Hay vida más allá de www ?

Tras un considerable periodo de tiempo sin aparecer por aquí ya va siendo hora de compartir algo con todos y todas. No voy a extenderme mucho pero entre vacaciones, gripazo e inicio de año movidito en el curro (encuentro cara a cara con W32.Downadup.B) pues apenas he tenido tiempo para dedicarme a este humilde oráculo de conocimiento ;-).

Para inaugurar el nuevo año, por cierto os deseo todo lo mejor (básicamente salud puesto que el resto no sirve de mucho sin ella), os propongo una disertación acerca de la percepción actual que tengo del mundo de la seguridad. Me gustaría remarcar que este fue uno de los motivos por los que me apetecía iniciar este blog.

En los tiempos en que me inicié en esto de la seguridad y la auditoría de sistemas, allá por el año 95, las medidas de seguridad a adoptar se reducían, en el mejor de los casos, a los aspectos más básicos y rudimentarios (seguridad física elemental, control de acceso lógico, copias de seguridad y poco más). Hay que tener en cuenta que en aquella época no habían demasiadas normativas (BS7799-1 es del 95), estándares (COBIT es del 96) y/o leyes (LORTAD del 92).

Las auditorías que por entonces realizaba estaban esencialmente centradas en la infraestructura informática (usando una “metodología” propietaria). Remarcar que lo habitual eran sistemas operativos DOS y/o Windows 3.x bajo redes Novell (las empresas “avanzadas” empezaban a tener Windows 95). En cuanto a bases de datos todavía habían organizaciones que tiraban de dbase. Los sistemas de "verdad" no eran más que enormes hosts (IBM, Bull, Unisys, NCR, etc) con sus pantallas tontas, algún que otro AS/400, escasos Unix (SCO, HP-UX, etc.) y por lo general se disponía de un “potente” servidor por allí escondido (con suerte tenía hasta 100 Mb de espacio en disco).

Por cierto, ¿internet? Pues va a ser que no ......... de hecho no se sabía gran cosa. En cuanto a comunicaciones en el mejor de los casos tenían líneas RTB para comunicarse vía módem con las delegaciones (en muchos casos de modo diferido mediante transferencias de archivos). Los más modernos tenían líneas X.25 a precio de oro por supuesto.

Aún recuerdo la cara de poker de algunos respetables directores de informática (el rol específico de seguridad era inexistente) al plantear temas como la custodia de copias de seguridad en otras ubicaciones, separación de entornos de desarrollo y explotación, controles en aplicaciones, segregación de funciones, etc. La verdad es que por aquel entonces había mucho que proteger además de aprender ........

Tras rememorar viejos tiempos deciros que, a mi juicio, la “gestión” de la seguridad (en su sentido más amplio) de la actualidad es idéntica a la de entonces. Ahora tenemos más complejidad, diversidad, etc. a la vez que más recursos, guías, etc., pero en el fondo, es más de lo mismo.

No obstante, a día de hoy me da la sensación que la seguridad, al menos “mediática” (blogs, web, prensa, tv, etc.), está única y exclusivamente centrada en internet y todo lo que la rodea. Con toda sinceridad, salvo casos muy muy puntuales, me temo que internet no es para nada la principal preocupación de los “chicos y chicas” de seguridad.

Al igual que a much@s de vosotr@s intento ir a jornadas, charlas, seminarios, etc. relacionadas con la seguridad con objeto de aprender, estar al día, descubrir nuevas ideas o puntos de vista, etc. No obstante, últimamente estoy dejando de ir a muchos eventos dado que la inmensa mayoría están focalizados en la seguridad de internet.

No digo que se haga caso omiso a la seguridad en internet pero llega un momento que me resulta excesivamente aburrido que todo gire alrededor de ella. Parece que lo único que nos incumbe sea: virus, Sql Injection, phishing, botnet, rootkit, privilege escalation and XSS, malware, 0-days, pentest, exploit, etc (términos extraídos de los últimos feeds almacenados en google reader).

