Hace muchos años me topé con un texto que ha sido fuente de consulta y
que lo he citado muchas veces desde aquel entonces en diversas charlas o
capacitaciones en seguridad. Se trata de la guía "Cómo apestar en
Seguridad de la Información" (
How to suck at information security, en su idioma original) desarrollada por Lenny Zeltser y
publicada por el SANS ISC.
Es un excelente resumen de las principales cosas que no debemos hacer
cuando gestionamos la seguridad de la información en la empresa. El
listado consta de 52 cosas que no deberíamos realizar como CISO, oficial
de seguridad o cualquier otro puesto relacionado. Aunque alguna que
otra puede quedar un poquito obsoleta con el paso de los años,
mayormente el listado sigue muy vigente. Rememorando dicho contenido
(que puede ser consultado en su formato original en el enlace superior),
se me ocurrió no solo compartirlo con ustedes sino también intentar
identificar de esos controles, cuáles son a mi criterio (y por qué) los...
Continuar leyendo