Entrevista de Computerworld Hong Kong (CWHK) a uno de los pioneros y profesionales más reconocidos de la seguridad informática, Bruce Schneier (BS).
CWHK: ¿Realmente estamos hoy más seguros de lo que estábamos hace cinco años?
BS: En pocas palabras, no. Es interesante que cada año tenemos nuevas tecnologías, nuevos productos, nuevas ideas, compañías e investigación, pero las personas siguen preguntando ¿por qué las cosas están tan mal con la seguridad? Y la respuesta es que, fundamentalmente, el problema es la complejidad.
El internet y todos los sistemas que construimos hoy en día son cada vez más complejos a una velocidad mucho mayor de la que somos capaces de corresponder. Así, mientras que la seguridad en realidad está mejorando, el objetivo está en constante cambio y la complejidad crece, por lo que estamos perdiendo terreno.
CWHK: ¿Y esta es la realidad que tenemos que aceptar hoy y para el futuro previsible?
BS: Estoy seguro de que no es la respuesta que muchos quieren oír, pero sí, esta es la realidad hoy en día. Estoy seguro de que en alguna parte hay un punto donde la complejidad se reduce y encontraremos una manera de recuperar algo de terreno. Pero es difícil imaginarlo debido a tantos cambios que suceden tan rápido que cada cosa nueva añade complejidad. Y la complejidad es el peor enemigo de la seguridad.
CWHK: Entonces, ¿cómo podemos reconciliar la ironía de que la complejidad es algo que deseamos?
BS: La cosa es que nos encanta la complejidad. Va más allá del uso de estas nuevas aplicaciones en nuestros smartphones, se trata de utilizar Skype en nuestro dispositivo de trabajo con la conexión WiFi del aeropuerto. A todos nos gustan estas cosas y tener acceso a los datos en todo momento, pero esto crea una mayor complejidad y hace más difícil la seguridad.
No hay manera en que yo le aconsejaría a nadie que deje de hacer estas cosas, así que tendremos que encontrar la manera de vivir con esto.
Si uno mira hacia atrás, hace cinco años todos estábamos discutiendo cómo bloquear todos los puntos de acceso a la empresa. Hoy en día todos los datos residen fuera de la red, así que ¿qué más da dónde están hoy los puntos de acceso? Es la evolución constante que tenemos que aceptar y con la que hay que lidiar.
CWHK: Así que ¿tenemos que redefinir constantemente el significado de la seguridad?
BS: Lo hacemos casi todos los días, de todos modos. En el mundo real lo hacemos, ya que la seguridad es en gran medida una construcción local. Lo qué significa ser seguro en Hong Kong es muy diferente a lo que significa en Manila o el centro de Kabul, por ejemplo. Nosotros, como seres humanos, somos muy buenos para adaptarnos a escenarios para crear un nuevo sentido de la normalidad.
De manera intuitiva, los seres humanos cuando caminan por cierta calle y perciben si se trata de un buen vecindario, se ajustan en consecuencia. Pero si se trata de Internet, tomando como ejemplo a mi padre, que tiene poco conocimiento de internet, veremos que su postura de seguridad en la web es muy diferente a la de un adolescente que tiene un comportamiento muy intuitivo acerca de internet.
CWHK: Entonces si la generación más joven parece confiar más en su comportamiento en línea, ¿eso los hace inherentemente menos seguros?
BS: Sin duda la generación de hoy parece ser más confiada, pero no creo que sean más confiados, creo que simplemente les importa menos. Las cosas que puede asustarme no necesariamente les molestan. Pero eso no quiere decir que, como resultado, sean menos seguros –simplemente tienen reglas diferentes. Una vez más se trata de construcciones sociales que cada persona crea para sí mismo.
CWHK: ¿Así que la nueva generación no debería plantear nuevos riesgos de seguridad para los CIOs de hoy?
BS: El hecho de que les importe menos no significa que sean menos seguro. Si bien los jóvenes en internet actúar de manera muy diferente a las generaciones pasadas, he encontrado que son muy sensibles a la privacidad. Ellos probablemente hagan un montón de cosas que nosotros ni siquiera consideraríamos para preservar nuestra privacidad.
