Objetivo de una auditoría de seguridad
En mi empresa, por falta de tiempo, hemos encargado una auditoría de seguridad a una empresa externa.
No hemos invertido nada de tiempo en saber qué es seguridad.
La inquietud personal me ha movido a leer algo del tema y voy a reflejar en este blog mis avances y cosas que vaya descubriendo.
Perdonad me de antemano mi falta de asiduidad, pero soy muy inconstante.
Lo primero que veo del trabajo que están desarrollando esta gente es lo inútil y poco duradero que resultará. Me explico.
Esta gente, está realizando un estudio de vulnerabilidades, analizando puertos y todo lo que sigue. Nos presentan un listado de las máquinas que han estudiado y sus vulnerabilidades, eso si, explicadas.
Ahora bien, que hacemos, cerrar la herida y seguir para adelante.
Esto beneficia en corta a la empresa, y a medio y largo plazo a la consultora. La justificación es obvia, hoy resolvemos la vulnerabilidad, pero mañana habrán 'n' nuevas. ¿Que tenemos que hacer?. Claro, volver a contratarles, si lo hicieron de p. madre.
Nooooo!.
Tenemos que aprender de nuestros errores, es decir, saber como es posible que esa vulnerabilidad estuviera allí, sin darnos ni cuenta. Pero más importante aun que esto, es establecer unos procedimientos, un método de trabajo que evite que la seguridad resulte algo preocupante cuando haces los presupuestos de un año para otro o cuando crees que te han entrado hasta la cocina.
Como es el lema recientemente inaugurado de este blog, saber cómo, en este caso como evitar problemas de seguridad, es más importante que saber qué, que problemas de seguridad son los que tienes en este momento. Sabiendo cómo, evitas el problema actual y futuro, sabiendo que problemas tienes, solo ayuda a resolver los problemas que tienes ahora, en este instante, y sin una reflexión posterior, no ayuda nada a solventar futuros problemas.
Espero haber sido claro. Sé que me he repetido mucho en una sola idea, pero la considero tan básica, que creo que la volveré a reiterar en varias ocasiones.
Buenas noches.
No hemos invertido nada de tiempo en saber qué es seguridad.
La inquietud personal me ha movido a leer algo del tema y voy a reflejar en este blog mis avances y cosas que vaya descubriendo.
Perdonad me de antemano mi falta de asiduidad, pero soy muy inconstante.
Lo primero que veo del trabajo que están desarrollando esta gente es lo inútil y poco duradero que resultará. Me explico.
Esta gente, está realizando un estudio de vulnerabilidades, analizando puertos y todo lo que sigue. Nos presentan un listado de las máquinas que han estudiado y sus vulnerabilidades, eso si, explicadas.
Ahora bien, que hacemos, cerrar la herida y seguir para adelante.
Esto beneficia en corta a la empresa, y a medio y largo plazo a la consultora. La justificación es obvia, hoy resolvemos la vulnerabilidad, pero mañana habrán 'n' nuevas. ¿Que tenemos que hacer?. Claro, volver a contratarles, si lo hicieron de p. madre.
Nooooo!.
Tenemos que aprender de nuestros errores, es decir, saber como es posible que esa vulnerabilidad estuviera allí, sin darnos ni cuenta. Pero más importante aun que esto, es establecer unos procedimientos, un método de trabajo que evite que la seguridad resulte algo preocupante cuando haces los presupuestos de un año para otro o cuando crees que te han entrado hasta la cocina.
Como es el lema recientemente inaugurado de este blog, saber cómo, en este caso como evitar problemas de seguridad, es más importante que saber qué, que problemas de seguridad son los que tienes en este momento. Sabiendo cómo, evitas el problema actual y futuro, sabiendo que problemas tienes, solo ayuda a resolver los problemas que tienes ahora, en este instante, y sin una reflexión posterior, no ayuda nada a solventar futuros problemas.
Espero haber sido claro. Sé que me he repetido mucho en una sola idea, pero la considero tan básica, que creo que la volveré a reiterar en varias ocasiones.
Buenas noches.
No hay comentarios:
Publicar un comentario