Share

Como buen observador, soy exceptico por naturaleza. Hoy por la mañana entre todas las noticias que me he encontrado desde mi recien estrenada cuenta de twitter @ptolomeo_sec me encuentro la siguiente:

Aseguradora se niega a pagar un Ciberseguro de 4 Millones de dolares alegando que las medidas de seguridad eran demasiado laxas

Yo debo ser muy simple, pero claro, reduciendolo al absurdo, si has tenido un problema de seguridad es que las medidas de seguridad no son suficientes ¿No? Al final eso te va a llevar al tipico argumento crítico demagogo contra los seguros, lo de que el seguro te cubre todo menos lo que te pasa.

¿Para que sirve un Ciberseguro? Pues para diferir el riesgo, cuando ya no puedes cubrir una parte, la difieres a un tercero, que a modo de control compensatorio te minimiza el impacto. Pero claro, si luego, cuando pasa no te minimiza nada lo único que te otorga es una falsa sensacion de seguridad, mucho más peligrosa que la asuncion de un riesgo de manera consciente.

Como las aseguradoras no disponen de un historico probabilistico que les ayude a determinas las probabilidades, se tienen que agarrar a la necesidad de definir un marco de control. En concreto en el caso que ha llegado a las noticias, define unos “controles minimos” que es algo tan basico como contestar Si/No a una serie de preguntas como si parcheas en menos de un mes, cambias los contraseñas por defectos, tienes la diligencia adecuada con los terceros que acceden a tus datos, etc. Cono si ciberseguridad fuera algo determinista.

Y que haces.. ¿Asumes la negativa de la aseguradora o te vas a juicio y te aseguras unos cuantos titulares de prensa mas dañando tu imagen, aparte de tener que contar en el proceso todos los detalles de tus medidas de seguridad? Y si no lo tienes claro… ¿Para que quieres el seguro?

P.D.: Por cierto, que el documento del proceso y las alegaciones es público, os lo dejo por aqui, porque en cualquier caso creo que es muy interesante leerlo.

Ciberseguros Columbia-vs-Cottage

Share

Parece mentira ver como toda una estrategia de años en establecer unos mecanismos de monitorización y seguimiento pueden irse al traste únicamente porque un presidente no controla ninguna cámara de gobierno del presuntamente país más poderoso de la tierra.

NOTICIA

Lo triste no es que se haga en pos de la privacidad de datos, o por ser un abuso, o simplemente porque la situación en la que estamos ya no requiera de medidas excepcionales de protección de la ciudadanía. No, amigos. Lo triste es que estamos en carrera electoral, y que nadie se va a mojar ahora, sale más a cuenta poner palos en las ruedas, aunque estas sean las del vehículo que te transporta. No hay nada más triste…. Bueno miento, hay sitios donde al lamentable partidismo hay que añadirle un total desconocimiento de la situación y  medidas a implementar (lamentablemente nuestra propia casa). Solo hay que ver lo legislado hasta la fecha, de donde viene, o incluso el consejo de ministros del último viernes…

Lo mismo es un sitio que el otro XD

Share

“La seguridad es un mundo”

Cuando empecé hace años con estos temas de seguridad, me advirtieron de lo complicado que podía ser con esas palabras. Nada más acertado.  Y lo peor de todo es que muchas veces todo lo que lo rodea no parece tener sentido, pero tras largos años observando y observando, tomando anotaciones y especulando cual podría ser el orden lógico,  he llegado a tenerlo claro.

Ese trabajo terminó. Ahora me he dado cuenta de la exquisita sencillez del universo que nos rodea y trataré de explicarlo.

Lo primero que se podía observar es que ciertos conceptos aparecían periódicamente ante nuestros ojos, unas veces más cerca, otras más lejos, con un comportamiento aparentemente errático. La clave está en cuál es su comportamiento cuando desaparecen de nuestra zona de visibilidad.  Si consideramos una serie de elementos que giran alrededor de otro, la distancia de giro determinará cuando volverá cada uno a aparecer en el campo de visión que se pueda tener desde el central.Modelo Geocentrico

Si imaginamos que nosotros, nuestra propia seguridad y las medidas que la componen, estamos en el punto central, los periodos de aparición y desaparición de las amenazas se pueden corresponder con las distintas distancias.

 

Lamentablemente este diseño tenía dos puntos pendientes de aclaración. Porque según el punto de vista de cada uno las amenazas se pueden ver más lejanas o menos y porque su comportamiento incluso en el momento que las estamos observando no es precisamente simple.

Para darles explicación hay que introducir dos conceptos nuevos ya entrando un poco más al detalle: Que nuestra posición no está ubicada exactamente en el centro de giro y que las amenazas ademas de orbitar a nuestro alrededor tienen su propio movimiento de evolución.

Rotaciones

Como puede verse en el dibujo, hay un punto teórico que puede considerarse el eje de rotación de una amenaza. Nuestro desplazamiento relativo a ese punto sería como nuestra casuística particular nos expone a esa amenaza y afecta drásticamente a como la vamos a percibir.

Además, como comentábamos, las propias amenazas en su ciclo de vida tienen otro movimiento adicional, representado en el grafico por los distintos números que indican su posición mientras giran alrededor de un punto que a su vez lo hace alrededor del centro de rotación. Esto hace que desde nuestro punto de visión se perciban altibajos, e incluso retroceso en su evolución antes de desaparecer.

Todo encaja a la perfección así.

Ahora toca proseguir las observaciones con dos objetivos principales, ser capaz de valorar la distancia que nos separa del Centro de rotación, y los datos de órbita de cada una de las amenazas que vayan pasando por nuestro horizonte. ¿Me ayudáis?