Solución a la inseguridad informática

La llamada Ley de Moore, según la cual 'la densidad de los circuitos integrados en cada chip se doblaría cada año y medio' supone que, en una década, los equipos informáticos en el mercado son 60 veces más potentes, algo que no tiene equivalencia en ninguna otra tecnología. Avances como éste son los que han permitido la digitalización de las comunicaciones, la convergencia de la informática y las telecomunicaciones y el desarrollo de Internet, revolucionando la capacidad de tratar la información y su transmisión. Todo ello, además de su efecto en la productividad de las economías y constatando a la vez la absoluta dependencia de la economía global de estas tecnologías.

El uso creciente de sistemas informáticos y redes abiertas está contribuyendo a crear un entorno que pretende traducir las normas del mundo real al virtual. Este comportamiento ya se ha convertido en cotidiano, y no lo es más por aspectos como la accesibilidad, la facilidad en el uso o por la percepción de falta de seguridad.

¿Ante qué retos se enfrenta el crecimiento de Internet? La infraestructura de la red, la banda ancha y la confianza, o sea: la seguridad. Los problemas relativos a los dos primeros se van arreglando en nuestro país, no así el de la seguridad.

El problema de la seguridad viene del propio concepto de Internet: es una red abierta y digital. Al ser abierta interconecta e integra a varias partes, eliminando fronteras entre sistemas y esto es tan útil como peligroso. Al ser digital, permite la creación de automatismos con gran capacidad de difusión y dirigidos a distancia, lo que incrementa el riesgo de ataques informáticos.

Los departamentos informáticos de las empresas se han apercibido de estos riesgos y están incrementando las dotaciones en inversiones en seguridad. Los datos preocupan: diariamente se descubren entre dos y cinco nuevas vulnerabilidades; el 90% de las empresas ha detectado problemas de seguridad en los últimos 12 meses. Los problemas de seguridad para los flujos de información en estos entornos son, básicamente, cuatro: la autenticación, saber que la información proviene de quien se supone; la integridad, que la información no haya sido alterada desde su envío hasta su recepción; la confidencialidad, que no haya sido interceptada por terceros, y el no repudio, la constancia irrebatible de haber enviado o recibido la información. Sin la tecnología adecuada se pueden romper estas características.

Afortunadamente, existe todo un conjunto de soluciones tecnológicas que contrarrestan estos problemas. Entre otras, los cortafuegos, antivirus, passwords, tokens y firma digital (sobre tecnología PKI). Es preciso constatar en cualquier caso que no puede existir una seguridad total. Pero ni en Internet ni en ningún sitio. Finalmente, la seguridad se basa en la correcta gestión de los riesgos, optimizando la relación entre los riesgos asumidos y los medios invertidos.

No se trata de un producto, sino de un proceso, y ese proceso es a su vez tan seguro como el eslabón más débil. Es vital por lo tanto conocer los riesgos anexos a ese proceso. Este debe basarse, por un lado, en la adecuada combinación de hardware, software, redes, personal y política de seguridad. Por otro, en la combinación de la arquitectura de seguridad y su correcta implantación. De hecho, el 80% de los problemas proviene de la forma de implantar los sistemas y sus procedimientos.

Una empresa debe tener en cuenta que el negocio depende de su sistema informático, que hay una legislación y una normativa internacional cuya aplicación puede tener serias consecuencias en la economía de la empresa y, como corolario, que la credibilidad es vital para las organizaciones. Los riesgos que debemos conocer, reconocer y saber gestionar son diarios y de todo tipo y calibre. Los problemas llegan por correo, uno no se da cuenta cuando le atacan, los PC no se diseñaron para guardar datos confidenciales, las máquinas se estropean y, aunque el personal no sabe el mínimo necesario de informática, probablemente alguien en la plantilla sabe más que el responsable de sistemas.

El factor humano no es precisamente el menos importante de los agentes que debemos considerar en la implantación de un sistema de seguridad. Ante la introducción de elementos seguros, como pueden ser las técnicas criptográficas, algunos usuarios pueden reaccionar de forma pueril desarticulando todo el proceso con comportamientos como no querer (u olvidar o simular olvidar) cifrar los ficheros o correos, imprimir los códigos y dejarlos en la impresora (o en la mesa, o en la papelera, o...), no utilizar passwords de calidad... y la dirección puede estar tentada de facilitar las cosas a los usuarios más que de mejorar la seguridad de la compañía.

Todas las encuestas realizadas a empresas sobre asuntos relacionados con la seguridad proclaman con grandes caracteres la preocupación interna sobre estos temas. A modo de ejemplo se pueden citar datos como que el 90% de las empresas ha detectado problemas de seguridad en los últimos 12 meses, o que el 80% reconoce pérdidas financieras; el 40% ha sufrido intrusiones desde el exterior; el 38% ha comprobado que se han efectuado accesos no autorizados desde el interior de la propia empresa, por no hablar de los abusos cometidos en el acceso a Internet, que ha padecido el 78%.

Si el escenario es tan nítido, ¿qué hacen (o dejan de hacer) las empresas en lo relativo a su estrategia de seguridad? Según los estudios de Asimelec, el nivel de implantación de sistemas de seguridad es claramente deficiente. Solamente cuando las empresas tienen más de 250 trabajadores las cifras relativas a la LOPD y el plan de continuidad rondan una contestación positiva del 60% de las empresas. Sólo pueden considerarse como realmente consolidadas dos tecnologías: los antivirus y los cortafuegos (firewalls), con una penetración de cierta importancia de la autenticación.

Una rápida reflexión indica al menos dos cosas; por un lado, la escasa presencia de estas tecnologías y, por otro, que la perspectiva de las compañías se centra en una seguridad periférica que las proteja de los ataques exteriores.

Las empresas españolas deben asimilar que la seguridad no es una opción, es una obligación para cualquier empresa. Como decisión estratégica, la política de seguridad debe estar basada en el análisis y gestión del riesgo, bien definida e implantada en toda la entidad. Y por último, que la evaluación de la eficacia de los mecanismos aplicados debe ser permanente, porque la seguridad es un proceso, no un producto, y su implantación no es una opción, sino una necesidad.