja la Organización o si es que la
(in)justicia interna no actúa en consecuencia.
En el caso de que sus acciones sí fueran peligrosas para el Organismo o para las personas mismas,
debemos actuar rápidamente y bloquear de manera repentina todas sus credenciales y el equipo
de trabajo asignado, bajo el concepto de “bloqueo preventivo”.
De esta manera, por lo menos dentro de nuestra Dirección, hará que tengamos la potestad de
dirigir los principios de la seguridad de la información y a través de las buenas prácticas, lograr que
los demás sectores de la Organización -a través del buen ejemplo- opten por los beneficios de
cumplir con las pautas y procedimientos de seguridad establecidos.
Sería muy provechoso que el Área de Auditoría Interna también se encuentre involucrada y
alineada con las prácticas de seguridad, y que ellos mismos auditen y promocionen las buenas
praxis en todos los sectores involucrando a usuarios rasos y personal superior.
Se deben establecer lazos de compañerismo y amiguismo con el personal de los distintos sectores
(principalmente de auditoría, legales, contables, diversas mesas de entradas, servicios generales,
cafetería, etc.), y que por medio de distintas actividades fuera del horario laboral, como jugar al
fútbol, tenis, ir a recitales de bandas musicales, al cine, cantobar, asados o “after hours”, nos
permitan -entre pase y pase (de fútbol), copa y copa, jarra y jarra- intercambiar pensamientos,
metodologías de trabajo, ¿puntajes de los pisos ☺?, y ¿recetas de cocina?
Ayudarlos a tratar de resolver el dilema de qué tableta o Smartphone comprarse según la versión
del sistema operativo y las aplicaciones que corren; aconsejarlos del porqué debemos tapar con
cinta de color o un recorte de papel dibujado la cámara Web de la notebook; asegurarse de las
conexiones https cuando sean necesarias; y “todo tipo de intercambio de información que nos
sirva para que conozcan las actividades que se desarrollan en un Área de Seguridad de la
Información”.
Página 32
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
O sea, tomaremos todas las posibilidades que nos ofrece la carrera de Ingeniería Social pero, de
nuestro lado.
Todos los lazos a establecer con usuarios son importantes, desde el jefe de un sector, pasando por
el personal de una mesa de entradas hasta la gente que trabaja en la cafetería, limpieza o
choferes.
Hay mucha gente que erróneamente piensa qué, porque estas personas desarrollan una tarea de
llevar papeles, manejar vehículos, limpiar o servir café no escuchan, no ven, no piensan y no
razonan. Pensamiento equivocado si lo hay, ya que “ellos” manejan un alto grado de información,
a veces confidencial, y muchas veces privada que los mismos jefes desconocen por completo.
Dos tareas muy importantes a llevar a cabo por el Área de Seguridad son la concientización y la
capacitación.
A través de los encuentros fuera de la oficina arriba mencionados, y por el solo hecho de hablar e
intercambiar palabras con el personal de distintas áreas, ya estamos “capacitando” y
“concientizando”.
No sólo por platicar sobre temas laborales, sino a través de comentarios sobre las noticas actuales
que salen publicadas en diarios (periódicos), blogs o en televisión como lo son el robo de
identidad, los peligros de las redes sociales, las aplicaciones para Smartphones, el SPAM, el
pishing, la cotización del bitcoin, las tarjetas de crédito y las operaciones bancarias on-line.
Todas actividades que se entremezclan tanto en el trabajo como en la vida cotidiana de la gente.
Como concepto final, repetir y decir que es fundamental para el éxito de la gestión de la seguridad
y más allá de la ubicación en la que estamos perdidos en el organigrama y de la jerarquía del
usuario que tenemos enfrente, encontrar a los “aliados de la causa”.
Página 33
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
Concientización y Capacitación
Son muy importantes para captar “socios de la seguridad” dentro del Organismo.
Las dos tareas son muy difíciles de llevar a cabo, ya que prácticamente al 95nM de las personas
pertenecientes a una Organización no le gusta estudiar ni capacitarse. Menos aún si durante la
capacitación no se ofrece café, té rojo, galletitas y se sortean tabletas, valijas porta notebooks,
calentadores para tazas USB, remeras o ‘pads’ de calaveras para el mouse (se conforman con
cualquier cosa).
Página 34
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
No hay mayor y verdadera satisfacción para un orador, la demostración de una sala llena -o no tan
llena- ocupada por gente que sigue con interés una cátedra, sea cual fuere el tema expuesto.
No hay mayor incomodidad para un orador que ofrecer (a menos que sea un vendedor) sus
conocimientos en una sala repleta de personas que no levantan la vista del Smartphone, de una
tableta, que hagan crucigramas, sudokus, garabatos o se pongan en “estado siesta” hasta el
momento de prestar atención pasándose del “estado siesta” a un “estado sorteo” o “estado
huida”.
Concientización
Concientización interna: como mencionamos en un principio, con nuestros compañeros de sector,
para luego seguir con los nuevos amigotes de fútbol, de birra, o de ¿sudoku?
Recuerden que aquí estamos en una Organización 95nM que incluye un Área de Seguridad
Informática dentro de -por ejemplo- una Dirección de Sistemas.
La concientización se puede hacer en la hora del almuerzo mediante ataques de David Hasselhof,
para que recuerden siempre la importancia de bloquear la computadora con protector de pantalla
y contraseña fuerte, de apagar el monitor, de suspender la PC al momento de ir al baño, de tomar
un refrigerio, de ir a almorzar, etc.
Tomemos el ataque David Hasselhoff como el más inofensivo de una serie de ataques un poco más
arriesgados. Éste ataque, de forma más artesanal se puede realizar en teléfonos celulares con
cámara fotográfica incorporada o tabletas tomando instantáneas imprudentes y estableciéndolas
como fondo de pantalla de estos aparatos.
Todo este ‘book’ de fotos que vamos armando, es sólo con fines de concientización, acerca de las
buenas prácticas que deben tener los usuarios.
Enviando correos electrónicos en forma regular con distintas noticias extraídas de diarios digitales
o blogs relacionadas con la seguridad de la información, que describan o informen o alerten sobre
sucesos actuales como lo son el empleo de mulas informáticas, botnets, pishing incluido en E-mail
de programas de beneficios de Bancos, compañías de viajes o turismo, malware para
Smartphones, denegación de servicio en televisores inteligentes, proyectos o leyes del tipo SOPA,
PIPA, ACTA o CISPA, grupos de hacktivismo, etc. Es decir; sacándolos de la temática laboral para
llevarlos a los problemas informáticos y de información a los que se enfrenta un ciudadano común
Página 35
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
y corriente todos los días de su alegre y productiva vida, y que la mayoría de ellos piensan que
“esto pasa sólo en las películas”.
Para demostrar nuestra capacidad o para dar a conocer nuestras actividades (ambas), siempre
deberíamos compartir escenario con las entidades externas que se llegan hacía nuestra
Organización para concientizar a los usuarios. Debemos tener nuestro espacio, ya sea cerrando la
jornada o haciendo un presentación más breve antes de la representación “principal”.
Capacitación
El personal que desarrolla sus tareas dentro de un Área de Seguridad necesariamente
debe vivir capacitándose, no sólo a través de foros, RSS, suscripciones a blogs o suplementos de
tecnología; sino que a través de cursos externos, por fuera del Organismo y en temas tales como
ethical hacking, vulnerabilidades en tecnología Wireless, delitos informáticos, informática jurídica,
informática forense, tecnología de teléfonos inteligentes, auditoria, pentest, sistemas operativos,
etc., etc., y “Facking Hacking de los Etcéteras”.
En ocasiones, no encontraremos todas las respuestas a los problemas que se vayan suscitando
durante la gestión de la seguridad dentro de los manuales o guías, precisamente de seguridad.
La documentación que ya está escrita en lo referido a la buena gestión, a los caminos normales
para las buenas prácticas, a los estándares, hacen narraciones sobre lo que ya es conocido; cómo
se solucionan problemas repetidos en distintos ámbitos, pero:
A veces, tampoco sabemos cómo implementar una buena idea dentro de la Organización por no
darnos cuenta de la mejor forma de llegar a los usuarios y a las gerencias que toman las
resoluciones.
Página 36
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
Una posible respuesta la podríamos encontrar por fuera del ámbito de TI.
Once upon a time, caros lectores, un problema al que no le encontraban solución. Mágicamente,
¿esotéricamente?, misteriosamente, ¿éste problema, no se les resolvió “soñando” por las noches,
“dormitando” durante el almuerzo, esperando un micro, un tren o viendo en la tele a ‘Perry’ el
ornitorrinco?
¿Por qué viendo una película, escuchando una canción, leyendo revistas de turismo, de deportes o
libros que no tengan nada que ver con sistemas de información, computación o hacking, no
encontraríamos la resolución al caso que estamos buscando?
Cita obligada: I still haven´t found what I´m looking for - U2 - ☺.
Moraleja: En noches de idea, dejen una libreta y dos lapiceras negras sobre la mesita de luz.
-Fin de Fábula-
No solamente es sano para nuestra mente desviar la atención sobre la tecnología, sino que se
descubre un mundo encantador y al alcance de la mano, barato y en ocasiones gratis,
desparramado por este mundo.
Hay muchísima lectura recomendada, algunas que no deberían perderse (no leerse) y que
humildemente, podrían ser:
Página 37
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
Cuando hablamos de capacitación, en realidad tenemos que hablar de que todo el personal debe
ser capacitado (ambos sentidos de la palabra ‘capacitado’ son válidos).
No sólo en/para “seguridad de la información”, sino que para cualquier actividad que realice y
aquí involucramos a todas las áreas que forman una entidad, independientemente de la profesión
o actividad que desarrollen.
Toda capacitación ayuda para el desarrollo de las tareas que se realizan, el desarrollo intelectual
como individuo y mantiene a las neuronas en funcionamiento activo para el bienestar personal y la
salud. También es necesario alimentarse con una dieta balanceada, que incluya todos los colores,
comer frutas, practicar deportes y establecer relaciones sociales ☺. Recordemos que todas estas
actividades nos ayudarán a conseguir “socios de la seguridad” para enaltecer la causa.
Actividades de capacitación:
Ciclos de cine o proyección de documentales, películas con temática de hackers a círculos de jefes
de distintos sectores involucrando a personal de soporte técnico y diversas áreas informáticas de
manera de que se conozcan, interactúen, les cuenten de manera amable y vulgar como trabajan
las impresoras, los servidores, Internet, Android, el GPS, Google, los skimmers en los ATMs, y
cualquier tema relacionado a Internet o a la electrónica. Por ahora, la computación cuántica ni se
la nombremos ☺.
Durante el transcurso del año se podrían definir capacitaciones de ciclos cortos, con una duración
aproximada de una hora y tituladas como:
En todos los casos, invitando a pequeños grupos de usuarios, de distintos niveles y áreas, en
donde se expongan documentales, el uso de herramientas informáticas o cortos cinematográficos
referidos a redes sociales, robo de identidad, buenas prácticas en el uso del correo electrónico,
malware, Deep Web, dinero virtual, compras o transacciones on-line.
Charlas o videos para los padres con respecto a los peligros que se enfrentan los niños y los
jóvenes sobre el uso de la tecnología, el ciberbulling, el sexting, y el grooming; de manera de que
haya un doble mensaje de concientización para padres e hijos. Y más allá de concientizar a los
Página 38
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
Reflexión: Ya sabemos que es muy práctico, útil y “cool” saber hablar inglés, pero:
- Si va a hacer una presentación: tómese el trabajo de traducir las palabras o textos del
inglés, udmurto, sundanés u otro idioma que no sea castellano, al castellano. Solamente
deje términos que no sean posibles de traducir, técnicos o internacionalizados como:
Smartphone, Tablet, Drone, Botnet, Windows, Zlatan, etc.
- Si va a mostrar un videoclip: tómese el trabajo de traducir o subtitular el/los diálogo/s del
alemán, wu, tuareg u otro idioma que no sea castellano, al castellano. Hay poca gente que
puede llevar una conversación de otra lengua a tempo. Hay gente que asiente con la
cabeza lo que no entiende para que la gente que está a su alrededor piense que sí está
entendiendo. Hay gente que se ríe porque otros se ríen y piensan que era gracioso, pero
en realidad el que empezó a reírse no tenía idea de lo que hablaban y para que se piensen
que sí sabe de lo que hablan se rio, de manera de que un ejército de tontos (con cariño)
hicieron una catarata de risas de algo para nada gracioso.
En referencia al dictado de cursos internos por parte del personal del Área de Seguridad
Informática, con el doble mensaje de capacitar y concientizar, además de acercarlos a la
seguridad, debemos tocar temas relacionados con el quehacer diario de los empleados, como por
ejemplo seguridad en Banca on-line o suplantación de identidad. No deberían faltar contenidos
sobre:
Página 39
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
*: Es sabido que el ser humano es el eslabón más débil de la cadena de la vida seguridad, por eso
la reiteración en temática referida a Ingeniería Social, ya que podemos tener como contraseña de
acceso a la computadora la password batre253HYTG_tH14g0p(21-We)”2=2@º1AmV7!&%w467g8,
el sistema operativo actualizado con todos los parches, al igual que las aplicaciones, navegadores
Web con todos los complementos de seguridad y anti-todo-lo-inseguro, la password del correo
electrónico a75Te82P-r10·a·$P3r4m1#€¬ñ34TtT%$49bv)/%”!%158hgIiPp=sed!, pero:
- Recibo un llamado telefónico de un supuesto empleado del Área de Soporte Técnico, que me
dice que hoy por la noche van a actualizar todas las computadoras, y por ese motivo tengo que
dejar el ordenador encendido y todas las aplicaciones que utilizo con la password ingresada y,
“yo”, como “confío” en el personal del Área de Soporte Técnico, voy a dejar la computadora
encendida y mañana cuando……….., ya es tarde, muy tarde, tardísimo.
Además, como hay gente que cuando va a hacer un engaño, lo hace completo, me pueden pedir
que:
- Deje anotado en una hoja de papel -que el personal del Área de Soporte Técnico dejará en
el escritorio- todas mis passwords, por si otro día ocurre algún problema y así no tener
que llamarnos a cualquier hora ¿?.
- Que el papel con las passwords lo deje pegado debajo del teclado, para que ninguna
persona que no sea de soporte técnico lo vea ¿?
- Que si por “seguridad” no las quiero dejar anotas en un papel, pegado debajo del teclado,
les mande todas las credenciales a la cuenta de E-mail de soporte técnico especial para
estos casos: KarterElPirata@notedejo.uncentavo.porton.to ¿?
- Que las personas que trabajan en Soporte Técnico se llamen Juan, Sebastián y Duván, pero
quien nos requirió que le dejemos las contraseñas se llame Salvador ¿?
Reflexión (repite): En los eventos, principalmente cuando venden exponen las empresas de
productos o servicios sobre un determinado producto o servicio exitoso para ellos y por lo cual -al
producto o a los compradores-, estas empresas los quieren presentar como grandes clientes o
casos de éxito, es entonces que me hago una extensa pregunta que dice más o menos lo siguiente:
¿Qué pasa con una entidad que maneja información confidencial, privada, como ser fórmulas,
historias clínicas, con industrias mineras o petroleras, entre otras y que, el “caso de éxito” son los
costosos y “seguros” discos de estado sólido y las memorias flash en forma de pendrive que
utilizan para manejar información “secreta” y que son publicitados en tales presentaciones,
perdiendo de esta manera la confidencialidad del producto adquirido y -dejándoles servida en
bandeja la posibilidad a gobiernos, empresas de la competencia o hackers de dudoso sombrero-
de adquirir el mismo producto para desarmarlo, descargar de Internet el manual de usuario,
aplicarle ingeniería reversa, entender su funcionamiento, descubrir, programar, bajar o comprar
vulnerabilidades del producto o aplicación para comenzar un APT (Amenaza Persistente
Avanzada), eliminar o detener el funcionamiento de una fábrica, empresa, industria o gobierno?
¿Cómo les “caería” a los compradores verse publicados, expuestos y tal vez “desnudos de
seguridad”?
Página 40
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
¿No deberían permanecer en el “anonimato” 27 todo el tiempo que le sea posible de manera de
minimizar los ataques?
27
Anonimato: Estado de conservación de una persona, idea o cosa que hace referencia a una
condición antigua por la cual una persona, idea o cosa podía permanecer “oculta” o
“desapercibida” por muchos años, meses, días, horas, increíblemente minutos y hasta segundos.
Hoy en día (año 2014 d. C.) es una utopía pensar o hablar de anonimato -lamentablemente-.
Metodología de capacitación
La capacitación debería (podría) ser la aplicada según el método “Cap-THI4GOción”, cuyo
enfoque “personal” sobre el “general” de los participantes (participante: ex referencia hacia el
término: alumno/s) de una clase, hace que los mismos se sientan apoyados en todo momento
para aprender más de lo que fueron a buscar al anotarse en una cursada.
- Antes de comenzar cada clase, a medida que llegan los participantes y hasta el comienzo
de la misma, se pueden proyectar videos musicales, reproducir canciones o mostrar sitios
Web con noticias de actualidad. Es decir, que lleguen a la cursada distendidos en un lindo,
entretenido y encantador clima.
- Si existe un momento tenso y torturante durante una cursada es el fatídico momento del
“examen”, y más en los finales o los que definen situaciones. No todos llegan preparados
emocionalmente de la misma manera, por lo cual, alguien perfectamente entendido
puede estar segregando corticosterona (C21H30O4). En este estado y hasta que no pase el
peligro (examen), no recuperará los conocimientos adquiridos y no podrá demostrar lo
que realmente sabe e injustamente será desaprobado.
Página 41
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
- Si el examen es del tipo de respuesta multiplechoice, una persona sin conocimientos y con
algo al cuadrado de suerte (As), aprobará la cursada y sin saber prácticamente nada
obtendrá un certificado para trabajar en algo que no sabe, poniendo en peligro a la
sociedad y dejando sin trabajo a una persona perfectamente calificada para una
ocupación.
- Mejor aún, es que el examen se lo puedan llevar a sus hogares y otorgarles entre cuatro
días y una semana de tiempo para realizarlo. Avisarles que la prueba es a carpeta o libro
abierto.
¿Que ganamos con que el examen sea a texto abierto?: que lean todo el contenido de la
cursada por lo menos 2 veces más (la cursada + la evaluación). Con todas estas ventajas -
generalmente-, los participantes móviles que más saben no hacen todas las respuestas
correctas y por el contrario, responden casi todas las preguntas en forma correcta quienes
menos sabían antes y durante la cursada.
- La nota final será “aprobado” o “desaprobado” ya que es un todo conceptual, no sólo un
examen.
- Por último, ha pasado que, a través de la confianza generada por el participante firme o
“profesor”, éste ha mejorado sus conocimientos a través de nuevos ejemplos y preguntas
por parte de los “alumnos” o participantes móviles; y éstos, de prácticamente saber poco
o nada sobre un tema específico, ahora lo saben concretamente e incorporaron nuevos
conocimientos.
- Se cierra el círculo de conocimiento, concientización y vínculos personales.
Más información sobre este método de enseñanza lo pueden encontrar en la Web, o escribirme.
Página 42
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
- Tener todo el material a exponer terminado (como último plazo de exigencia) desde el día
anterior y testeado.
- Encender el ordenador (normalmente notebook) que utilizaremos para el evento por lo
menos una hora antes del inicio, ya que de “actualizarse” el sistema operativo, el
navegador o las aplicaciones que utilizaremos, con una hora anticipación tendríamos el
tiempo suficiente para la actualización, reconfiguración, adaptación y reinicio del equipo.
- Si la notebook que vamos a utilizar en la presentación es de uso general (la presta el
organizador del evento), debemos llevar distintas versiones de los documentos a mostrar.
- Antes de las primeras presentaciones, deberíamos practicar, realizando la misma jornada
o distintas partes de ella, ante algunos de nuestros compañeros, para que sean ellos los
que nos propongan corregir errores de postura, de pronunciación, de repetir las mismas
palabras con asidua frecuencia, de no entender qué es lo que se quiere explicar, etc.
