Cuando hablamos acerca de Seguridad Informática, detección de amenazas, protección de información confidencial o de cómo implementar buenas políticas de seguridad, nos basamos en el control de accesos y en la restricción de permisos. A veces pareciera que la seguridad sólo tiene que ver con el no permitir que algo pase; sin embargo, como veremos en este post, no se trata sólo de eso y podemos hablar de barreras y barandas en la Seguridad Informática.
La semana pasada tuve el gusto de participar de una nueva edición del OWASP LATAM TOUR 2014. En esta ocasión me tocó presentar en el capítulo de OWASP Argentina, compartiendo con el resto de la comunidad una charla titulada “La web, las armas y el malware”. En el marco de este evento, entusiastas y especialistas en Seguridad Informática, consultores, desarrolladores y gerentes de diferentes empresas nos juntamos para debatir, compartir y ver cuáles son las mejores prácticas para proteger nuestros sistemas y cuáles son las amenazas que nos pueden afectar.
Al terminar mi charla, comenté esta idea o pensamiento de que no sólo debemos ver a la Seguridad Informática como una serie de barreras que definen qué se puede hacer o no, quién tiene permisos, o cómo se debe implementar una política de seguridad; sino que también debemos entender que hay que acompañar a los usuarios a través de sus labores diarias evitando que caigan en engaños, garantizando su seguridad y capacitación y que estén al tanto de lo que puede suceder. En otras palabras, dónde debemos poner las barandas que los acompañen a estar más seguros sin comprometer su comodidad. De aquí es que sale el concepto de barreras y barandas en Seguridad Informática.
Una barrera es un punto de control, de acceso, un lugar en donde se define quién puede acceder o no. Piensen por un segundo cuántas veces al día nos encontramos con este tipo de situaciones. Cuando queremos subir al transporte público tenemos que pagar el boleto, al presentarnos en una oficina debemos utilizar una tarjeta de acceso para poder entrar; y como estas, otros cientos de situaciones similares se presentan, en las cuales debemos presentar algún tipo de validación que nos garantice el acceso a un recurso.
En el ámbito de la Seguridad Informática, nos encontramos con una barrera cuando queremos iniciar sesión en un equipo, acceder a un recurso compartido o simplemente cuando intentamos ejecutar un programa y necesitamos una cuenta con permisos para poder hacerlo. El concepto de control de accesos y permisos, medidas de protección y la definición de políticas forman parte de las barreras.
Por otro lado, una baranda tiene una función distinta: ayuda a tener un punto de apoyo para no lastimarnos, caernos o simplemente para delimitar una frontera. Un balcón tiene una baranda que evita que la gente se caiga, una escalera tiene una baranda que además de evitar caídas, es un punto de apoyo para subir o bajar.
Si trasladamos este concepto nuevamente al campo de la Seguridad Informática, debemos remarcar las funciones que la Educación, la capacitación y la adaptación de procesos y metodologías cumplen para mantener segura una red corporativa. A través de la educación de los usuarios acerca de buenas prácticas de trabajo, la importancia de la confidencialidad de la información o la explicación de porqué hay que tener contraseñas diferentes para cada servicio, ayudamos a proteger a la empresa y a la privacidad de los usuarios sin restringir nada.
Cuando el equipo de seguridad de una empresa define una medida de seguridad para evitar la ejecución de aplicaciones desde dispositivos USB, no está bajando una barrera para que el usuario no pueda hacer algo. Por el contrario, está creando una baranda que le permite leer los documentos que transporta, protegiéndolo de las amenazas que se propagan a través de memorias USB. La barrera evita que un sistema se infecte con una amenaza, y la baranda ayuda al usuario a hacer un trabajo sin impactar en la operatoria.
Como especialistas en Seguridad, estamos acostumbrados a hablar de procesos, controles y medidas de seguridad, y es muy común para nosotros hablar de restricciones de accesos. Sin embargo, para los usuarios esto no es tan frecuente, y es nuestra responsabilidad que ellos se sientan protegidos sin verse limitados para realizar sus trabajos. Proteger a los usuarios desde lo técnico y apoyarlos desde la educación es nuestro desafío y es así como podemos garantizar la mejor protección a los sistemas, ya sea en ámbitos empresariales o en el hogar.