Históricamente estamos acostumbrados al modelo en el que mantener algo en privado era barato y era el modo por defecto de hacer las cosas. Hacer algo público era caro y no era fácil ya que se necesitaba algún tipo de medio para difundir el mensaje. Hoy eso se ha invertido.
Hoy en día hacer algo público es la norma y es barato –mantener las cosas privadas es caro y difícil. Los jóvenes están acostumbrados a vivir sus vidas en público y es normal ser constantemente analizado. Uno se vierte en Twitter un par de veces y pronto ya no se siente tan mal al respecto. Pero para mí, y muchos de nosotros, probable es una perspectiva terrible.
CWHK: ¿Qué está creando la mayor complejidad hoy, y por lo tanto, causando grandes dolores de cabeza en seguridad?
BS: Hoy veo que suceden dos cosas clave y ambas implican la pérdida de control –la primera se relaciona con los dispositivos y terminales de puntos de venta que utilizamos, la segunda tiene que ver con el control de los datos. Los dispositivos actuales permiten mucho menor control del usuario. No se puede comprar un firewall para iPhone, ni adquirir software que le ayudará a borrar de forma segura los datos de un iPhone o un Windows Phone.
Estos sistemas están completamente cerrados, y las actualizaciones y nuevas mejoras de software suceden automáticamente sin intervención del usuario.
Podemos perder estos dispositivos y con sólo pulsar un botón es posible que todo aparezca, como por arte de magia, en el nuevo dispositivo. El único inconveniente es que hay bastante menos seguridad bajo mi control y tengo que confiar en que los fabricantes de los dispositivos y los proveedores de software garanticen que todo está protegido.
A continuación están los datos. Todos los datos están migrando cada vez más a la nube con Google, Facebook, LinkedIn; ahora se tienen libretas de direcciones, documentos e imágenes, todo en la nube. No tenemos ninguna visibilidad ni control sobre cómo estos datos son gestionados, procesados, almacenados o manipulados. No sabemos qué sistema operativo usa Facebook ni cómo aseguran su sistema –y en realidad no nos importa.
CWHK: Entonces, ¿perder el control aquí es bueno o malo?
BS: Al perder el control, simplemente tenemos que confiar en Apple y Facebook y muchos otros en que serán responsables para proteger nuestros datos. Mi madre solía ir a casa y limpiar todo su correo no deseado, ejecutar el antivirus y firewalls para limpiar su sistema. Pero hoy en día, si bien hemos perdido el control sobre estas cosas, de muchas maneras estamos más seguros. Confiamos en Apple para asegurar nuestros iPads, confiamos en Samsung para asegurar nuestros teléfonos.
Así que la pérdida de control en muchos casos no significa ser menos seguro. Pero esto también depende de quién eres. A quienes nos gusta el control y tenemos la capacidad para manejar muchos de estos problemas de seguridad –como yo– odiamos esta pérdida. Sigo usando la aplicación de correo Eudora, no existe un programa de correo electrónico mejor o más seguro en mi opinión. Pero esto es raro y admito que soy una verdadera excepción a la norma.
CWHK: Entonces, ¿la confianza es la cuestión clave hoy en día y el reto es en quién confiamos para delegarle este control?
BS: En la mayoría de los casos la gente tiene que superar este sentimiento de pérdida de control. Y en la seguridad es algo que defendimos cuando yo dirigía Counterpane para ayudar a las empresas a mejorar su control de la seguridad. Debimos tener clientes atormentados por la incertidumbre y preguntando si era lo correcto. Y respondimos con la observación de que estaban haciendo un trabajo tan malo ellos mismos, de todos modos, que no había manera de que ese cambio no mejorara las cosas para ellos.
Así que la pregunta hoy no es: ¿Están mis datos seguros en la nube? La pregunta debería ser: ¿Mis datos están más seguros con usted de lo que están conmigo?