- Además, podrían filmar parte de la charla (la charla de entrenamiento también podría
filmarse) para que nosotros mismos corroboremos los gestos, ademanes y posturas malas
o deficientes que ejecutamos, como por ejemplo ser demasiados expresivos con los
brazos, caminar sin prácticamente detenerse a lo ancho de la sala, etc.
- Si durante la elaboración o el repaso de la presentación hay palabras o frases que nos
cuesta recordar, deberíamos dejarlas anotadas en un lugar visible y en donde pasemos
mucho tiempo de manera de que “ésa” palabra, palabras o frase nos ingrese visualmente
a los confines de la mente.
- Confesión: en mi caso, en todo curso o charla y de manera imprevista ingreso en un
estado letológico que no me permite recordar en ningún momento una palabra muy
sencilla como podría ser teléfono, computación o pizarrón. Sigamos.
- Segundos previos a enfrentarnos a la muchedumbre o a la ¿minedumbre?:
Página 43
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
El personal que hace seguridad del tipo “policial” en accesos a oficinas, Centros de Datos o
determinados puntos de ingreso a edificios, mínimamente debería ser personal “vigilador” con
conocimientos en informática y/o dispositivos electrónicos.
Se tendrá que abrir una nueva carrera o tecnicatura de “vigilador electrónico” o “cibervigilador”.
Así, quizás, podamos contar con una guardia de accesos de 2, 3 o 4 personas, siendo uno de los
mismos, un cibervigilador encubierto o perfectamente identificable.
Debemos ser persuasivos y previsores para evitar que se produzcan acciones que atenten contra la
seguridad de las personas, de la información y de los equipos que la contienen.
No sirve de mucho obtener las pruebas de un ilícito y “atrapar” a la persona que lo cometió, si ya
el daño se produjo. Hay que tratar de llevar a cabo todas las acciones necesarias para que el
“malviviente” desestime la posibilidad de realizar un ataque.
En el caso de que la persona que vela por la seguridad de los accesos no tenga ningún
conocimiento sobre tecnología, informática o electrónica, lo más recomendable es que cierto
personal del área (preferentemente del Sector de Soporte Técnico) cumpla una guardia con
rotación de 2 a 4 horas, acompañando al personal apostado en los sitios de admisión para registrar
el ingreso y egreso de personas y equipos.
Básicamente, cuando un persona entra a un sitio en donde deben ser controlados y registrados los
dispositivos que ingresa, ya sean computadoras personales, tabletas, PCs, teléfonos inteligentes,
cámaras fotográficas, etc.; dicha persona toma a mal la revisión de equipos y generalmente trata
de esconder alguno de ellos, no declara ninguno, o dice que es “tal” dispositivo para hacerlo pasar
por “otro” de menor nivel de control y que no sea necesario exhibirlo.
Además, cuando un usuario algo experto en ingresos indebidos, con conocimientos avanzados en
Ingeniería Social, o con pocas ganas de completar formularios de entrada y salida de equipos, nota
que el hombre-vigilante apenas esgrime monosílabos o frases como: buen día, maletín por favor,
mochila, ¿qué es esto?, ¿para qué sirve?, ¿no tiene nada electrónico, no?; esta persona
deshonesta le miente desvergonzadamente en la cara (al hombre-vigilante) haciéndole creer que
una placa de alta potencia-antena direccional-WiFi-USB es en realidad una radio AM/FM para no
aburrirse dentro de una oficina o un Data Center, y consigue ingresarla.
Un individuo entra a alguna sala en donde está prohibido tomar fotografías, y por lo tanto, en la
puerta de acceso le retienen la cámara fotográfica y un teléfono celular con capacidad para tomar
fotos, pero le dejan ingresar una Tablet PC por el desconocimiento propio de que el hombre-
vigilador es solo una persona encargada de vigilar y no saber, notar o controlar que con la Tablet
PC se pueden tomar fotos.
Al final, la persona logra ingresar con su dispositivo, toma fotos y las mismas son utilizadas en un
posterior ciberataque a la entidad o para vender “ésas” fotos a la empresa de la competencia.
Página 44
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
Sabemos que, ante algún acto bien planificado por parte de los malignos, es difícil salir “ileso” de
esa situación -pero que, si vamos poniendo barreras para desanimar cualquier acto no permitido
dentro de una Organización, la posibilidad de que no lleguen a cometerse ilícitos sobre nuestros
activos -el bien más preciado- bajaría considerablemente.
No es lo mismo para un atacante tener que encarar para ingresar o egresar de un recinto con
dispositivos o equipos no permitidos a un hombre-vigilador que apenas cumple con la función de
tomar los datos de ingreso en una ficha de papel y que sólo pregunte: “¿qué lleva en el maletín?”,
“¿qué lleva en los bolsillos?” o, “¿para qué sirve eso?”; a tener que toparse con un agente con
conocimientos tecnológicos, a un “¿vigilador electrónico?”, o a un “guarda de seguridad”
acompañado por personal del Sector de Soporte Técnico.
Página 45
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
¿Cuál debería ser el perfil de la persona encargada de manejar un área tan sensible para
un Organismo como lo es la de Seguridad Informática, de la Información, TICs, o el nombre que le
plazca?
Hay siempre una gran discusión alrededor de este tema y la diferenciación que hay entre gente
con grandes conocimientos en seguridad, en informática, en programación, en hardware, y en
todo el amplio espectro que se maneja en TICs, que muchos dividen o juzgan a las personas
candidatas para el puesto de Jefe, Oficial o Administrador de Seguridad por la calificación de que si
el aspirante posee título universitario en carreras informáticas o no.
Aquí vamos a centrarnos en que el jefe o superior de esta Área de Seguridad viene encaminado
por lo menos de una de éstas ramas tecnológicas de conocimiento, con forma de Licenciado en
Sistemas de Información, Ingeniero en Sistemas Informáticos o Analista de Computación.
Lo corriente -mejor sería decir lo anormal- en las empresas u Organismos con una estructura u
organigrama definido, es que el Administrador de Seguridad sea Contador Público, Licenciado en
Administración, en Recursos Humanos o similar. No digo que estas personas no puedan cumplir
exitosamente con la mencionada función, de hecho hay profesionales de ésas ramas muy
preparados y que se capacitan en informática; pero vamos a apuntar a lo que sería un escenario
casi ideal, o sea, alguien graduado en sistemas informáticos, computación o sistemas de
información.
Página 46
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
Mejor aún, -si el candidato- cuenta con posgrados o estudios superiores en Administración de
Proyectos, MBA (Master in Bussiness Administration), Administración de RR. HH., o ¿Marketing?
(sí, claro).
Una Maestría en Seguridad Informática también estaría bien, pero debería acompañarse de otros
estudios diferentes a la computación para abrir la mente y tener un mayor abanico de respuestas
para la correcta toma de decisiones y el control: la información pura.
Por otra parte, ¿quién puede afirmar que alguien que no alcanzó estudios universitarios o
superiores no está capacitado para ser el Administrador de Seguridad?
Es muy difícil atreverse a afirmar esto, ya que si una persona no comenzó o no terminó una
carrera universitaria y trabaja del lado de la seguridad, seguramente esté “hackeando” desde los
14 años de edad. En los comienzos “rompiendo cosas” con un sombrero negro, de paso fugaz por
un sobrero gris, y al llegar a este puesto de trabajo ya habrá de asumir el cargo con el sombrero
blanco puesto. ¿O debería, cierto?
No en su currículum vitae (CV) escrito pero sí en el cerebral (esta persona) -ciertamente-, se habrá
especializado en “hackear” computadoras, equipos electrónicos, teléfonos, consolas de
videojuegos, aplicaciones, “jueguitos”, servidores, ¿satélites?, trenes, camiones y tractores (tanta
fuerza, tanta fuerza), barcos, aviones, submarinos (toneladas, de cemento) ¿semáforos?...
Con semejante CV, ¡Cómo no va a estar capacitado para ser el Administrador de Seguridad!
Ahora, según la magnitud del Organismo, empresa o ente, hay puestos que son más teóricos que
prácticos, más de tener que expresarse en un lenguaje coloquial que técnico; más de cuadritos,
matrices y estadísticas que de ataques de fuerza bruta, SQL injection y técnicas de lockpicking. Por
lo tanto, la responsabilidad de elegir el perfil del Jefe de Seguridad, depende de la aleación de
algunos de los ingredientes de esta ensalada de conocimientos, actitudes, aptitudes, títulos,
certificaciones, prácticas, herramientas y técnicas de ataque realizados que mencionamos en este
apartado.
- Administrador de Información.
- Administrador de Información Segura.
- Jefe de Seguridad Informacional.
- Responsable de Advertencias.
- Administrador de Confianza.
- Responsable de Certidumbre.
Página 47
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
Otras variables:
Tengamos siempre en cuenta que al 95nM de las Organizaciones la manejan administran personas
incapacitadas para estos puestos de trabajo y con disfraces ejecutivos o gerenciales. Justamente
ellos como los usuarios comunes, el punto más débil de la seguridad. Siendo más nocivos para la
salud de la Organización el personal jerárquico -ya que por desgracia-, pueden tomar decisiones.
Área de Máxima:
- Oficial de Seguridad.
- Empleados con ascendencia en: Ingeniería en Sistemas Informáticos, Licenciados en
Sistemas de Información, Técnicos Informáticos y estudiantes de computación.
- Administrador de Firewall.
- Referente del Administrador de Antivirus.
- Referente del Administrador de Redes de Datos.
- Redactores de PUAs, manuales, normas, procedimientos y newsletters.
- Especialista en asuntos jurídicos: abogado, con orientación informática -la mejor opción-.
- Pentesters. Laboratoristas.
- Informáticos Forenses.
- Diseñador Gráfico.
- Mesa de entradas de solicitudes.
Página 48
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
Área normal:
- Oficial de Seguridad.
Área de Mínima:
- Oficial de Seguridad.
- Empleado administrativo.
- Técnico Informático.
¿Valdría la pena tener un Área de Seguridad de máxima para una empresa conformada por
20 empleados?
En principio no, pero depende de otro factor muy importante como lo es la actividad a que se
dedica la empresa.
Decididamente no es lo mismo administrar la Seguridad en un ambiente de gobierno, una
empresa de marketing, una de turismo, una central nuclear, una consultora de publicidad o un
Banco de sangre.
No importa la cantidad de usuarios de una entidad, podríamos decir que en el 95nM de los casos,
las normas, procedimientos y circuitos administrativos son los mismos.
Cuanto más pequeña es la entidad, solamente cambia la cantidad de empleados necesarios dentro
del Área de Seguridad, porque al ser menor el número de usuarios, se necesitarán menos
redactores, menos administradores -ya que seguramente habrá menos “reglas”-, permisos y
excepciones para administrar a una menor cantidad de dispositivos de seguridad que se repiten.
Desde documentación, sitio Web principal, Intranet, hacer una (caminata) recorrida por las
instalaciones, entrevistas formales e informales con el personal jerárquico y con los usuarios
finales.
Esta tarea es mucho más accesible y rápida si ya somos trabajadores del Organismo, si
pertenecemos a un área informática o cercana a ella, y más aún si pertenecemos al Área de
Seguridad, en el caso de que ésta haya sido creada con anterioridad (en ocasiones, esto puede
llegar a ser una desventaja también).
Nunca debemos “quedarnos” con lo que nos cuentan o lo que leemos sobre la estructura, los
circuitos administrativos y los usuarios de las Organizaciones. El contacto visual, la recorrida y la
lectura “in situ” de procesos, formularios y notas son fundamentales para cruzar la información
que nos relatan y la que realmente sucede.
Página 49
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
¿Por qué decimos que primero debemos conocer la Organización y no nuestra área?
Si bien estas dos tareas son casi paralelas, debemos saber a qué se dedica la Organización, ya que
si bien el portfolio de “seguridad” a aplicar es prácticamente el mismo –independientemente del
lugar y la gente-, ése “prácticamente” hace la diferencia al momento de elegir la estrategia para
abordar el comienzo del Área de Seguridad; ya que no es lo mismo securizar a una Organización
gubernamental, un hospital, un Banco o una empresa de publicidad compuesta principalmente
por creativos.
Si tomamos este puesto de trabajo siendo una persona externa a la empresa, los primeros pasos
debieran ser los mismos, pero tenemos la desventaja de no conocer en profundidad las
actividades del ente, su organización interna y fundamentalmente a las personas.
Entre las primeras actividades también deberemos escuchar cuáles son las directrices que trazarán
nuestros jefes inmediatos y desde este punto jerárquico-organizacional de partida hacia arriba.
Una vez que hayamos recopilado la suficiente información como para tomar decisiones “lo más
correctas posible”, podremos realizar las modificaciones que creamos conveniente en los
procedimientos ya redactados. Si no había procedimientos -escritos por lo menos- nos tendremos
que sentar a redactar, lo que podría ser beneficioso para nosotros, ya que comenzaremos a
describir un circuito o un método desde cero y con todo punto (tema, apartado) que creamos
(imperativo afirmativo de creer) conveniente incluir.
Solicitud de A – B – M:
Nombre del Sistema:
Perfiles de usuario:
Administrador del Proyecto:
Dueño de Datos (solicitante/responsable de la aplicación):
Área a que pertenece el Dueño de Datos:
Clasificación de la Información: (Pub/Pri/Co/Se) - (Da/Ds):
Página 50
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
Con toda esta información se podría armar un listado, codificando los sistemas y los perfiles para
conformar un formulario de solicitud de ABM de Sistemas, en donde los responsables de recibirlo,
aprobarlo y procesarlo tengan un control rápido y eficaz para saber si la persona (usuario) que
solicita un Sistema está autorizado a pedirlo, si el usuario que lo va a utilizar está habilitado para
operarlo, y si fehacientemente el Sistema y perfil de usuario existen.
Este momento se puede aprovechar para realizar una tarea que no muchos hacen y que es la de
“clasificar la información”.
Es una tarea muy importante para poder achicar el margen de inseguridad, y establecer la
prioridad de puesta en marcha al momento de ejecutar un Plan de Contingencia o de echar mano
a un Restore.
Clasificación de la Información
Es un poco más amplio el tema de la clasificación de la información, pero básicamente se
dirime la resolución entre el dueño de datos y la “cúpula” de TI (Director o Director + Líderes de
Proyectos y/o Jefe de Calidad (el jefe o personal del Área de Seguridad -si es necesario- podría ser
invitado (ocasional o permanente) a clasificar o “arbitrar” en caso de desigualdad de pensamiento
clasificatorio)). Se debería realizar la clasificación de información lo más acertada posible.
Generalmente los dueños de datos tienden a clasificar todos sus Sistemas como “Confidenciales” y
es ahí en donde los demás involucrados (Seguridad Informática con Líderes de Proyectos,
¿Desarrolladores?, Calidad o la misma la Gerencia de TI) deben negociar una clasificación justa
para su debido tratamiento.
Información Pública
Información que puede ser conocida y utilizada sin autorización.
Información Privada
Información que sólo puede ser conocida y utilizada por un grupo reducido de empleados,
generalmente de la misma Dirección del Organismo, entre distintas Direcciones o, Direcciones y
sectores como Presidencia o Auditoría, y cuya divulgación o uso no autorizado podría ocasionar
pérdidas graves al mismo, al sector Público Nacional o a terceros.
También puede ser conocida y utilizada entre personal del Organismo y algunas entidad externas,
debidamente autorizadas, a través de convenios de confidencialidad, marco acuerdo, etc.
Página 51
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
Información Confidencial
Información que sólo puede ser conocida y utilizada por un grupo muy reducido de empleados,
generalmente de la alta Dirección del Organismo. Su divulgación o uso no autorizados podría
ocasionar pérdidas graves al mismo, al Sector Público Nacional o a terceros.
Al referirse a pérdidas, se contemplan aquellas mensurables (materiales) y no mensurables
(imagen, valor estratégico de la información, obligaciones contractuales o públicas, disposiciones
legales, etc.).
En el caso de utilizar información obtenida de otros Organismos o Empresas, del país o del
exterior, se los deberá clasificar como mínimo de la misma forma o equivalente a la clasificación
que acompañan.
Información Secreta
Se clasifica con esta denominación, a toda información que por su carácter e importancia requiere
de la máxima protección de seguridad que se le pueda brindar, ya que su divulgación o publicación
sería causal de un severo daño a la Nación o perjudicaría la ejecución de los planes del Estado
Nacional.
-Fin de clasificación-
Página 52
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
Como una buena práctica, debe recordarse siempre que a la información como se la “clasifica”
también se la debe “desclasificar”. Básicamente:
-Fin de desclasificación-
Retomando:
Pasado el tercer mes de gestión (dependiendo de lo “grande” que sea la entidad), cuando ya nos
pudimos involucrar dentro de los circuitos de la Organización, de los sistemas informáticos, de las
redes de datos y, para cerciorarnos que la información que fuimos solicitando era verídica y que
prácticamente no se nos ocultó nada, podríamos empezar a realizar un pentest interno.
Recuerden siempre de pedir en el alcance del pentest qué, después del informe final, se realicen
una o dos jornadas de capacitación para los desarrolladores y administradores, de manera de
tener una rápida resolución de vulnerabilidades, malas prácticas de programación y/o
configuración descubiertas por el testeo.
El resultado final en mano -para la actualidad y pensando a futuro-, nos sirve para planificar el
próximo presupuesto “realzando” las vulnerabilidades encontradas, los peligros a que está
expuesta la información (activos) de la Organización, apuntalar la capacitación de las personas, y
para la renovación o adquisición de nuevos dispositivos y licencias de manera de minimizar los
riesgos a posteridad.
Página 53
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
Recuerden siempre (repite) de realizar otro pentest externo a los seis meses de terminado el
pentest anterior -dependiendo de la criticidad de vulnerabilidades encontradas- para asegurarnos
de que las fallas y debilidades descubiertas durante el primero de los pentest han sido corregidas.
En resumen, soliciten en el presupuesto anual la realización de dos pentest externos y dos
internos.
Como actividad y entre las iniciales, luego de las primeras conclusiones, estaría muy bien
confeccionar una “Matriz de Análisis FODA” (Fortalezas, Oportunidades, Debilidades y Amenazas)
de nuestra área y presentarla ante los niveles superiores, ya sea a través del Comité de Seguridad
o mediante reuniones programadas con la Dirección de TI.
Otra matriz que debemos tener siempre a mano y hacerla conocer (sino, no nos sirve de mucho)
es la Matriz de Análisis de Riesgo.
Ambas son importantes y nos permitirán saber en dónde estamos parados, cuánto avanzar, qué
pedir, qué podemos mejorar, en dónde no nos conviene intervenir (o por lo menos no por ahora),
y tratar de hacer un futurismo cercano y uno lejano.
Claro, literalmente suena feo decir Análisis FDOA, pero vamos a hacer un reconocimiento a su
traducción textual y por eso la llamaremos como tiene que ser, “FDOA”. Justica.
Rápidamente podemos decir que FDOA es una matriz o tabla de 2x2 (3x3, o 4x2 si agregamos la
fila y la columna destinada a las leyendas), en donde volcamos para cada celda -nos quedará una
gran, pero gran celda- todas las Fortalezas, Debilidades, Oportunidades y Amenazas que hemos
podido identificar para el Área de Seguridad, marcada por una tendiente visión global del
Organismo.
Esta primera identificación y las futuras, se pueden hacer entre varias personas que conozcan la
situación actual de la Organización, la situación pasada para que no se repitan los errores, y para
revivir las situaciones acertadas que fueron desatendidas. En base a los conocimientos pasados y
actuales tratar de encaminarse hacia el mejor futuro.
Página 54
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
Dependiendo del grupo que hemos formado (a veces -lamentablemente- esta tarea es
unipersonal), sería bueno que, para no hacer ruido, de manera de no mezclar ideas que puedan
nublar el pensamiento de otros participantes de una sesión de brainstorming o lluvia de ideas,
empezar a hacer un FDOA individual para luego sí armar uno solo, pulido y democrático a partir de
las ideas sugeridas por todos los participantes.
