Ley de Yoran y Spaf

eWeek tiene una buena descripción del primer principio de administración de seguridad de Spaf: Si tiene la responsabilidad de la seguridad pero no tiene autoridad para establecer reglas o castigar a los infractores, su propio papel en la organización es asumir la culpa cuando algo grande sale mal.

El principio se publicó por primera vez en el libro del que fui coautor con el profesor Gene Spafford de la Universidad de Purdue, Práctica seguridad en Internet y UNIX . Es directamente aplicable al caso de Amit Yoran, quien renunció a la División de Seguridad Cibernética Nacional del Departamento de Seguridad Nacional. Según el autor Ben Rothke, Yoran carecía tanto de un título importante como de la autoridad adecuada, que lo son todo en el gobierno.

Personalmente, creo que el problema de la seguridad cibernética es uno que debe resolverse construyendo un consenso lentamente, no con el establecimiento de seguridad informática, sino con los usuarios de computadoras en todo el gobierno. Tenemos un problema muy profundo que proviene de la implementación de una serie de sistemas informáticos que son muy difíciles de proteger. Arreglar la situación será un proyecto de varios años, uno en el que la autoridad vendrá del consenso, la construcción de puentes y la persuasión de los argumentos, no de organigramas y líneas presupuestarias.

Todo el enfoque del zar de la seguridad del ciberespacio es fundamentalmente defectuoso. Espero que la próxima administración pueda comenzar con un nuevo enfoque.





Debo señalar que fui coautor Seguridad práctica y UNIX con el Dr. Spafford, pero la ley es toda suya.

esconder