11 agosto 2008

La curiosidad, un enemigo de la seguridad

Todos estamos acostumbrados a escuchar aquello de que el mayor foco de riesgo viene del interior de nuestras organizaciones. Y es que, por el simple hecho de tener que acceder a información privilegiada para realizar su labor, nuestros usuarios son precisamente los que más fácil pueden provocar su exposición no autorizada. Argumentos tan simples como los malos hábitos de estos "insiders" son, en la práctica, las causas más habituales de las brechas de seguridad. Aunque eso no quita para que haya otros estudios que afirmen, a la contra, que dicha amenaza es exagerada... La clave de esta contradicción la podemos encontrar, tal y como nos aclara Sergio Hernando en su análisis de dicho estudio, en el impacto que producen cada tipo de incidentes: como era de esperar, las brechas de seguridad con origen interno provocan mucho mayor impacto que las de origen externo. De todas formas, los resultados de dicho estudio parecen ser bastante dispares en relación a los de otros estudios similares que van apreciendo, y que nos viene a recordar que las violaciones de seguridad interna parecen ir en constante crecimiento...

Pero el objetivo del post de hoy no es disertar sobre si el mayor foco de riesgo está dentro o fuera de la organización, sino analizar una de las causas más frecuentes de la aparición de brechas de seguridad: la curiosidad. Desde mi punto de vista esta es, junto con los errores y los cabreos, una de las tres principales causas de los incidentes de seguridad.

La curiosidad es algo innato al ser humano, y uno de los principales motores de nuestro aprendizaje. Esto es así desde la más tierna infancia, y cuanto mayores sean las ganas de aprender de una persona más desarrollada estará su curiosidad. Curiosidad, obviamente, hacia lo desconocido, y sobre todo hacia aquello que sabemos que se puede llegar a conocer. ¿Y qué mejor entorno para desarrollar esta curiosidad que un entorno en el que se trabaje con distintos niveles de clasificación de la información, con información cuya distribución esté restringida, o en el que las personas muestren (o se les exija, incluso) una importante capacidad de aprendizaje?

Esta curiosidad mueve a muchas personas a tratar de conocer qué hay más allá de su ámbito. '¿Hay algo interesante en el monitor de al lado, en la mesa de al lado, en el fichero de al lado? Seguro que sí! ¿Y por qué no tratar de ver si me puedo enterar?' Conocer lo prohibido, descubrir lo que sabemos que existe, es una motivación muy intensa para algunas personas. Y no es necesario que haya una motivación ulterior, el descubrimiento en sí mismo ya es suficiente premio. ¿Quién no ha querido conocer la nómina de su jefe, o el contenido de una carpeta del servidor de ficheros etiquetada como "top-secret"? Y es que, al fin y al cabo... ¿A quién no le gustaría ser el protagonista de una peli de espías?

Ante esta amenaza es muy complejo luchar. Nunca podremos eliminar este tipo de motivaciones, son inherentes al propio ser humano. Aquí ni siquiera la concienciación sirve, sobre todo si pensamos en la cultura "mediterránea" (quizás con una forma de ser mucho más rigurosa, como la asiática o la germana, sí que fuese posible). ¿Qué estrategias podemos adoptar? A mí se me ocurren dos.

La primera es la obvia: centrarnos en los controles, en las normas de seguridad, y reforzarlas para ser capaces de impedir que esos impulsos de curiosidad sean fructíferos. Limitar al máximo la cantidad de "pistas" sobre la existencia de algo "más allá" puede ser una buena estrategia: si no somos conscientes de que existe tierra al otro lado del mar probablemente no querramos arriesgarnos a cruzarlo.

Por contra, la segunda es totalmente opuesta: máxima apertura y transparencia. Si todo el mundo puede conocer toda la información, no hay forma de que se produzcan brechas de confidencialidad. La curiosidad puede ser plenamente saciada. ¿Os parece una alternativa válida?

Obviamente, cada una de las opciones tiene sus ventajas e inconvenientes, y seguro que ambas tienen sus defensores y detractores. ¿Qué beneficios veis a cada una de ellas? ¿Cuál os parece más viable? ¿Cuál más efectiva? Estoy deseando escuchar vuestras opiniones

2 comentarios:

Chesco dijo...

No veo una buena solución la de puertas abiertas para todos los integrantes de una organización interna. Es más, me parece una muy mala opción porque, entre otras cosas, sería facilitarle el 'trabajo' a algún intruso que lograra burlar la seguridad perimetral.

En este caso, soy partidario del control estricto sobre usuarios, perfiles y demás.

Joseba Enjuto dijo...

Quitar las paredes internas de la oficina no significa necesariamente tener que tirar también los muros exteriores... De todas formas, lo que sí es claro es que un ataque con éxito siempre tendrá daño potencial si no existen los límites internos. Esa ha sido la concepción clásica de la seguridad, aunque... seguirá siendo la misma en una sociedad 2.0? Enlazando esta alternativa con mi reflexión acerca del tema, alguien quiere añadir algún comentario?