El 95nM o “Número
mágico del Administrador de Seguridad” es el término acuñado para describir
al valor -95 en este caso- en que se suelen
suceder los sucesos que usualmente son representados por un falso valor 99;
99.9; 99 %; 99.99 %; 99/100 o simplemente 99,999999999.
Su principal utilización se da en el campo de la
informática, más aún dentro de la seguridad
informática y la seguridad de la
información. Su representación formal es 95nM.
A este valor también se lo conoce como:
-
Número mágico del Administrador de Seguridad.
-
95nM.
-
Mn95.
-
95 número mágico.
-
95 %.
Otras definiciones:
-
MnXCV.
-
Mn10111111.
Algunas de las máximas que soportan a esta cifra son:
“El 95 % de los superiores o gerentes no están capacitados
para administrar sus respectivos puestos de trabajo y no vamos a tratar de
saber cómo llegaron a ocuparlos”.
“El 95 % de los ataques a las Organizaciones son internos”.
“El 95% de las personas trabajadoras de una Organización
no quieren capacitarse”.
“Todo gira alrededor del número 95, sino fíjense en Apiano,
Americio, Birmania, el Rayo McQueen, Chicago (nombre clave), Mandela y en los
anteojos”.2007
En realidad, el 95nM se aplica en casi todos los órdenes
de la vida, por lo menos en el planeta Tierra.
El 95nM es el número y porcentual realista de los hechos
que se suceden en una Organización, a saber:
Cuando estudiamos “seguridad informática”, una típica
afirmación de los profesores es que:
“el 75 %” de los ataques a una empresa son hechos por el
personal interno”.
Además, suele ser una pregunta de examen o certificación.
Este número es una mentira, ya que en la práctica,
sabemos que “el 95 %” de los ataques a una empresa son realizados por el
personal interno.
Podría ser el 99 % también, pero sería llevarlo al
extremo de los ejemplos, por lo que en el 95
encontramos el número perfecto para graficar éstas y todas las situaciones que
le asignen el valor de 99,9 %, como ser las típicas publicidades de: “removedores,
insecticidas y limpiadores que matan al ¿99,9 % de los 'insectos' y de las
'bacterias'?”.
Volviendo al caso de los ataques internos –dentro de la
seguridad informática/información- dentro de las Organizaciones, lo
explicaremos de la siguiente manera:
Una Organización típica tendrá que protegerse de los
ataques externos con dispositivos y aplicaciones como: firewalls, antivirus, IPS,
IDS, bloqueo de contenido web, análisis de tráfico, anti-SPAM, anti-BOTNET,
anti-APT, anti-DDOS, anti-PISHING, anti-RANSOMWARE, etc., etc., y más
anti-etcéteras.
A partir del 95nM, podemos decir que “un 5 % de los ataques a las entidades son
externos, ya que voy a tener como punto de ingreso externo de dichas
agresiones, una o dos bocas ‘legales’ que me comunican con el exterior -en
situaciones normales- y que, como Administradores de Seguridad tendremos que
cerrar con todos los dispositivos posibles. Es decir, por una misma vía me van
a tratar de ingresar virus, troyanos, malware en general, bombas lógicas, ransomware,
botnets, APT y la más incontrolable de todas las amenazas, de consecuencias
rápidas y peligrosas: la ‘ingeniería social’ practicada por seres humanos…”.
“Se invertiría la tristemente célebre afirmación de que
el 95nM de que los ataques a las empresas ‘son’ internos, por un mensaje
alentador como: el 95nM de las empresas ‘no’ sufren ataques internos”.
Sobre la capacitación y la concientización de las
personas: “Las dos tareas son muy difíciles de llevar a cabo, ya que
prácticamente al 95nM de las personas pertenecientes a una Organización no les
gusta estudiar ni capacitarse. Menos aún si durante la capacitación no se ofrece
café, té rojo, galletitas y no se sortean tabletas, valijas porta notebooks, calentadores
para tazas USB, remeras o ‘pads’ de calaveras para el mouse (se conforman con
cualquier cosa)”.
Sobre la PUA, los manuales, los procedimientos y las
políticas de seguridad: “No importa la cantidad de usuarios de una Institución,
podríamos afirmar que en el 95nM de los casos, las normas, procedimientos y
circuitos administrativos son los mismos”.
Sobre el uso de las redes sociales: “Está claro que en el
95nM de las Organizaciones -dependiendo del segmento/mercado a que se dedican-,
no queda bien visto que un usuario vaya hasta el escritorio de otro usuario a
solicitar un informe o dejar un formulario, o a hacer una consulta, y que la
otra persona no lo ‘atienda’ hasta que éste no lee, publica o envía lo que está
‘pensando’”.
Sobre las pruebas de Restore-Backup que nunca se
realizan: “En una empresa (o en el 95nM de ellas) el pensamiento es el mismo:
si todo anda bien -en mayor o menor medida-, pero anda, hay que dejarlo así”.
== Referencias ==
Todas estos párrafos fueron extraídos del “Ensayo: Manual
para un Área & Sector de ‘inSeguridad’ de la Información & Informática”
y pueden ser consultadas en el blog:
2007: En el citado ensayo, la frase original es: “Todo
gira alrededor del número 95, sino fíjense en el Americio, en Birmania y en los
anteojos”.
¡Salud!