Mi
profesor de economía de la preparatoria mencionó una frase que he recordado
hasta el día de hoy. "En las personas, no hay blancos o negros,
solo diferentes tonalidades de gris". Él se refería a que en su opinión,
las personas no son 100% honestas u honradas, y tampoco 100% malignas y diabólicas,
sino que hay tonalidades de grises y cada persona tiende a estar de un gris más
blanco, o un gris oscuro.
Podemos o no estar de acuerdo con esta aseveración,
pero esta analogía me vino a le mente un día que en una reunión estábamos
discutiendo sobre el grado de seguridad que debería de tener un sistema
conectado a una red crítica.
En
las computadoras y redes también hay diferentes tonalidades de grises.
Solamente resta decidir que tan gris-blanco o gris-negro se desea que sea.
Por ejemplo, si está conectada a internet, oscurecerá más.
Si tiene habilitado
los puertos USB por donde se le puede conectar cualquier dispositivo, será un
poco más oscuro ese gris. Si no se le aplican parches o es muy poco frecuente,
más oscuridad. Y así podemos ir enlistando una serie de características que si
se le añaden, su seguridad será más negra cada vez.
Claro que una seguridad
ennegrecida puede significar mayor funcionalidad, es decir, que el sistema sea
más fácil de usar y presenta menos "incomodidades" que tiene que
"sufrir" el usuario. Por ejemplo, permitimos que un sistema pueda
recibir USB y es un grado más inseguro (este medio es uno de los preferidos por
el código malicioso para propagarse) pero
lo hace más funcional porque nos resulta sencillo trasladar información usando
un dispositivo USB.
Que
una computadora tenga antivirus, se parche y actualice con frecuencia, impida recibir
dispositivos de almacenamiento tipo USB y que carezca de internet hará que ese
sistema sea gris claro, cada vez más blanco.
Si
bien un sistema continuará teniendo cierto grado de tonalidad gris, aquí
la pregunta sería que tan gris-blanco deseamos
que sea. Y cada vez que incrementa un tono más blanco, hay más seguridad, pero
será menos fácil de usar "normalmente". El sistema se puede hacer de
un tono gris muy blanco, pero dejará de ser funcional.
A
esto le llamamos el "apetito de riesgo". Es decir, cuánto riesgo
deseamos aceptar y que el sistema todavía cumpla con el objetivo que deseamos
perseguir en la compañía. Y ese será el balance adecuado entre seguridad y
funcionalidad.
Así
es que hay dos enfoques de donde se puede parir.
Te puedo entregar un equipo
desprotegido y le voy añadiendo seguridad y en cada paso me dices si sigue
siendo funcional para ti. Hasta llegar al balance adecuado. O al revés,
partimos de un equipo bastante seguro y me dices si te sirve, y a partir de ahí
le iremos quitando controles de seguridad.
Claro está, para hacer esto, es importante entender el riesgo informático para decidir
de una manera informada hasta dónde llega el
apetito al riesgo, es decir, cuánto riesgo deseo aceptar.
Un
día me encontré a un vecino. Me dijo que había subido la barda de su jardín,
había puesto nuevas chapas de seguridad e instalado un par de cámaras alrededor
de su casa. Me preguntó que si eso era suficiente. Odio las respuestas del
tipo "depende", pero depende de varios factores (dónde vive, a qué se
dedica, quiénes son sus posibles adversarios, etc.).
Así es que es una pregunta
que requiere un análisis para ser respondida, porque hay que definir cuánto es
suficiente y dónde parar. El apetito al riesgo, pues. Lo mismo sucede con los
equipos de cómputo, se les puede poner más y más seguridad y llegará un punto
en que es o demasiado costoso o poco funcional para cumplir con lo que se desea
hacer con el mismo.
La
seguridad tiene un costo (y no me refiero solamente al económico), y es
importante decidir hasta dónde queremos empujar esa seguridad con tal de estar
protegidos.