19 septiembre 2007

El problema interno

En el sector de la seguridad de la información es ampliamente conocido eso de que el principal riesgo de seguridad está en el interior. Sin embargo, y por mucho que se repita esa frase una y otra vez, es muy habitual ver importantes inversiones en seguridad perimetral, quizás influenciadas por las repercusiones mediáticas que tienen los escasos pero sonados ataques externos exitosos y muy dañinos que de vez en cuando son noticia en cualquier medio de comunicación generalista.

Sin embargo, como dice este artículo, no son necesarios los atacantes externos para que las empresas puedan sufrir graves incidentes de seguridad. De hecho, el error humano, los ataques internos de personal descontento, los errores de programación o los fallos de hardware son causas mucho más habituales de incidentes de seguridad que los ataques externos, y en muchos casos con repercusiones mucho mayores. De hecho, tal y como afirman en este artículo, uno de los principales quebraderos de cabeza de los responsables de seguridad actuales son los pen-drives, o memorias USB. Tanto desde el punto de vista de la extracción de información corporativa para beneficio propio como desde el relativo a los riesgos que puede suponer la pérdida de estos pequeños dispositivos con tan alta capacidad de almacenamiento.

¿Cómo se pueden evitar estos problemas? En general, mediante dos estrategias complementarias. La primera de ellas trata de gestionar los riesgos derivados del eslabón humano, el más débil de la cadena. Y no sólo mediante la formación, evidente para cualquier iniciado, sino sobre todo desde el departamento de recursos humanos, que debe desarrollar políticas de personal que traten de mantener "contentas" a todas las personas de la organización.

La segunda estrategia es complementaria, ya que se encamina a la gestión de los riesgos de componente técnico. Básicamente, y en línea con lo que refleja el artículo señalado inicialmente, hay que tratar de simplifircar la tecnología y tener en cuenta la seguridad desde el principio. Divide, asegura, y vencerás. La tecnología lo permite. Entonces, cuál es el problema? El de siempre: el coste. Queremos realmente hacer el esfuerzo de diseñar e implementar sistemas seguros? Compensa la inversión?

Precisamente los costes son uno de los principales problemas de los gestores de TI en todo el mundo, tal y como dice este artículo. Pese a que la seguridad de la información sea una de las prioridades en este ámbito, parece ser que el coste es excesivo. Además, ese mismo artículo refleja la aseveración inicial de que el riesgo interno no se percibe como tal, y desde mi punto de vista esta puede ser una de las causas del insuficiente apoyo directivo a la seguridad de la información del que también se quejan los gestores TI.

Cuál es, por tanto, la vía de actuación a seguir? Ambas estrategias de reducción de riesgos de seguridad de la información son complementarias, pero con la ventaja de que hasta cierto punto una puede cubrir las carencias de la otra. Aquello que no podemos lograr con tecnología quizás seamos capaces de conseguirlo con "mano izquierda" en materia de seguridad. Por tanto, será cuestión de cada responsable, una vez conocida la cultura empresarial, decidir qué combinación de estrategias adoptar a la hora de tratar de reducir los riesgos identificados para conseguir los fines deseados. Al fin y al cabo, cocinar es algo más que mezclar ingredientes. Y todos sabemos que la cocina es un arte...