Icono del sitio Sinologic

La seguridad informática como responsabilidad común de todos

Online Security Technology background

Seguridad-informática

A menudo se confunden los términos de privacidad con los de seguridad. Quizá porque debido a algunos problemas de seguridad, se pierde privacidad al exponer los datos de los usuarios, datos personales, propios y confidenciales que los usuarios han confiado a una empresa u organización para que los vigile, cuide y proteja y que no caigan en malas manos que puedan hacer un uso descontrolado de ellos para, a saber qué objetivos.

Si me doy de alta en un servicio, relleno un usuario, mi e-mail y una contraseña para poder crearme un usuario en el sistema, mi fecha de nacimiento para garantizar que soy mayor de 18 años, dirección, teléfono, datos de mi tarjeta bancaria para pagar aquellos servicios que voy a utilizar, etc… y luego esta empresa, por un fallo de seguridad «supuestamente ajeno» a ellos, exponen mis datos a otras personas que a su vez venden a otras empresas, no solo es delito (al menos en Europa) si no que debería indemnizar de alguna forma a aquellos usuarios por negligencia sobre sus datos y posibles datos y perjuicios al «ceder» accidentalmente estos datos a terceros sin ningún tipo de control.

Siempre se ha dicho que no hay un sistema 100% seguro, de la misma manera que no se puede garantizar nunca la fiabilidad de un sistema completamente, pero si 500 millones de personas te confían los datos, deberías poner especial control sobre los datos.

De la misma manera, que si una empresa tiene un férreo control de sus sistemas, tiene como política de seguridad no abrir puertos en un router, tampoco deberían dejar instalar cierto software de control remoto. Las principales aplicaciones de control de acceso suelen disponer de demonios que están escuchando continuamente y tampoco están exentas de problemas de seguridad haciendo que aquellos que se sienten seguros, sean víctimas de ataques y robo de información (+info).

En mi opinión, en España, e imagino que en muchos otros países del mundo, el concepto de seguridad informática es muy laxo. No solo no se le presta especial atención, si no que además, en las empresas «serias«, las personas responsables de tomar ciertas decisiones cometen un grave error al asignar a una única persona como responsable de seguridad. Esta persona se convierte en el desahogo en cuanto a materia de seguridad del resto de personal, cuando su función debería ser la que revisa que todos los trabajadores cumplen las normas básicas de seguridad que toda empresa debería tener.

De la misma manera que se sabe que «una cadena es tan fuerte como su eslabón más débil«, la seguridad de una empresa es tan robusta como la seguridad del más ingenuo, lo que hace que cuando un trabajador instale una versión de alguna aplicación vulnerable, unido a que el firewall estuvo abajo 5 minutos, que el operador caiga y se utilice otro router con unas reglas diferentes a las habituales, acaba de exponer toda la empresa a un tercero que tiene una herramienta capaz de escanear, detectar, analizar, entrar y ejecutar un exploit en menos de 30 segundos.

Como si de una película o serie de ficción se tratase, la seguridad de tu empresa y los datos que guarda dependen no solo de que haya alguien en la empresa que instale una versión vulnerable, si no también de las ganas e interés de proteger los datos. No tanto de los 18 firewalls de 6.000€ instalados uno detrás de otro, si no de evitar que la contraseña que cifra el archivo de contraseñas almacenado en el correo electrónico del jefe no sea «1234».

Salir de la versión móvil