Miércoles, 26 de Enero de 2011

Seguridad: ¿un asunto de las empresas, de los programadores o de los usuarios?

Pensar que la seguridad de la información tiene que ver con computadoras y redes tiene cierta lógica, especialmente cuando hasta hace unos años se hablaba de seguridad informática en su lugar. Con el tiempo la disciplina fue ampliando horizonte hasta que quedó determinado que el alcance de la seguridad de la información en una organización no tiene que ver solo con aspectos técnicos sino también con los legales, administrativos, físicos, y demás. Ahora bien, ¿por qué existen tantos problemas de seguridad? Muchos le echan la culpa a los desarrolladores de software, especialmente los que piensan que la materia se limita a lo tecnológico. De esta forma, pensando en los errores de los programas (bugs) como base, la reacción en cadena que se produce hace que la inseguridad sea visible en la superficie. Para quienes pensaban esto, debo darles una mala noticia: este campo es solo un pequeño fragmento. Otros, casi en la misma línea, culpan a Internet y las redes: que no hay suficiente seguridad en el cifrado, que las redes son débiles, que los protocolos no sirven, que si IPv4 o IPv6, que si las VPN o las VLAN, que si las redes inalámbricas o el bluetooth, y temas similares surgen en estos casos. Claramente, tampoco es la respuesta a los interrogantes. En palabras del genial Bruce Schneier: «Si crees que la tecnología resolverá todos tus problemas, no entiendes nada de problemas y no entiendes nada de tecnología». Ahora que podemos darnos una idea de que la respuesta a la seguridad no está en la panacea de la tecnología, y que no podemos pedirle a ella que resuelva todos nuestros problemas de seguridad, es un buen momento para aclarar que hay una gran cantidad de cosas que sí puede hacer la tecnología por nosotros, y que la educación, la investigación y las buenas prácticas, pueden redundar en beneficios de seguridad. También hay otra vertiente, una línea de pensamiento que involucra al factor humano. De hecho, responsabiliza en un 100% a las personas por los problemas de seguridad. Así, aparecen las piedras volando hacia los usuarios, que son los que según esta óptica hacen un uso incorrecto de la tecnología y de su propia información. Simplemente otro intento simplista de encontrar culpables, pese al atisbo de certeza que pueda incluir, pero que no es válido sin un análisis mas profundo. Sea cual sea la combinación entre personas y tecnología, está claro que hay una parte de cada uno en cuanto a resolver temas de seguridad. ¿Y en aspectos que no son ni lo uno ni lo otro? Por ejemplo en seguridad física. En este caso existe una responsabilidad por parte de las empresas y gobiernos de promover las medidas de este tipo de seguridad, que es tal vez la más básica e inherente a la naturaleza humana de protegerse y cuidar su propia integridad. Una vez que se han dispuesto prudentemente las medidas, el reto pasa a manos de los mismos protagonistas: las personas. Claro que siempre pueden existir accidentes, pero en gran medida, exceptuando desastres de la naturaleza, suelen ser evitables. ¿Y si fuera cuestión de las políticas de seguridad de las empresas y las normativas vigentes? Ciertamente, al no definir alcances y límites en lo que se debería o no hacer, se produciría un sinfín de problemas implícitos, pero después volveríamos al mismo punto: son las personas las que interactúan entre sí y hacen al sistema, de tal manera que en la propia gente radica el cumplimiento o no de lo que se establece (tal es el caso de la fuga de información). En cualquier caso el factor común son las personas, ya sea porque son las que crean los sistemas técnicos que fallan, o porque son los que los utilizan, o los que disponen las normas y las medidas, o los que las cumplen. En todos los casos las personas somos el eslabón indispensable de la cadena, y somos tan responsables por la seguridad como lo somos de nuestros propios actos, cada uno desde su lugar, sea escribiendo software o diseñando estructuras edilicias. No cabe duda de que la forma más efectiva de crear buenos resultados es mediante la educación, y según indica la experiencia de la historia, para mejorar la realidad, la educación no solo es la mejor solución, sino que además demuestra ser la única. Por Federico Pacheco Obras del autor HACKERS AL DESCUBIERTO Esta obra presenta un panorama de las principales técnicas y herramientas utilizadas por los hackers, y de los conceptos necesarios para entender su manera de pensar, prevenir sus ataques y estar preparados ante las amenazas más frecuentes. ETHICAL HACKING Esta obra expone una visión global de las técnicas que los hackers maliciosos utilizan en la actualidad para conseguir sus objetivos. Es una guía fundamental para conseguir sistemas seguros y dominar las herramientas que permiten lograrlo. Todos los post de Federico Pacheco en RedUSERS WikiLeaks o no WikiLeaks ¿cuál fue la verdadera cuestión? La futurología de la seguridad ¿con qué ánimos encarar el 2011? ¡Comparte esta noticia!

