La Importancia Del Factor Humano En La Seguridad Informatica

Introducción

El hombre es el factor principal en un sistema informático, él lo diseña, lo pone en práctica, lo explota y lo mantiene, tanto desde el punto de vista tecnológico como informativo.

Participa activamente en el ciclo de vida de la información, ya que la genera y destruye, pasando por su actualización, almacenamiento, transmisión y reproducción, según los distintos procesos por los cuales puede transitar. Es un elemento susceptible a las influencias, tanto positivas como negativas del mundo circundante, que puede provocar reacciones muy disímiles ante situaciones dadas; de ahí que constituya un objetivo de trabajo de todos aquellos que pretendan desestabilizar el buen funcionamiento del sistema informático en sentido general.

Por eso debemos estar conscientes que inducido o fortuitamente el hombre ante causas y condiciones que lo propicien se convierte en la principal amenaza de un sistema informático, al estar en capacidad de desencadenar acciones riesgosas contra el mismo.

De la misma forma si es capaz de concientizar su responsabilidad dentro del sistema de medidas de Seguridad Informática, hará de este una coraza infranqueable en la defensa de la confidencialidad, integridad y disponibilidad de la información y la adecuada utilización de las tecnologías informáticas y de comunicaciones.

Entre las causas que pueden provocar conductas de amenazas a un sistema informático por las personas, podemos citar las siguientes:

• Impulsos mezquinos o codiciosos que pueden provocar fraudes, robos y contaminación de información entre otras

• Descontento por la falta de reconocimiento al trabajo que realiza, condiciones inadecuadas para ejecutar sus funciones o desacuerdo con las políticas de dirección de la entidad.

• Desequilibrios psicológicos.

• Existencia de profesionales de espionaje electrónico que cobran fuerza con el alto grado de conectividad en redes de computadoras en el mundo.

• Personal sin la calificación necesaria ocupando funciones vinculadas a la explotación de sistemas informáticos o sobre calificación para puestos de trabajos que no lo requieren.

Todo esto alerta sobre la importancia de la selección del personal, con la preparación profesional y confiabilidad que se ajuste con los puestos de trabajo dentro del sistema informático, así como realizar un programa de concientización que contribuya a educar a los hombres en el conocimiento de las obligaciones legales y medidas de protección que incluye la seguridad informática.

El factor humano en la seguridad informática

Si alguien se pregunta cuál es la relación que una disciplina como seguridad informática (que se supone está orientada a soluciones de tipo tecnológico) puede tener con lo puramente humano, se le podría responder de forma sencilla diciéndole: “toda”. Prácticamente las tres cuartas partes de los incidentes de seguridad informática que se han producido en las últimas décadas han sido protagonizadas por humanos (la cuarta parte restante corresponde a sucesos de origen natural o fortuito.

Si analizamos superficialmente los problemas de seguridad de origen humano, nos damos cuenta que estos se producen en dos circunstancias completamente opuestas. Por un lado, están aquellos provocados por personas ajenas al sistema que se introducen o atacan al mismo. La forma de prevenir estos incidentes es, obviamente, limitar la accesibilidad que dichas personas pueden tener al sistema o a sus componentes más delicados, introduciendo controles y barreras que permitan discriminar efectivamente entre usuarias autorizadas y extraños a todos los niveles: físico, de conexión por red, de acceso a cuentas y servicios, de disponibilidad de la información y de los recursos, etc... Este tipo de problemas se tratan con cierto detalle en los capítulos correspondientes a seguridad interna, y no vamos a abundar aquí en ellos.

Sin embargo, existe otro tipo de situaciones potencialmente muy peligrosas para la seguridad informática: aquellas en las que las usuarias autorizadas, haciendo uso de los procedimientos y privilegios previstos para el desempeño de sus funciones normales, producen violaciones, muchas veces graves, de la política de seguridad del sistema. En ocasiones las personas que provocan estos incidentes actúan de forma involuntaria, causando el mal por descuido, ignorancia, olvido de las consideraciones básicas de seguridad, falta de comprensión o cualquier otra circunstancia, que incluso puede estar repleta de sana intención.

En otros, las personas actúan dolosamente y violan los controles de seguridad con el propósito cierto de causar algún daño. El problema radica en que, por mucho que se planifiquen cuidadosamente todos los aspectos de la seguridad, al final es preciso confiar en las personas.