Para los que no la conozcan, pueden buscar en la Web muchos ejemplos de la matriz FDOA, FODA,
DAFO, SWOT o como quieran llamarla.
Cuando comiencen a rellenar cada cuadricula para las Fortalezas, Debilidades, Oportunidades y
Amenazas, ubíquenlas lo mejor posible con respecto a lo que dicen los libros, es decir, en donde
ustedes crean conveniente situarlas y en donde ustedes creen que entenderán mejor el análisis.
Trabajen de manera cómoda, por más que los libros y los “teóricos” de los libros digan otra cosa.
Si van a la teoría, las Oportunidades y las Amenazas son externas, las Fortalezas y Debilidades son
internas. Pero si yo, dentro de mi Organización tengo identificado a tres scripts kiddies, dos
lammers y un newbie: ¿dónde los ubico? Para mí -para mí-, en mi matriz, van puestos de cabeza
en Amenazas.
Para la teoría quizás sea conveniente ubicarlos en Debilidades. Y así con muchos más ejemplos que
van surgiendo a medida que encontramos algo para destacar.
Como mencionamos reiteradamente a lo largo de este ensayo sobre seguridad: tomemos las
herramientas que primitivamente han sido diseñadas, las normas, los estándares y las teorías;
tomemos de ellas lo que mejor se adapte a nuestra Organización, infraestructura y usuarios pero,
“escribamos nuestra historia como mejor nos quepa”.
Luego, los auditores que se rompan el cráneo -figuradamente- para decirnos si cumplimos o no
con las antiguas doctrinas y así y todo, discutámosles sin miedo de igual a igual, porqué
“escribimos” y “hacemos” lo que hacemos.
Aquí, un ejemplo básico y muy pobre de una matriz FDOA, FODA, DAFO o SWOT que podemos
apellidar como “FDOA del tipo Thi4GO-cial”.
FORTALEZAS OPORTUNIDADES
DEBILIDADES AMENAZAS
Página 55
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
En la Web podrán encontrar mucha información sobre este tipo de matrices, para distintas
actividades y con distintos ejemplos.
Como siempre, nosotros adaptaremos la mejor matriz de análisis de riesgos a partir de tomar lo
que creamos conveniente de cada una de ellas, y presentaremos ante las autoridades nuestro
personalizado arquetipo.
Básicamente, nuestra matriz de análisis de riesgos debería contener al menos las siguientes celdas:
-Aquí, un ejemplo rudimentario y muy pobre de análisis de riesgos que podemos apellidar como
“Riesgos del tipo Thi4GO-cimiento”-.
Planilla en blanco
OBSERVACIONES
ID ACTIVO DESCRIPCIÓN
Página 56
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
OBSERVACIONES
ID ACTIVO DESCRIPCIÓN
7 Sensores Dispositivo fundamental para prevenir incendios y no destruir y perder equipos e
de humo información del Organismo, sin los cuales no podrán desarrollarse las actividades
dentro del diarias. El costo monetario, imagen y tiempo de restauración podrían no
Centro de recuperarse.
Datos. Nunca debe faltar ni estar desatendido su mantenimiento.
La escala de impacto de riesgos y sus consecuencias se podrían definir en otra matriz de “Impacto”
pero, a mayor cantidad de niveles, mayor la desagrupación de soluciones. Como secuela, para la
vista humana sería más engorrosa de representar y presentar ante las autoridades.
Lo que en la mayoría de las tablas es ‘probabilidad’ para nosotros es RIESGO, y DESCENLACE es igual
a ‘impacto’. En donde:
ID: Es el número con el cual vamos a identificar a cada renglón perteneciente a un activo para su
seguimiento preciso por toda una matriz.
ACTIVO: Dispositivo, tarea, persona o cualquier cosa que creemos necesaria para el correcto
funcionamiento de un área y en consecuencia: de la Organización. Aquí podemos ingresar el
nombre de una persona que, en caso de que renuncie, sea despedido, o que se enferme por un
tiempo prolongado: la sustitución de la misma sería muy difícil de cubrir, poniendo en peligro los
activos de la Organización.
FUNCIÓN: Muy breve descripción de la tarea que realiza o para qué sirve el activo. De esta
manera, las personas que participen de la confección de la tabla y que pudieran ser de áreas
ajenas a Seguridad o a Tecnología podrán entender de lo que se está hablando.
Más aún, para presentaciones de “nuestra” matriz ante las autoridades gerenciales o el Comité de
Seguridad de la Información, será muy útil ésta fugaz reseña del activo.
Podemos agregar una imagen, un ícono, un símbolo o un pequeño dibujo para la mejor
identificación del objeto.
Página 57
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
AUSENCIA: ¿Qué pasa si el activo deja de funcionar? ¿Si es un equipo necesario para determinada
gestión que se solicita ser comprado, se dilata en el tiempo, o nunca se aprueba dicha compra?
RIESGO (A/M/B): El riesgo de la ausencia del activo puede ser ALTO, MEDIO o BAJO según la
consideración de quienes confeccionan la matriz.
En una futura presentación ante niveles gerenciales, esta valoración podrá ser discutida y
modificada a pedido de los altos mandos o los miembros del Comité de Seguridad.
Cada una de las partes deberá defender los motivos de la clasificación y dejar asentada la más
correcta clasificación posible. Si desde el Área de Seguridad no estamos de acuerdo con la nueva
valoración, tendremos que reflejar en una nueva matriz los valores corregidos, pero guardar una
copia de nuestra tasación ante futuros reclamos.
Esta diferencia en la clasificación de los riesgos se puede deber a la mala toma de decisiones por
parte de las autoridades, a los intereses personales que corren por dentro de las Organizaciones, a
la corrupción y en menos medida a la impericia de los participantes.
Nosotros, para no abrir un gran abanillo de clasificaciones y que la matriz sea lo más precisa y
entendible de comprender, las clasificaremos en ALTO, MEDIO o BAJO ya que, en muchos casos,
no hay grandes diferencias entre ellas.
Si buscan ejemplos en la WWW, verán que hay cientos de casos de matrices, todas intentando
representar “información” o “datos” en una catástrofe de colores, cuadros, símbolos, números,
soluciones, clasificaciones, porcentajes, condiciones, filas, columnas, líneas punteadas, flechas,
desvíos, aclaraciones, viñetas, estrellas, etc., y variedades de etcéteras.
Puede pasar que se detecte un riesgo inminente y se vaya a buscar (a leer) la descripción de la
solución y que la misma -por diversos motivos- ya no corra.
Y entonces. ¿Qué hacemos? Apelamos a un cóctel de conocimiento, consulta e imaginación para
encontrar una SOLUCIÓN que no estaba escrita; sacrificando equipos, formateando dispositivos,
dejando sin servicio a un usuario o a un grupo de ellos que va/n a tardar en darse cuenta de que ya
no cuenta con un servicio designado, o aprovechamos que la queja de éste/éstos usuario/s nunca
será escuchada. ¿Solucionamos pidiendo prestado equipo o licencias?
¿Hay riesgos cuyas soluciones nunca van a cambiar? Parecería que pocos. Lo que podríamos hacer
es asociar en una nueva matriz de soluciones, las posibles respuestas ante determinados
incidentes relacionándolas por el ID de la matriz de análisis de riesgos. Una especie de “libro
mágico de soluciones”, lo que sería un paralelismo con una “base de conocimiento”, también
llamada “knowledge base”, o una “wiki” de soluciones.
Página 58
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
En esta escala, una vez que se produce un incidente, se vuelve a abrir un ‘paipay’ de respuestas
como Mitigar, Transferir y Evitar. ¿Cómo comprobamos que una de estas tres acciones es la
indicada cuando podríamos resumir todo en el concepto: SOLUCIONAR?
Por ello, descartamos de plano la tabla de “escala de impacto”, por un gran cuadro con la palabra
“SOLUCIÓN”.
Como hemos mencionamos en el párrafo superior, para que no nos quede un gran cuadro de
situaciones lleno de soluciones, recurriríamos al “libro mágico de las soluciones”.
Repaso turbulento. En ocasiones, la opción “Transferir” parecería ser una gran solución, sobre
todo si “yo” soy el que tendría que solucionar un problema y “no sé cómo”. Y es eso lo que
proponen la mayoría de los “jefes” ante la ocurrencia de un problema, o previniendo (previendo)
(a veces: invocando al problema) de que ocurra un incidente y de esta manera no ser ellos los
responsables de solucionarlo. Aunque en la realidad sí serían ellos los “responsables” de retornar a
la situación normal de trabajo.
Obviamente, para algunos recursos no existe el funcionamiento parcial, por lo que deberá
tacharse dicho campo.
Podría pasar también que el funcionamiento parcial y la ausencia sea descripta de la misma
manera, debido a que las consecuencias serían las mismas, ya que algunos dispositivos dependen
o se cruzan necesariamente con otros. Este caso lo podemos observar en el ejemplo superior
denominado “Planilla casi completa”.
En la siguiente columna -RIESGO (A/M/B)-, debemos indicar el “riesgo” que supone para cada
activo el funcionamiento limitado o parcial del mismo.
OBSERVACIONES: Este apartado final dentro de la matriz de análisis de riesgos, sirve para
explayarse sobre cada punto que necesitamos ampliar, de manera de no sobrecargar de datos la
vista principal de la planilla.
Se deben repetir las celdas ID y ACTIVO para que, quien lea cada apartado, no tenga que retornar
a las primeras hojas para relacionar los temas que se desarrollan.
Página 59
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
Dos tareas a realizar y que son muy importantes, estresantes, relativamente interesantes y
muy tediosas, pero a las que les estaremos eternamente agradecidos el día en que suceda alguna
fatalidad y podamos “responder a tiempo y en forma adecuada” para seguir trabajando en
prácticamente las misma condiciones “normales” en que nos encontrábamos antes de que
“estalle” el infortunio.
Ante la lectura de este punto por parte de alguien que se está iniciando en éstos asuntos,
trataremos de resumir al plan y a la política de la siguiente manera:
El Plan de Contingencia es un resumen de las actividades que tenemos que cumplir centímetro a
centímetro, a partir de un evento en la Organización que no nos permita continuar con todas o
parte de las actividades diarias y sin las cuales, la Organización no puede seguir funcionando
adecuadamente.
Página 60
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
-Porque si nunca hago las pruebas no estoy seguro de que no falle el medio magnético que me
almacena el “Backup”, la máquina virtual que me va a levantar temporalmente el “Restore” para
levantar definitivamente el sistema o equipo con la última información recuperada (backupeada).
-Para comparar siempre las versiones y que haya compatibilidad de las mismas, de manera de no
recuperar exitosamente archivos para una aplicación actualizada que ya no soporta los archivos
backupeados.
-Para comprobar que han sido correctamente etiquetados los medios magnéticos que contienen
los backups y ante una urgencia, no nos encontremos con un “álbum de fotos de las vacaciones de
verano en Mar Azul” de uno de los técnicos en redes, o un compilado en MP3 de los grandes
éxitos del “Puma” Rodríguez, en vez del “Backup: Servidor NH3”.
Quienes decidan a qué información se le hace Backup y a cuál no, deben tener en cuenta
-principalmente- la criticidad de la información, y la rotación de la misma.
En la siguiente imagen se pueden observar algunos hechos que pueden desencadenar en el inicio
de una contingencia o en la necesidad de utilizar un Restore. Además una breve representación
del ataque “vasitodeaguaware”, desarrollado en los capítulos finales del presente Manuel
(Manual).
Página 61
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
Es muy tenso (nervios + adrenalina + dolor de panza + ¿síndrome del mensaje fantasma? +
visiones de la cara del jefe) el momento de la prueba en el que hay que “simular” en la realidad
operativa que se “cayó” un sistema completo, o una base de datos, o parte de una aplicación, y
debemos “tirarle” la restauración para que siga operando correctamente algo que estaba
funcionando correctamente.
En un ambiente de testing, podemos hacer muchas restauraciones que van a servir para imaginar
el momento de la “catástrofe”.
Van a servir para corregir, establecer tiempos, saber si los campos, las bases de datos o las
políticas son las necesarias para que todo funcione tal cual estaba funcionando en su modo
normal, pero esto nunca es tan real, audaz y valioso como hacer una prueba de Restore en
caliente. Es decir, sobre los mismos equipos, bases de datos o aplicaciones que están siendo
utilizadas en un ambiente de producción.
Si bien todas las partes conocen lo fundamental de realizar por lo menos una vez por año éstas
acciones, el riesgo que implica que se suceda un imprevisto o un error y que deje de funcionar el
sistema o dispositivo como lo estaba haciendo, no lo quieren asumir.
Prefieren esperar a que ocurra el evento cruel y rezar para que el Backup (en realidad en Restore)
funcione correctamente en el instante ígneo de la restauración, ante un hecho cuanto mínimo
grave para la continuidad de las operaciones de la Organización.
Página 62
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
Las primeras tareas del Plan de Contingencia para una Organización estándar serían:
¿Cuánto tiempo podrían pasar los Directores, los usuarios de las áreas de Compras, Licitaciones o
Prensa sin el último mes de correos electrónicos? (en realidad todos los usuarios).
¿Rodaría alguna cabeza por un tema que no mereció catalogarse como contingencia?
¿No fue una contingencia para quién? ¿Sí para el Organismo, pero no para TI?, ya que sería un
lunar en ¿la buena gestión de Tecnología?
¿Sí fue una contingencia para TI, pero no para la Gerencia (que está por encima de TI), ya que sería
un lunar en ¿la buena gestión gerencial?
Obviamente que no todo es contingencia, hay muchos pocos administradores que correctamente
actualizan sistemas o equipos fuera del horario laboral o los fines de semana, pero muchos
ocasionalmente puede suceder que un novato (o un experto kamikaze) actualice o tire un “Backup
en caliente”, en plena jornada de trabajo y todo deje de funcionar. (En verdad está tirando un
“Restore en caliente”, ¿o me equivoco?).
Ahora sí, muchas veces suele acontecer (tirar un Restore en caliente) con equipos o sistemas poco
relevantes (¿poco relevantes para quién?), con una ventana de tiempo de corte de servicio amplia
y ahí sí puede ser que echemos mano al Restore (en la jerga: Backup) y no entremos en
Página 63
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
contingencia por más que se supere la hora de interrupción y que el servicio no se haya
restablecido.
Seriedad. A partir de lo expuesto, está claro que el Plan de Contingencia es uno y el Plan o Política
de Backup-Restore es otro. Que siempre o casi siempre -para no ser demasiado exactista- el Plan
de Contingencia va a estar asociado al Plan de Backup-Restore, porque si recupero un equipo
necesariamente voy a tener que recuperar (restaurar) los datos.
Que si no están en la misma carpeta o documentación, van a tener que estar muy juntas o
cercanas.
Pero qué, en ocasiones, vamos a tener que restaurar sistemas o configuraciones de dispositivos
qué, dada su baja o media criticidad no necesariamente entremos en un “estado de contingencia”.
Hay una delgada línea -muchas veces- entre un estado político organizacional de Contingencia o
de Backup-Restore. A veces no convine aceptar o avisar que estamos en contingencia, y a veces a
una restauración exitosa le colgamos el rótulo de “Salida de Contingencia Victoriosa”.
Página 64
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
- Confirmación del retorno a la situación normal de trabajo y aviso a las personas que deben
ser notificadas (gerentes, dueño de datos, áreas, usuarios).
- Finalmente, realizar y asentar el informe de lo sucedido, desde el inicio, hasta el final.
Una tarea monótona pero muy necesaria, es actualizar los planes (Contingencia y Backup-Restore)
cada vez que se produce una modificación relevante en los equipos o sistemas.
De no producirse ninguna novedad, debería realizarse una revisión anual de los planes, actualizar
la versión y fecha de la documentación.
Que alguien ajeno al Área de Sistemas o perteneciente al Área de Sistemas pero sin permisos para
saber sobre el corazón del “Área 51” de la Organización, y peor aún que seres humanos o bots
foráneos a la entidad sepan, conozcan o accedan a una documentación tan confidencial como lo
es el Plan de Contingencia-Backup-Restore (P-CBR por sus siglas supersecretas ☺); es un grosero
error de privacidad y confidencialidad por parte de quienes son administradores de seguridad,
sistemas o tecnologías, dependiendo de quién sea la persona que tenga la decisión final para saber
dónde y cómo será enclaustrado el mencionado manifiesto secreto.
Los planes de CBR (P-CBR), deberían ser remitidos al Área de Seguridad para su control y
corrección junto con la pertinente asistencia del personal destacado de áreas adjuntas a sistemas,
como podrían ser Calidad o Proyectos y el mismo director de TI.
Una vez que el anteproyecto del Plan de CBR se convierta en realidad y sea aprobado, ambas
carpetas tipo bibliorato -la del Plan de Contingencia y la del Plan de Backup-Restore-,
correspondería que sean resguardadas en una caja de seguridad, empotrada al piso o a la pared,
dentro de un sitio con restricciones de acceso para el grueso de los empleados pertenecientes a la
Dirección de Sistemas y que podría ser la oficina del Director. (No es muy buena la idea pero
muchas opciones de accesos “casi” restringidos no tenemos…).
Además, de acuerdo a las distancias entre las oficinas (Seguridad, Redes, Servidores, Dirección) y
las instalaciones (Data Center, racks, depósitos), la documentación del P-CBR debería ser
presentada en formato electrónico, en lo que podría ser una especie de “Wiki”, accesible sólo a los
responsables de redactar y aprobar los Planes como: usuarios con permisos totales, y otorgarles a
los usuarios operadores o ejecutantes: permiso de solo lectura, ya que serán responsables de
intervenir en las operaciones al momento de ejecutar el Plan.
Página 65
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
También deben formar parte del convite, aquellas personas de otras áreas que conozcan la
temática a tratar en cada intervención.
De las actividades más relevantes, la principal sería -¿es?- la redacción de la Política de Seguridad
de la Información, plasmada en el Manual de Gestión de Seguridad de la Información o MGSI.
Al manual se le suman las normas, los procedimientos y los estándares técnicos. Es decir, un
conjunto de muchísimos papeles que nunca se terminan de escribir, nunca se termina de leer
(nadie los lee) y nunca se terminan de comprender, ya que con el avance tecnológico, los cambios
de políticas internas, las áreas y ocupaciones que se crean y las que se descrean, las
impresentables nuevas decisiones impuestas por los Organismos nacionales de control y auditoría,
más algunos desafortunados mandamientos de entidades internacionales hacen que, lo que en un
principio empezamos a escribir con ansias, se termine desechando en el cesto de la basura,
arrojándolo por la ventana, pasando hoja por hoja por el destructor de papel y/o, satinizando el
disco rígido para eliminar todo rastro de tiempo perdido-escrito en un procesador de textos
electrónico.
No todos o prácticamente ninguno los Organismos y empresas tienen un MGSI. Algunos toman el
modelo completo, solamente le agregan el nombre y el logotipo del Organismo o empresa que lo
está semi-“elaborando”, lo presentan con confeti, se sacan la foto para la Intranet, y lo archivan en
donde próximamente será recubierto por polvillo, dentro de un armario que nadie se acuerda
dónde está ni quién tiene la llave para abrirlo.
Puede pasar también que nos guste mucho esta tarea de escribir el Manual de Gestión de
Seguridad de la Información, las normas, los procedimientos y los estándares técnicos; se lo
presentemos a nuestro Director de TI o a los integrantes del Comité de Seguridad, y nos reprochen
con un: ¡Está loco usted!, ¡escriba algo que podamos cumplir, esos textos están muy lindos pero si
tengo una Auditoría no la supero ni invitándolos a comer un asado!
Página 66
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
Yo creo -creo yo- que hay que desarrollar los lineamientos generales de la Política de Gestión de la
Seguridad de la Información y una “PUA” o Política de Uso Aceptable. En este caso NO referimos el
acrónimo PUA a “Aplicaciones Potencialmente no Deseadas” o Potentially Unwanted Applications.
(Ver PUA, descripta en este mismo libro, más adelante, en algún momento…).
