Interesante artículo el que nos acerca José Antonio Ruiz Gaona, bajo el título Los 6 peores errores en seguridad.
Dado que José ha traducido y ampliado el artículo original, mejor citar directamente sus comentarios, ya que es una traducción correcta y precisa, y que por tanto, aprovecho para republicar 
1. No disponer de una correcta arquitectura de seguridad: La seguridad debe cimentarse sobre una base sólida para que sea realmente efectiva. Una adecuada política de seguridad e -indispensable- un sistema de gestión de seguridad de la información (SGSI) que funcione, son vitales para una correcta defensa.
2. No invertir en formación: Difícilmente se va a poder luchar contra el peligro si no se tiene un conocimiento mínimo de la naturaleza del mismo. Invertir en formación en seguridad garantiza el uso adecuado de los recursos que se dispone para defenderse.
3. Gestión negligente de identidades: Sobre todo para grandes empresas, una inadecuada gestión de identidades genera infinidad de cuentas de usuario para cada aplicación o recurso, generando altos costes de gestión y lo más importante, imposibilitando la aplicación eficiente de las medidas de seguridad. Cualquier administrador de un firewall sufre este problema, gestionando listas de ACL's cada vez mas grandes y menos intuitivas.
4. Ignorar en riesgo interno: Aparte de la posibilidad creciente de que un puesto de trabajo acabe troyanizado desde el exterior, el usuario interno tiene siempre más conocimiento que cualquier atacante externo, además del acceso obvio a los recursos críticos (física y/o lógicamente), y en muchos casos incluso mayor motivación para comprometer la seguridad. Habitualmente se obvia este riesgo, que es la mayor causa de ataques intencionados y negligentes.
5. No proteger adecuadamente las aplicaciones web: La informática ha dado un giro copernicano en los últimos años con la llegada de las aplicaciones basadas en web, tanto o más que el paso de sistemas cerrados a sistemas abiertos de la década de los 90. Ahora parece que todas las aplicaciones deben ser portadas al navegador, y casi siempre son diseñadas sin pensar en la seguridad. Los viejos sistemas de seguridad (firewall clásico) son absolutamente inútiles ante ataques vía web, y son un filón para atacantes que aprovechan un nuevo abanico de posibilidades: Inyeccion SQL, Phishing, XSS,...
6. Adquirir productos supermegacompletos último modelo: "¿no tienes un IPS con IPv6 multihost nivel 7? Mortimer, estás fuera de onda" Comprar productos de moda, o grandes y complejos sistemas de seguridad no es la mejor manera de garantizar la seguridad. Hay que perseguir siempre la mínima inversion con el mejor rendimiento, y sistemas de seguridad con funcionalidades no necesarias o simplemente por encima de requerimientos no son la forma más adecuada y a la larga se volverá en contra, tanto por coste, como por complejidad de utilización.
Parece un resumen muy completo. Quizás deberíamos matizar que el punto sexto no tiene por que ser un error. Comprar la última tecnología no tiene por qué ser malo. Sólo las compras que acarrean descontrol en la puesta de producción son las que realmente provocan brechas en los sistemas.
Yo añadiría un error que puede ser parte del primero, pero que voy a sacar fuera para redundar en él. Cuando la gestión de la seguridad no está alineada con los requisitos del negocio, y por tanto, gestionada por gente a la que le importa todo menos esos requisitos, se suelen incurrir en problemas importantes. Es habitual, por desgracia, que algunas personas con excelente capacitación técnica sólo tengan en mente cuestiones técnicas, y que desoigan cualquier tipo de directriz no técnica. Esta gente, que va a su aire, no aporta nada bueno a la organización, primero porque están rompiendo los principios básicos de trabajo en equipo, y sobre todo, porque nos guste o no, la gestión de seguridad *NO* es la piedra angular sobre la que gira la empresa: es sólo una fracción, que debe estar necesaria y forzosamente en sintonía con los requisitos de negocio de la organización.
Gracias por la traducción Jose !!! 
Si me permitís que amplíe un poco el punto 2, la formación en seguridad ha de incluir la concienciación de los empleados, sin cuya colaboración es imposible conseguir un nivel aceptable de seguridad.
Sobre todo es importante que sepan que los antivirus y los firewalls no sustituyen nunca una conducta responsable ante los sistemas de información, como el cinturón de seguridad y el airbag no reemplazan de ninguna manera la prudencia al volante.
Por otro lado, es de lo más efectivo convencerles de que los incidentes de seguridad cuestan tiempo y dinero, y suele causar mayor efecto el factor tiempo (es decir, una infección de virus puede obligarte a salir dos horas más tarde, porque los sistemas estarán caídos y no podrás terminar tu trabajo).
En fin, en mi organización (anglófona ella) dieron con un bonito eslogan sobre seguridad de la información que resume todo lo anterior en cuatro palabras:
“Security is your business”
Saludos
Comentario Autor: Manu — 11 Septiembre 2006 @ 8:48 pm
Manu,
¿Qué tal?
Qué me vas a contar del factor interno. Sin duda, es el factor clave. Ya en su día hice un esbozo sobre el tema, y es que el factor interno puede y es determinante no sólo ante errores no intencionados o el manejo negligente de las TIs puede resultar letal.
Pero no sólo ante usos negligentes, sino también en usos malintencionados, los que se hacen a conciencia sabiendo lo que se hace
La seguridad, entendida como proceso clave de las organizaciones, debe ser como la calidad: debe emanar de la alta dirección y debe propagarse por toda la organización, impregnando todos los escalafones. En caso contrario, no hay gestión de seguridad efectiva.
De todos modos, es muy difícil encontrar organizaciones donde la seguridad haya calado en todos los estratos con energía y eficacia. Siempre se precisa de una supervisión administrativa, severa en muchos casos, para tratar de poner remedios automatizados a la conducta de la gente. Un engorro, pero no hay otra
Un saludete !
Comentario Autor: Sergio Hernando — 14 Septiembre 2006 @ 9:45 pm