Como he dicho antes, uno de los motivos que me estimuló a esta aventura bloguera fue la de aportar mi pequeño grano de arena a la seguridad de siempre, a la del día a día. Desde aquí reivindico mayor divulgación de ideas, experiencias, buenas prácticas, etc. relativas a la seguridad de ayer y de siempre.

Será que tengo el día tonto y melancólico .............. ;-)

CITA DEL DÍA: "Mi seguridad empieza donde empieza la tuya"

Aprender jugando.

Habitualmente, no se si os pasa a vosotros, acabo cansado y aburrido cuando miro mi lector de feeds, siempre hay muchas noticias repetidas, copiadas, etc… pero de vez en cuando hay alguna a la que prestas más atención. Eso me suele pasar con los casos prácticos que con cierta periodicidad plantea la página de Security Art Work.

Como ya nos decían desde pequeñitos, no hay mejor manera de aprender que tomándolo como un juego, y eso es lo que hacemos, retarnos a nosotros mismos, y esperar los comentarios de otras personas para ver donde hemos fallado o qué se nos ha escapado.

Ayer, leyendo el nuevo reto, me sentí bastante cómodo, ya que se plantea un tema que me toca muy de cerca al estar muy ligado con la actividad que realizo cada día, así que me decidí a jugar!!

Os dejo aquí el enlace al caso planteado, y empiezo a dar mi opinión. Esta relación no pretende ser una guía completa, si no una serie de medidas básicas. Contadme que os parece, que veis, que se me ha escapado….

Primero, definiremos bien el escenario, no sea que hayamos entendido algo mal y nos condicione la "auditoría".

La empresa Plásticos Cremallera contrata a Atmedsa para que preste el servicio de Vigilancia de la Salud en la empresa. El despacho del médico está contiguo al del señor Botón. El caso es reciente y se auditará en base al RD 1720/2007.

Por nuestra amistad con el señor Botón, además de comentarle los problemas que hay en relación al escenario planteado, le vamos a comentar a grandes rasgos, algunos aspectos generales de la LOPD que debe tener solventados para superar la auditoría con éxito.

Inscripción de ficheros en la AEPD
Creación de un Documento de Seguridad
Identificación del responsable de seguridad
Identificación y registro de soportes
Registro de incidencias
Registro de E/S de soportes y autorizaciones

Ahora, entraremos más en detalle basándonos en las circunstancias que nos relatan:

1.- La sala en la que pasa consulta el médico residente está justamente al lado de la del señor Botón. Queremos creer que la pared está lo suficientemente insonorizada de forma que no se oiga lo que acontece en la consulta de "nuestro" médico, y así mantener la confidencialidad y el deber de secreto en la relación médico-paciente.

2.- La información que recoge el médico es de nivel alto, y por supuesto, no debe ser accedida por el Señor Botón, de forma que la custodia de las llaves debe ser realizada exclusivamente por el médico. Entendemos que a la sala anexa no tiene acceso el señor Botón, de no ser así, deberíamos evitarlo, por ejemplo con una puerta con cerradura.

3.- Si bien el ordenador nos indica que está en la zona usuarios, recomendamos encarecidamente que Atmedsa proporciones a su médico todo el material informático, y que de la misma forma se encargue de la gestión de su información, copias, etc...

4.- El acceso al ordenador debe ser exclusivo del médico.

5.- Sería recomendable que el ordenador que utiliza nuestro médico, en caso de ser de sobremesa, tuviera mecanismos de cifrado de datos, para protegerlos en caso de un posible robo. Recordar que en caso de ser un portátil la medida es obligatoria.

6.- En el momento en el que los datos "circulan" por Internet entendemos que están convenientemente cifrados, por ejemplo mediante una VPN.

7.- La empresa del señor Cremallera únicamente deberá recibir de la parte médica los certificados de APTITUD laboral, en ningún momento análisis clínicos ni nada por el estilo.

