Existe un mito respecto a la seguridad informática que sostiene que es imposible lograr una completa protección sobre los datos. En rigor de verdad, y aunque sería deseable, quienes trabajan en esta área son conscientes de que no se puede lograr la inviolabilidad al 100%. Resulta ilusorio.
La idea principal, al igual que ocurre con cualquier método de seguridad -tanto física como informática-, es hacer que el esfuerzo y el tiempo para lograr ingresar a un sistema en forma ilegal sean lo suficientemente complejos como para desalentar cualquier intento en esa dirección. No nos olvidemos de que existen varias aristas a tener en cuenta, que incluyen no sólo los canales de comunicación, sino también de diseño de software, entre otros.
En este sentido, las empresas cuyo negocio consiste en el desarrollo de programas, tanto de aplicación como de sistemas operativos, envían de modo constante a sus clientes las actualizaciones que desarticulan las diferentes vulnerabilidades de las que van tomando conocimiento. Este servicio debería ser razón más que suficiente para instalar software debidamente licenciado.
Debemos señalar que los técnicos hacen un trabajo formidable, descubriendo y eliminando vulnerabilidades en los sistemas de información, lo cual incluye -en un sentido integral- todos los elementos de tecnología intervinientes, es decir: hardware, software, comunicaciones, entre otros. Existen organizaciones bien conocidas que envían de continuo boletines con advertencias y consideraciones al respecto, las cuales son altamente valoradas por la comunidad tecnológica.
Pero (siempre hay un pero..), existe un punto donde todo ese esfuerzo puede servir de poco si un oponente adquiere la información necesaria para acceder a datos confidenciales. Los métodos de autenticación que utilizan contraseñas para habilitar el ingreso de un usuario, exhiben como mayor debilidad el hecho de que están basados en mantener el secreto de ellas. La forma más habitual de extraer esta información consiste en obtener una contraseña válida mediante ingeniería social: a través de la manipulación del usuario, quien siempre es el eslabón más débil.
Pero no es ésta la única manera. Uno de los procedimientos para evitar este hueco de seguridad más ampliamente aceptado y considerado como una buena práctica se basa en obligar compulsivamente al cambio de contraseñas, en períodos regulares de tiempo. Nos permitimos discrepar con esta idea. Por supuesto que si un usuario tuviese solamente una clave de acceso que recordar, esto sería muy sencillo. Sin embargo, alguien que utilice en forma regular medios electrónicos, seguramente tendrá, cuanto menos, media docena de claves diferentes para memorizar, considerando que cada vez que descarte una, el sistema le imposibilitará utilizarla por un lapso prolongado. Así no hay mnemotecnia que alcance, ni siquiera la de Funes, el memorioso del cuento de Borges. Por esta razón, el usuario común termina anotando su contraseña en un papel - algo que no debería ocurrir nunca-, produciéndose de este modo un potencial problema de seguridad.
Otras veces es el mismo usuario quien deliberadamente actúa en forma maliciosa, es decir, con pleno conocimiento de lo que está haciendo. En este caso, se constituye en cómplice de un delito, conducta probable cuando un empleado descontento o inescrupuloso “vende información o la manipula a su favor.
El punto de vista administrativo
No existen datos concretos sobre la cantidad y magnitud de las estafas que se producen por violación a la seguridad, dado que la publicidad de estos hechos haría perder la credibilidad de las empresas ante los clientes. Por otro lado, la gran mayoría de las veces se tarda demasiado tiempo en detectar estas operaciones ilegales, lo que hace imposible determinar la dimensión del fraude. Lamentablemente, no siempre la fuga de información se debe a usuarios desprevenidos o maliciosos. Una mirada en detalle de las tareas relativas a la administración de los servidores de datos de las empresas puede darnos una idea más cercana a lo que nos estamos refiriendo. Ensayemos esta pequeña reflexión: quien administra el servidor de correo tiene acceso a todos los datos que pasan por él. Quien administra la seguridad del ERP (Enterprise Resource Planning) tiene el poder para dar accesos a cualquier usuario, sea éste real o ficticio. Quien maneja el servicio de comunicaciones, posee la capacidad de otorgar o denegar permisos según su mejor criterio (si supiésemos cuál es su criterio).
Al observar esta situación es posible comprender que los problemas de seguridad no deben ser evaluados exclusivamente desde el punto de vista tecnológico, sino también desde el punto de vista administrativo. A nuestro entender, la solución en este sentido está mucho más cerca de la faz administrativa que de la técnica. Incluir procesos que mejoren la seguridad o readaptarlos para que la tengan en cuenta, tal vez sea uno de los grandes desafíos de la empresa moderna, en la cual los sistemas de información han logrado consolidar el negocio.
