Viernes 17 de agosto de 2012 | Publicado en edición impresa
Twitter: @arieltorres | Ver perfil
El responsable de la seguridad informática de una compañía grande, mediana o pequeña debe ser el sujeto más incomprendido desde Galileo para acá. Pero todas esas reglas y restricciones que nos impone a diario para usar la computadora, la tablet y el móvil corporativo tienen razones de peso. Son, en verdad, muchas. Listo aquí, para no abrumar ni entrar en tecnicismos abstrusos, las diez que me parecen más relevantes.
1. Todo lo que conocemos como información se ha convertido en una cadena de unos y ceros. Esto significa que ya no es posible contener o proteger físicamente los datos. Adiós a las cajas fuertes y las trituradoras de documentos. Adiós, quiero decir, para siempre. Ese mundo confortable ya no volverá.2. La palabra información tiene un significado tan amplio que casi resulta inútil; en mis clases en la universidad la tengo vetada, hasta que el alumno se gradúa en mi curso. Porque, ¿qué es información? Prácticamente todo, en particular lo que tiene algún valor. Tu dirección postal, teléfonos, afiliación política, orientación sexual, credo y tu historia clínica son información. El número de la tarjeta de crédito, el código de seguridad, tus alias, contraseñas, nombres de usuario y direcciones IP. Las ideas son información. Un diseño de avanzada es información. La fórmula de una bebida exitosa. Tus rutinas. Lo que comprás en el supermercado y las rutas que tomás a diario son información. Todo eso hoy es tan intangible como el éter del Timeo platónico. Pero hay algo más.
3. El dinero es también información.
4. Para embrollar las cosas un poco más y hacer que el jefe de seguridad informática parezca querer complicarte la existencia innecesariamente, la información digital viaja junto con el código. Te encontrás por ahí un pendrive y pensás que hallaste mucha capacidad de almacenamiento sin pagar un centavo. Estás pensando mal. Y si se te ocurre enchufarlo a una PC, estás pensando peor. Cuando Windows lea el pendrive podría también ejecutar código malicioso. Así se infiltró el virus Stuxnet. Y ese es el motivo por el que los USB están o cancelados o tienen impuestas políticas de uso estrictas en muchas empresas.
5. Como ya no es posible guardar información en una caja fuerte, los candados están hechos de código y las llaves y combinaciones, de bits. Esa es la razón por la que el jefe de seguridad se pone tan denso con la complejidad de las contraseñas. Ahora, pregunta. Si el cerrajero pusiera en la puerta principal de tu casa una bonita cerradura hecha de plastilina, ¿vos qué harías? La complejidad de una contraseña es equivalente a la robustez del material con que está fabricada la cerradura de tu casa (salvando las distancias). Ponele pepe60 y es lo mismo que plastilina. Con una complicación más.
6. Vos no dejarías una copia de la llave de tu casa colgada de un ganchito al lado de la puerta, del lado de afuera, ni tendrías a mano siempre un soplete de acetileno y una barreta de hierro junto a la puerta de tu casa por si acaso perdieras el llavero. Pero eso es exactamente lo que estás haciendo al anotarte la contraseña en un papelito. Tampoco le darías tu llave a todos los vecinos. Etcétera. La mala noticia es que el jefe de seguridad no puede controlar lo que hacés con este nivel de detalle. Ese es el motivo (entre otros) por el que te obligan a cambiar la contraseña de tus cuentas y máquinas cada dos o tres meses. No tenés que cambiar la cerradura de tu casa cada tanto, ¿no? No, porque tenés una altísima certeza de que sólo vos y los otros dos o tres integrantes de tu familia tienen una copia de la llave.
7. Uno de los argumentos que con mayor frecuencia oigo es que nada es 100% seguro en este mundo. Cierto. Podés poner una puerta blindada, rejas, cámaras de seguridad y once molosos entrenados para la guerra, y de todas maneras podés sufrir un asalto o algo peor; basta leer las noticias. El error en este razonamiento está en creer que con todas las medidas que nos imponen se alcanza un 100% de seguridad. Ni por asomo. Es tu pequeña colaboración a un proceso mucho mayor que supone otros riesgos (muchos, desconocidos para vos) con agentes invisibles que operan a miles de millones de ciclos por segundo.
8. El otro argumento que suena re lindo, pero que tiene menos asidero que la Número 5, es que todas estas prácticas paranoicas sólo le sirven a la empresa, es problema de ellos, vos no tenés nada que ver. No es así, por dos motivos. Primero, ¿qué pensás que podría llegar a pasarte si metés un virus muy peligroso en la red corporativa, sobre todo si violaste alguna norma? Segundo, la seguridad es una disciplina y un hábito. Lo que aprendas sobre seguridad en tu puesto de trabajo es algo que realmente necesitarías aplicar en tu vida privada.
9. Esto es como la velocidad máxima permitida en las calles y avenidas. En general no tenemos idea de por qué son 40 y 60, respectivamente. Lo sentimos como una imposición, pero en realidad tiene que ver con la física. Uno no se da cuenta de lo imparcial y despiadada que es la realidad en este sentido, hasta que se te cruza delante del auto un chico que sale detrás de un camión estacionado en una calle de barrio buscando su pelota de fútbol. Si venías a 40, frenás a tiempo. Si no, bueno, no hace falta entrar en detalles. La palabra tragedia es un eufemismo blando para describir el resultado. Los 60 kmph también tienen su justificación física, pero no me extenderé. La cuestión es que cuando el jefe de seguridad impone alguna restricción o regla no es porque le pareció divertido o se le ocurrió durante un sueño. Hay motivos duros, incontestables. Pero de la misma forma en que sería impracticable que te hicieran cursar al menos dos años de física antes de darte el registro, tampoco van a enseñarte ingeniería de sistemas para darte tu nuevo empleo en Finanzas. Pero que las razones existen, existen.
10. Sí, totalmente de acuerdo: sería mucho mejor educar al usuario y explicarle cómo funcionan los ataques de fuerza bruta, el código fuente, los ingeniosos trucos de la ingeniería social, las vulnerabilidades del software y demás. Pero hay un problema acá. El jefe de seguridad no decide sobre esto. Y como en general los presidentes de las empresas no han salido del departamento de seguridad, ya bastante trabajo tienen los informáticos para conseguir presupuesto para adquirir herramientas que mejoran de forma mensurable la fortaleza informática de la compañía. Así que imaginate lo que pasaría si fueran a proponer un poco de docencia. Lo dicho. No los comprenderían..
No hay comentarios:
Publicar un comentario