El avance de la tecnología conlleva riesgos de seguridad asociados a su uso, principalmente porque existen personas que buscan sacar provecho sobre los usuarios. En este contexto, la mayoría de las amenazas informáticas de la actualidad tiene como propósito generar un beneficio económico a sus desarrolladores.
Lo que inició como curiosidad de jóvenes que buscaban modificar el comportamiento de los sistemas para que operaran de una manera en la que no habían sido diseñados, con el paso de los años se ha transformado en una industria de ciberdelitos, pasando de hackers entusiastas y curiosos a crackers que buscan lucrar con sus habilidades. Si además se comenten actos tipificados utilizando las nuevas tecnologías, se suele hacer referencia a ciberdelicuentes.
Por lo tanto, la formación profesional juega un papel preponderante en el contexto de la ciberseguridad, pero al mismo tiempo lo hace la formación personal, que tiene como base principios y valores que determinan el actuar de las personas. ¿Qué determina si las acciones de un informático son buenas o no?
La delgada línea entre “el lado del bien y del mal”
El panorama actual de la ciberseguridad y la seguridad de la información, así como sus tendencias, nos muestran la necesidad de contar con profesionales encargados de proteger los activos más importantes dentro de cualquier tipo de organización, así como a sus usuarios; pero a la vez, se pronostica una escasez de personal cualificado en el futuro cercano.
Las habilidades técnicas, conocimientos y aptitudes que posean los profesionales de seguridad resultan fundamentales para tal propósito, aunque no se debe dejar de lado la formación que considera también el factor humano.
Una persona que posee los conocimientos suficientes para vulnerar un sistema y acceder a información privilegiada se encuentra frente a una delgada línea que puede traspasar fácilmente para obtener un beneficio, al tiempo que puede comprometer la seguridad de organizaciones o usuarios. Solamente su formación ética en ciberseguridad le permite discernir entre lo que puede ser considerado como bueno o malo, y por supuesto, lo que es legal o no.
Recordemos el caso de Edward Snowden, que ayer analizábamos: él era un usuario con permisos para acceder a una gran cantidad de sistemas confidenciales, y ninguna organización es capaz de mantener la confidencialidad si un usuario en el que confía decide violarla, señalaba el investigador de ESET Stephen Cobb.
Pero incluso se deben considerar otros aspectos, como la personalidad misma. Esta responde a un sinnúmero de estímulos, tanto internos como externos, donde pueden incluirse los intereses, ideologías, motivaciones, experiencias, la formación desde el hogar o la escuela. Por lo tanto, la personalidad se determina a través del carácter (innato) y el temperamento (experiencias y educación) que también es fundamental en el ejercicio profesional.
En el ámbito corporativo, a la hora de elegir profesionales, puede haber personas bien intencionadas y otras no tanto, por lo que a veces la elección se limita a conocer lo mejor posible la voluntad y las intenciones de la persona, y si está realmente interesada en el hacking ético o tendrá siempre un costado que genera dudas.
Muchos de los que hoy son expertos en seguridad han experimentado con el hacking en su juventud y primeros años en el mundo informático, pero en cada caso hay matices que separan, por ejemplo, a quien usó una vez un gusano simple para molestar a sus amigos, de quien desarrolló un malware destructivo, administró una botnet, robó información personal o confidencial o lucró a costa de engañar a otros usuarios. Este es un debate de nunca acabar en esta industria.
Por lo tanto, una tarea en la que se debe trabajar es en la formación de profesionales de seguridad con las habilidades técnicas necesarias para la protección, pero al mismo tiempo con sentido de responsabilidad y ética para el ejercicio de sus actividades.
Moral, ética, leyes y su propósito principal
En un contexto de mayor envergadura, una condición ideal consistiría en la alineación y coherencia entre la moral, la ética y las leyes que emanan de los distintos países; sin embargo, en ocasiones esto no es posible. Además, estos elementos varían de una sociedad a otra, y cambian con el tiempo.
El fin principal que se debería perseguir dentro del contexto de los encargados de la ciberseguridad y la seguridad de la información es actuar y tomar decisiones sin afectar a otros. Esto determinaría un comportamiento ético y profesional, una tarea sin duda pendiente y que significa un gran esfuerzo con implicaciones no solo laborales sino también sociales.