8.- Como conocemos a Atmedsa y sabemos que son unos grandes profesionales, nunca enviarán una factura detallando las pruebas realizadas a cada paciente, ya que esto puede dar una noción de la patología del trabajador.

9.- Por si aún no nos había quedado claro, Atmedsa es una gran empresa, y en el momento que recogen los datos de salud de los trabajadores se les informa del tratamiento que se va a realizar, así como se contempla una posible cesión de datos en el caso de que fuese necesario contactar con un médico especialista, o realizar alguna prueba complementaria de la que no disponga Atmedsa, por ejemplo unas placas RX.

10.- Suponemos que el médico dispone de una impresora propia, ya que de estar compartida deberíamos implementar un mecanismo a fin de que sólo él pueda recoger sus copias, por ejemplo un PIN que al introducirlo empiece a imprimir la documentación que ha enviado.

11.- El reciclaje de papel por parte del médico, se hará, o bien con una destructora de papel, o bien en cajas que protejan el acceso a los papeles depositados, con el consiguiente contrato de encargado de tratamiento y confidencialidad con la empresa encargada de recoger las cajas.
y por el momento esto es todo, con estas recomendaciones creemos que Cremalleras superará la auditoría con suma facilidad .......................

CITA DEL DÍA: "Confianza no es sinónimo de seguridad"

H2O

Aquellos y aquellas que hayáis tenido alguna experiencia reparando, o estropeando aún más según lo manazas que seáis :-), algún tipo de fuga, escape, etc. de agua sabréis lo complicado y difícil que resulta que el agua no se filtre por cualquier pequeña fisura o junta. Siempre he pensado que el flujo de la información es bastante similar, por no decir idéntico, al caso del agua (en el contexto de la seguridad estaríamos hablando de la tan de moda DLP Data Loss Prevention aunque este concepto como tal lleva ya años entre nosotros). Haciendo un interesante, profundo, imprescindible y determinante ejercicio de "pérdida de tiempo" :-) he intentando reflejar los distintos estados por los que pasa el agua y su equivalencia en el caso de la información.

Rememorando aquellas interesantísimas clases de naturales durante la EGB, periodo en el que nosotros llevábamos pantalón corto y vosotras coletas, nos decían que el agua puede presentarse en 3 estados distintos: sólido, líquido y gaseoso. En primer lugar, y partiendo de las características de cada uno de estos estados, he establecido su equivalente en cuanto al concepto de información:

Estado sólido: forma y volumen constante, rigidez y regularidad de sus estructuras
En este estado podrían encajar todos aquellos repositorios de información "estáticos", para entendernos, las tablas maestras, los ERP, las bases de datos corporativas, etc. En definitiva toda aquella información de mucho volumen que reside en servidores centrales y que actúa como un todo (muchas relaciones entre tablas, integraciones entre entornos/aplicaciones, etc.). El flujo o transmisión global de este tipo de información resulta prácticamente imposible.

Estado líquido: sin forma fija pero si volumen. Variabilidad de formas y propiedades específicas
Aquí tendríamos la misma información antes descrita (formato electrónico) pero residiendo en dispositivos, soportes, etc. que permiten su flujo de forma rápida y fácil. Estaríamos hablando de memorias USB, discos duros externos, CD/DVD, archivos uploadeados y/o emaileados, etc. que contienen fragmentos (consultas, vistas, extracciones, volcados, etc.) de la información original. Toda esta diversidad de formas, tamaños, colores, etc. de la información son las que, volviendo al inicio de la entrada, son muy escurridizas y difíciles de controlar. Individualmente no representan una gran amenaza pero en su conjunto pueden ocasionar perjuicios importantes.