Además, los medios que utilizamos para evitar que individuos no autorizados hagan usos indebidos del sistema no sirven para evitar que el personal autorizado haga lo mismo.

Es muy difícil establecer barreras contra los incidentes, tanto voluntarios como involuntarios, provocados por las personas en las que se deposita la confianza del uso y manipulación de lo que en muchas ocasiones es uno de los principales activos de cualquier organización: sus sistemas informáticos. Porque, si bien establecer controles para evitar que una acción determinada se produzca (por ejemplo, modificaciones en una base de datos por una determinada persona) puede resultar técnicamente muy sencillo, conseguir que el sistema autorice esa acción unas veces sí y otras veces no, no siempre resulta posible (por ejemplo, ¿cómo se puede distinguir entre modificaciones “buenas” y “malas” de la base de datos por parte de la misma persona, para poder bloquear eventualmente las segundas?).

La implantación de unas adecuadas medidas de seguridad de la información exige contemplar aspectos técnicos (antivirus, cortafuegos, IDS...), organizativos (planes y procedimientos) y legales (cumplimiento de la legislación vigentes sobre protección de datos, uso de la firma electrónica, propiedad intelectual, etc.). No obstante, en muchas ocasiones se presta muy poca atención a la importancia del factor humano en la seguridad informática.

Según varios estudios publicados, más del 75 % de los problemas inherentes a la seguridad se producen por fallos en la configuración de los equipos o por un mal uso por parte del personal de la propia organización.

Además, hay que tener en cuenta que una empresa u organización puede ser responsable subsidiara por los actos de sus empleados, que en nuestro país pueden acarrear importantes sanciones económicas, teniendo en cuenta la legislación vigente (LOPD, LSSI-CE, Código Penal...):

— Envíos de comunicaciones comerciales no solicitadas (spam), que puede acarrear una multa de hasta 150.000 euros, al incumplir la LSSI-CE.

— Cesiones no autorizadas de datos de carácter personal, con multas de hasta 600.000 euros, al incumplir con los preceptos de la LOPD.

— Delitos contra la propiedad intelectual, si se instalan y utilizan programas de intercambio de ficheros P2P (como Kazaa, e-Mule...).

— Delitos informáticos como el ataque a otros equipos desde la propia red de la empresa, realización de estafas electrónicas...

— Descarga de herramientas de hacking, acceso a pornografía o a contenidos ilegales en el país (Websites racistas o de grupos xenófobos o terroristas).

— Envío a terceros de información confidencial de la empresa.

Los principales expertos en materia de seguridad informática ya nos han alertado estos últimos años sobre la necesidad de contemplar el factor humano como uno de los más importantes a la hora de implantar un sistema de gestión de seguridad de la información.

Así, en palabras de Kevin Mitnick, uno de los hackers más famosos de la historia, “usted puede tener la mejor tecnología, firewalls, sistemas de detección de ataques, dispositivos biométricos, etc. Lo único que se necesita es una llamada a un empleado desprevenido e ingresan sin más. Tienen todo en sus manos”. El propio experto en criptografía y seguridad Bruce Scheneir llegaba a afirmar en uno de sus últimos libros, Secrets and Lies (Verdades y Mentiras) que “...si piensas que la tecnología puede resolver tus problemas de seguridad, entonces no entiendes el problema y no entiendes la tecnología”. Por otra parte, en estos últimos años se han incrementado de forma significativa los conflictos legales sobre la debida utilización de Internet y el correo electrónico y, a falta de una clara normativa, se han dictado sentencias a favor de unos y otros, empresarios y trabajadores, avalando en unos casos despidos por abuso de Internet y rechazándolos en otros. Por todo ello, la implantación de un sistema de gestión de seguridad de la información debería considerar el factor humano como uno de sus elementos clave, contemplando aspectos como la adecuada formación y sensibilización de los empleados, la implicación de los responsables y directivos, la aprobación de un reglamento interno sobre el uso de la informática e Internet en la organización, etc.

La gente es parte del sistema

Hay una amplia variedad de software de seguridad disponible, incluyendo cortafuegos, sistemas de detección de intrusos, soluciones antivirus, etc. Cada tipo de software es diseñado para realizar funciones muy específicas, y usar tal software ayudará a proteger un sistema. Sin embargo, aun usando el mejor software, que emplea la tecnología más avanzada y los algoritmos más seguros, la seguridad del sistema no se puede garantizar al 100%. Esto es porque

...