24 octubre 2007

El lunes Javier Cao publicó este interesante post acerca de la preocupante situación general en materia de seguridad de la información en España. En él comenta los indicadores que utiliza el INTECO para medir el estado de la seguridad informática en los hogares españoles, y en particular analiza y comenta los indicadores referentes a los motivos que alegan los ciudadanos para no poner en práctica ciertas medidas de seguridad y a la percepción general de la seguridad por parte de la ciudadanía.

Sin entrar a valorar específicamente los indicadores, sí que me gustaría aportar mi punto de vista sobre sus posibles causas y algunas posibles vías de actuación. Porque con lo que sí coincido completamente es con la visión pesimista que ofrecen los citados indicadores.

El principal problema, creo yo, es que no hay conciencia social en relación a la seguridad. Pero no sólo porque a la gente no le preocupe la seguridad, sino porque la desconocen. En muchos casos, los ordenadores son unos cacharros con los que te peleas hasta que consigues hacer lo que quieres, más o menos, y a su manera. En otros, son un juguete más o menos sofisticado con el que enredar. Y en otros, símplemente una vía para acceder a un montón de material gratuito que realmente sólo interesa por el hecho de que no hay que pagar específicamente por él. En resumen, una herramienta bastante compleja cuyo funcionamiento real se desconoce y no interesa, mientras haga lo que nosotros queremos.

Creo que el principal problema está en convencer a los usuarios de que los ordenadores no hacen sólo lo que queremos, que aunque no se den cuenta están realizando un montón de tareas además de las que ellos les encomiendan. Y que si no los entiendes bien, ni siquiera conseguirás que hagan lo que tú quieres, sino sólo algo que se le parece. Los usuarios deben ser conscientes de la complejidad real de la máquina que tienen entre manos. Porque sólo si lo vislumbran se empezarán a preocupar. Y sólo si se preocupan (perciben el riesgo) decidirán que puede ser interesante adoptar ciertas medidas de seguridad.

Por otra parte, creo que sería necesario realizar un esfuerzo para conseguir que el usuario medio doméstico conozca las distintas soluciones gratuitas de seguridad que existen. Hay muchas webs públicas donde se pueden localizar, pero... ¿Cuántas de estas webs son visitadas por el usuario doméstico medio?

También creo que sería necesario que estos productos (antivirus, antispyware, firewall personal, etc.) estuviesen integrados en los equipos desde el momento inicial (compra). Pero no una versión temporal, sino una completamente funcional y por la que el usuario no deba pagar. Seamos sinceros, la mayor parte de los usuarios no paga por seguir utilizando algo que le han "regalado" sin pedirlo expresamente. Y tampoco si lo puede conseguir sin pagar por una vía alternativa. Así el usuario adquiriría un producto en el que la suite de seguridad no provoca ralentizaciones adicionales (ya que no conoce la velocidad sin ella) y cuya estabilidad y funcionamiento adecuado de partida estaría probado.

En definitiva, creo que las vías de actuación pasan por "obligar" al usuario a disponer de soluciones de seguridad fácilmente utilizables, y por "meterle miedo" hasta que sea consciente de los riesgos que existen. No son soluciones políticamente correctas, pero a corto plazo me parecen más efectivas que un programa de concienciación colectiva acerca de la seguridad de la información. Y de hecho podrían servir de caldo de cultivo para que una posible campaña de concienciación tuviera más gancho. Al fin y al cabo, la inseguridad no es un enemigo que juegue limpio...

2 comentarios:

José Manuel Fernández dijo...

No me prodigo mucho últimamente por el tema del trabajo, pero felicidades por las nuevas funciones vinculadas con seguridad en tu empresa ...

Joseba Enjuto dijo...

Veo que tienes buenas fuentes... Jeje! Gracias por la felicitación. Espero ser digno merecedor de dichas funciones...