31 agosto 2009

100 caminos al éxito #3: "KISS"

Este fin de semana he comprado una lámpara de esas sobremesa para cuando cenamos en el jardín tener un poco más de visibilidad [la verdad es que esto no tiene la mayor importancia y supongo que os importará poco, pero bueno, es la verdad, así que, tampoco hay porqué ocultarlo]. El hecho es que cuando la saqué, vi que venía acompañada por sus correspondientes instrucciones de uso y al mirarlas, no pude por menos que sufrir un ataque de risa (si no entendéis porqué no tenéis mas que mirar la foto que adjunto de las mismas)... más sencillas, imposible.

Pero inmediatamente me encontré preguntándome: "¿Y para qué quieres más? Si es lo que hay que hacer, ¿no? Poner una bombilla, enchufarla y andando".

Así que, esa sería mi tercera recomendación para los CISO: Keep It Simple Stupid! (K.I.S.S.)
  • Si una política puede ser de una página mejor que de tres.
  • Si el análisis de riesgos se puede simplificar, mejor.
  • Si el procedimiento puede tener tres pasos y una aprobación, mejor que quince pasos y siete aprobaciones.
  • ...
En fin que la simplicidad tiene una potencia increíble y además ya sabéis que la complejidad es enemiga de la seguridad...


2 comentarios:

ahernandez dijo...

Parcialmente de acuerdo con lo expuesto en el post. Estoy totalmente alineado con que la GESTIÓN de la seguridad (entendido como las actividades de más alto nivel, políticas, procedimientos y demás) tiene que estar basadas en una aproximación KISS total (como dicen por ahí, "stick to the basics").

Sin embargo, en mi opinión, en cuanto a las contramedidas técnicas, como las topologías y segmentación de redes (por ejemplo), no debería ser así.

La centralización (hablando de redes, de soluciones UTM, etc.) facilita la gestión por parte del personal de seguridad, pero también otorga a los "malos" un punto único en el cual centrar sus esfuerzos.

Sin embargo, la dispersión (entendida como hacer que los activos de información, segmentos y elementos de red [...] estén lo menos interconectados posible), como en la guerra de guerrillas, dificulta a los malos el ataque.

A menudo tememos la dificultad de gestionar redes, sistemas y soluciones complejas, dado que es complicado poseer expertise en todas las áreas. Pero esa misma dificultad se traslada a los atacantes de forma amplificada (no tienen toda la información que nosotros si tenemos)

La complejidad no es la enemiga de la seguridad (al menos la técnica). Es enemiga de la gente desorganizada.

Sorani dijo...

Creo que en el fondo, estamos en la misma onda...


No digo que todas las medidas tengan que ser simples (de hecho hay muchas que son muy complejas) pero si dentro de esa complejidad, las mantenemos lo más simple posible, seguro que mucho mejor.

Pero me mantengo en que la complejidad es enemiga de la seguridad, quizás por lo que comentas, porque te obliga a organizarte, mientras que si es simple, no necesita ni que seas organizado... ;-)

Gracias por tu comentario, companyero!!!