Hay muchas formas de tratar de definir la seguridad digital, las más conocidas
- Es una cadena, tan fuerte como su eslava más débil. Y generalmente ese eslabón es humano.
- Es un procese continuo y no un producto.
- Es una forma de vivir, es un conjunto de hábitos y no solo responsabilidades.
Pero para analizar la seguridad, podemos analizar su opuesto complementario, la inseguridad.
Con el tiempo trato de definir la seguridad de la siguiente manera:
Una gran pared de ladrillos, tan fuerte como cada ladrillo y sus uniones con otros ladrillos.
Esta complicado proteger Todos los ladrillos y sus uniones. Siempre será más fácil encontrar el ladrillo o la unión deficiente para hacer una brecha a la seguridad. Si esta es minúscula, la fuga o daño será invisible, pero existirá.
Llevo más de 15 años en estos gajes de la seguridad y hemos visto de todo. Para no ser muy amplios voy a limitarme a situaciones o fisuras en el campo de las Tecnologías de la información y el abuso de estos recursos. Puedo citar algunas fisuras en la seguridad empresarial:
- Negocios con el reemplazo de activos buenos de la empresa por activos dañados de terceros. Como no controlamos datos seriales o huellas mas exactas, el cambio no se nota.
- Funcionarios que aprovechan la infraestructura empresarial para desarrollar sus propios negocios. Programadores que llevan parte de sus desarrollos a empresas particulares o realizan desarrollo para terceros desde y en horarios laborales.
- Gerentes de TI que extrañamente y de forma permanente renuevan su tecnología con los mismos proveedores. Generalmente las políticas de renovación tienen entre 30 a 50% de descuento, pero los presupuestos se mantienen sin modificación alguna.
- Personal retirado crea empresas para participar como proveedores. Extrañamente sin la experiencia necesaria se adjudican todos los contratos.
- Empresas o profesionales que se dedican a otros rubros, pero aparecen de un día para otro como proveedores de seguridad, sean en hardware o en software. No se valida experiencia especifica.
- Bases de datos que se negocian en el mercado negro de la información. Ciertas entidades invierten miles de dólares para colectar datos, pero estos aparecen en el mercado negro.
- Manipulación de bases de datos en cuentas por cobrar. Extraños descuentos y hasta eliminación de deudas por servicios.
- Manipulación de programas para favorecer a clientes con servicios que por alguna razón no se contabilizan, pero se consumen.
- Recurrentes viajes de capacitación que más parecen vacaciones divertidas por los lugares y tipo de reunión. Ciertos proveedores en el campo de la tecnología ya están estigmatizados por sus suculentos programas de fidelización.
- Contrataciones extrañas entre clientes y proveedores. De un día para otro los funcionarios de un cliente pasan a filas del proveedor o viceversa. Ya se tienen constantes en el mercado.
- Contrataciones y pases extraños entre regulados y reguladores. Como que de un día para otro el control se vuelve controlado, pero la mano dura se ablando.
- Compras de activos que no se utilizan o están guardados en almacenes hasta que quedan obsoletos. Esto es mas frecuente en inversiones de licencias de software. Claro que no hablamos de licencias de antivirus, sistema operativo y ofimática, sino licencias de utilitarios de diseño e ingeniería por ejemplo donde las licencias están bordeando los 50 mil dólares.
- Cursos de capacitación que nunca existieron, pero generaron el gasto, el viaje, el hotel, los viáticos y todo lo relacionado.
- Equipamiento reacondicionado entregado como nuevo. Una cosa es comprar versiones nuevas, pero no las ultimas por temas de precio. Pero otra es comprar de un revendedor que al igual que la ropa usada recolecta equipos de todo lado, los reacondiciona, a veces le coloca en la caja el sello “reacondicionado”, pero como las cajas no llegan hasta el usuario final, nadie se da cuenta.
- Manipulación de bases de activos dar de bajo o simplemente eliminarlos del inventario y hacerse del mismo. Ojo que no hablamos de un pc o una resma de papel, sino muebles, inmuebles y vehículos generalmente.
- Funcionarios de empresas de servicios de comunicaciones con crédito ilimitado. Hasta revenden y transfieren crédito.
- Auditores cuidando el contrato del siguiente año y vendiendo observaciones y dictámenes limpios. Como pasarle las preguntas del examen para que siempre salga bien.
Todos los ejemplos mencionados son cosechados de nuestro entorno. Como dicen, “los pecados se silban pero no se cantan”. Asi que muchos de estos no salen a la luz por cuanto la brecha es pequeña, parte de la Perdida o merma esperada.
TODOS los negocios tienen su miel y sus propias brechas, sino que tire la primera piedra el que este libre de pecado y pecadores. Como dicen “En todas partes se cuecen habas”
Definitivamente el monstruo de la corrupción tiene muchos tentáculos y la estrategia de contagio es la mas difundida. Todos tiene un negocio particular y como son bomberos, no se pisan la bandera. Por tanto, querer controlar las brechas de la seguridad, identificar las fisuras se hace cada vez mas complejo y hasta imposible. Cuando la brecha ha sido iniciada desde adentro, se hace invisible, traspasa la pared de seguridad haciéndose invisible.
Únicamente aflora cuando la ambición o la colusión interna se rompe. Vemos que los controles son cada vez mas ineficientes por que también los que los escriben, y dominan son parte de las brechas de seguridad.