Seguridad excesiva

Tema de moda? Posiblemente sí y quizá sea una consecuencia del 11 de septiembre, aunque lo antecede en aparición: se trata de la seguridad de los sistemas. El resguardo de los datos se ha convertido, ahora más que nunca, en una confirmación del dicho “la información es poder”. Nacen compañías que se encargan de respaldar la información en otros lugares, de encriptarla para que quien la encuentre no sea capaz de saber lo que dice una sola palabra, otras tantas se encargan de crear programas llamados firewalls que, como su nombre lo dice, son una barrera proteccionista a la información clave para un cliente… y la lista sigue y se sustenta en el valor que cada quien le da a sus datos, a la pérdida de ellos o a la intromisión de intrusos.

- “Los extremos nunca son buenos y, en términos de seguridad, si ignora los riesgos a los que se enfrenta su compañía, puede ser fatal. Pero, por el contrario, si hace de la seguridad el centro de su área de sistemas, entonces no está sirviendo bien a su empresa. Por eso, debe existir un balance”, asegura Alan Brill, director senior de Servicios de Tecnología de Kroll, una consultora de riesgos con todo tipo de servicios desde fraudes financieros hasta los de tecnología.

- Durante tres décadas, Brill se ha dedicado a la investigación de todo tipo de conflictos, incluidos los informáticos. Ahora, su tarea es investigar los ciberincidentes, sin dejarse influenciar por modas, al contrario, realiza una investigación rigurosa como si fuese un delito. Busca causas y consecuencias, pero también trata de atar todos los cabos para que no exista una segunda oportunidad. Y he aquí uno de sus consejos más valiosos: “La lección que hemos aprendido es que son las cosas pequeñas las que pueden hacerte daño, como tener corriendo servicios que no son utilizados en la red o que no aplican parches de seguridad”.

- Y es que la mayoría de los ingenieros de sistemas centran su atención en lo que está de moda, llámense virus o hackers y con base en esos sucesos toman sus decisiones de seguridad. Otras corporaciones apenas se están subiendo al tren de la seguridad, precisamente porque el tema está en boga, de ahí que muchos ingenieros de sistemas lleven el tema al escritorio del director general, aunque poco sepan de él.

- Sin embargo, el consultor asegura que por más que se haya dicho y sea una frase trillada, la realidad es que 80% de las veces el problema se genera dentro de las organizaciones porque la gente no sigue las reglas o porque no existen tales. Por ejemplo, en los 90 se pusieron de moda los firewalls y muchas compañías los adoptaron porque se convencieron de que el algoritmo de encriptación era tan complejo que sería prácticamente imposible descifrarlo para penetrar en su sistema. Estos actores invirtieron en una solución que no necesitan y que les dificulta la administración de los equipos cuando ya existen firewalls de hardware que les brindan 98% de seguridad para que el encargado se dedicara a otras tareas en lugar de desempeñar un rol de niñera.

- La administración de riesgos
“En 31 años que llevo viendo crímenes de computadora, nunca he visto a una computadora cometiendo un crimen. Sólo hacen lo que se les ordena”, comenta con ironía Brill. Y para saber quién ordena los delitos es muy sencillo, sólo debe preguntarse lo siguiente: ¿sabe qué personas trabajan para usted? Realice una verificación de sus antecedentes. ¿Han tenido problemas antes? ¿Han hecho lo que dicen?

- Brill admite que las estructuras de los negocios de la actualidad son más complejas que hace una década, pues ahora están montadas en la misma infraestructura tecnológica los empleados, pero también el personal subcontratado, el temporal y los proveedores con la aparición de los CRM (programas para la administración de las relaciones con los clientes). Entonces, ¿cómo saber si la gente es confiable?

- Por lo general, cuando las personas comienzan en un trabajo firman acuerdos de confidencialidad, pero lo más probable es que nunca más se les haga una revisión o actualización, como se hace de otros aspectos como el desempeño. Brill recomienda que cada año, cuando comiencen este proceso, los abogados de la compañía deben revisar los acuerdos de confidencialidad en el uso de computadoras y actualizarlos, como si fuera otro punto de la evaluación de desempeño. Así, cada año se firma un nuevo acuerdo de confidencialidad. “Es muy útil sobre todo si han cometido algún delito y hay que ira juicio”. Por otra parte, la unidad de sistemas deberá construir modelos idóneos de un servidor, de una máquina de escritorio y de una portátil. Replicarlo en cada máquina para que la base instalada tenga la misma configuración en cuanto a los parámetros de seguridad previamente acordados. “Es como en el futbol americano. Todo empieza con los fundamentos de bloquear y taclear. No se necesita ser un genio para saber que no todas las personas deben ver toda la información y que se requiere una segmentación de la red para que nadie tenga acceso a la parte de los altos mandos o al departamento legal, por ejemplo. Eso es trabajar con los fundamentos”.

- Para Brill, el nombre del juego es administración del riesgo y lo primero que se debe hacer es evaluar el riesgo y cómo manejarlo. “Algunas compañías recurren a aseguradoras para obtener pólizas; sin embargo, no todas están preparadas para este tipo de siniestros o no los cubren precisamente porque conocen las consecuencias”.

- Entonces ¿qué hacer? El entrevistado asegura que lo primero es que la dirección general junto con las demás direcciones de área elaboren los fundamentos de seguridad en general y no sólo pensar en el área de ventas o en la protección de la nómina. Considerar los puntos de bajo riesgo, como una mala contratación por parte de Recursos Humanos de una persona que aprobó satisfactoriamente el desarrollo de programas y software, pero que no está interesado en los parámetros de seguridad que debe contemplar. “Estipular, incluso, que si algún empleado nota que algo no funciona o que está mal, tiene la obligación de reportarlo. Para eso, por supuesto, hay que entrenar a la gente y darle las herramientas de lo que se puede y lo que no”.

- Es casi imposible estar en cero riesgo, asegura Brill. La gran recomendación es que los altos mandos averigüen cómo se siente el departamento de ti con respecto al tema de la seguridad, así como las demás áreas y a partir de ahí crear las reglas. Pueden ser tan meticulosas y estrictas como lo requiera la misma organización. Lo importante es que existan.