Hoy en día es patente la necesidad de fuertes medidas de protección frente a problemas de seguridad, ya sean propiciados por personas externas, virus y troyanos o causas naturales. Por lo tanto, debemos entender como seguridad no solo aquellas cuestiones relativas a intentos maliciosos de causar daño, sino también a aquellos problemas que puedan comprometer la integridad de nuestros sistemas, y sobretodo nuestra información.
Quizás deberiamos preguntarnos qué está fallando cuando un sistema de seguridad no es eficiente. Sin embargo, ¿somos conscientes de las consecuencias reales que puede tener no dedicar los suficientes esfuerzos -humanos y tecnológicos- para contrarestar los problemas de seguridad? Generalmente existe la percepción equivoca de que un sistema de seguridad avanzado brinda una total protección ante cualquier tipo de suceso.
Todos tenemos la certeza de que existen carencias en las prácticas para la gestión de la seguridad, pero ¿la mayoría de personas cambia sus contraseñas de acceso periódicamente, utiliza los recursos asignados para las copias de seguridad o evita utilizar aplicaciones no autorizadas para las estaciones de trabajo? Al igual que en muchas otras áreas de la empresa, existe una amplia declaración de propositos, pero carecemos de una concienciación real y una notable involucración en los procesos y su alineamiento.
Por otro lado, la capacidad de reacción (corrección) de la mayoría de empresas y organismos -quizás fruto de las distorsionada visión de la seguridad- es tremenadamente límitada. Un claro ejemplo de ello es que en la mayoría de ocasiones, cuando como usuarios informamos a las organizaciones de sus fallos de seguridad, éstas permanecen impasibles (véase la reciente demanda contra Telefónica…). Personalmente me gusta informar a las organizaciones de aquellos fallos de seguridad que detecto, pero en muy contadas ocasiones toman medidas correctivas.
Por último me gustaría apuntar a la necesidad de involucración por parte de toda la plantilla de la organización. Está en mano del Director de Sistemas de Información proveer los medios necesarios para garantizar la seguridad, pero es responsabilidad de todo usuario realizar el esfuerzo necesario para garantizar el seguimiento del plan.
Y como todos imaginaréis, de nada sirve incorporar tecnología sobresaliente si el plan de seguridad es pésimo.