Los integrantes del comité, se deben reunir mínimamente dos veces al año. Se pueden (deberían)
realizar reuniones extraordinarias ante amenazas latentes o hechos que afecten a la “seguridad”
organizacional de manera crítica.
Se deben realizar actas de cada reunión y las mismas deben circular entre sus participantes.
Las resoluciones adoptadas por el Comité, que finalmente quedarán reflejadas en el MGSI o en
distintas disposiciones, serán sometidas a votación en dónde por mayoría de votos se aprobará. En
caso de empate el voto del presidente vale doble.
Sin trabajar a conciencia, el resumen de las actividades de los Comités de Seguridad y de los
manuales, normas y estándares técnicos emitidos por ellos, sería que es básicamente una pérdida
de tiempo para la gente normal que debe trabajar aquí. Para los que van a sentarse a tomar café,
comer medialunas, mensajear, jugar al “preguntados” (abriendo Google en una ventana del
navegador del Smartphone, obviamente) o dormitar, es un aburrido momento de distracción en la
cargada agenda de actividades y decisiones inútiles e inoperantes de lastre que trascurren en sus
días organizacionales.
El mejor comité que se puede formar, se debería conformar tomando de la Dirección de TI y de las
principales Direcciones de una entidad, a aquellas personas calificadas intelectualmente o
técnicamente, responsables y honestas para que sumen sus conocimientos, aptitudes y actitudes
en pos del progreso institucional de cada entidad.
De dicho progreso dependen las mejores y buenas prácticas que se puedan implementar a partir
de una gran PUA o “Política de Uso Aceptable del Organismo”, de cumplimiento obligatorio para
todos los usuarios, desde la A hasta Ω.
Página 67
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
Por la salud, el buen clima laboral y la mejor toma de decisiones, el incapaz personal jerárquico
solamente debería participar en la reunión final de aprobación de la PUA. Para el cual, también
debería apersonarse alguna Organización u Organismo con formato de CERT (Computer
Emergency Response Team o Equipo de Respuesta ante Emergencias Informáticas) de manera de
acorralar entre el CERT y el grupo trabajador a los jerárquicos incompetentes de cada
Organización, para que de ninguna manera puedan aportar su desconocimiento en el debate
temático y arruinar la nueva disposición laboral.
Obviamente que hay entidades en que el comité y el personal gerencial es realmente competente,
estudioso y trabajador. La recomendación de formar un Comité de notables es solamente para el
95nM de las Organizaciones.
Por ser parte de los mismos el personal jerárquico, no tienen (tampoco les interesa) mucha idea
de los temas que se tratan en las sesiones.
En pocos casos los coordinadores, directores o superiores llegan a ocupar éstos puestos por su
dedicación, su antigüedad, sus conocimientos, y sus ganas de progresar intelectualmente. Llegan a
ocupar cargos ¿laborales? por favores, política, acomodo, negocios, sindicalismo, etc.
Dichosas las entidades en las que se llega a las jefaturas por mérito propio, por el saber, por
cualidades humanas. En esos casos sí los Comités son de gran utilidad.
Durante el transcurso del año y ante la necesidad de cumplir con las reuniones mínimas
obligatorias (son dos, recordemos, por reglamento usual de funcionamiento), generalmente se les
pide a los miembros permanentes que nombren a un “miembro delegado” en representación del
titular, que es la persona que va a participar de las reuniones ordinarias pero no de las votaciones.
Ahora tenemos otra desventaja dentro de la ventaja de que no participen los miembros
permanentes, y es que el miembro delegado o suplente es la persona más inservible de un área o
sector, que como no tiene nada que hacer, se lo ofrenden al Comité.
Página 68
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
Es muy importante la participación de los miembros titulares, ya que son la voz oficial y
¿calificada? de las áreas más significativas de una entidad, representan a sectores como la
Gerencia General, RR. HH., Tecnología, Finanzas o Administración.
El miembro delegado puede ser más complicado aún si es una persona que cree saberlo todo,
porque entorpece y retrasa la duración de las reuniones con preguntas torpes, sin sentido o con
discursos fuera de la temática que se expone.
Esto pasa en muchos casos comprometiendo la seguridad de Organismo, ya que por lo general se
prohíbe el uso de sitios o aplicaciones perjudiciales para los datos y equipos de las Organizaciones.
Precisamente “ésos” sitios y aplicaciones de mala fama, dañinos o innecesarios laboralmente, son
los requeridos por los jerárquicos, sus amigos y amigos de amigos.
Un típico ejemplo de este caso es cuando se autoriza la prohibición en el uso de gran parte de las
redes sociales, ya que muchas de ellas -dada la gran cantidad de usuarios que las visitan-, tienen
en sus filas spammers, pedófilos, botneros, ladrones de identidad o malvivientes que introducen
malware en todas sus variantes.
Algunas de estas redes sociales, no suman en lo referido a la buena reputación de los empleados
de las empresas, a la imagen que pretende ofrecer una entidad, y menos aún cuando ingresa
personal externo a un ente para realizar trámites, reuniones o diligencias, y ven como algunos
energúmenos empleados navegan o chatean en portales Web de citas, contactos, encuentros
piratas, apuestas u horóscopos del amor.
El patrón de las redes sociales es Facebook. Al cerrar su acceso en una Organización por resolución
del Excelentísimo Comité de Seguridad de la Información, son las personas “trabajadoras” de las
esferas más altas de una Institución las que, mediante un llamadito telefónico, solicitan
“cordialmente, amablemente y de muy buena manera” forzar a una “excepción” -sin registro, ni
formulario de por medio, obviamente- en principio sólo para ellos y su entorno no laboral más
cercano, de ingreso permanente al sitio Web “The Facebook”.
(Ver Facebook en tu Organización, más adelante, en este mismo documento…).
Otro punto de conflicto entre quienes quieren hacer bien sus deberes y quienes entorpecen la
buena labor del Comité de Seguridad, son esos personajes que a toda costa quieren dejar su sello
distinguido (fácilmente detectable por lo lamentable de su aporte) en una presentación o un
escrito a aprobarse, ya sea una resolución, una norma, un procedimiento o cualquier punto de una
PUA o un MGSI.
Normalmente una, a veces dos, en los mejores casos tres personas son las encargadas de pensar y
redactar el documento a aprobarse, de corregirlo, de husmear por leyes, reglamentos,
resoluciones internas y externas, nacionales e internacionales; de presentarlo y defenderlo ante
Página 69
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
los miembros del Comité, y de llegar felizmente a hacerse entender de la idea y del porqué de la
propuesta a implementar. ¿Para qué?
Para que normalmente casi todos, en los mejores casos tres, a veces dos, con mucha suerte un
“integrante jerárquico” del Comité pretenda -con un alto porcentaje de éxito- dejar su sello
distinguido (fácilmente detectable por lo lamentable de su aporte (repite lamentable)) en un
escrito a aprobarse; ya sea una resolución, una norma, un procedimiento o cualquier tópico de un
MGSI o una PUA, arruinando de esta manera la mejor redacción posible de uno o varios puntos
formadores del Manual o la Política.
Al ser la mayoría de los integrantes permanentes del Comité, personal calificado como
“jerárquico”, -¿calificado por quién?- no tienen conocimiento de los temas que se tratan y menos
aún cuando a cada presentación se les da un toque informático con un agregado sutil de siglas,
símbolos, términos y notaciones computacionales o relacionados a ellos.
¿Habrá algún caso asilado de alguien que participe de las reuniones y sí, sepa? Puede ser.
Probabilidades y estadísticas de la materia lo contemplarán.
¿De qué nos sirve que todo tipo y anatomía de ser humano nombrado en el comienzo de este
punto participe de las reuniones?
Bueno, éstos sujetos son fácilmente engañables a partir de exagerar un poquito -sólo un poquito-
todo lo que pasaría si no se compran más firewalls, si no se renuevan licencias de antivirus, si no se
bajan las cantidades de redes sociales permitidas dentro de la navegación Web, los peligros de
fuga de información a partir de la habilitación de sitios de almacenamiento y compartir archivos en
Página 70
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
A partir de una entretenida y apocalíptica presentación, una vez que tomaron conciencia de los
“peligros en la red” y de las catástrofes que se avecinarían -tal vez un poco exageradas, pero
hecatombes al fin-, seguramente les correrá por sus almas un miedito que los harán tomar
conciencia de los recaudos que hay que tomar y lo necesario de la prevención en materia de
Seguridad de la Información, aunque sea para salvaguardar las conversaciones de chat, fotos,
canciones y “videítos”, resguardados en sus ordenadores.
Con este susto inicial, lo que tendremos es una Política o una PUA bastante favorable hacia
nosotros, que después de ser implementada los usuarios cumplirán en su mayoría de los puntos, y
al fin, tendremos una resolución de nuestro lado a partir de transformar las desventajas en
ventajas.
Aprovechemos este tiempo, ya que todos estos logros, como veremos más adelante, serán de
forma temporal.
Página 71
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
Me parece que lo mejor es tomar un poco de cada escrito publicado y elaborar nuestro propio
manual. Hay varios estándares, normas y manuales, pero ninguno nos va a calzar al 100% para lo
que necesitamos.
Vamos a hacer el camino inverso, vamos a aplicar técnicas artísticas de “Manualería Inversa”.
Entonces, la receta para tener un buen Manual de Seguridad de la Información o una Política
aplicable podría ser:
- Go Top.
Esto sucede porque la tecnología avanza mucho más rápido que todo lo que podamos escribir y
controlar. Ni hablar del atraso gigantesco que existe entre las leyes jurídicas, la justicia ciega y la
tecnología.
Página 72
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
Por ejemplo:
Hacia mediados del año 2014 d. C., están en pleno auge las noticias sobre drones (Dron (Drone)).
Seguramente, para esta época, el 95nM de las PUAs o Políticas de Seguridad todavía no hayan
incluido la prohibición del uso de drones domésticos, personales o de pulsera dentro de las
empresas para evitar la fuga de información o la invasión a la privacidad.
No habrá de pasar mucho tiempo para que los geeks o alguna rama nerd de extrema derecha
cambien a sus amigas mascotas tradicionales como perros, gatos, colas de espada o dragones de
Komodo (Varanus Komodoensis) por drones lazarillos, drones de compañía, o drones aulladores.
Importante: Cuando escribimos o presentamos textos, siempre hay que citar las fuentes o títulos
de donde tomamos información.
Internet, los buscadores, las técnicas de Google hacking, Bing hacking, la Ley Patriótica de los EE.
UU., y la globalización de contenidos hacen que quedemos “tocados” por “copiar y pegar” sin citar
a su autor.
Si nadie se las sabe todas, ¿para qué queremos figurar como creadores o ideadores de
conocimiento?
Página 73
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
En la siguiente imagen se puede ver el compilado de una “entidad modelo” que cumple con todas
las políticas referidas a manuales, normas, estándares técnicos y certificaciones.
El problema va sucederse al momento de una contingencia o una urgencia en la resolución de un
caso y encontrar al “manual salvador” y actualizado.
¿Se podrían reemplazar todos estos papiros por una pequeña y práctica PUA?
Claro que sí. ¿Qué que es la PUA?, en escasos minutos de lectura lo sabrán.
Retomamos:
Hay ítems, controles o capítulos, dentro de los estándares, normas o metodologías más populares
que cuando son publicadas, determinadas tecnologías o equipamientos ya han quedado obsoletos
o en desuso.
Por el contrario, a veces, se publica la última versión de una metodología y por los tiempos de
escritura, revisión, edición, aprobación y publicación -lógicamente- no están contemplados
dispositivos, tecnologías o nuevos circuitos administrativos que ahora forman parte de una brecha
de (in)seguridad muy importante o de un vacío legal que es aprovechado por el personal que suele
ser tramposo, por usuarios que les conviene éste “vacío”, que leen en detalle qué está escrito y
Página 74
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
qué está omitido para poder ingresar a sitios Web peligrosos o “sociales”, y utilizar aplicaciones
nocivas para la seguridad de las Organizaciones.
Al comenzar o finalizar un apartado dentro de un capítulo de una guía, metodología o política que
estemos desarrollando, deberíamos agregar unas líneas de texto de “preventivo” como:
Retomando la redacción del Manual o Política Organizacional: ¿a qué metodología nos adherimos
entonces?
A todas y a ninguna.
¿Y cómo nos va a ir? Generalmente bien, con una gran tendencia a muy bien.
Veremos que ante una auditoría interna o una auditoría externa, cumpliremos con la mayoría de
los puntos auditables ante la sorpresa del auditor. Lo dijimos: una mezcla de todo lo razonable y
un agregado personal nos da como resultado una nueva metodología de trabajo, documentada,
aprobada y útil.
Distinto es el caso de empresas o entidades que por control o por depender de entes
internacionales, y para pertenecer a ellos, estén obligados a cumplir con determinados requisitos.
Lo que podría ser SOX (The Sarbanes–Oxley Act. 2002), o en los Bancos la Comunicación “A” 5460
del BCRA, para la República Argentina.
Al igual que en seguridad, las auditorías a las que somos condenamos, nunca nos muestran que las
hemos superado con una efectividad del 100%, por más que presentemos todos los documentos
que nos solicitan y respondamos a todos las preguntas que forman parte del interrogatorio
guionado al que somos interpelados.
Los auditores deben, por lo menos -por lo menos, deben- encontrar un hallazgo de algo que
estemos haciendo mal, que no tengamos, que no cumplamos o que no documentemos; por más
que tengamos todo lo que nos piden en regla y detalladamente documentado. Este escenario es el
más común de encontrar dentro de una auditoría.
Página 75
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
Para estos tiempos, las auditorias llevadas a cabo por entidades del Estado, de Organismos
internacionales y de empresas privadas, saben de sobremanera que cargarán contra la inocencia
de dos personas, en vez de caerle con todo el peso de las normas y procedimientos del buen gusto
de la seguridad y de la información a las altas esferas de la conducción, a la Presidencia, a la
Gerencia General o directamente a los “nombres” que figuran como miembros permanentes del
ya citado honorable Comité de Seguridad.
Pero toman la más fácil y demagógica de las decisiones, se almuerzan a la “danionella” en vez de
servirse en bandeja un “piracucú”.
Escribir un Manual de Seguridad de la Información lleva mucho tiempo, sabemos que luego de
terminado el mismo viene la corrección, las adaptaciones a nuestra Organización, el pedido de los
niveles gerenciales de un “enfoque para el lado a dónde vamos a apuntar los cañones…”, el
circuito formal de aprobación, la comunicación al personal y la puesta en marcha de las políticas
allí redactadas.
En caso de ser aplicable -a mi humilde entender-, la mejor solución, práctica, ágil y de bolsillo es la
confección de una “PUA” o Política de Uso Aceptable.
¿Cómo podríamos hacer para escribir una “PUA” y cumplir con los requerimientos de tener un
MGSI del Organismo?
Podríamos escribir y aprobar ante el Comité de Seguridad los lineamientos generales de la Política
Institucional, la introducción, los tópicos y una breve descripción de los puntos más significativos.
Con sólo eso cumpliremos parcialmente con nuestro Organismo, con una auditoría y con los
cumplimientos formales por parte de los Organismos de gobierno destinados a impartir y profesar
el uso de las buenas prácticas de administración, especialmente de la seguridad de la información.
Luego de que el Organismo cuente con su MGSI aprobado (entre nos, sólo citamos los principales
tópicos para cumplir -nada más-, no nos vamos a abocar en copiar y pegar el resto de la ISO
castellanizada), nos abocaremos a redactar la PUA.
Como última instancia, ante pedidos gerenciales -esto no creo que suceda- o auditorias, tanto
internas como externas -pero más enfocados hacia las externas-, podríamos tomar como ejemplo
las acciones y decisiones ilegales, ilícitas, abusivas e invasivas implementadas por los Organismos
de seguridad del Territorio Yuxtapuesto de Septentrión Amerrique, para responder “como si
fuéramos ellos”, ante el interrogatorio de los auditores:
Página 76
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
Algunas PUAs rápidas de escribir y que abarquen los controles más necesarios y de gran alcance
podrían ser:
Para desarrollarlo, podemos hacer un resumen de los estándares internacionales más comunes en
lo que se refiere a “Seguridad de la Información” más nuestros “vicios organizacionales”.
Primero debemos estar atentos a las legislaciones de nuestro país, y si vamos a escribir para actuar
entre países. Se debe tomar todo en cuenta: leyes sobre Firma Electrónica y/o Firma Digital, reglas
específicas de Bancos y entidades que coticen en Bolsa de Valores. Incluso asociaciones o grupos
de Seguridad de la Información.
Página 77
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
que quiera y como lo quiera” para escribir “su” guía o metodología sobre la temática (fuera de
sistemas de información/informáticos) que le plazca. De todo siempre algo se puede rescatar.
Pido disculpas por las normativas que he olvidado, o las que aún no han sido publicadas al
momento de escribir este punto.
Entonces, tenemos:
Si bien algunos preceptos forman parte de otros, para adaptar y adoptar un tema, una guía o una
metodología, podemos encontrar algo específico que cuadre con nuestro Manual de Seguridad de
la Información, en una versión anterior de lo presentado en este listado.
También tenemos muchas certificaciones en seguridad, pero son para aplicar más que para
desarrollar, aun así, podemos sacar texto para acomodarlo a nuestra Política.
Página 78
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
- Correo electrónico.
- Red de Datos.
- Internet (Web).
- Intranet.
- Contrato de Confidencialidad.
- Derechos de los usuarios.
- Sanciones.
Una PUA debería contemplar al menos los siguientes puntos (además de los principales):
- Objetivo.
- Alcance.
- Definiciones.
- Propiedad de los recursos.
- Responsables de autorizaciones.
- Responsabilidades de los usuarios.
- Tratamiento de contraseñas.
- Glosario.
A diferencia del contenido que forma parte de un MGSI, en la PUA está todo junto, todo a mano.
Depende de lo extenso que se haga, se podrá hacer un documento adjunto con referencias o
separarla internamente por temas específicos.
Para poner operativa una determinada implementación escrita en un MGSI, tenemos que empezar
a realizarla a partir de la página 71 de la Norma, continuamos por la página 25 del Procedimiento,
para terminar con la hoja 54 del Estándar Técnico (en el mejor de los casos).
Otro escenario de implementación podría ser (en uno de los peores casos):
Página 79
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
Entonces tratamos de adaptar el Estándar Técnico de la página 163, pero éste Estándar Técnico no
cumple con el Procedimiento y no me sirve nada de todo lo que quisimos hacer de manera
ordenada, metodológicamente y legal.
En que termina toda esta implementación, todo este papeleo, en que apenas redactamos la
mínima documentación -en el mejor de los casos-, que en la realidad no cumple con lo que vamos
a hacer, pero que de otra manera no se podría comprar nada de lo que en realidad necesitamos
comprar.
Además, haciéndolo erróneamente de esta manera, Auditoría dirá que parcialmente cumplimos,
algo que en realidad no cumplimos.
ALCANCE:
El Comité de Seguridad de la Información considera indispensable regular el uso del servicio de Correo
Electrónico y el acceso a Internet, Intranet y la Red de datos, para lo cual emite los siguientes lineamientos,
que son de cumplimiento obligatorio para todo el personal del Organismo independientemente de su
situación de revista y de su asiento de funciones.
El uso de la red, así como los recursos de información del Organismo, están disponibles para fortalecer el
flujo de información interna, la investigación, la capacitación, la administración y el apoyo a las diferentes
tareas encomendadas, haciendo el trabajo más eficiente y productivo.
Todos los usuarios están sujetos a esta política, y a una actuación con altos principios morales y éticos al
utilizar los recursos. El uso inapropiado de los mismos será sancionado y conllevado a la aplicación de las
sanciones disciplinarias respectivas, además de las consecuencias de índole legal que sean aplicables.
El Organismo define que todos los recursos relacionados con las tecnologías de la información (datos,
sistemas, equipos e instalaciones) son de su propiedad y serán tratados como activos siendo, por lo tanto,
sujetos de administración y control.
