La gestión compartida de la Seguridad IT

Confidencialidad, integridad y disponibilidad conforman la triada de la Seguridad IT. La información tiene que resultar accesible sólo para las personas o sistemas autorizados, no sufrir modificaciones y estar disponible cuando lo necesiten. Es lo que se denomina en el sector como triada CIA (por las siglas de Confidentiality, Integrity y Availability). Pero seamos realistas, cuando se hace pública una brecha de seguridad IT en algún servicio web, estos conceptos se desbordan, entremezclan y hasta llegan a incorporarse otros nuevos, como la privacidad de los datos personales.

Además, y como bien sabe cualquier responsable técnico, la gestión de la seguridad en un proyecto IT no es una tarea sencilla. Influyen numerosos factores y elementos físicos y lógicos. Desde la climatización que garantiza el funcionamiento del hardware hasta los sistemas antivirus o la elaboración de una política de versiones y parches para las aplicaciones corporativas.

Gran parte de esas complejidades de la seguridad IT son asumidas por los proveedores de servicios IT. Gracias a la economía de escala, los proveedores ofrecemos a nuestros clientes medidas de seguridad que, bajo un modelo internalizado, difícilmente se podrían amortizar. Hablamos de la redundancia de elementos críticos (climatización, hardware, conectividad, electricidad…) y el mantenimiento 24×7 de los sistemas por parte de personal especializado, por citar sólo algunos elementos. Esas medidas, y otras muchas más que resultarían interminables de enumerar, son incorporadas por defecto a los servicios que los proveedores comercializan.

A pesar de todo ello, raro es el usuario que no ve spam en su buzón de vez en cuando, y no hay mes en el que no veamos una noticia de un ataque de denegación de servicio que ha tumbado una página web. ¿Por qué?

Porque no podemos olvidar que la gestión de la seguridad IT es una tarea compartida entre el proveedor y el cliente. Si una empresa no cuenta con una política definida de usuarios y permisos en sus equipos ofimáticos; no elimina las credenciales cuando un empleado abandona la empresa; no se preocupa por la fortaleza de las contraseñas de sus empleados o los programas que utilizan en el entorno corporativo; si su equipo técnico administra sus propias aplicaciones (un CMS, por ejemplo), pero no está al tanto de su actualización; si los dispositivos móviles no cuentan con sistemas antimalware y se utilizan para acceder a redes Wi-Fi públicas, las amenazas informáticas acabarán poniendo en riesgo los sistemas de cualquier empresa.

Por muy rigurosos que sean los Acuerdos de Nivel de Servicio de su hoster o las numerosas medidas técnicas y humanas que éste pueda adoptar, ante esas vulnerabilidades poco podrá hacer. Exactamente igual que si llevábamos en nuestra cartera un papel con el PIN de la tarjeta y cuando nos la roban, responsabilizamos a los sistemas de seguridad de nuestra entidad bancaria del agujero que hemos sufrido en la cuenta.

Y es que no podemos olvidar que, en la inmensa mayoría de los casos, el eslabón más débil de la seguridad IT de las empresas es el propio usuario. Basta comprobar, año tras año, las listas de las contraseñas más utilizadas, y cómo secuencias numéricas como “123456”, combinaciones de letras como “qwerty” o palabras como “password” continúan siendo las claves de acceso más utilizadas.

Formar y concienciar a los empleados de los riesgos a los que pueden exponer a su empresa cuando no escogen contraseñas de calidad, o del peligro que puede suponer llevar la base de datos de clientes en un móvil sin medidas de cifrado, son sólo algunos ejemplos del principal reto que afrontan las organizaciones en el ámbito de la seguridad IT a día de hoy.