lunes, octubre 08, 2007

¿Seguridad Informática? ¿Se debe vender el sofá?

Seguridad, informática, física, de personal, cualquier modalidad de la que estemos hablando, no sirve de mucho sin la colaboración de todos. Si bien las organizaciones deben tener una persona, o un equipo, que esté pendiente de la seguridad, realmente se requiere una labor de concientización para que esta tarea sea realmente responsabilidad de todos.

La pérdida de un equipo de cómputo es cada día más factible. Cada día son más los empleados que tienen equipos portátiles. Estos abren nuevas vulnerabilidades a las organizaciones. Asalto en la calle, descuido en un restaurante o simplemente dejar el equipo en un medio de transporte, son tan sólo algunas de las múltiples maneras de perder el equipo.

Los empleados normalmente piensan automáticamente en el costo del equipo perdido. Generalmente este es realmente un costo ínfimo del valor total de la pérdida. Por más que se tengan al día los sistemas de respaldo, mi experiencia cuando se han perdido equipos, bien sea por pérdida física o por daños en los discos duros, es que nadie tiene backups de menos de 8 días. Los cálculos por esta vía son sencillos. Un empleado cuyo trabajo se realiza con el computador, que gane alrededor de $2’000,000 de pesos mensuales, le cuesta a una organización en promedio $6’000,000 de pesos. O sea, la semana que trabajó y de la que perdió los datos, le costó a la organización $1’500,000. Recuperar los datos que sean relevantes, le puede costar otro $1,500,000, mas el tiempo en que la persona no puede trabajar adecuadamente mientras que la empresa puede conseguir el equipo de reemplazo. A esto se le deben adicionar los costos del tiempo que el personal de la unidad de seguridad debe emplear para volver a definir y cancelar las claves de acceso, controles de red, y verificación interna a la que haya lugar. Existen programas cuya licencia está atada a la máquina, ¿cuánto valen las licencias de software que se perdieron? El equipo es asegurable, pero realmente esa no es la pérdida grande.

Por otro lado, están los costos realmente altos, que son los costos contingentes. ¿Cuánto valen los daños y perjuicios propios, en caso que la información contenida en el computador llegue a conocimiento de la competencia? ¿Cuánto vale la pérdida reputacional por pérdida de la información de los clientes que por cualquier situación se encontrara en esa máquina en ese momento? ¿Cuánto valen los daños que se les generaron a los clientes por la pérdida de la misma información? Si es robo de un servidor interno, la situación sólo se vuelve peor.

El personal a cargo de los equipos necesita tener una clara consciencia de las verdaderas implicaciones de la pérdida de los equipos, y más que de los equipos, de los datos en ellos. La pérdida de los datos se puede dar de múltiples maneras. La pérdida del equipo físico es tan solo una de ellas.

¿Qué tal la pérdida de los datos generada por eventos no relacionados con la pérdida del equipo? La entrega de las claves de acceso, el uso de redes sin los controles de seguridad, el acceso a datos corporativos desde lugares de acceso públicos son claras fuentes de posibles pérdidas, sacar copias de información interna importante para trabajarla en la casa, la pérdida de las memorias USB con cantidad de información interna, son claros ejemplos de casos en los que la seguridad interna es violada, o por lo menos, puesta en riesgo. En este último caso la solución tampoco es quitar los puertos USB, como tampoco creo en la eliminación de los programas de mensajería instantánea.

El análisis permanente de los registros de datos sobre el seguimiento de las políticas de respaldo de la entidad es una demanda clara. No se trata de pretender estar “poniéndole el ojo” a los empleados. Simplemente se trata de garantizar un menor nivel de pérdida. Eliminar el riesgo es generalmente imposible, pero sin lugar a dudas con mecanismos y políticas adecuadas se puede minimizar el impacto en caso de la vulneración del sistema de seguridad en una organización.

Es claro, en el caso de la violación de seguridad, lo de menos, son los costos por las pérdidas de los equipos. El control real se puede dar mediante la adquisición de la consciencia propia y personal y no con restricciones físicas a o de los equipos. Como decían los abuelos, “Mijo, ese problema no se resuelve vendiendo el sofá.”