Pareto no es una persona real de éste siglo. Sin embargo, su legado dejado a la economía y la administración de empresas, puede incluso, convertirlo en un excelente aliado de defensa para los administradores y jefes de TI, a fin de no dejarse sorprender por algunos “falsos consultores de seguridad”.
El secreto radica en que los falsos consultores de seguridad, alguna vez leyeron de una encuesta de seguridad, famosa en sus días, llamada CSI/FBI Computer Crime and Security Survey 2000 (Encuesta del crimen y la seguridad informática del CSI/FBI 2000). En ella, se indicaba que ochenta porciento de los incidentes de seguridad eran generados por los insiders (todos los usuarios internos: contratistas, empleados, practicantes, socios de negocios, auditores, etc.).
Por aquellos años, muchos consultores de seguridad (genuinos) iniciaron una prédica masiva por esta región latina, citando, principalmente, el hallazgo del CSI/FBI. Aún perdonable, al siguiente año, el 2001, era muy común ver a muchos product managers referir a la misma cifra, y lo mismo en el 2002, pero esta vez con los consultores más juniors, quienes, en ocasiones, ni siquiera sabían la fuente de la cual se había originado dicha estadística. Mientras tanto, no sólo en Estados Unidos (de donde proviene ese estudio) el crimen y la amenaza real de seguridad venían cambiando, según algunos expertos, al menos cada seis meses.
Pronto, el hallazgo del CSI/FBI del 2000 se convirtió en un infaltable en varias presentaciones locales de seguridad, quienes arremetían con esa estadística con tal convicción que pronto, algunas personas serias y ajenas a la seguridad, especialmente ejecutivos / gerentes y futuros prospectos de seguridad, terminarían por creerlo. Historia que bien pudo ser profetizada por Adolfo Hitler, cuando escribió acerca de su tesis llamada la Big Lie.
people will believe a big lie sooner than a little one; and if you repeat it frequently enough people will sooner or later believe it.
“las personas creerán una MENTIRA GRANDE más pronto que una MENTIRA PEQUEÑA; y si tu la repites con la suficiente frecuencia las personas tarde o temprano lo creerán”
Al año siguiente de tan predicado hallazgo, el CSI/BFI arrojó uno muy diferente, pero éste no tuvo la propaganda Big Lie que sí tuvo su antecesor. Pasado así, ya tres años, es decir, el 2004, el CSI/FBI tuvo que hacer algo justo, es decir, aclarar a los “lectores del estudio del 2000″ que la cifra del 80% había variado tan drásticamente, que era errado seguir creyendo en el 80% (insiders) y 20% (outsiders).
A pesar de ello, hasta la fecha, muchos supuestos consultores, quienes deberían leer lo suficiente (si acaso no mucho) como para visitar el sitio web del CSI, todavía siguen haciendo mención de que 80% de los incidentes son provocados por insiders.
Lo penoso, de esta historia, es que tan inquietante y reiterada declaración osa convertirse en el próximo axioma de seguridad escrito por anónimo. El hecho es que, varios propios e impropios están empezando a creer que la famosa regla de Pareto, del 80/20, se aplica también a la seguridad de la información, especialmente cuando se busca determinar de dónde viene la mayoría de incidentes insiders (80%) y outsiders(20%).
Es por es razón que si alguien escucha a un consultor referirse a tan trillada y errada declaración, lo correcto es guiarlo de un sólo click a que revise el último CSI/FBI (2005). Si se observa con claridad dicho reporte, será productivo para ambos; para el cliente, a fin de reconocer que quien diga eso no es un consultor de seguridad y para el supuesto consultor, para saber que en seguridad, las imprecisiones pueden costar un cliente menos en la cartera.