Estado gaseoso: Ni forma ni volumen fijos
La información en este estado podríamos calificarla de etérea, es decir, está por ahí pululando pero no se percibe como tal. Nos referimos a información que no existe de forma estructurada ni en formato electrónico sino que reside en otros “soportes” como imágenes, documentos, know-how en alguna neurona, etc. A modo de ejemplo sería algo similar a información "escuchada" en conversaciones telefónicas, información filtrada en conversaciones "informales", un dato que alguien ha podido ver durante un trayecto en el AVE, deber de secreto y confidencialidad vulnerados, rumorología diversa, información tergiversada o fuera de contexto, etc. Este tipo de información es prácticamente imposible de controlar y de detectar su origen. Normalmente es una parte ínfima de la información corporativa pero, por lo general, puede suponer un gran perjuicio (imagen, reputación, mercado, etc.).

A continuación he intentado encontrar similitudes en cuanto a los distintos “procesos” que originan los distintos intercambios de estados (como sabéis, son evaporación, condensación, sublimación, congelación y fusión). Nada mejor que un gráfico para hacerse una idea (hacer clic para ampliar):

Espero que os haya gustado. La verdad es que he disfrutado mucho "perdiendo" el tiempo con esto.

CITA DEL DÍA: “La seguridad, ¿se quiere o se necesita?”

La Caja Negra

Tras unos cuantos días festivos y otros tantos de vacaciones pendientes vuelvo a estar por aquí. La verdad es que tantos días de desconexión total y absoluta pasan factura, casi no recuerdo ni como se mueve el ratón. Como ya va siendo hora de poner algo en el blog con objeto de satisfacer a nuestros millones de lectores ;-), en esta ocasión me he decantado por una "preocupación" que me ronda a menudo por la neurona. En esencia se reduce a clarificar el papel que tiene el CIO, CISO, CSO, ... o como se quiera llamar al responsable o encargado o browneater de los aspectos de seguridad en escenarios de elevada externalización. En concreto me refiero a aquellas situaciones en las que las funciones típicas asociadas a la función informática (explotación, sistemas, comunicaciones, desarrollo, soporte, etc.) son encomendadas por completo a un tercero.

Como es habitual, la relación que se establece con el tercero está basada en la prestación de determinados servicios con sus SLA's, sus sanciones por incumplimiento, sus compromisos, etc. etc. etc. Del mismo modo, y gracias a Santa Eleopede, también se formalizan los pertinentes contratos de encargado de tratamiento y demás. En resumen, en todo el maremágnum de burocracia existente se definen, en el mejor de los casos, algunos indicadores directamente relacionados con la seguridad (disponibilidad, incidencias, etc.). No podemos olvidar que la finalidad básica de estos acuerdos es regular la prestación de un servicio y desde luego no están centrados en los aspectos de seguridad precisamente (en cualquier caso estos puntos quedan relegados a un segundo plano o se dan por ¿supuestos? e inherentes a la prestación). También pueden añadirse todo tipo de cláusulas permitiendo todo tipo de revisiones, auditorías, etc. por parte del “cliente”, pero siendo sinceros no tengo muy claro si se llegan a materializar.

En determinadas tareas relativas a la seguridad de la información tales como Análisis de Riesgos, Planes de Continuidad, Sistemas de Gestión de Seguridad de la Información, definición de procedimientos/protocolos, etc. muchos de los aspectos más cruciales, y por lo general los más divertidos de tratar, quedan reducidos a una simple CAJA NEGRA de la que bien poco o nada se sabe. A menudo, por no decir siempre, la práctica totalidad del proceso de negocio que se está tratando depende de la famosa caja negra y de lo que hay (o no hay!) dentro.

La clave de mi planteamiento no radica tanto en poder “asegurar” (o creer) que la caja negra es un reloj suizo, sino la sensación de tener las manos absolutamente atadas y que desde el punto de vista del cliente nada o poco vale. Siempre que he intentado profundizar en algún aspecto concreto de seguridad he topado con las paredes de la caja, totalmente opacas, que me impiden ver más allá (entiéndase la metáfora como que sólo se nos permite conocer el qué y no el cómo; en ocasiones se aporta un documento, un anexo, una cláusula o algo similar donde se estipula que determinado servicio es, precisamente eso, un servicio que hace algo).

