La seguridad utópica y la importancia del usuario
- Opinión
La formación continua a los usuarios, en lo que a materia de protección se refiere, cobra especial importancia en los tiempos que corren. Así lo aconseja Ibor Rodríguez Barredo, CIO de Amavir, una de las compañías líderes en España en la atención a personas mayores y dependientes, en esta tribuna de opinión.
La llegada del GDPR (Reglamento Europeo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y la libre circulación de los mismos, 2016/679), ha hecho que en los últimos meses todos estemos un poco locos ajustando la documentación, los mensajes de las páginas webs, el nombramiento del DPO, el análisis de riesgos.... cosas que ya deberíamos de estar haciendo desde hace tiempo, para mitigar la pérdida o el robo de información en las empresas donde desempeñamos tareas.
Y digo mitigar porque nadie, ni siquiera las entidades gubernamentales, los ejércitos, o las comunidades de vecinos están protegidos al 100% ante los ataques, ante el mundo que vivimos, ante la hiperconexión de las cosas y las personas.
Solo aquellos sistemas endógenos, que no tuvieran contacto con el exterior, en los que ni siquiera un ser humano pudiera salir (ni entrar) jamás, serían totalmente seguros.
Porque el mayor peligro se encuentra en los individuos, en los usuarios que pueblan nuestros entornos, aquellos que interactúan con los programas, aquellos sobre los que no podemos ejercer un control total (ni debemos).
Pocos hay que tengan la valentía de usar contraseñas distintas para cada una de las aplicaciones, o los que, forzados por políticas robustas, se ven obligados a usar caracteres mayúsculas y minúsculas, números, símbolos, hechizos mágicos…...y entonces, sucede lo peor, papeles amarillos pegados al monitor con sus contraseñas bien visibles, para que no se les olvide el churro que han usado.
La implantación de sistemas de correo externalizados (Exchange Online, Google Mail, Zoho Mail) han ayudado bastante a que por lo menos el volumen de correos fatídicos disminuya considerablemente (agujero principal), ya que tienen incorporados sistemas de análisis previo. Si lo contaminado no llega, no tendremos porqué infectarnos.
También la formación continua a los usuarios, en lo que a materia de protección se refiere, cobra especial importancia en los tiempos que corren. Actualmente todos somos conscientes de qué “debería de” saber el usuario: que “no debe dejar el ordenador sin bloquear”, que no debe de dejar sus papeles encima de la mesa, que no entregue su PIN de tarjeta de crédito a cualquier persona…..pero, es un ser humano.
Si seguimos en la línea de protección perimetral, otra opción interesante es la instalación de algún firewall que soporte la detección de malware, virus, exploits o ramsonware, ya que todo lo que “entra” es susceptible de contagiarnos. (ejemplo, la tecnología TRAPS de PaloAlto)
Como no vamos a poder sacar a los usuarios de nuestros sistemas, podemos evitar, mediante unas sencillas políticas de Windows, bloquear la instalación de software (malicioso o no), y que solo aquellos programas controlados desde sistemas (en un catálogo) sean permitidos . Todo lo que podamos restringir va a mejorar la seguridad de nuestros entornos.
U optar por sistemas más sofisticados para autentificar a los usuarios, mediante huellas, reconocimiento facial, o doble autenticación. La experiencia me lleva a pensar que cualquier sistema complicado deja de usarse.
Ah, ¿Y si la información sale, y si se la llevan? Existen soluciones para estos problemas, aunque orientadas a documentos, los sistemas IRM (Information Rights Management) que permiten gestionar el derecho a acceder a cierta información, de forma que si el documento sale, se puede comprobar, fuera de la organización, si esa persona tiene los derechos necesarios.
En resumen, por muchas medidas de seguridad que implantemos en las empresas, por muchas barreras externas, servicios, hackings éticos, etc… el principal riesgo está en los usuarios. No por voluntad, sino por desconocimiento.
Tal vez los medios, los gobiernos, el entorno, debería de apoyar políticas globales de concienciación en el uso de los datos, en la privacidad, en la formación continua a los ciudadanos, con el fin de empoderarlos en materia de protección de datos y seguridad de la información.
Ibor Rodríguez Barredo, CIO de Amavir, Groupe Maisons de Famille.