Debido a la gran relevancia que ha cobrado durante los últimos años la seguridad, no solo decidimos dedicar esta última edición del 2006, a este tema, aprovechando tambien las principales conclusiones a las que se llegó durante nuestro “Seminario de Seguridad en Redes 2006”, que tuvo lugar el pasado mes de noviembre. El conferencista de CA destacó que los departamentos de TI y los gerentes de sistemas, tienen la tarea de construir la seguridad de manera modular y en niveles con la posibilidad crear accesos restringidos y monitoreados, en donde cada usuario “tenga sólo acceso a ciertas aplicaciones con base en sus funciones”. Asimismo, Arturo Maqueo, de APC completó la idea de una seguridad total que no sólo involucre software, sino hardware, pues “no tiene sentido invertir en seguridad digital, informática, con herramientas o aplicaciones y software, si no se planea una inversión en seguridad física y en infraestructura capaz de soportar los errores tanto humanos como naturales”. Carlos Guzmán, de MGE, agregó que “los avances tecnológicos, como el Internet y cualesquiera de las plataformas para enviar, recibir o compartir información, necesariamente tenemos que pensar en la infraestructura informática que nos permitirá soportar estos servicios y, más importante aún, tenemos que pensar en cómo protegerla”. Por su parte, Cristina Rivas, de IDC, indicó “en IDC consideramos que la seguridad es tener un serie de procedimientos bien establecidos, de medición de manejo del riesgo, que puedan dar a la organización todos los elementos para hacer de la continuidad del negocio algo realista”, concepto que definió como un enfoque “holístico” de la seguridad. ¿Suena sencillo? Sin embargo a veces no es suficiente… pues nos faltó quizás uno de los eslabones más fuertes de la cadena de seguridad empresarial que permitirán asegurar los sistemas más críticos de las empresas, y ninguno de los ponentes titubeó al afirmar que tiene se trata de los usuarios. Parece increíble, pero sin la correcta capacitación del usuario, y la comprensión total del papel que este juega dentro de la organización, las cuantiosas inversiones del corporativo en cuanto a sistemas de seguridad se podrían ir a la basura en cuestión de minutos. Lo anterior me recordó a un evento de seguridad al que asistí recientemente: Infosecurity Forum, en donde se invitó a Kevin Mitnick, uno de los más famosos estafadores de todos los tiempos y que ahora dedica su vida asesorando a las empresas sobre cómo lograr una mayor seguridad. Mitnick es reconocido por ser el que mejor utilizó la “Ingeniería social”, una técnica de engaño y manipulación basada en los sentimientos que hacen que las personas revelen datos confidenciales de las empresas, incluso sin darse cuenta. De hecho los expertos aseguran que los ataques a los sistemas de seguridad a través de la ingeniería social cada vez son más frecuentes y, lamentablemente, más efectivos. “Es mucho más efectivo involucrar a las personas en una estafa sin que se den cuenta, que tratar de romper las barricadas tecnológicas de las empresas para proteger la información”, indicó Mitnik en su ponencia. Pero ¿qué hacer al respecto? Una buena recomendación, otorgada por IDC, es integrar a la seguridad las 3 “P” del negocio: “Personas, Procesos y Productos, y no sólo tecnología. El primero para generar conciencia del tema entre los usuarios; el segundo para reducir los tiempos de administración y el tercero con la finalidad de estar preparados para las regulaciones mediante el conocimiento de los casos de éxito o fracaso de otros. Para entender la seguridad, es necesario tomar en cuenta que esta no sólo esta dentro de la empresa sino en los hábitos de las personas, hay conocer los puntos débiles para estar concientes del peligro que estos representan. Nadie dijo que el proceso es fácil, pero si logramos conjuntar estas tres “P”, seguramente lograremos grandes beneficios para nuestras organizaciones, y sin duda llegaremos al tan ansiado enfoque “holítistico de la seguridad”.