Las auditorías bianuales obligatorias que establece la LOPD son un claro ejemplo de lo expuesto. En el momento en que topamos con la caja negra siempre se solicita la posibilidad de “auditar” su contenido, como no podía ser de otra forma nos entregan “su” certificado de auditoría y a otra cosa mariposa. Menos mal que con el nuevo reglamento de la LOPD, el responsable del fichero tiene la obligación de velar por el cumplimiento de las medidas de seguridad por parte del encargado. Ya veremos si acogiéndonos a este punto podemos entrar hasta la cocina.......

Volviendo al inicio, queda patente que los gestores de la seguridad en entornos muy externalizados están de cierta manera vendidos y no tienen más remedio que confiar ciegamente en la caja negra. Esta forma de ver las cosas es hasta cierto punto razonable pero cuando se está hablando en términos de seguridad tengo serias dudas.

CITA DEL DÍA: “Los mecanismos de cifrado únicamente retardan lo inevitable”

Limites a la libertad individual

Como complemento de una respuesta a uno de los comentarios de aquí he decidido publicar una nueva entrada dada la extensión que estaba alcanzando la mencionada respuesta. Con objeto de argumentar mi posicionamiento relativo al tema de referencia he creído conveniente exponer algunas vivencias personales como demostración del nivel de interiorización de todo aquello relativo a la confidencialidad, privacidad, intimidad, etc.. A todo este conjunto de aspectos le podríamos llamar “libertad individual”.

Dicho esto, decir que soy un defensor convencido de la libertad individual y de la privacidad de cada uno. Como anécdotas (ni por asomo habían LOPD's ni afines y por supuesto no tenía ni la más mínima idea de que iba a ser de mayor) totalmente reales contar que:

- El día de la primera comunión (1981) teníamos que confesarnos, dejando de lado los aspectos religiosos que no vienen a cuento, ni se me pasó por la cabeza contarle nada a aquel pobre hombre. No sé muy bien como me lo monté para saltarme el turno pero lo conseguí, básicamente un ayudante del párroco preguntó a quien le toca y yo dije que le tocaba al niño de detrás mio.... como éste no insistió demasiado en que me tocaba a mi pues así quedo la cosa...... A posteriori se descubrió el "engaño" y querían que repitiese la "celebración". No creo que estén esperándome a que vuelva.............
- Hará como 25 años más o menos, cuando aparecieron las primeras pizzerias a domicilio tipo telepizza, pizzaworld, etc., nunca me identifique con mi nombre real. Asociado al número de teléfono de mi casa (y de mis padres) vivía un tal Xavi Fernández (este nombre no tiene nada en especial, fue el primero que se me pasó por la cabeza el primer día que llamé pidiendo una pizza). La verdad es que fue algo totalmente inconsciente, en las sucesivas ocasiones si que ha sido de forma intencionada. A día de hoy lo sigo haciendo cuando llaman de cualquier call center ofreciendo loquesea a un precio irresistible.
- Actualmente mi nombre es más o menos conocido, pero os aseguro que tiempo atrás era casi imposible que a alguien ni siquiera le sonara. Esto facilitaba las cosas porque al pronunciar mi nombre escribían de todo menos eso, algunos ejemplos: Etkart, Elgar, Esgart, etc. A día de hoy tengo algunos cabroncetes como amigos que me siguen llamando "Ijnart". Al igual que hay gente que se ofende por si le escriben el nombre de forma errónea os aseguro que yo estaba encantado de que mi nombre fuese de cierta manera "manipulado".
- Otra costumbre que tenía era la de firmar de distintas formas, tenía la firma “auténtica” y otras aleatorias según el día. No obstante, esta iniciativa tuve que dejar de ponerla en práctica no hará mucho cuando en una ocasión hubo un pequeño problema con la entidad bancaria al retirar cierta cantidad de dinero. Aquel día estaba despistado y firmé con la que no tocaba....... la verdad es que me costó bastante convencer al director de la sucursal (no se trataba de la habitual) ya que me quería retener hasta que llegará la policía.

