CIBERSEGURIDAD

Un usuario en la corte del ISMS Forum y el cambio de paradigma en el enfoque de la seguridad corporativa

Tribuna Madrid
Carlos-Nunez_EDEIMA20160513_0015_1.jpg

El pasado 26 de mayo tuve el privilegio de asistir a la XVIII Jornada Internacional de Seguridad de la Información de ISMS Forum, que se celebró en el incomparable Palacio de Bellas Artes de Madrid. Antes de nada agradecer a Daniel García Sánchez, coordinador del evento, y a su equipo, la excelente velada que supuso esta Jornada. 

Las ponencias y mesas cubrieron los aspectos más actuales en materia de Ciberseguridad y Protección de Datos; Iniciativas de colaboración internacional en políticas de seguridad, Políticas y guías de actuación en Seguridad Empresarial, Protección de la información como activo empresarial, etc. a tenor de esto, el presente artículo no pretender ser una crónica al uso de la Jornada. Para ello tienen un excelente ejemplo aquí. Mi propósito es plasmar mis impresiones desde un ángulo absolutamente subjetivo, y desde el punto de vista de un posible usuario. 

Una de las ideas que más me llamó la atención la expuso un ponente cuando explicó el cambio de enfoque tradicional de seguridad perimetral al de Seguridad con enfoque a comportamientos. Esto significa dar más importancia al registro de actuaciones del usuario que al registro de accesos. Utilizó una parábola absolutamente gráfica, presentando una casa a la que accedía un fontanero. Este como tal podía necesitar hacer varias entradas y salidas al sistema, dentro del ámbito de sus atribuciones. Pero saltaría una alarma si este pasara a la zona de la casa donde están las habitaciones, ya que esta acción no entraría dentro de sus atribuciones habituales.

Esta idea del personal interno como protagonista de las principales infracciones de seguridad se repitió en varias de las intervenciones, y las soluciones propuestas coincidían más o menos en prestar más atención a las actividades dentro de la organización, y la monitorización del personal, estableciendo estrictos perfiles de usuarios, asignando concretos roles de permisos y estableciendo un férreo control de los comportamientos de los usuarios, a nivel del uso de los recursos informáticos. 

Para que me sigan mejor, les voy a presentar a una figura mítica de los CPD (Centros de proceso de datos). Me estoy refiriendo al BOFH (Bastard Operator from Hell), personaje ficticio creado en 1995 por Simon Travaglia. En efecto, “el Administrador de Sistemas del Demonio” que goza flagelando a los pobres usuarios que tienen la desgracia de sufrir su tiranía. Pues bien, mi percepción fue que, de una u otra manera, las tendencias en seguridad pasan mucho por establecer controles draconianos sobre los usuarios, en nombre de la seguridad corporativa. 

En mitad de esta ofensiva la única intervención en favor de los usuarios, de la libertad del individuo, y de los derechos civiles fue la videoconferencia (por Skype) del señor Bruce Schneier , un gurú de la Ciberseguridad, quien hizo un llamamiento a la preservación de los derechos civiles e individuales frente a los corporativos y gubernamentales al más propio estilo de los padres de la nación Norteamericana. Tuvo una frase que cayó en el teatro como un obús del 105; – “Google sabe más de ud que ud mismo, sabe incluso hasta qué tipo de porno le gusta, y eso no debe ser.” -- Si una frase como esta no despierta conciencias, nada lo hará. 

Las intervenciones se sucedieron, y terminaron, con un magnífico servicio de catering de por medio, hasta que llegamos a un fin de velada magnífico, coronado por un sorteo de cachivaches tecnológicos y un Gin Tonic servido como Dios manda, y terminó este mochuelo marchándose a su olivo sumido en un mar de impresiones y pensamientos. 

La primacía de la Inteligencia Artificial sobre las decisiones individuales, la traslación de la fría y científica programación al mundo de los procesos laborales y al caótico, entrópico y heurístico mundo real, lo objetivo dominando lo subjetivo, lo medible frente a lo indeterminado...

Y en el fondo de nuestra subjetividad sabemos que esto no funcionará. Un control policial milimétrico y pormenorizado de los empleados y sus comportamientos en el trabajo (o en otros ámbitos) puede tener beneficios en seguridad a corto plazo, pero a medio y largo plazo puede tener otros efectos secundarios que pueden poner los beneficios en entredicho. Uno por ejemplo, es la pérdida de iniciativa de los usuarios por miedo a que los cambios de patrón en su conducta puedan ser entendidos como actividad sospechosa. Otro lo pueden dar aquellos usuarios que por su propia especialidad no quedan correctamente encuadrados dentro  de los roles definidos por los sistemas de seguridad y producen falsos positivos continuos, lo que puede dar lugar a situaciones insostenibles, luchas de poder entre departamentos, etc. Otra torre de Babel se nos prepara cuando a un sistema teóricamente simple tenemos que añadir proveedores, clientes, filiales, asociados, personal fijo discontinuo o asignado a proyectos part-time, y un largo etcétera. A la parálisis por el análisis... 

Nuestro amigo recién presentado BOFH nos dirá que no tiene problema al respecto, que aplica tabla rasa y serán los individuos los que tendrán que aclimatarse al sistema. “Es lo que hay”, esta frase lapidaria que probablemente la estudien como definición de nuestros tiempos dentro de doscientos años. 

Es lo que hay o, al menos, es lo que tenemos. En cualquier caso, con lo que no cuenta BOFH en sus diabólicas maquinaciones por dominar el mundo pequeñito que es su empresa, es con otra figura de la mitología informática extraída de la película TRON Legacy de 2012, dirigida por Joseph Kosinski. Me estoy refiriendo al propio personaje TRON , y su frase final “I fight for the users” (Yo lucho por los usuarios) -los que no sepan de qué estoy hablando sigan los enlaces, pero por favor, vuelvan para terminar de leer este artículo 🙂 

No me voy a poner a contar la película (en cualquier caso les recomiendo que la vean, si no lo han hecho), y únicamente les voy a recordar la idea central de la misma, que fue la idea con la que me marché a casa. La conclusión de la saga TRON, puede resumirse en que la misión de los sistemas cibernéticos deberá ser servir al hombre y a los usuarios, y no gobernarlos.


ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación