Por
qué el jefe de seguridad tiene razón
Por
Ariel Torres
Adaptación
Prof. Mario
El responsable
de la seguridad informática de una compañía grande, mediana o
pequeña -Y un Colegio en la parte organizativa es una Empresa- debe
ser el sujeto más incomprendido desde Galileo para acá. Pero todas
esas reglas y restricciones que nos impone a diario para usar la
Computadora, la Tablet, la Notebook y el móvil con WiFi tienen
razones de peso. Son, en verdad, muchas. Listo aquí, para no abrumar
ni entrar en tecnicismos abstrusos, las diez que me parecen más
relevantes.
1. Todo
lo que conocemos como información se ha convertido en una cadena de
unos y ceros. Esto significa que ya no es posible contener o proteger
físicamente los datos. Adiós a las cajas fuertes y las trituradoras
de documentos. Adiós, quiero decir, para siempre. Ese mundo
confortable ya no volverá.
2. La
palabra información tiene un significado tan amplio que casi resulta
inútil; Porque, ¿qué es información? Prácticamente todo, en
particular lo que tiene algún valor. Tu dirección postal,
teléfonos, afiliación política, orientación sexual, credo y tu
historia clínica son información. El número de la tarjeta de
crédito, el código de seguridad, tus alias, contraseñas, nombres
de usuario y direcciones IP. Las ideas son información. Un diseño
de avanzada es información. La fórmula de una bebida exitosa. Tus
rutinas. Lo que comprás en el supermercado y las rutas que tomás a
diario son información. Todo eso hoy es tan intangible como calcular
que tal o cual profesora se apidará de vos y finalmente aprobarás
la materia por simpatía, no por estudio.... Pero hay algo más.
3. El
dinero es también información.
4. Para
embrollar las cosas un poco más y hacer que el que se encarga u
orienta sobre seguridad informática parezca querer complicarte la
existencia innecesariamente, la información digital viaja junto con
el código. Te encontrás por ahí un pendrive y pensás que hallaste
mucha capacidad de almacenamiento sin pagar un centavo. Estás
pensando mal. Y si se te ocurre enchufarlo a una PC, estás pensando
peor. Cuando Windows lea el pendrive podría también ejecutar código
malicioso. Así se infiltró el virus Stuxnet. Y ese es el motivo por
el que los USB están o cancelados o tienen impuestas políticas de
uso estrictas en muchas empresas. Claro, podrías fijarte en
cualquier distribución de Linux. Pero si pensaste todo lo anterior,
tal vez no tengas ni idea de que hablo.
5. Como
ya no es posible guardar información en una caja fuerte, los
candados están hechos de código y las llaves y combinaciones, de
bits. Esa es la razón por la que el jefe de seguridad se pone tan
denso con la complejidad de las contraseñas. Ahora, pregunta. Si el
cerrajero pusiera en la puerta principal de tu casa una bonita
cerradura hecha de plastilina, ¿vos qué harías? La complejidad de
una contraseña es equivalente a la robustez del material con que
está fabricada la cerradura de tu casa (salvando las distancias).
Ponele pepe60 y es lo mismo que plastilina. Con una
complicación más.
6. Vos
no dejarías una copia de la llave de tu casa colgada de un ganchito
al lado de la puerta, del lado de afuera, ni tendrías a mano siempre
un soplete de acetileno y una barreta de hierro junto a la puerta de
tu casa por si acaso perdieras el llavero. Pero eso es exactamente lo
que estás haciendo al anotarte la contraseña en un papelito.
Tampoco le darías tu llave a todos los vecinos. Etcétera. La mala
noticia es que el jefe de seguridad no puede controlar lo que hacés
con este nivel de detalle. Ese es el motivo (entre otros) por el que
te obligan a cambiar la contraseña de tus cuentas y máquinas cada
dos o tres meses. No tenés que cambiar la cerradura de tu casa cada
tanto, ¿no? No, porque tenés una altísima certeza de que sólo vos
y los otros dos o tres integrantes de tu familia tienen una copia de
la llave.
7. Uno
de los argumentos que con mayor frecuencia oigo es que nada es 100%
seguro en este mundo. Cierto. Podés poner una puerta blindada,
rejas, cámaras de seguridad y once molosos entrenados para la
guerra, y de todas maneras podés sufrir un asalto o algo peor; basta
leer las noticias. El error en este razonamiento está en creer que
con todas las medidas que nos imponen se alcanza un 100% de
seguridad. Ni por asomo. Es tu pequeña colaboración a un proceso
mucho mayor que supone otros riesgos (muchos, desconocidos para vos)
con agentes invisibles que operan a miles de millones de ciclos por
segundo.
8. El
otro argumento que suena re lindo, pero que tiene menos asidero que
la Número 5, es que todas estas prácticas paranoicas sólo
le sirven a la empresa, es problema de ellos, vos no tenés nada que
ver. No es así, por dos motivos. Primero, ¿qué pensás que podría
llegar a pasarte si metés un virus muy peligroso en la red
corporativa, sobre todo si violaste alguna norma? Segundo, la
seguridad es una disciplina y un hábito. Lo que aprendas sobre
seguridad en tu puesto de trabajo es algo que realmente necesitarías
aplicar en tu vida privada.
9. Esto
es como la velocidad máxima permitida en las calles y avenidas. En
general no tenemos idea de por qué son 40 y 60, respectivamente. Lo
sentimos como una imposición, pero en realidad tiene que ver con la
física. Uno no se da cuenta de lo imparcial y despiadada que es la
realidad en este sentido, hasta que se te cruza delante del auto un
chico que sale detrás de un camión estacionado en una calle de
barrio buscando su pelota de fútbol. Si venías a 40, frenás a
tiempo. Si no, bueno, no hace falta entrar en detalles. La palabra
tragedia es un eufemismo blando para describir el resultado. Los 60
kmph también tienen su justificación física, pero no me extenderé.
La cuestión es que cuando el jefe de seguridad impone alguna
restricción o regla no es porque le pareció divertido o se le
ocurrió durante un sueño. Hay motivos duros, incontestables. Pero
de la misma forma en que sería impracticable que te hicieran cursar
al menos dos años de física antes de darte el registro, tampoco van
a enseñarte ingeniería de sistemas para darte tu nuevo empleo en
Finanzas. Pero que las razones existen, existen.
10. Sí,
totalmente de acuerdo: sería mucho mejor educar al usuario y
explicarle cómo funcionan los ataques de fuerza bruta, el código
fuente, los ingeniosos trucos de la ingeniería social, las
vulnerabilidades del software y demás. Pero hay un problema acá. El
que orienta sobre seguridad no decide sobre esto, no tiene además
un tiempo infinito. Ya bastante trabajo tienen los informáticos para
conseguir que se marquen costumbres que mejoran de forma mensurable
la fortaleza informática de la compañía. Así que imaginate lo que
pasaría si fueran a proponer un poco de docencia. Lo dicho. No los
comprenderían