En la actualidad estoy seguro que todo lo anterior puede ser hasta razonable pero hace 25 años os aseguro que hasta yo mismo me sorprendía de mis "pensamientos". En esa época ni conocía lo que significaba la privacidad, ni había oído hablar ni nada similar. Simplemente tenía presente que determinada información relativa a mi persona no debía tenerla ni conocerla según quien.

La evolución de este planteamiento, y que en ocasiones como esta despierta de nuevo en mi interior, es la posibilidad de “desaparecer” de la sociedad. He pensado muchísimo en como se podría llegar a no constar en ningún sitio, algo similar a un “apagón de la identidad”. Hará como 2 años se publicó esta noticia que me dio esperanzas de nuevo....... no obstante este tema da para otra entrada :-)

CITA DEL DÍA: "El umbral de seguridad aceptable no existe".

Y las notas hijo ?? Toma papá, rellena esta solicitud......

Hoy ha llegado a nuestras manos una propuesta promovida por la Agencia de Protección de Datos de Madrid (APDCM). Habitualmente las entradas del blog las realizamos, independientemente del que la firma, de forma conjunta puesto que los dos mantenemos puntos de vista similares. En este caso, que tarde o temprano tenía que suceder, no ha habido entendimiento entre ambos por lo que compartimos entrada pero no opinión. Os dejamos aquí la noticia y nuestros puntos de vista. ¿De qué parte estáis?

NOTICIA

DANI:

Si bien muchas veces hemos creido que la Agencia (aunque en este caso hablemos de la Agencia de Madrid) ha estado a punto o incluso ha sobrepasado la raya en algunas resoluciones, en caso de dar trámite a esta norma, considero que habrá pisado con los dos pies en el otro lado. No voy a negar que gracias a la AEPD se ha avanzado y mucho en un camino correcto, pero ahora estamos caminando sobre arenas movedizas.

Si un alumno puede "esconder" las notas a sus padres a los 16 años, mucho me temo que para una parte de los adolescentes en esa edad, este hecho hará que la educación a partir de esa edad que se convierta en un "todo vale". Aunque no esté relacionado con la LOPD, y tal vez nos apartemos un poco de nuestra temática, hemos de pensar que la enseñanza en la juventud no está pasando por sus mejores momentos: alumnos "rebeldes", gran fracaso escolar... Una de las pocas medidas que un padre puede tomar es su seguimiento escolar, ligado a premios/reprimendas según los resultados obtenidos. Si este único punto de control lo perdemos también, acentuaremos aún más esta fractura que hay en nuestra sociedad actualmente.

Por otro lado, si actualmente consideramos que hasta los 18 años una persona no es mayor de edad y sigue estando "tutelada", ¿por qué debemos hacer una excepción en este tema? Por supuesto debemos ser conscientes que los datos son personales, pero en este caso entrarían en conflicto con el deber de los tutores.

Si bien la Agencia declaró tiempo atrás que no se podían colgar las calificaciones de los alumnos en tablones públicos, el caso en el que nos encontramos difiere mucho de aquel, ya que la única persona a la que se haría conocedora sería al tutor.

Entonces, en estos casos, ¿qué debemos hacer? Al apuntar al "niño" al colegio, ¿hacemos que firme un consentimiento de cesión de datos para que sus calificaciones lleguen al tutor por parte del colegio?

EDGARD:

Pues en contraposición de mi amigo Dani este planteamiento me parece de lo más acertado. CUALQUIER individuo tiene pleno derecho sobre todos aquellos datos que son inherentes a su persona. El argumento de la edad no me parece un criterio determinante puesto que es un juicio totalmente subjetivo. Hay gente de 40 años que parece que tenga 16 o menos, y viceversa. Siempre nos lamentamos de que no hay concienciación, conocimiento, etc.. relativo a la privacidad y/o la protección de los datos de carácter personal, por tanto, me parece estupendo que desde jovencitos tengan claro que poseen plena potestad sobre sus datos y el consiguiente uso. De ser así estoy seguro que las próximas generaciones harán un uso mucho más responsable de sus datos. Obviamente esto tendrá efectos negativos sobre todos aquellos que hacen un uso ilegítimo y/o bordeando la ilegalidad de los datos de las personas. La propia sociedad exigirá el pleno cumplimiento y respeto en orden de garantizar su propia intimidad.

