En este semana, cuántas veces hemos pensado en nuestra bolsa de aire que se encuentra cuidadosamente doblada dentro del volante del auto? ¿Nos ha cruzado por la mente “qué bueno que esta bolsa se encuentre ahí para protegerme”? La última semana es sinceramente un corto tiempo, ampliemos el periodo a un mes. Y la respuesta es, honestamente, que no, ni una vez. ¿A quién se le ocurre?
En mi caso, han pasado años desde que tuve presente la relación bolsa de aire-auto y fue precisamente cuando lo adquirí porque de hecho fue una cuestión importante en la decisión de compra. Después de ahí, sinceramente, no me importa mucho esa característica de seguridad del auto siempre y cuando sirva cuando la necesite (toco madera).
Y algo similar, pensaba yo el otro día, pasa con la seguridad informática: en la gran mayoría de las ocasiones, escuchamos de la seguridad únicamente cuando falla. Cuando todo marcha sobre ruedas ni quién se acuerde y mucho menos quién reconozca la labor (poca o mucha) que se hace en las organizaciones.
Cuando hay un hackeo (toco madera de nuevo), una infección importante, una intrusión interna o una falla del sistema antispam es cuando “la seguridad” se vuelve de pronto popular y se hace notar (de forma negativa, claro). Si las áreas de seguridad informática (y por ende, los sistemas de seguridad) están…¿cómo se dice?... ¡ah sí!: al tiro, entonces casi nadie las recuerda. Exactamente como la bolsa de aire, pasa desapercibida pero en el momento de necesitarla si es que falla, entonces sí, $%&# bolsa defectuosa!
Un problema es que la efectividad de la seguridad puede ser realmente difícil de medir y por ende de demostrar con tal de hacerse notar un poco (de manera positiva). Podemos sacar un par de métricas, por ejemplo “hoy se detuvieron 1,345 virus”; ok, y eso qué significa? En el ejemplo del antivirus, cómo poder demostrar la efectividad de la herramienta? ¿Cómo demostrar que la herramienta está haciendo su trabajo? “Número de infecciones” podría ser un métrica (que debe de tender a cero), “porcentaje de equipos con antivirus actualizado” podría ser otra candidata sin pasar de alto los falsos positivos y falsos negativos.
El punto anterior gira en torno a que demostrar que una herramienta es efectiva no es tarea fácil. En general, la seguridad, cuando “hace su trabajo”, es muchas veces invisible no sólo para los que son protegidos, sino para los que están a cargo de esa seguridad. Medir la efectividad de la seguridad no es tan sencillo: ¿estamos bien protegidos? ¿Nos hace falta seguridad o nos sobra? ¿Se está haciendo realmente un buen trabajo en cuestiones de seguridad?
No sólo cuando falla la seguridad se hace notar, sino que hay otra manera tampoco muy agraciada que digamos. Las tecnologías de información (TI) son habilitadoras, dan un beneficio “palpable” y hacen el trabajo de los empleados más fácil, están ahí haciéndose notar. Y mientras las TI dan un servicio, la seguridad se trata de lo contrario: intentan prevenir, restringir, acotar. Gritaremos cuando “por seguridad” no podamos entrar a un sitio, cuando se bloquee el autorun de nuestro USB, cuando no recibamos un correo porque fue catalogado como spam o cuando el antivirus ponga a nuestro equipo de rodillas (alentándolo).
Tarea ingrata la de seguridad informática. Si es efectiva, si no falla y hace su trabajo impecable vivirá sin pena ni gloria. Pero cuidado con que falle u obstaculice el trabajo; se hará notar pero una forma nada agraciada, no creen? Para el mal sabor de boca, les dejo una historia gráfica y resumida del “hacking”: http://bit.ly/c41kcm
Nota final: hablé del bloqueo autorun en los USB; no fue un ejemplo, de “veritas” hay que bloquearlo http://bit.ly/cXvFY7