En cuanto a los datos e información, los considera como activos estratégicos, por lo tanto deberán ser
usados en función del trabajo asignado.
Para asegurar el correcto uso y detectar acciones indebidas, todos los recursos serán monitorizados
mediante archivos de logs, registros de ingresos, requerimientos realizados, cantidad de bytes transferidos y
Página 80
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
recibidos, éxitos y fracasos en las transferencias, fechas y horarios infrecuentes de accesos, rastreos de IP y
por todo aquel control manual o automático implementado para tal fin.
A. Acceder a la cuenta personal/institucional de E-mail oficial al menos 1 (una) vez al día (jornada laboral),
de manera de evitar la acumulación de mensajes en ella. En este sentido se advierte que debido a
políticas internas relativas a la administración de los recursos informáticos, al exceder determinado
volumen, los mensajes excedentes serán rechazados automáticamente y la cuenta bloqueada. Esto se
realiza con el fin de no seguir generando tráfico de correos electrónicos no depositados en la casilla.
B. La única cuenta de correo electrónico válida para utilizar por los agentes para transmitir y/o recibir
información es la oficial, de dominio @organismo.gob.ar.
C. Evitar en todos los casos la divulgación de su password o contraseña de acceso.
D. El correo electrónico es el mecanismo más común de transporte e ingreso de malware (virus
informático). Por esta razón, se deberá cumplir con las siguientes reglas básicas:
No se deben abrir NUNCA archivos extraños, anexos a los mensajes de correo electrónico
provenientes de un remitente desconocido, sospechoso o poco confiable. Estos mensajes deben ser
eliminados inmediatamente.
Se deben suprimir los correos electrónicos del tipo Spam (correos electrónicos no solicitados y
distribuidos a muchos destinatarios), cadenas (correos electrónicos cuyo contenido invita a replicarlo
varias veces a otras personas), y cualquier otro correo electrónico que no esté relacionado con las
actividades propias del Organismo y que no haya sido solicitado por el usuario.
Se debe ser estrictamente cuidadoso con su dirección electrónica, NO la publique ni participe en
foros poco confiables o en cadenas de E-mail, ello ayudará a reducir considerablemente los ataques
de malware y el ingreso de Spam.
E. Utilizar los servicios de comunicación, en este caso el correo electrónico, para intimidar, insultar,
difamar, ofender, acosar a otras personas o interferir en el trabajo de otros usuarios.
F. Utilizar el servicio para cualquier actividad que sea lucrativa o comercial de carácter individual, privado o
negocio particular.
G. Distribuir o divulgar cualquier información o material inapropiado, sacrílego, ilícito, obsceno, xenofóbico,
indecente o ilegal.
H. Utilizar o ingresar a otra cuenta de usuario que no sea la propia, excepto autorización expresa del titular
de la cuenta, en cuyo caso caerá bajo su responsabilidad toda consecuencia legal, administrativa o
judicial emanada de dicha autorización.
Página 81
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
A. El Servicio Web es necesario para el uso de las tareas diarias y está disponible para fortalecer la
investigación, la capacitación (ya sea por medios virtuales o en línea), la búsqueda de información, así
como herramienta de apoyo para el desarrollo de la actividad de cada sector del Organismo. La
comunicación entre los usuarios e investigadores, académicos, profesionales y personas del exterior
relacionadas con las labores desempeñadas por el Organismo, tanto en el ámbito nacional como
internacional.
B. Los mensajes que se envíen vía Internet, serán de completa responsabilidad del usuario emisor, y en
todo caso deberán basarse en la racionalidad y la responsabilidad individual. Se asume que en ningún
momento dichos mensajes podrán emplearse en contra de los intereses de personas individuales, de
otras Instituciones o en contra del propio Organismo.
C. Conducirse de forma tal que se refleje positivamente la imagen del Organismo, ya que se encuentran
identificados como usuarios del mismo.
D. Todo usuario tiene derecho a solicitar mediante el formulario de “Excepciones Web”, los sitios Web
inaccesibles por el nivel de navegación otorgado y que le son necesarios para desarrollar sus tareas.
A. Accesos a sitios obscenos, que distribuyan, emitan o promocionen material pornográfico, o bien material
ofensivo que pueda ofender la moral de terceros.
B. Usar el servicio en relación a sitios de juegos y actividades recreativas o de promoción de intereses
personales tales como redes sociales, hobbies, chat, Webmail, encuestas, concursos, mensajes no
solicitados (Spamming), mensajes duplicativos, etc.
C. La distribución por Internet de material que cause daños, como la piratería, el sabotaje y más
específicamente la distribución de software dañino.
D. Descargar archivos e instalar archivos descargados vía Internet. Únicamente se podrá llevar a cabo esta
tarea en situaciones previamente convenidas con el Área de Seguridad Informática.
E. Cualquier conducta ilegal, contraria a la legislación local vigente o a la aplicable en los países a los que se
pueda tener acceso por Internet.
F. Congestionar, afectar, interferir o paralizar el uso del servicio.
Página 82
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
G. Se establece que “TODO MATERIAL POR DIVULGAR EN FORMA INSTITUCIONAL DEBE SER PUBLICADO EN
LA INTRANET DEL ORGANISMO”. De esta manera, mantener información actualizada y accesible a través
del servicio de Intranet, ha probado ser una herramienta efectiva para agilizar la gestión y circulación de
información en las Organizaciones.
H. Todas las áreas, a través de la Coordinación correspondiente, deberán difundir sus servicios, estructura y
función, logrando de esta manera una integración de sectores y usuarios. Estas actividades mejorarán la
calidad de comunicación institucional.
I. Es obligación para todos los usuarios del Organismo, dejar configurada la página de Intranet del
Organismo como página por defecto del navegador principal y “navegarla” aunque sea una vez al día, ya
que en la misma se deberá dar aviso a los usuarios de las fechas de cobro de sueldos, depósitos de
viáticos, demás información contable, noticias de prensa, información del personal, gremiales, anuncios,
novedades o servicios nuevos y datos propios de la Organización.
A. El uso del servicio Intranet para propósitos que puedan influir negativamente en la imagen del
Organismo, de sus autoridades o usuarios.
B. Subir información que infrinja los derechos de los demás.
C. Subir información que sea confidencial.
D. La corrupción o destrucción de datos o cualquier acción que pueda impedir el acceso legítimo a la
información, incluyendo la carga intencional de virus o de software dañino.
E. El otorgamiento de autorizaciones o permisos a terceros no conectados a la red del Organismo para que
la utilicen ilegalmente e invadan la privacidad de un sitio resguardado sólo al personal interno.
F. Congestionar, afectar, interferir o paralizar el uso del servicio.
A. Está totalmente prohibida la divulgación del nombre de usuario y de las claves de acceso a cualquier
servicio de red.
B. Asumir una absoluta responsabilidad respecto de los archivos y del contenido de datos que se
transmiten utilizando los recursos o medios proporcionados por la red, se tomarán las medidas
respectivas en caso de envío adrede con virus o información confidencial del Organismo.
C. La demanda de servicios puede ocasionalmente exceder la disponibilidad de los recursos, por lo que
serán establecidas prioridades, siendo las más altas las actividades más esenciales para llevar a cabo la
misión del Organismo.
Página 83
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
D. Todo usuario debe respetar la naturaleza confidencial del acceso de una persona o cualquier otra
información que pueda caer en su poder, ya sea como parte de su trabajo o por accidente, en este caso
la información recibida deberá ser eliminada inmediatamente.
A. Utilizar los servicios de comunicación, en este caso, aquellos que utilizan la red de datos como medio de
propagación para intimidar, insultar, difamar, ofender o acosar a otras personas o interferir en el trabajo
de otros usuarios.
B. Transmitir material en violación de derechos de autor, marcas, información protegida por secreto
comercial o en violación de cualquier regulación de la República Argentina o del resto de los países.
C. Enviar y/o compartir virus, gusanos, troyanos o cualquier tipo de malware, provocar deliberadamente el
mal funcionamiento de computadoras, servidores, equipos y periféricos de sistemas o redes, el sabotaje
o permitir el ingreso de virus y/o software malicioso al Organismo.
D. Usar el servicio para juegos y actividades recreativas como pensamientos, leyendas urbanas, chistes,
deporte, música, hobbies, pornografía, etc.
E. Monopolizar el uso de los recursos de red en perjuicio de otros usuarios.
F. Congestionar, afectar, interferir, deteriorar o paralizar el uso del servicio.
G. Intentar o ganar acceso a otros equipos, sistemas o recursos informáticos para los cuales no se tiene
permiso de ingreso, ya sean accesos locales o remotos.
H. Cambiar la Dirección o Identificador IP asignado.
I. Modificar el hardware y/o configuraciones de red para recursos asignados u otros, así como incorporar
sin autorización a la red dispositivos tales como hubs, switchs, routers, puntos de accesos Wireless,
cámaras, filmadoras, antenas, teléfonos celulares, teléfonos inteligentes o Smartphones, teléfonos IP,
tarjetas de red, módems (de cualquier tecnología), impresoras, PC, Notebook, Netbook, tabletas, drones,
bots, otros.
SANCIONES
El incumplimiento de las Políticas de Buen Uso establecidas en el presente documento acarrea distintos
tipos de penalidades, las cuales son:
Primer incumplimiento: suspensión de los servicios de correo electrónico, Intranet, Internet y red por 14
(catorce) días.
Segundo incumplimiento: suspensión de los servicios de correo electrónico, Intranet, Internet y red por
25 (veinticinco) días.
A partir de un tercer incumplimiento, toma intervención la Dirección de Recursos Humanos del
Organismo.
Página 84
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
Cada instancia de mala práctica por parte del usuario será registrada en el legajo del usuario.
Asimismo, se establece que las acciones disciplinarias enumeradas, no impiden que se establezcan
procedimientos administrativos para aplicar sanciones disciplinarias mayores, -dependiendo del grado de
trasgresión efectuado- así como someter al agente que este incumpliendo esta política al rigor de la Justicia
Penal Argentina y/o Justicia Penal del país en donde se produzca la infracción o delito.
--Fin de PUA –
A la PUA, de manera de cumplir con las obligaciones organizativas de poseer una Política de
Seguridad de la Información, la podemos anexar como parte de la sección que crean conveniente
del Manual de Gestión de la Seguridad de la Información o MGSI.
Si fuera necesario -como mencionamos-, sólo escribimos los títulos y una breve descripción casi
mentirosa o fabuladora de su contenido que no vamos a cumplir, pero sí “adjuntamos” nuestra
PUA salvadora.
Página 85
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
APOGEO -> PESADUMBRE -> DESMADRE -> APACIBILIDAD -> EFIMERIDAD ->….APOGEO -> PESA
DUMBRE -> DESMADRE -> APACIBILIDAD -> EFIMERIDAD ->….APOGEO -> PESADUMBRE -> DES
MADRE -> APACIBILIDAD -> EFIMERIDAD ->….APOGEO- > PESADUMBRE -> DESMADRE……
Apogeo: Ni bien sale a escena una nueva PUA, política, o norma, este documento se encuentra en
su período de apogeo. El cumplimiento obligatorio y la novedad, hacen que el nuevo régimen sea
consumido en prácticamente un 100% de sus líneas.
Este período debe ser tomado por los miembros del Área de Seguridad y los integrantes nobles del
Comité de Seguridad como un tiempo de disfrute y goce por la efectividad de las nuevas medidas
implementadas en una Organización.
El apogeo es el período de menor duración a lo largo del tiempo en que rige una Política.
Sabemos que la seguridad molesta y es antipática para quienes no quieren o no necesitan trabajar
dentro de una entidad. No tardarán mucho tiempo en llegar los primeros pedidos informales y
luego formales para desobedecer la naciente Política, para imponer excepciones a las excepciones,
para ignorar resoluciones, y muchas más formas de evasión jerárquica y pseudo jerárquica que
podamos describir aquí.
Pesadumbre: Son los primeros momentos de enfado del personal del Área de Seguridad y los
participantes nobles del Comité de Seguridad, debido a que una situación de “Seguridad de la
Información” que venía siendo controlada empieza a tener fisuras.
Se otorgan permisos “especiales” a los niveles jerárquicos, sus secretarias, amigos, socios políticos
y camaradas de conveniencias o mejor dicho asociaciones ilícitas nacientes o ya establecidas.
En este período hay que empezar a escribir las primeras modificaciones en la Política para agregar
a los textos lo que no esta redactado y no tener nosotros que desobedecer lo que hicimos
aprobar.
En este lapso los llamados telefónicos, los apersonamientos y los formularios de excepciones ya no
contienen justificaciones honestas y laborables. Directamente no se justifican los pedidos o se
efectúan llamados amenazantes por:
(Reproducción de típicos diálogos entre el Oficial de Seguridad (OFSe) y una determinada rama
laboral de personas de una entidad a los que podríamos definir -para las siguientes pláticas- como
filibusteros (Fi)).
Página 86
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
- Fi: Le voy a iniciar un sumario administrativo por atentar contra el trabajo de nuestro
sector, por cortar el ingreso de páginas Web de uso laboral como ser… ehhhh…ehhhh…
OFSe: ¿cuál, por ejemplo?
FI: no se me ocurre ninguna ahora porque son muchas, pero por ejemplo se me prohíbe el
ingreso a Google ¿? ... Fin del embuste, no tiene sustento. Caso cerrado.
- Fi: ¡Necesitamos que nos habiliten las radios on-line para escuchar música para poder
trabajar! ¡Qué es ésto, un trabajo o el servicio militar!
OFSe: ¿no tiene un mp3, un mp4 o un Smartphone no, no?
Fi: andaaa a la %$%$$# y ¡°”#$”!”$&* y también #$%&)/$n@30.
- Fi: Necesitamos que nos habiliten los Webmails externos porque tenemos que enviar
archivos muy pesados y el correo electrónico corporativo no tiene capacidad.
OFSe: ok. ¿Cuál necesita habilitar?
Fi: Gmail, Yahoo!, Mixmail, Aol, Hotmail (todavía no se acostumbran a decir Outlook) y el
de la Universidad.
OFSe: ah, qué bonito, ¿desean agregar fesibuk, también?
Fi: Ehhh, creíamos que estaba prohibido fesibuk acá, ¿entonces me podes agregar
Pinterest, Instagram, YouTube, Myspace, Tumblr, Orkut, Tuenti y Cuevana?
OFSe: … los entiendo, sé que el trabajo es duro y monótono y hay que tener un momento
para la distracción, ¿pero si revisan todos estos servicios, van a tener tiempo de terminar
sus labores diarias?, ¿de almorzar?
Fi: seeeee, de una. ¿Cómo podemos hacer para tener una cuentita de Badoo, Second Love,
Ohthel y Beautiful People?
OFSe: desde el teléfono o, ¿no tienen computadoras en sus casas?, ¿qué van a decir sus
compañeros o la gente que vaya a sus oficinas si ustedes están en plena farra laboral?
Fi: ahhhh, no pasa naaaa, avisen cuándo ya lo podemos usar.
OFSe: bueno, bueno, chauuu chauuuu (impresentablesss (dicho por dentro eh)).
Página 87
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
La época de desmadre puede también llegar a verse complicada por intervalos de AMENAZAS:
- Fi: Hola, habla la secretaria del Doctor Federico Brandsen perteneciente a la Dirección
Nacional de Prevención de Contrabando de Mandarinas hacia el Polo Sur, le quería pedir
que le resetee la contraseña de “Internet” al Doctor, ya que no la recuerda y tiene que
cargar un formulario Web ¡urgente!
OFSe: tiene que enviarnos un formulario de “solicitud de reseteo de contraseña”,
adjuntando la fotocopia del documento nacional de identidad del Doctor.
Fi: secretaria NN (nunca va a decirnos cómo se llama). Pero usted no me entiende, el
Doctor Federico Brandsen, de la Dirección Nacional de Prevención de Contrabando de
Mandarinas hacia el Polo Sur está ocupado en este momento y no puedo pedirle que le
mande un formulario y menos, una fotocopia.
OFSe: bueno, por favor páseme con el Doctor, no se puede pedir un cambio de contraseña
por teléfono y menos aún sin ser la persona responsable de su cuenta.
Fi: le voy a decir al Doctor Brandsen que no le quieren arreglar su problema, que no puede
navegar por culpa suya y voy a hablar con sus superiores. ¡Plum#! (sabemos que en
realidad lo que quiere es la password para navegar por la Web ilimitadamente, o por lo
menos con pocas restricciones por los permisos extras otorgados al Director). (Además,
sabemos “extraoficialmente” que el Doctor Brandsen está de vacaciones comisión en el
Parque Nacional Talampaya).
- Una típica conversación entre nuestro director (Nd) en este caso Joaquín Correa y otro
director, coordinador o empleado básico, estándar, ñoqui o acomodado que podría
sucederse, podría ser:
Página 88
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
Todos los diálogos expuestos en estos párrafos son más extensos, con más palabrotas (del tipo la
$%%#$@$!!”$#”#”@#”# y la %/&%@#”$”##”#”#” de @#”$$), subidos de tono o en tono suave
burlón y ladino, pero el fin de los mismos es explayarse sobre cómo te instigarán a bajar o
desactivar los niveles de seguridad para aprovecharlo en pos de beneficios personales, ya sean
laborales externos, educativos (¡ojalá!), particulares, lúdicos o piratas.
Apacibilidad: Para este tiempo, la gran mayoría de los usuarios gozan de privilegios que antes sólo
tenía el personal jerárquico. Hay demasiadas excepciones Web, de puertos y permisos.
La paz que reina en el ambiente se debe a que ganaron su lugar de “Internet full” los trabajadores
del ocio, porque se le tuvieron que habilitar mayores permisos a “algunos”, y a “otros” para
igualarlos con “algunos” se los debió reacondicionar también, así que el “desmadre” ya es general.
Es un período apto e inevitable para reescribir las políticas y adecuarlas de la mejor manera
posible a los tiempos actuales. En las próximas reuniones del honorable Comité de Seguridad,
habrá que empezar a negociar -cual si fuésemos sindicalistas-, con del típico “te mejoro estos
permisos pero esto de salir a cualquier puerto NO”, “se abre esta red social de contactos, pero
sólo para pocos usuarios, piensen en la justificación”, y demás pactos de manera de no perder
tanta seguridad.
Siempre, pero siempre, trabajen todas las solicitudes con formularios y que estén completos todos
los campos obligatorios o necesarios de conocer, completar; y, con todas las firmas y sellos de
autorización incrustados. De esta forma los lanceros no podrán ganar el acceso “mejorado” que
solicitan. Ya que podremos chequear el estado de “nivel de Internet” que ya tenían asignados los
“usuarios lanceros” y compararlo con el que dicen haber perdido. En las carpetas se esconde la
verdad.
Página 89
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
Después de algunos años, a partir de la ocurrencia de algún hito interno o externo al Organismo,
comienza nuevamente el período de APOGEO, con usuarios, ñoquis, dandys y pedidos renovados.
¡Suerte para el segundo ciclo!, para el tercero, para el cuarto y para siempre.
El Manual y las Políticas de Seguridad se podrían comparar con un Smartphone. Nadie utiliza ni
siquiera el veinte por ciento -siendo generosos- de sus prestaciones, ni llega a entender su
funcionamiento cuando ya lo cambiaron por otro modelo más avanzado o por otra tecnología de
un distinto fabricante.
Con los manuales pasa lo mismo, y más si se copia y pega directamente el clásico y normado MGSI
o SGSI o traducción del idioma inglés-castellano de la norma ISO/IEC 27001:2013 o anterior que, si
bien mejora en cada actualización, se producen recortes o se sacan ítems que había que cumplir
antes si y ahora no, ahora no y antes si y siempre corremos detrás.
Perpetuamente estamos atrasados con nuestros manuales. Si estamos adelantados a una nueva
normativa, en realidad para las auditorías no cumplimos y todos estos “teóricos” bajo imposición
se creen sabios cuando lo único que tienen es el poder de policía para “desaprobarte”, imponerse,
decretar y decidir.
Aclaremos que esto no sólo pasa con el MGSI, creemos que en el 95nM de las Normas y Políticas
es así.
