La seguridad informática contra la pared

Recuerdo haber escrito hace algún tiempo un artículo que titulé “El Eslabón más Débil de la Seguridad”, o algo así. En él me refería obviamente al usuario, aquel ‘semidiós’ que tiene en sus manos el poder de proteger sus datos personales –o los de su empresa– o dejarlos en el total desamparo.

Este artículo me vino a la mente ya que en los últimos días he estado asistiendo a varios eventos tecnológicos y en muchos de ellos –la mayoría– los expositores hacían hincapié en que la educación del usuario es fundamental para la seguridad.

¿Por qué? Simplemente porque es el usuario el que puede, inadvertidamente, poner en peligro la seguridad de los datos de su empresa. Y esto puede ocurrir a pesar de todas las medidas de seguridad tecnológicas y de todas las políticas que se impongan en una organización.

La empresa puede, por ejemplo, establecer una política mediante la cual se prohíbe el uso de USBs en las computadoras, y otra que señale que a cierta información, como los estados financieros de la empresa, sólo pueden acceder ciertos ejecutivos de la firma.

¿Seguridad total? No. Al menos no del todo. Hay que considerar también el ‘factor humano’, es decir, la ineludible capacidad que tenemos todas las personas de cometer errores.

Y esto lo menciono porque, en una reunión, un colega me contó que había recibido un correo ¡con la base de datos de clientes de una empresa! Yo, por mi parte, le relaté que había recibido los estados financieros de otra. El correo me lo había enviado un alto ejecutivo que alguna vez había entrevistado para un tema relacionado.

¿Qué pasó? Que obviamente me encontraba dentro de la agenda de contactos de su correo electrónico y que, seguramente, me encontraba arriba o debajo de la persona a la que le debió haber llegado esa información. Bastó un descuido para que todas las políticas de seguridad y herramientas tecnológicas contra pérdida de datos fueran superadas inadvertidamente.

El eslabón más débil de la cadena de seguridad –el usuario– nuevamente se rompió.

Y, por supuesto, nada tiene que ver la formación que el usuario tenga en otros campos. Estoy totalmente seguro que la persona que me envió ese correo y esa información tiene el puesto que tiene por sus muy reconocidas capacidades profesionales e inteligencia. Un descuido lo puede tener cualquiera.

Por tanto, la educación del usuario –a todo nivel– es fundamental. Y el departamento de TI no debe confiar en que un usuario sea infalible, tenga el puesto que tenga. Las reglas de seguridad deben incorporar a todos, y si es necesario imponer restricciones hay que hacerlo.