Probablemente esté tirándome piedras sobre mi propio tejado y me arriesgo a que mis dos hijas, aún lo suficientemente pequeñas por suerte, se lo tomen al pie de letra......... aunque con toda sinceridad me parecerá absolutamente perfecto y legítimo. Otra cosa es que me guste o no.

En cuanto al tema de fondo, que es la educación, considero que las calificaciones sólo son la culminación y el reflejo de como ha ido o como va el curso escolar. En otras palabras, la educación debe ser continua y permanente por lo que siendo unos progenitores responsables deberíamos saber en todo momento como está yendo la educación y formación de los "niños". Hay muchos otros temas relacionados como la comunicación padres-hijos, la confianza, el respeto, los valores, la propia escuela, etc. que dependiendo de como se encuentren este tema no dejara de ser una anécdota. En definitiva, estoy convencido de que la solución está en la casa particular de cada uno, es un asunto a solventar entre padres e hijos. Como es lógico no voy a entrar en más detalle puesto que no es para nada la temática del blog.

CITA DEL DIA: "Cuanto más inseguro te sientes más seguro te haces"

Para reflexionar.........

A pesar de que inicialmente no habíamos contemplado hacer nada especial con las citas del día que cierran la práctica mayoría de entradas del blog, hemos pensado que quizás sería interesante recopilarlas de forma periódica. Detrás de cada cita se esconden momentos de reflexión, más o menos profunda, que en algunos casos nos ha servido como idea para futuras entradas del blog. A pesar de la brevedad de ellas creemos que hay muchas que pueden dar, para bien (ejercitar neuronas) o para mal (dolor de cabeza), mucho juego al intelecto de cada uno .........

Sin más aquí las tenéis en su totalidad. Obviamente están sujetas a vuestras alabanzas, críticas, consultas, dudas, etc.

1.- La seguridad únicamente existe en un estado de inconsciencia.
2.- Si la seguridad plena no existe, ¿qué hacemos aquí?
3.- Si el estado de seguridad absoluta existiese no harían falta las copias de seguridad.
4.- Si te sientes seguro, es que no has entendido nada.
5.- La seguridad no es más que un aceptable nivel de inseguridad.
6.- El único secreto para estar más seguro es sentirse inseguro.
7.- La seguridad es un proceso y tú eres parte de él.
8.- y recuerda que la seguridad no existe, es sólo una sensación...
9.- El ordenador más seguro es aquel que está apagado.
10.- La seguridad es un valor en alza, invierte en ella!
11.- La seguridad ni se crea ni se destruye, sólo evoluciona.
12.- No te quedes en el primer nivel, investiga!
13.- ¿Qué diferencia hay entre la inseguridad y la seguridad? Ninguna, se trata simplemente de una sensación.
14.- De la seguridad a la inseguridad apenas hay distancias, a la inversa es todo un abismo.
15.- Si tu sistema es seguro es que no lo ha atacado la persona adecuada.
16.- Sentirse seguro es un error, sentirse inseguro es una virtud.
17.- Tu controlas la seguridad pero la inseguridad te controla a ti.
18.- Seguridad o inseguridad, esa es la cuestión...
19.- El que mucho abarca... sufrirá para defender...
20.- El desconocimiento es el caldo de cultivo de la inseguridad.
21.- Un incidente de seguridad no es un error sino una oportunidad de mejora.
22.- A quién buen firewall se arrima buena seguridad le cobija.
23.- Las modas pasan, la seguridad queda, no te dejes llevar por lo que ves en las pasarelas.
24.- El que siembra vientos, recoge tempestades!!!, en seguridad también.

CITA DEL DIA: "¿Qué no has tenido suficiente?;-)"