¿Qué pasaría si yo, como Oficial de Seguridad o miembro del Comité de Seguridad de la
Información entiendo modestamente, justificadamente, que un determinado control no está bien
que debamos de cumplirlo y no lo cumplimos, pero tengo una auditoría que me pide
concretamente por ese control -sabemos que los auditores tienen y se guían por un libreto,
método, estándar o norma, y no se preguntan, o no les dejan cuestionarse si “ése” control está
bien o no definido- y yo en mi postura, no lo cumplo ni lo pienso cumplir?
A ver, este punto es muy personalista, para nada quiere decir que este bien lo que estoy
planteando, pero ¿qué pasa si en una próxima enmienda sobre la norma ISO/IEC 27001, 27002 o
27mil enésima ISO, el control que nosotros nos negamos sistemáticamente a cumplir, es retirado o
modificado? Mínimante, es una satisfacción interna agradable haber sostenido nuestra propia
teoría. ¿No lo creen así?
No me parece correcto que en los Organismos Públicos y que para empresas de “particulares
rubros” se les realicen estas prácticas de borrado seguro a computadoras o dispositivos utilizados
por usuarios que ocupan puestos laborales jerárquicos, en donde se administra y resguarda
información muy importante como lo es la presupuestaria o el manejo de contratos y
contrataciones, entre otras.
Página 90
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
Estamos hablando de auditorías por parte de Órganos gubernamentales o empresas del sector
privado de reconocida trayectoria, trasparencia, honestidad (transparencia, honestidad,
transparencia, honestidad, transparencia, honestidad) y buena conducta. De lo contrario sería una
pérdida de tiempo y un gasto innecesario de recursos, querer “auditar” esta sanitización y otras
“vulnerabilidades” internas de gestión.
Obviamente que hay áreas o sectores de distintas Organizaciones que sí deben recurrir al “borrado
seguro de datos” como lo pueden ser oficinas de proyectos, distintas áreas comunes a ésta por
manejar formulas, el sector de la salud y sus historias clínicas u otras empresas de características
similares.
Entidades que manejen información pública o irrelevante para que sea conocida, que no
necesariamente deban ser auditables (es difícil escribir esto, puede ser utilizado en mi contra, ya
que todo y todos son y somos importantes, ¿o no?) y que sus computadoras sean trasladadas o
donadas. Y que la información que puedan llevar consigo sea indiferente para que sea conocida.
Página 91
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
Citamos a Facebook como el malo de la película dentro de una Organización pero, según pasa el
tiempo ¿deberíamos agregar WhatsApp, Instagram, demás empresas pertenecientes y a las que
próximamente pertenecerán al consorcio?
Además, le caemos a esta compañía debido a que ‘The Facebook’, es el sitio Web más solicitado
por todos los usuarios, independientemente del escalafón que ocupan en una Organización, y por
el cual la negativa fundamentada por parte del Área de Seguridad Informática de no habilitar dicho
servicio es causal de “ira” en muchas personas.
O sea, es el malo de la película por ser un gran transmisor de malware a través de los “usuarios
irresponsables” que clickean links engañosos y que redirigidos, son una puerta abierta de ingreso
de virus (Virus, antiguo pero ¡suena bien! Virus: Locura, excelente disco) y la toma del “control” de
las computadoras de la empresa.
Por más campaña de prevención y concientización de usuarios que hagamos, un solo click y todos
los dispositivos de seguridad que utilizamos para prevenir el ingreso de amenazas para reforzar la
seguridad de los equipos y la red, más las campañas de educación, más la costosa inversión
monetaria de todo este coctel de hardware, software y capacitación: se desploman.
Se suman a estos conceptos, los miles de millones de usuarios de esta red social diseminados por
todo el mundo. Por eso la gran tasa de éxito para adjuntar malware en un link aquí dentro.
Reflexión primera: los usuarios se quejan asiduamente de que no se les permite ingresar a
“feisbuk” (así escriben “Facebook” en las solicitudes), las radios online, YouTube o Match. Pero no
se dan cuenta de que tienen al alcance de la mano a Google y a su archiconocido y abierto para
todos “Google Hacking” y, para los especialistas Bing y su “¡Bing Hacking!” Shhhhhh.
Está claro que en el 95nM de las Organizaciones -dependiendo del segmento/mercado a que se
dedican-, no queda bien visto que un usuario vaya hasta el escritorio de otro usuario a solicitar un
informe o dejar un formulario, o a hacer una consulta, y que la otra persona no lo atienda hasta
que éste no lee, publica o envía lo que “está pensando”.
Peor aún cuando una empresa o un sector de la misma tiene servicio de atención al público, a
proveedores, o a externos y las pantallas de las computadoras de recepción están “frizadas”
(congeladas) en “The Facebook”.
Es muy importante la imagen que un ente desea brindar hacia sus empleados y hacia el mundo.
Nosotros citamos a “Facebook” por su gran popularidad, pero dentro de este apartado incluimos a
la gran mayoría de las redes sociales, sitios de citas, de juegos o de cualquier actividad que en
privado, en lo particular no hay impedimento de su uso, pero que en público o en horario laboral
no ofrece la seriedad que pretende conseguir una Organización.
Página 92
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
Obviamente que las empresas de marketing, de espionaje, de comidas rápidas, los detectives y los
gobiernos -dentro de su organigrama-, deben tener el “Sector Facebook” bien definido, inmóvil y
ubicado en los raviolones superiores del mismo.
Por algunos de estos motivos, ¿a “The Facebook” hay que prohibirlo, permitirlo o limitarlo?
La respuesta correcta depende -como siempre- de la actividad que emprenda una Organización,
sea cual fuera de ellas, los cuidados preventivos tienen que estar bien afinados y los usuarios
alertas.
En las mesas de reuniones supersecretas, llevadas a cabo en el vigésimo subsuelo del desierto, las
montañas o ultramar; los principales “gobiernos del mundo”, sus presidentes:
“Representados en este acto por el Pingüino, el Conde Drácula, Loki, Darth Vader, Dr. Evil, Severus
Snape, Cruella de Vil y Conrad von Siegfried”, habrán asumido el fracaso de gastar tantísimo
dinero en “hackear” silenciosamente (a veces ruidosamente) a todos y a todos y a todos los
ciudadanos del universo ¿y no haber sido los creadores de The Facebook?, ¿de Google? O eso es lo
que creemos…
Elucidación en defensa de los malignos citados en el párrafo anterior: en comparación con los
malvados gobernantes y tomadores de decisiones de la vida real, los arriba citados son Heidi,
Mork, Mindy, la Pantera Rosa, Papá Pitufo, Gadget, Bob Esponja y el Capitán Piluso (¡no hay
merienda si no hay capitán!).
5
: ¿Es en verdad “The Facebook” una red social o se trata de una empresa de “Data Mining”
encubierta? ¿La mayor empresa de minería de datos del universo?
Página 93
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
Las típicas solicitudes de los usuarios “laboriosos” de las Organizaciones, realizadas al Área de
Soporte Técnico o al Área de Seguridad Informática y por orden de “necesidad” son:
No entienden (pero aun cuando lo entienden, de todas maneras lo quieren) que el objetivo que se
busca es proteger la información propia y vital del Organismo que ellos mismos crean y generan,
pero que al subir a la nube -que en realidad bajan a tierra o al subsuelo- la están compartiendo
con la competencia, con empresas que espían y recolectan para vender de publicidad, con hackers
buenos -¿es necesario seguir aclarando que los hackers son buenos, que los otros “pseudo-
hackers” son delincuentes?-, que no dirán nada de lo que encontraron y con el otro tipo de
“hackers” (delincuente) que publicarán o venderán al mejor postor la información recolectada.
Página 94
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
Además del usufructo ($$$$) de la misma entidad que te “regaló” el servicio para que
“gratuitamente” lo puedas disfrutar, y que le está asignando a tus datos.
Una vez que los usuarios hayan subido informes, fotos, música, videos, planes, proyectos, recetas
de cocina, recorridos de vacaciones; quien se frota las manos es:
(Los sucesivos puntos de políticas enunciados aquí debajo, al momento de su lectura pudieron
haber sido modificados o actualizados. En cualquier caso, el espíritu de ganancia ($$$.$$$.$$$ x
U$S) y abuso por parte de estas empresas es el mismo).
"Usted entiende que Microsoft puede necesitar usar, modificar, adaptar, reproducir, distribuir y
mostrar contenido publicado en el servicio exclusivamente hasta el límite necesario para prestar el
servicio, y por la presente concede a Microsoft estos derechos."
“Cuando cargue o someta su contenido a nuestros servicios, estará concediendo a Google (y con
quienes trabajamos) una licencia mundial para utilizar, alojar, almacenar, reproducir, modificar,
crear trabajos derivados (tales como las traducciones, adaptaciones o cambios que hacen que su
contenido funcione mejor con nuestros Servicios), comunicar, publicar, ejecutar públicamente,
mostrar públicamente y distribuir dicho contenido".
Es muy interesante que lean la “Política de Privacidad de Facebook” y sus semejantes, ya que
además de agregar puntos similares a los expuestos en las líneas superiores y en las líneas
siguientes, todas estas aplicaciones “gratuitas”, ¿gratuitas?, además de “ayudarte” a “subir”, a
“compartir” y “resguardar” “tus” (“tus” “propias”) “fotos” y “sensaciones”, “necesitan”:
- Ubicación geográfica.
- Contactos.
- Usuarios, contraseñas.
- Red de comunicación telefónica, Wi-Fi.
- Software y hardware.
- Sitios Web navegados, historial.
- ¿Qué haces de tu vida? ¿Qué te puede interesar para tu vida?
- Si son flaco, gordo, alto, petiso, orejudo, patón, pelado, peludo, feo, fachero o narigón.
- Interacciones.
- Vida social.
- Pagos, deudas, enfermedades, pensamientos, gustos, disgustos, etcéteras.
- Números de tarjeta de débito, crédito, obra social, clubes, gimnasios, etcéteras de
números.
- ¡Sáben que te gusta el helado en cucurucho de naranja y granizado o chocolate con
almendras!
- Otros datos (que puede ser todo lo que no citen por Política, de manera de abarcar todo y
más que todo, hasta información de gente que -ignoradamente crea que- no pertenece al
“servicio” brindado).
Página 95
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
A ver, para qué seguir desarrollando el punto en cuestión cuando tenemos éste resumen textual a
mano, para el cual no debemos agregar nada más, sólo que las próximas “enmiendas” serán
peores hacia nosotros:
Gracias por usar Dropbox. Aquí describimos la forma en que recopilamos, usamos y procesamos tu
información cuando usas nuestros sitios web, software y servicios (“Servicios”).
Recopilamos y usamos la siguiente información para prestar, mejorar y proteger nuestros Servicios:
Cuenta. Recopilamos cierta la información y la vinculamos a tu cuenta, como tu nombre, dirección de correo
electrónico, número de teléfono, información de pago y dirección física. Algunos de nuestros servicios te
permiten acceder a tus cuentas y a tu información relacionada con otros proveedores de servicios.
Servicios. Cuando usas nuestros Servicios, almacenamos, procesamos y transmitimos tus archivos (incluidos
tus fotos, datos estructurados y correos electrónicos) e información relacionada con ellos (como etiquetas
de ubicación en fotos). Si nos concedes acceso a tus contactos, almacenaremos esos contactos en nuestros
servidores para que puedas usarlos. De este modo, te será más fácil llevar a cabo ciertas acciones, como
compartir tus archivos, enviar mensajes de correo electrónico e invitar a otras personas a usar los Servicios.
Uso. Recopilamos información de los dispositivos que usas para acceder a los Servicios y acerca de ellos.
Aquí se incluyen las direcciones IP, el tipo de explorador y dispositivo, la página web que visitaste antes de
acceder a nuestros sitios y los identificadores asociados con tus dispositivos. Es posible que tus dispositivos
(según la configuración) también transmitan información a los Servicios acerca de tu ubicación.
Cookies y otras tecnologías. Aplicamos ciertas tecnologías, como cookies y etiquetas de píxeles para prestar,
mejorar, proteger y promocionar nuestros Servicios. Por ejemplo, las cookies nos ayudan a recordar tu
nombre de usuario para tu próxima visita, a comprender la forma en que interactúas con nuestros Servicios
y a mejorar nuestros Servicios en función de esa información. Puedes configurar tu explorador para que no
admita las cookies, pero ello puede limitar la capacidad de usar los Servicios. Si nuestros sistemas reciben
una señal DNT:1 de tu explorador, responderemos a esa señal según se indica aquí.
Otras personas que trabajan para Dropbox. Dropbox usa determinados terceros de confianza para prestar,
mejorar, proteger y promocionar los Servicios. Estos terceros solamente tendrán acceso a tu información
para llevar a cabo tareas en representación de nosotros y de conformidad con esta Política de privacidad.
Página 96
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
Otros usuarios. Nuestros Servicios revelan cierta información, como tu nombre y dirección de correo
electrónico, a otros usuarios en tu perfil de usuario y las notificaciones de uso compartido. Determinadas
características te permiten poner información adicional a disposición de otros usuarios.
Otras aplicaciones. También puedes conceder acceso a tu información y a tu cuenta a terceros, por ejemplo,
a través de las API de Dropbox. Ten en cuenta que, en ese caso, el uso de tu información se regirá por las
políticas de privacidad y las condiciones de uso correspondientes.
Administradores de Dropbox para Empresas. Si usas Dropbox para Empresas, tu administrador podrá
acceder a tu cuenta de Dropbox para Empresas y controlarla. Consulta las políticas internas de tu empleador
si tienes alguna consulta respecto de esta regla. Si no usas Dropbox para Empresas, pero interactúas con un
usuario de Dropbox para Empresas (por ejemplo, al unirte a una carpeta compartida o al acceder a archivos
que ese usuario comparte), los miembros de esa organización podrán ver el nombre, la dirección de correo
electrónico y la dirección IP asociados con tu cuenta en el momento de la interacción.
Fuerzas del orden público. Podremos divulgar tu información ante terceros si determinamos que ello es
razonablemente necesario para (a) cumplir con la ley, (b) proteger a una persona de la muerte o de lesiones
graves, (c) prevenir fraudes o el abuso hacia Dropbox o hacia nuestros usuarios o (d) proteger los derechos
de propiedad de Dropbox.
La correcta administración de tus datos es fundamental para nosotros y es una responsabilidad que
asumimos con compromiso. Consideramos que los datos de los usuarios deben recibir las mismas
protecciones legales, independientemente de si están almacenados en nuestros servicios o en el disco duro
de sus computadoras. Nos regiremos por los siguientes principios de solicitud del gobierno cada vez que
recibamos, analicemos y respondamos a las solicitudes del gobierno relacionadas con los datos de nuestros
usuarios:
- Ser transparentes
- Combatir las solicitudes masivas
- Proteger a todos los usuarios
- Prestar servicios de confianza
Para obtener más información, consulta nuestros principios de solicitud del gobierno y nuestro informe de
trasparencia.
Retención. Retendremos la información que almacenes en nuestros Servicios durante todo el tiempo
necesario para prestarte esos Servicios. Si eliminas tu cuenta, también eliminaremos esa información. Pero
ten en cuenta que: (1) puede haber latencia en la eliminación de esta información de nuestros servidores y
almacenamiento de copias de seguridad y (2) podremos retener esta información si es necesario para
cumplir con nuestras obligaciones legales, resolver disputas o ejercer nuestros acuerdos.
Página 97
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
En todo el mundo. Para prestar los Servicios, podremos almacenar, procesar y transmitir información en
ubicaciones de todo el mundo (también fuera de tu país). La información también podrá almacenarse de
forma local en los dispositivos que usas para acceder a los Servicios.
Safe Harbor. Dropbox cumple con los principios y el marco de Safe Harbor de UE-EE. UU. y Suiza-EE. UU.
(“Safe Harbor”). Certificamos nuestro cumplimiento y puedes ver nuestros certificados aquí. Para obtener
más información acerca del marco Safe Harbor, visita http://export.gov/safeharbor. TRUSTe es la
organización independiente responsable de analizar y resolver los reclamos acerca de nuestro cumplimiento
con el marco Safe Harbor. Te solicitamos que nos envíes cualquier reclamo directamente a
privacy@dropbox.com. Si no te satisface nuestra respuesta, comunícate con TRUSTe; para ello, visita
https://feedback-form.truste.com/watchdog/request.
Cambios
Si participamos de una reorganización, fusión, adquisición o venta de nuestros activos, tu información podrá
transferirse como parte de esa transacción. Te informaremos (por ejemplo, mediante un mensaje a la
dirección de correo electrónico asociada con tu cuenta) cualquier transacción de este tipo y te indicaremos
las opciones disponibles.
Podremos revisar esta Política de privacidad oportunamente y publicar la versión más actualizada en
nuestro sitio web. Te informaremos en caso de que tus derechos se vean apreciablemente afectados como
consecuencia de una revisión”.
-Fin de la astucia-
Sobre los párrafos arriba mencionados, podría haber marcado en “negrita” lo más importante,
pero entonces tendría que haber marcado toda la Política.
Nada que agregar, es vuestra la decisión de que si lo usan, para qué lo usan, qué comparten, qué
pierden y ¿qué ganan?
De parte de las empresas “prestadoras” de “servicios”, podríamos resumir que para ellos las
palabras más importantes y las cuales sus abogados parecería que nunca deberían olvidarse de
redactar en una Política de Uso, son: “copiar”, “ilimitada “, “irrevocable”, “modificar”, “mundial”,
“perpetua”, “presta” y “usted”.
La mejor decisión que puede tomar la cúpula de TI (a través del Comité de Seguridad y sin él
también), es que la propia Organización ofrezca un servicio de nube propio.
Es decir, un espacio de disco para cada usuario en donde sí puedan subir, bajar, modificar y
compartir documentos y proyectos de trabajo.
Página 98
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
confidencialidad o NDA- para que puedan intercambiar trabajos, documentos e información sin
tener que utilizar los servicios piratas empresariales y tradicionales de nube.
- El mapa colaborativo hecho entre amigos del itinerario que haremos en carpa para las
vacaciones de verano: La Plata, Parque San Martín, Estadio “Pancho Varallo”, Ignacio
Correas y Poblet.
- Listado de canciones y películas para escuchar y ver el fin de semana largo.
- Receta para hacer chipa.
Además, como estos proveedores de “servivos”, quiero decir de “servicios”, se encargarán de leer
todo lo que subimos, nos mandarán a nuestra cuenta de E-mail: descuentos, publicidades y
recomendaciones de campings, recorridos, el top 27 de canciones ochentosas y la cantidad justa
de harina (marca incluida) para hacer los chipa.
Estos datos los podemos utilizar y llevar a casi cualquier lado del planeta sin siquiera almacenarlos
en un pequeño dispositivo físico. Ya ven, en estos casos es útil la nube.
Además, si la información que subimos al “cumulonimbus” no tiene importancia para nosotros,
mejor aún, ya que el negocio de las nubes y las redes sociales no será tan invasivo y menos aún
rentable.
Gratis no hay nada gratis. No hay razón para festejar que nos bajamos aplicaciones o utilizamos
servicios sin tener que desembolsar ni siquiera 1 centavo.
El costo para nosotros es cero pesos con cero centavos, pero incluye la pérdida de privacidad de la
información, de nuestros datos personales, de nuestros equipos y dispositivos caseros, la de
nuestros compañeros, amigos y familiares, la información de nuestros gustos, nuestros colores
predilectos, nuestra canción favorita, nuestros comentarios, todo, todo y más que todo por un
costo de cero pesos, cero centavos = cero privacidad.
- Se prohíbe el uso de Webmails externos (No hay anda mejor que consolidar la imagen
institucional a partir de que todos los usuarios utilicen como único medio de comunicación
la cuenta oficial del Organismo), y que:
- La página de inicio del navegador Web sea la Intranet.
- Se prohíban las redes sociales o por lo menos las de contactos (casi todos los
usuarios tienen un Smartphone para chequear el estado de ánimo de sus
vecinos).