Pensar que la seguridad de la información tiene que ver con computadoras y redes tiene cierta lógica, especialmente cuando hasta hace unos años se hablaba de seguridad informática en su lugar. Con el tiempo la disciplina fue ampliando horizonte hasta que quedó determinado que el alcance de la seguridad de la información en una organización no tiene que ver solo con aspectos técnicos sino también con los legales, administrativos, físicos, y demás.

Ahora bien, ¿por qué existen tantos problemas de seguridad? Muchos le echan la culpa a los desarrolladores de software, especialmente los que piensan que la materia se limita a lo tecnológico. De esta forma, pensando en los errores de los programas (bugs) como base, la reacción en cadena que se produce hace que la inseguridad sea visible en la superficie. Para quienes pensaban esto, debo darles una mala noticia: este campo es solo un pequeño fragmento.

Otros, casi en la misma línea, culpan a Internet y las redes: que no hay suficiente seguridad en el cifrado, que las redes son débiles, que los protocolos no sirven, que si IPv4 o IPv6, que si las VPN o las VLAN, que si las redes inalámbricas o el bluetooth, y temas similares surgen en estos casos. Claramente, tampoco es la respuesta a los interrogantes.

En palabras del genial Bruce Schneier:

«Si crees que la tecnología resolverá todos tus problemas, no entiendes nada de problemas y no entiendes nada de tecnología».

Ahora que podemos darnos una idea de que la respuesta a la seguridad no está en la panacea de la tecnología, y que no podemos pedirle a ella que resuelva todos nuestros problemas de seguridad, es un buen momento para aclarar que hay una gran cantidad de cosas que sí puede hacer la tecnología por nosotros, y que la educación, la investigación y las buenas prácticas, pueden redundar en beneficios de seguridad.

También hay otra vertiente, una línea de pensamiento que involucra al factor humano. De hecho, responsabiliza en un 100% a las personas por los problemas de seguridad. Así, aparecen las piedras volando hacia los usuarios, que son los que según esta óptica hacen un uso incorrecto de la tecnología y de su propia información. Simplemente otro intento simplista de encontrar culpables, pese al atisbo de certeza que pueda incluir, pero que no es válido sin un análisis mas profundo.

Sea cual sea la combinación entre personas y tecnología, está claro que hay una parte de cada uno en cuanto a resolver temas de seguridad. ¿Y en aspectos que no son ni lo uno ni lo otro? Por ejemplo en seguridad física. En este caso existe una responsabilidad por parte de las empresas y gobiernos de promover las medidas de este tipo de seguridad, que es tal vez la más básica e inherente a la naturaleza humana de protegerse y cuidar su propia integridad. Una vez que se han dispuesto prudentemente las medidas, el reto pasa a manos de los mismos protagonistas: las personas. Claro que siempre pueden existir accidentes, pero en gran medida, exceptuando desastres de la naturaleza, suelen ser evitables.

¿Y si fuera cuestión de las políticas de seguridad de las empresas y las normativas vigentes? Ciertamente, al no definir alcances y límites en lo que se debería o no hacer, se produciría un sinfín de problemas implícitos, pero después volveríamos al mismo punto: son las personas las que interactúan entre sí y hacen al sistema, de tal manera que en la propia gente radica el cumplimiento o no de lo que se establece (tal es el caso de la fuga de información).

En cualquier caso el factor común son las personas, ya sea porque son las que crean los sistemas técnicos que fallan, o porque son los que los utilizan, o los que disponen las normas y las medidas, o los que las cumplen. En todos los casos las personas somos el eslabón indispensable de la cadena, y somos tan responsables por la seguridad como lo somos de nuestros propios actos, cada uno desde su lugar, sea escribiendo software o diseñando estructuras edilicias.

No cabe duda de que la forma más efectiva de crear buenos resultados es mediante la educación, y según indica la experiencia de la historia, para mejorar la realidad, la educación no solo es la mejor solución, sino que además demuestra ser la única.

Por Federico Pacheco

Obras del autor

HACKERS AL DESCUBIERTO
Esta obra presenta un panorama de las principales técnicas y herramientas utilizadas por los hackers, y de los conceptos necesarios para entender su manera de pensar, prevenir sus ataques y estar preparados ante las amenazas más frecuentes.
ETHICAL HACKING
Esta obra expone una visión global de las técnicas que los hackers maliciosos utilizan en la actualidad para conseguir sus objetivos. Es una guía fundamental para conseguir sistemas seguros y dominar las herramientas que permiten lograrlo.

Todos los post de Federico Pacheco en RedUSERS

WikiLeaks o no WikiLeaks ¿cuál fue la verdadera cuestión?

La futurología de la seguridad ¿con qué ánimos encarar el 2011?

¡Comparte esta noticia!

Galería de Imágenes

 ¡NO sigas este enlace o serás bloqueado en este sitio!