Valide lo que sus gerentes y voceros declaren u opinen en asuntos de seguridad, en cualquier medio. Es una práctica esencial tanto para los gobiernos como para las compañías.
Javier Romero
CISSP GCIA GCSC SSP-GHD GWAS
JaCkSecurity, CTO
En una entrevista hecha por un medio televisivo, uno de los entrevistados, un gerente de una institución financiera, expresó indirectamente cómo él o los usuarios asignan o deberían asignar su contraseña.
Varios de los que vieron el programa, que incluyeron el Staff de JaCkSecurity y amigos, notaron casi instantáneamente el error del entrevistado, el que sin querer transmitió un concepto errado de cómo se crean las contraseñas, por ejemplo, usando la fecha de algo.
Aunque esa no era la idea del reportaje, ni mucho menos, el ejecutivo se dio cuenta de lo que casi se convierte en un consejo al literal (hagan sus contraseñas de esta manera). Inmediatamente después de decir la palabra equivocada, esta es fecha; él se corrigió, al sobrescribir su idea. Penosamente, el reportaje salió y se peremnizó así. Con toda certeza, un especialista en seguridad e, incluso, el mismo gerente hubiera solicitado la edición de esa parte de haber tenido el video en sus manos antes de salir al aire.
Hablando de otros temas relativos al phishing, las palabras fueron:
…tu password físico o estático que puede ser la fecha…[el entrevistado se corrije rápidamente] la que tu quieras colocarle.
Muy lejos de ser una crítica, este sútil error es un registro importante para recordar el porqué los profesionales, gerentes de TI y afines deben seguir el siguiente consejo:
- Es ideal que toda -entrevista vía cualquier medio- dónde se toquen temas relevantes a la seguridad de una organización o sus clientes sea validada por el área responsable de la seguridad TI, o por los expertos de seguridad en dicha organización.
Es verdad, existen voceros en toda compañía de quienes se espera mayor desconocimiento de seguridad, pero no se trata de la subestimación, ni tampoco de la sobrestimación hacia un cargo. Aún en los niveles gerenciales de sistemas y TI, es posible ver pequeños errores, que por más comprensibles que estos sean, son errores que podrían transmitir una idea equivocada o inversa. Así, toda comunicación expedida hacia la prensa, en especial si su negocio depende del resultado de esa comunicación, debe ser validada siempre.
De igual modo, cabe bien una recomendación extra: Si Ud. ,amigo lector, piensa que crear contraseñas seguras es algo difícil, compruebe lo contrario, al leer esta publicación: Cómo crear contraseñas seguras por JaCkSecurity.
Finalmente y adicional a lo ya concluido, si busca ampliar su conocimiento estratégico gerencial de seguridad de manera integral, le invitamos a inscribirse al Seminario Oficial de Revisión del CBK CISSP de (ISC)2 que dicta JaCkSecurity, donde se revisan numerosos conceptos y consejos prácticos, que son de mucha utilidad en la carrera de un profesional de seguridad, sea que esté o no en pos de una certificación CISSP. Para más información escriba a “info[@]jacksecurity.com“.