- Se prohíban los servicios en la nube, ofreciendo “nosotros” como Organización
una nube propia, que podríamos llamar internamente -por ejemplo- nube 9. Para
de esta manera minimizar los riesgos de ingreso de malware y de fuga de
información.
Página 99
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
- Me pregunto:
- ¿Por qué los usuarios, esencialmente los jerárquicos, se desesperan por subir proyectos e
información privada a las nubes ofrecidas por las empresas? Obviamente con cuentas
gratuitas.
- ¿Por qué quieren compartir documentación, archivos o informes con otras empresas que
“¿oficialmente?” sí utilizan los “servicios gratuitos” de la nube?
- ¿Soportarían estos usuarios jerárquicos un análisis de metadatos sobre los documentos
copiados o encargados producidos?
- ¿Por qué los usuarios, indistintamente de cualquier rango, esbozan como excusa que se
llevan las tareas laborales a sus hogares, las suben a la nube y las quieren abrir en el
trabajo?
- ¿Qué protecciones y cuidados utilizan estos usuarios en las computadoras de sus casas
para llevarse material laboral?
- ¿Qué protecciones y cuidados utilizan estos usuarios para transportar el material laboral
desde sus hogares hacia la oficina, y desde la oficina hasta sus hogares? ¿Desde la oficina
hacia el gimnasio? ¿Desde el gimnasio hacia un bar? ¿Desde el bar hasta sus hogares?
¿Tengo que responder a estas preguntas? Obviamente que el 95nM de estos seres no hacen ni
cuidan nada. No son precavidos.
No entienden que si en verdad el trabajo lo hicieron, al subirlo, al compartirlo, “prácticamente” lo
perdieron.
No, no lo entienden.
Si al menos los usuarios -mínimamente-, no utilizan contraseñas robustas (les recomiendo que
googleen, bingeen o duckduckdeen el método “deThi4-go” para formar passwords (casi) seguras o
por lo menos robustas ☺), no dividen el uso del móvil entre horarios o aplicaciones personales y
laborales, no tienen incorporado software de rastreo, bloqueo y borrado remoto de datos; no se
dan cuenta que los datos y la fuga de ellos van de la mano, y peor aún facilitándole la tarea a los
“cazadores de información”.
Los primeros casos nombrados (pendrives, discos externos, tabletas, Smartphones y grabadoras
de CD/DVD) se podrían detener mediante la detección y bloqueo de éstos dispositivos
(bloquearlos, situación muy difícil hoy en día dentro de las Organizaciones), o que por lo menos no
puedan almacenar datos en los mismos.
Finalmente. Toda esta maraña electrónica de aparatos de ataque y las solicitudes a Webmails
externos, radios online, redes sociales y servicios de nube, son planteadas por los seres humanos.
Si los individuos fueran conscientes de las malas decisiones de sus actos, todo lo escrito aquí no se
tendría que aplicar y los riesgos serían casi nulos.
Página 100
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
Se invertiría la tristemente célebre afirmación de que “el 95nM de que los ataques a las empresas
‘son’ internos”, por un mensaje alentador como “el 95nM de las empresas ‘no’ sufren ataques
internos”.
Pasado el primer instante en que un usuario no puede acceder a su computadora y que su “furia”
lo ciega, comienza a “pesar” el apellido, el amiguismo, o el sector en que desarrolla “tareas” en
una Organización para que pasemos de ser “justicieros” a “ajusticiados”.
Este tipo de usuario, tiene que ser muy, pero muy, pero muy ganso y/o vago, y que sea hasta
indefendible por sus secuaces, para que sea ejemplarmente sancionado.
Para esta persona, toda la situación del bloqueo preventivo debido a accesos ilegales o a malas
prácticas laborales quedará expuesta -con suerte para nosotros- en un apercibimiento, una
mínima lección de buenas prácticas laborales y la explicación del porqué de su suspensión de
cuentas. Para él, borrón y cuenta nueva y a pensar en la próxima maldad.
Para el Oficial de Seguridad que osó preventivamente quitarle sus accesos, una pequeña (pero
dura) y persuasiva reprimenda por bloquear a alguien que políticamente no está bien bloquear.
Pongámonos serios y empecemos a escalar (ya que dentro del ámbito laboral no somos
escuchados) en busca de justicia a través de las leyes nacionales.
Sigamos escalando, lleguemos a la máxima justicia de la máxima autoridad de los gobiernos de los
distintos países incrustados en el globo terráqueo.
Pero antes de golpear a sus puertas, leemos en todas partes que los gobiernos tienen “hackers” de
dudoso color de sombrero y en tonalidades oscuras trabajando para ellos que: espían a los
ciudadanos, violan derechos constitucionales nacionales e internacionales, son saboteadores;
desarrollan y compran malware y 0-days, espían embajadas, correos electrónicos de presidentes y
desde ése nivel hacia abajo: todo.
Nos mienten “cuentan” que persiguen a la piratería, ¿atacan centrales nucleares?, satélites,
empresas, laboratorios y plantas de energía.
Página 101
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
Ya no necesitan reclutar a muchas “Mata Hari”, porque cuentan con las técnicas modernas de
“Tinder Hari”.
Entonces:
Los gobiernos de algunos países, reclutan, les ofrecen bajar las penas por “buchonear” (si hicieron
algo malo, ¿por qué hay que bajar una condena?) y “reconvierten” a los “hackers” más peligrosos,
entonces:
- ¿El hacker de sombrero negro o delincuente, deja de ser hacker de sombrero negro?
- ¿Cambian sus aspiraciones, sus intenciones?
- ¿No se tentarían con “hackear” puertas adentro, cambiar de gobierno por un mejor
sueldo, por traición, por idealismo, por fanatismo, por adoración o por colores?
Puse el ejemplo de un Banco por ser un lugar muy seguro. Nunca se escuchan noticias de Bancos
que han sido “robados informáticamente”, suplantada la identidad de los clientes, que hayan
desviado divisas, que han sido “hackeados” y etcéteras de hacks bancarios.
Página 102
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
Muy pocas o prácticamente ningún Área de Seguridad o TI, como así tampoco las
Organizaciones en general, cuentan con un especialista o un sector determinado para las prácticas
específicas de “Informática Forense”.
La Informática forense es una de las disciplinas más determinantes a la hora de las resolución
“finita” de la disputa entre el Área de Seguridad y todo caso a resolver o “denuncia” relacionada
con el borrado de información (intencional o no), la “rotura” de discos duros, memorias flash
disfrazadas en cualquier envase (se las ha visto con forma de minions) y el “sembrado” de
pruebas.
Al “yo no hice nada”, “se abra apretado solo el botón”, “yo no modifiqué ése archivo”, “yo no lo
borré”, “seguro que es un virus que se metió en mi maquina”, “alguien se logueó en mi pc”, “yo
nunca tuve Facebook”, “yo no saqué esa foto” y demás torpes excusas e intentos de borrar
evidencias o limpiar la escena de la fechoría.
Si habría un perito informático en cada Organismo, ¿cuántas defraudaciones por parte del
personal interno se podrían evitar?, ya que estos defraudadores no querrían correr el riesgo de ser
pescados (atrapados) y encarcelados -¡ojalá fueran apresados!- en el mejor de los casos.
Del mismo modo, se podrían evitar ataques o delitos desde un Organismo hacia otro u hacia
diversos destinos de ataques, ya que el forense podría llegar a determinar el “origen de las
especies” (el origen de las conexiones, el tráfico cifrado, el “destino”).
Página 103
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
Entendiéndose por “formal” el hecho de tener todas las actividades documentadas y al día,
agregando, eliminando o corrigiendo siempre manuales, procedimientos, planes, cuadros,
estadísticas, presentaciones, informes, burocracia, otras, y más.
Ojo, recuerden que siempre en la base de la documentación en formato de PUA o Manual, deben -
sí o sí-, existir las típicas cláusulas de:
Los logs y los reportes son muy importantes (y muy extensos), pero también es muy importante
depurar los logs y los reportes que se nos presentan para tomar y analizar los datos más
importantes o relevantes, de manera de no perder tiempo en revisar demasiada información, ya
que una potencial amenaza o una amenaza concreta podría instalarse, “romper” y esconderse por
mucho tiempo hasta que nos demos cuenta fehacientemente de lo que está sucediendo dentro de
la Organización.
Es habitual que en los comienzos, cuando empezamos a utilizar una nueva herramienta de
recolección de información, durante su configuración, marquemos todos los ítems de
posibilidades de reporte como imprescindibles. Al principio y con mucho entusiasmo nos
devoramos todos los puntos del reporte. Al mes, ese prolongado informe se reduce a casi la mitad
del mismo y a los tres meses (o hacia los dos años), el mismo reporte se lee en cuatro minutos y
consta de dos hojitas, pero con información concreta y precisa.
Como corolario, es aquí que formando una agradable, amena, consistente y robusta Área de
Seguridad integrada por redactores, especialistas y técnicos, estaremos insertos en el día a día de
la Organización (y en lo que sucede fuera de ella), de manera de tratar de prevenir las acciones
humanas maliciosas internas o externas que con la ayuda de los robots (bots) desean introducirse
y delinquir dentro de las entidades, o, a través de las entidades, delinquir contra la sociedad.
Página 104
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
Cuando hablamos de “especialistas” y “técnicos” queremos decir que para ser competitivos contra
los delincuentes (tanto los externos como los internos), de mínima, necesitaríamos para abarcar
un gran campo de acción: un forense, un pentester y un administrador de firewall. NO como
siempre suele ocurrir que, para ahorrar sueldos, recursos humanos y -a veces en forma adrede-
personal calificado (el no saber, en ocasiones, tiene sus beneficios para algunos desequilibrados
jefes y contratistas), las empresas realizan búsquedas laborales como ser:
Página 105
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
La seguridad apasiona
La seguridad apasiona. Estudiar, trabajar, jugar, escribir, practicar actividades de seguridad
es -muy- bastante -muy (zugabe)- interesante (si♭M), sano y divertido.
Ser hacker es algo muy pasional, ya que muchas veces al llegar al objetivo, se experimenta una
sensación de ‘RSMA’ o Respuesta Sensorial Meridiana Autónoma.
Estas tres definiciones (hacking ético, hackear y hacker) son malogradas y manchadas en su
verdadero espíritu por aquellos delincuentes (gobernantes, empresarios) que las utilizan para
malas prácticas en beneficio propio o vendiendo sus servicios a terceros.
Aquí citamos al “hacking ético” como lo que es: las buenas prácticas o el arte de ‘hackear’ en pos
de encontrar vulnerabilidades, mejorar la programación y las configuraciones o controles de
seguridad implementados y encontrados tanto en el software como en el hardware.
“Hackear” llamamos a las distintas técnicas y prácticas decentes con las cuales aplicamos el
hacking ético sobre las “cosas”.
La única forma de hackear sin ayuda de la tecnología de nuestra parte, se me ocurre que es
mediante técnicas de Ingeniería Social. Hackeando o engañando a un dispositivo que reciba
instrucciones por medio de la voz (podría darse algún caso de engaño biométrico pero sin
intervención de nada que no sea “corporal”, para cumplir con esta definición).
Parecería que los hombrecitos de gris y de negro no mantendrían el espíritu hacker, porque tienen
su lado malo, extorsivo, pirata y delincuente. Entonces:
¿Merecen llamarse hackers?: No, sí malhechores.
Página 106
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
Supongamos que dentro de ella, ubicamos un pabellón especial dentro de una prisión normal para
los “hackers malos” y qué - dentro del anexo, los hackers- estén divididos (separados) para no
perfeccionar sus conocimientos -y salir de la mazmorra con un posgrado en delincuencia
informática incluida la salida laboral- en distintas dependencias de celdas (habitación pequeña y
con escaso mobiliario, con rejas en uno de sus lados. No la típica creencia nerd de que una celda
es un lugar único, espacio o campo donde se puede introducir un dato en una hoja de cálculo). ☺.
De este modo, podríamos pensar en una suerte de penitenciaría 3.0, en donde los reclusos se
ubiquen de la siguiente manera:
- Hacker de sombreo negro: El delincuente más peligroso. Diez pisos bajo terra y sin
conexión ni siquiera de electricidad para evitar futuros ataques ‘Smart Grid’.
- Hacker de sombreo gris: Siete pisos bajo terra. Sin conexión de electricidad, y con libros
de cocina gourmet para que se entretengan, purifiquen sus mentes y se olviden del
mundo hacker.
- Hackers de sobrero rosa: Ubicados en la misma planta baja de ingreso al penal. Ya que su
alcance, la mira de su objetivo sólo se limita a robar contraseñas de novias o novios para
él/ella y sus amigos o amigas, espiarles el chat o reenviar cadenas con pensamientos.
Entre estos tres (tristes tigres) tipos de sombrero y agregando algún que otro tipo de gorro, birrete
o boina según el target y crimen digital cometido -incluida su debida tonalidad, ¡por favor que no
sea de la escala de grises!-, deberían pronunciarse por parte de un sistema de injusticia mundial
(que sea local o regional no sirve, ya que no se pueden establecer claramente las fronteras
digitales), las distintas penas carcelarias y sus respectivos múltiples años de encierro (de condena
efectiva) para estafadores financieros, timadores y bancarios, gobernantes, skimistas, ladrones de
identidad, saboteadores, falsificadores, copiadores y pegadores sin citar fuente, creadores de
malware, ingenieros sociales, y para todo nuevo practicante (de novedosa actividad) de los
modelos de ataques futuristas.
Lamentablemente, la seguridad absoluta no existe, es un “estado ideal onírico”. Puede ser que en
algún caso en donde se pudieren establecer “condiciones especiales” se llegue a la “seguridad casi
absoluta periódica y mixta”. Por ejemplo, en la empresa TyNyI: “Este sector de calidad maneja un
ambiente de seguridad periódica mixta del 99, 4850164922158270 % para todas las pruebas
controladas”.
Página 107
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
En este “estado ideal onírico”, habría que jugar con la fantasía de pensar: “mirá si a alguien se le
ocurre crear una red de ordenadores, llamarlos zombies y desde allí lanzar ataques informáticos,
tomar el control de las computadoras y teléfonos inteligentes…”
En este “estado ideal onírico”, se podría tomar como una ofensa que a una persona cuando
ingresa a trabajar a una empresa, se le haga firmar un “NDA” o ‘Contrato de Confidencialidad’.
Sólo se podría llegar a este “estado ideal onírico”, en una sociedad regida por la justicia (justicia
cierta y verdadera), un mundo rodeado de personas honestas.
Para lograrlo, habría que -lamentablemente esto debería suceder por decantación, por ser una
situación normal, no por ser un caso de estudio o un caso de éxito aislado- crear una nueva
valoración o calificación a las entidades: “UTÓPICA”.
Página 108
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
La seguridad molesta
Dentro de una Organización típica, los gerentes quieren que funcionen (casi) todos los
sistemas informáticos todo el tiempo, al mismo tiempo. Al llegar a la oficina: ingresar y chequear
antes de empezar a trabajar, al mediodía y a media tarde:
- Internet (servicio Web), el correo electrónico y que la red de datos corporativa vuele en
términos de velocidad, que se les permita leer todos los periódicos y revistas de chismes
del día.
- Adoran ver todo el tiempo las cámaras de seguridad instaladas en sus casas (las de sus
vecinos), sus cuentas de Yahoo!, Gmail y Outlook.
- Ver el horóscopo chino y su ascendente, los números de la lotería del país de origen y
limítrofes, la cotización del dólar, el euro, el oro y las coronas danesas.
- Los videos de YouTube con las clases de Yoga Kundalini, el último año de la serie “los días
felices”, el campeonato mundial de Curling, la radio online que pasa música de reflexión y
meditación que utiliza servicio de streaming desde Kuala Lumpur, Dropbox, OneDrive,
iCloud, Evernote, FACEBOOK, Instagram, Pinterest, Taringa, Poringa, la bahía pirata,
Badoo, Ashley Madison y The Beautiful People (ah, no te la crees nada ¿eh? ☺). Pero,
dirán:
¡¡¡¡Qué no haya un solo virus en la empresa, qué no se cuelgue Internet, y qué la gente no entre
en ningún lado raro!!!!!!!!!¿?¿?¿? eeehhhhhh !!!!!!!!!¿?¿?¿?
Todo esto representado, administrado y controlado por dos personas, a lo sumo tres que
comparten dos escritorios y que cuentan con un presupuesto anual que les alcanza para elegir
entre cambiar los monitores de las computadoras o que uno de los integrantes del Área de
Seguridad realice un curso de “Ataques a las redes Wi-Fi con bolsas de papas fritas”.
La seguridad, sea cual fuera de ellas molesta, estorba, incomoda, retarda los tiempos y encarece la
economía. Pero al momento de un “accidente”, una “filtración” o un “ataque”, ruegan e imploran
que la “seguridad” funcione y que “funcione” correctamente, no a medias tintas.
Le agradeceremos al cinturón de seguridad sino paso nada malo o si el accidente fue menor en su
impacto gracias al cinto.
Si el desenlace del infortunio pudo haberse evitado o minimizado por el uso del cinturón de
seguridad y éste no fue utilizado, maldeciremos con cuantiosa abominación a la persona que no se
lo abrochó, en este caso el “accidentado”.
Si además del cinturón de seguridad, la economía de nuestro bolsillo puede comprar un vehículo
equipado con el sistema de bolsa de aire o “airbag”, la probabilidad de evitar un daño mayor se
puede reducir o llegado el caso, hasta anular.
Página 109
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
Si el desenlace del infortunio pudo haberse evitado o minimizado por la activación del airbag, pero
éste no se impulsó por falta de mantenimiento programado o porque estaba dañado y nunca se
reparó, maldeciremos con abundante abominación a la persona que no lo llevó al taller mecánico
a mantenerlo o a repararlo.
Peor todavía, si además de tener una billetera solvente o no tanto pero que, con un ajuste en
nuestros “gustos banales”, al momento de adquirir el vehículo optamos por securizar nuestra nave
de cuatro ruedas con un sistema de frenos de antibloqueo de ruedas o “ABS”; las probabilidades
de impedir o precaver un accidente en caso de que ocurra o que se encuentre en camino a ocurrir
son más favorables hacia nosotros.
El “vehículo” es la “Empresa”.
Un automóvil de gama media con sólo cinturones de seguridad y con el sistema de bolsa de aire o
airbag, es la típica infraestructura de seguridad que posee una típica empresa típica tipo, mejorada
por un eficiente Oficial de Seguridad que tiene apoyo de la Gerencia de TI.
Un automóvil de alta gama que posee cinturones de seguridad, sistema de bolsa de aire o airbag y
sistema de frenos ABS, es la típica infraestructura de seguridad que posee una típica empresa tipo,
muy mejorada por un eficiente Oficial de Seguridad, dotado de un grupo numeroso y calificado de
empleados, que tiene suficiente apoyo de la Dirección de TI y de las altas gerencias.
Un automóvil de luxe que posee cinturones de seguridad, sistema de bolsa de aire o airbag,
sistema de frenos ABS, sistema de asistencia de frenado o BAS, control o programa electrónico de
estabilidad o ESP, sistema de control de tracción o TCS, reparto electrónico de frenada o EBV, es la
típica infraestructura de seguridad que posee una típica empresa tipo ideal o casi ideal,
exorbitantemente mejorada por un Oficial de Seguridad, dotado de un abundante grupo
numeroso y calificado de empleados, que tiene un cúmulo de apoyo de la Dirección de TI y de las
altas gerencias, y administra una caja chica de por lo menos 2x3 metros.
En todos los casos, o por lo menos en el 95nM de ellos, el Oficial de Seguridad es un piloto de
automóvil con superlicencia para conducir en fórmula 1; que muchas veces le dan para manejar un
Talbot-Lago T26, en otras ocasiones un Matra MS120 y en pocas ocasiones un Mercedes MGP
W05.
Página 110
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
(La comparación de autos es sólo a título ilustrativo, como para diferenciar a las distintas
empresas, estructuras e infraestructuras, equipos y especialistas. Desde ya que sabemos que son
todos autazos ☺).
Retornemos al principio de este punto, a la comparación del automóvil y la empresa, y a la idea de
lo molesta que es la seguridad.
Las empresas automotrices prefieren invertir dinero, ideas, diseños y recursos en “chiches” (Ver a
que llamamos “chiches”, aproximadamente 47 renglones hacía abajo) para el interior y el confort
de los vehículos pero NO para la seguridad de la gente (usuarios). O, invierten en una falsa
campaña de difusión de seguridad que no se ve o no es tal, es parcial, o en una seguridad que no
funcionó al momento de necesitarla por no haber sido probada con suficiente tiempo o
condiciones óptimas.
Para ellos, a mayor seguridad mayor inversión monetaria. Mayor el tiempo de la presentación por
la demora en pruebas de funcionamiento o pruebas de calidad, y hasta es motivo de rediseño
interior, exterior o ambos, ya que la parte “dura” de la seguridad en ocasiones debe ser visible
para “vender”.
En una empresa (o en el 95nM de ellas) el pensamiento es el mismo: si todo anda bien, en mayor o
menor medida, pero anda, hay que dejarlo así (como suele suceder con las pruebas de Restore-
Backup que nunca se realizan).
En ambos casos -el auto y la empresa-, debería ser una prioridad (hasta debería ser una cuestión
de Estado impulsando leyes para tales fines) que todos (todos) los autos debieran salir de fábrica
incluyendo obligatoriamente todos los cinturones de seguridad necesarios de acuerdo a la
cantidad de personas que puedan viajar en el vehículo, apoyacabezas, airbags, frenos ABS,
asistente de frenado (servofreno de emergencia), control de estabilidad, botiquín, balizas,
matafuegos, etc.
Página 111
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
(Muchos de estos elementos NO vienen incluidos de fábrica o no son prioridad, pero SÍ todos los
autos incluyen un encendedor de cigarrillos para matarse lentamente o ayudar a matar gente
inocente).
Todos ellos (menos el nefasto párrafo superior: “Muchos de estos elementos NO...”), piezas de
seguridad necesarios para preservar la vida de las personas en caso de accidente.
A partir de toda esta infraestructura automotriz de mínima, luego sí, que todos los “chiches” que
se le agreguen al móvil SÍ incrementen el costo de la nave: las pantallas touch, Heap Up Display, el
GPS -podría ser marcado como ítem de seguridad-, CD/DVD/BlueRay, bluetooth, comandos por
voz, techo de vidrio, faros de neón con sensor de movimiento, asientos de cuero, el volante del
mach 5 de meteoro, el condensador de flujo del DeLorean DMC-12 y las puertas “ala de gaviota”.
En las empresas, la prioridad número uno debería ser cuidar y preservar los activos de la
Organización, la integridad física e intelectual de las personas que trabajan en ella, y de las que
están de paso.
Para ello es fundamental contar con un Administrador de Seguridad capacitado y personal que lo
acompañe en esta misión también calificada de la mejor manera, en permanente capacitación,
con llegada inmediata a las esferas de poder y con toma de decisión escuchada, respetada y
aplicada por el personal de todos los niveles pertenecientes a la entidad, y hacérselas conocer a
quienes no son parte efectiva de la misma.
Proteger los activos, que junto con las personas, conforman el corazón de cada Organización, con
el debido equipamiento informático, electrónico, eléctrico, preventivo y reactivo de Seguridad de
la Información, entre otros, como ya hemos citado con firewalls, IPS, IDS, antivirus, anti-botnet,
anti-usuariodeshonesto, filtros Web y de aplicaciones, hardening de servidores y equipamiento en
general, BYOD, Planes de Contingencia y Políticas de Backup-Restore, etc.
Todo como siempre actualizado y en marcha.
Figúrense lo molesta e incomprendida que es la seguridad y la escasa importancia que le dan los
mismos usuarios -en este caso hablando primeramente de la seguridad física de las personas,
luego de la seguridad de la información-, que hoy en día dentro de los edificios que contienen a las
entidades, a los pisos que albergan a las distintas oficinas saturadas de personas, cables y equipos,
se les agrega qué -en una gran cantidad de ellas- las zapatillas eléctricas o PDU (unidades de
distribución de energía) y los puestos de trabajo (red de datos, telefonía y electricidad) que
Página 112
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
Estas personas, no dudan un solo instante en desenchufar cualquier equipo de los citados para
enchufar tabletas y Smartphones personales, pavas eléctricas, televisores o el ya mencionado
horno eléctrico. Las heladeras permanecen fijas en sus enchufes, ¡no se vaya a cortar la cadena de
frío!
Un caso similar, es pretender retirar los percheros de pie cargados de ropa, ubicados en los
cuartos que resguardan los racks de cada piso. ¡No vayamos a querer desarmar el vestidor del
personal de vigilancia o el probador de las chicas! ☺.
Si al “BOY-HSH” se lo traduce como “traiga su propio ´hogar dulce hogar’ a la empresa”, a esta
práctica de instalar percheros, espejos y muebles dentro de los “recintos” o “salas” que hospedan
a los racks de cada piso, la podemos apellidar como BOY-DR: Bring Own Your – Dressing Room
“traiga su propio ´vestuario´ a la empresa”.
Página 113
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
La seguridad es marketing
Algunos directores o gerentes de Organizaciones se jactan de tener un Área de Seguridad
Informática. Hoy en día es casi habitual poseerla, aunque a veces sin personal y en muchas
ocasiones comandada por una sola persona. Estos “gerentes”, hasta presentan al responsable de
“seguridad” como a un calificado “¿Ingeniero en Internet?” ante sus pares de otras Organizaciones
o dentro del mismo ente, sólo por el marketing o la “chapa” que ofrece el nombre. Suena
importante, ¿no?
Dentro de las entidades, todas las áreas quieren sacar provecho de saltear las reglas de seguridad
para beneficios personales como ser el ingreso Web a radios on-line, redes sociales, Webmails
externos, pornografía, videos, etc.
Ahora bien, cuando ingresa a un sector, a un área, a una dirección o a una coordinación NO-
Seguridad Informática una consulta, un pedido de habilitación o una solicitud “riesgosa” por el
calibre de alguien “pesado por sus contactos” o “pesado por sus galones” dentro o fuera de la
empresa y que no traería consecuencias agradables la negación o desaprobación de “tal” solicitud
para quienes toman decisiones jerárquicas, la respuesta evasiva e inmediata de la “real jerarquía”
es: “preguntale a seguridad”, “que decida seguridad”, “esa nota es para seguridad” o, “eso es
responsabilidad de seguridad”.
Traducción: cuando no convine, nadie respeta las decisiones de seguridad y nadie la escucha.
Nadie, o sólo algunos empleados rasos y otros pocos intelectuales jerárquicos, pero si la mano
viene “pesada”, la respuesta siempre es la misma: “que decida seguridad”.
Resultado: cuando es funcional -ya sea por marketing o por chapa- tengo un Área de Seguridad.
Cuando molesta: “que esto no pase por seguridad, porque no te van a dejar hacer nada”.
En ocasiones, puede suceder que tengamos un Área de Seguridad que implementa todas las
soluciones que salen al mercado -sirvan o no-, haciendo un acopio importante de “appliances”.
Esto sucede -generalmente- por decisiones marketineras o miedosas del Coordinador o Gerente
de TI, que está por encima del Jefe de Seguridad, y para “chapear” ante entidades externas o ante
las mismas otras autoridades del Organismo, sobre la “tecnología” que “ellos” manejan.
Una empresa que cuenta con un antivirus, un firewall o una cantidad acorde de firewalls, u algún
equipo dedicado de IPS, IDS, filtrado de contenido Web, una “PUA” concisa, precisa y con buenos
planes de capacitación y concientización NO es menos INSEGURA que:
Una empresa que amontona antivirus, firewalls, equipos dedicados de IPS, IDS, DLP, PGP, VPN,
WAF, DAF, anti-spam, QoS, analizadores de espectro, aceleradores Web, escape a la nube ante
ataques de DDOS, servicio de anti-botnet, anti-APTs, anti-ransomware, DMZ, RADIUS, LDAP, Active
Directory, pendrives con soporte FIPS 140-2 Level 3, terminales biométricos de reconocimiento
facial 3D, la cúpula de hierro, PERO que NO cuenta con un buen PLAN de CAPACITACIÓN y
CONCIENTIZACIÓN para todo el personal, o no cuenta con gerentes honestos.
Página 114
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
Obviamente que las 300 cámaras “no funcionaron” en el momento exacto en que pasaron las
camionetas con las bolsas de dinero robadas de la financiera o las 30 cámaras ubicadas en la
puerta de acceso del estadio se apagaron justo cuando entraba la “barra brava” del club. En las
Organizaciones, esta situación se da cuando se robaban una computadora, se apagaba
manualmente un servidor, se llevaban una impresora con la mesita incluida a casa, cuando
entraba y salía “gente importante” de alguna “oficina importante”, etcéteras de apagados
intencionales.
Sería más preventivo, proactivo y persuasivo poner en cada esquina a una persona disfrazada del
hombre araña, del increíble Hulk, Tadeo Jones, el agente Perry, Popeye, Thor, Flash y el agente 86
(NO Lex Luthor, porque generaría confusión) que las 300 cámaras de seguridad, el #911 y su
cuestionario on-line y los policías contestando al ¿Qué estás pensando? en sus Smartphones.
Como mencionamos a lo largo de este corto discurso, la diferencia entre la seguridad marketinera
y la real, la preventiva y la reactiva, la negligente y la capacitadora, es que todas ellas son
manejadas por seres humanos vulnerables, vulnerados y vulneradores.
Por ello, deberíamos acopiar, utilizar y reutilizar más mentes brillantes para la toma de decisiones
y trabajadores honestos y capacitados, que cerebros abreviados, de ideas nefastas, de insumos,
tiempos y tecnologías malgastados.
Página 115
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
¿Dentro de las próximas 5 horas, quince semanas, 25 meses, treinta y cinco años, 45 décadas o
cuatrocientos cincuenta decalustros?
Si todos los servidores, computadoras, tabletas y memorias flash son destruidos a partir del odio
visceral del malvado ser humano creador de conflictos y refriegas, ¿dónde subsistirá la
información contenida en éstos medios electrónicos/magnéticos?
A la mayoría de los gobernantes les encanta crear y comprar malware, especialmente los 0-days,
software “espía” sobre la población, reclutar hackers de sombrero oscuro. Espiar, sabotear,
destruir e innovar en armas de guerra y mejor aún si son de destrucción masiva, en esta loca
carrera contra la muerte.
Con la ayuda de la informática y la electrónica avanzan a pasos agigantados, siendo los radares, las
antenas de telecomunicaciones, y la “Internet regional”, los blancos -objetivos- primeros y
preferidos a la hora de “atacar” o “jugar” con ellos.
Cuando sobre el planeta Tierra no quede un recóndito lugar en donde resguardar nuestra
información, ¿qué habrá que hacer?, ¿utilizar “servicios” en la mesosfera, ya que la “nube” será
aún más vulnerable? -si para esos tiempos ya no ha sido destruida-, ¿replicar los centros de datos
en Urano? -si a Urano todavía no le han puesto un cartelito de inmobiliaria: “Dueño Alquila” o
“Dueño vende excelentes lotes. Contáctese con nosotros al número 00 1 (925) 294-49920-.
En el futuro, que puede ser dentro de un tris o mañana, ¿la información tendrá valor?, ¿la “no”
información cotizará en la bolsa de valores?, ¿servirá para algo estar informado, o será más
saludable estar desinformado?, ¿cuánto costará ser anónimo?, ¿las vacaciones serán
promocionadas en lugares “anónimos”: sin señal de celular, ni TV, ni diarios, ni revistas, ni
Internet, ni vuelos rasantes de drones?
Será un nuevo formato de reality en televisión: “Ganará quien se mantenga oculto por más tiempo
sin ser encontrado, ni ubicado, ni filmado, ni fotografiado, ni rastreado, ni escuchado, ni nada”.
¿Seguirá existiendo Internet?, o podrás pagar más cara una tarifa de alquiler por un servicio si “no
cuenta con servicio de Internet”.
Página 116
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
¿Quién gana más poder, más influencia y más prestigio dentro de una Organización?:
Página 117
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
¿Habrá que estar prevenido de los ataques de malware, APT tradicional, APT-BeVdA, crimeware,
ransomware, zerodaysware y vasitodeaguaware?
Hacia finales del año 2015 y posteriores, el ser humano consiente y capacitado, ¿seguirá
recogiendo del piso de las oficinas o de la calle los “pendrives”? ¿Se ubicarán éstos artefactos
estratégicamente y olvidadamente en los baños de sectores de accesos restringidos?
¿En vez de los tradicionales test de intrusión se deberán realizar “test de presión y de
estanqueidad”? ¿Pruebas de desagües?
Página 118
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
El joven encargado de reponer los bidones de agua de las máquinas dispensadoras ubicadas en las
oficinas, ¿será nombrado Asesor “hídrico” de Seguridad?
El pez grande se come al pequeño, por lo tanto, la jerarquía del Área de Seguridad Informática de
la Información, ¿estará conformada de la siguiente manera?:
- Administrador de Agua.
- Administrador de Electricidad.
- Administrador de Información.
Presidencia
Asesores Asesores
Hídricos Eléctricos
Estemos atentos…
Fin
Página 119
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
¿A los sombrereros que ingresan les hacer firmar un contrato de confidencialidad o NDA?
¿Para ellos o cualquier entidad dedicada al mal, “MGSI” significa “Manual de Gestión de Seguridad
de la Información” o “Manual de Gestión de InSeguridad de la Información”?
¿Usan antivirus los malos? ¿Cuáles? ¿Me podrían recomendar algunos de los mejores?, ¿o peores?
¿Si los gobiernos espían y hackean a los buenos, los gobiernos son operados por gente buena o
por gente mala? ¿Están de nuestro lado para protegernos?
Página 120
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
Definiciones y aclaraciones
“Me la dejó servida, lo único que tuve que hacer fue enfrentar a Taffarel, gambetearlo y definir".
Claudio Paul Caniggia, sobre el gol a Brasil en el mundial de Italia 90.
Prologo
“Estos son malos tiempos. Los hijos han dejado de obedecer a sus padres y
todo el mundo escribe libros”.
Marco Tulio Cicerón, anticipándose a este ensayo.
Organigrama
“La estadística es una ciencia según la cual todas las mentiras se tornan cuadros”.
Pitigrilli (cuadros = raviol = organigrama)
¿Con cuáles Áreas debemos tener contacto directo? (líneas punteadas en el organigrama)
“Cuando quieres realmente una cosa, todo el Universo conspira para ayudarte a conseguirla”.
Paulo Coelho
Página 121
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
Concientización y Capacitación
“Donde hay educación no hay distinción de clases”.
Confucio
“Educación es lo que la mayoría recibe, muchos transmiten y pocos tienen”.
Karl Kraus
Página 122
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
Conclusiones Finales
Página 123
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
“Cuando creíamos que teníamos todas las respuestas, de pronto, cambiaron todas las preguntas”.
Mario Benedetti
Fin
“Sin música la vida sería un error”.
Friedrich Nietzsche
Página 124
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
Glosario
Modismos y palabras inventadas por no encontrar las precisas. Como dijo Samuel
Langhorne Clemens “la diferencia entre la palabra adecuada y la casi correcta, es la misma que
entre el rayo y la luciérnaga”, por eso la necesidad de este apartado.
Pirata informático: Traducción recomendada para la voz inglesa hacker, ‘persona con grandes
habilidades en el manejo de ordenadores, que utiliza sus conocimientos para acceder ilegalmente
a sistemas o redes ajenos’. Qué se nos puede imputar a nosotros por instaurar las definiciones
exhibidas en este glosario. ¡Salud!
El número de página (Pág.) indica en cuál de ellas aparece el término por primera o única vez.
Play: El término ‘play’ define cualquier y todas las consolas de videojuegos independientemente
de marcas o modelos. Pág. 9.
Raviol: Figuras geométricas que forman las áreas, sectores, direcciones o gerencias de un
organigrama. Pág. 12.
Raviolitos: Raviol chiquito. Se refiere a los cuadros que forman el organigrama y que se
encuentran ubicados en los niveles inferiores. Pág. 19.
Raviolones: Raviol grande. Se refiere a los cuadros que forman el organigrama y que se
encuentran ubicados en los niveles superiores. Pág. 19.
Empleados acomodados: Perfil de “persona” que simula ser un trabajador más de una
Organización, pero que a diferencia de los empleados rasos, cobra el doble/tripe/cuádruple de
sueldo que los demás, no tiene por qué venir a trabajar todos los días, ni realizar actividades
laborales; entre otros “beneficios”. ¿Qué entenderá éste tipo de persona por “beneficio? Pág. 29.
Página 125
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
Vasitodeaguaware: Tipo de ataque que consiste en volcar el contenido liquido de un vaso de agua
tamaño dispenser 180 cm3 en un enchufe, canales o terminales de flujo eléctrico. La reiteración
de este tipo de ataque da comienzo a una mayor amenaza denominada “APT-BeVdA”. Pág. 61.
Manualería Inversa: Proceso por el cual elaboramos nuestro propio manual, política, norma o
cualquier documento a partir de utilizar los textos que nos son útiles de otros manuales, políticas o
normas ya publicados, más nuestro agregado “personalizado” del tema que nos incumbe. Pág. 72.
Naaaa: Pronombre indefinido. “Nada” canchero. “Nada” pronunciado por un “dandy”. Pág. 87.
Googleen: Buscar información en la Web a través del servicio Google. Pág. 100.
Bingeen: Buscar información en la Web a través del servicio Bing. Pág. 100.
Duckduckdeen: Buscar información en la Web a través del servicio Duck Duck Go. Pág. 100.
Ganso: Tonto (con perdón a los bellos gansos del reino animal o Anser Anser). Pág. 101.
Tinder Hari: Técnicas de ataque para robo de información, estafas y delitos en general
perpetrados y cometidos a través de los servicios ofrecidos por la aplicación Tinder. Pág. 102.
Página 126
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
Buchonear: Buchón. Botón. Ser humano despreciable que “cuenta” o “inventa” situaciones
personales de la vida real o virtual a otros semejantes. Los “buchones”, son más aborrecibles
cuando inventan o cuentan “chismes” ante jefes o superiores.
Algunos de estos innobles, adoptan esta práctica como “profesión”, principalmente hacia los
“superiores” de una Organización, en revistas y programas de televisión, o porque les encanta ser
buchones de los jefes. Pág. 102.
Bañero: Guardavida. Persona encargada de chamuyar, vigilar, prevenir y rescatar de los mares,
ríos o piletas a seres en peligro acuático. Pág. 105.
Skimistas: Todo aquel que se dedica al estudio, desarrollo y/o implementación de skimmers.
Persona que toma por oficio la práctica del skimming. Pág. 107.
Caja chica: Caja en donde se guarda y se tiene a mano dinero contante y sonante. También es
llamada Caja Menor o ¡Plin Caja! $$$$, u$s u$s u$s, € € €, o £ £ £. Pág. 110.
Barra brava: Delincuente que frecuenta un estadio de fútbol. Puede verse en otros ámbitos
(política), pero es más habitual encontrarlos en el ambiente del fútbol argentino. Pág. 115.
Página 127
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
Página 128
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
Estudios:
Programador Basic de Microprocesadores (1986)
Bachiller en Ciencias Naturales (1989)
Programador DBase IV (1994)
Exploiting & Security Wireless Technologies (2010)
Estudios:
Jardín de infantes completo.
Primaria: primer grado completo.
Formato – Arreglos:
Este ensayo se terminó de escribir en el año 2014 d. C., durante su mes de diciembre, en su
séptimo día.
Página 129
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA
Página 130
Autor – Compositor: damián ienco
Ensayo: MANUAL PARA
UN ÁREA & SECTOR DE
‘inSEGURIDAD’ DE LA
INFORMACIÓN &
INFORMÁTICA
Autor:
damián ienco
Citando la fuente, se puede publicar cualquier parte del presente ensayo.S THAIGUITO