La Importancia Del Factor Humano En La Seguridad Informatica

Introducción

El hombre es el factor principal en un sistema informático, él lo diseña, lo pone en práctica, lo explota y lo mantiene, tanto desde el punto de vista tecnológico como informativo.

Participa activamente en el ciclo de vida de la información, ya que la genera y destruye, pasando por su actualización, almacenamiento, transmisión y reproducción, según los distintos procesos por los cuales puede transitar. Es un elemento susceptible a las influencias, tanto positivas como negativas del mundo circundante, que puede provocar reacciones muy disímiles ante situaciones dadas; de ahí que constituya un objetivo de trabajo de todos aquellos que pretendan desestabilizar el buen funcionamiento del sistema informático en sentido general.

Por eso debemos estar conscientes que inducido o fortuitamente el hombre ante causas y condiciones que lo propicien se convierte en la principal amenaza de un sistema informático, al estar en capacidad de desencadenar acciones riesgosas contra el mismo.

De la misma forma si es capaz de concientizar su responsabilidad dentro del sistema de medidas de Seguridad Informática, hará de este una coraza infranqueable en la defensa de la confidencialidad, integridad y disponibilidad de la información y la adecuada utilización de las tecnologías informáticas y de comunicaciones.

Entre las causas que pueden provocar conductas de amenazas a un sistema informático por las personas, podemos citar las siguientes:

• Impulsos mezquinos o codiciosos que pueden provocar fraudes, robos y contaminación de información entre otras

• Descontento por la falta de reconocimiento al trabajo que realiza, condiciones inadecuadas para ejecutar sus funciones o desacuerdo con las políticas de dirección de la entidad.

• Desequilibrios psicológicos.

• Existencia de profesionales de espionaje electrónico que cobran fuerza con el alto grado de conectividad en redes de computadoras en el mundo.

• Personal sin la calificación necesaria ocupando funciones vinculadas a la explotación de sistemas informáticos o sobre calificación para puestos de trabajos que no lo requieren.

Todo esto alerta sobre la importancia de la selección del personal, con la preparación profesional y confiabilidad que se ajuste con los puestos de trabajo dentro del sistema informático, así como realizar un programa de concientización que contribuya a educar a los hombres en el conocimiento de las obligaciones legales y medidas de protección que incluye la seguridad informática.

El factor humano en la seguridad informática

Si alguien se pregunta cuál es la relación que una disciplina como seguridad informática (que se supone está orientada a soluciones de tipo tecnológico) puede tener con lo puramente humano, se le podría responder de forma sencilla diciéndole: “toda”. Prácticamente las tres cuartas partes de los incidentes de seguridad informática que se han producido en las últimas décadas han sido protagonizadas por humanos (la cuarta parte restante corresponde a sucesos de origen natural o fortuito.

Si analizamos superficialmente los problemas de seguridad de origen humano, nos damos cuenta que estos se producen en dos circunstancias completamente opuestas. Por un lado, están aquellos provocados por personas ajenas al sistema que se introducen o atacan al mismo. La forma de prevenir estos incidentes es, obviamente, limitar la accesibilidad que dichas personas pueden tener al sistema o a sus componentes más delicados, introduciendo controles y barreras que permitan discriminar efectivamente entre usuarias autorizadas y extraños a todos los niveles: físico, de conexión por red, de acceso a cuentas y servicios, de disponibilidad de la información y de los recursos, etc... Este tipo de problemas se tratan con cierto detalle en los capítulos correspondientes a seguridad interna, y no vamos a abundar aquí en ellos.

Sin embargo, existe otro tipo de situaciones potencialmente muy peligrosas para la seguridad informática: aquellas en las que las usuarias autorizadas, haciendo uso de los procedimientos y privilegios previstos para el desempeño de sus funciones normales, producen violaciones, muchas veces graves, de la política de seguridad del sistema. En ocasiones las personas que provocan estos incidentes actúan de forma involuntaria, causando el mal por descuido, ignorancia, olvido de las consideraciones básicas de seguridad, falta de comprensión o cualquier otra circunstancia, que incluso puede estar repleta de sana intención.

En otros, las personas actúan dolosamente y violan los controles de seguridad con el propósito cierto de causar algún daño. El problema radica en que, por mucho que se planifiquen cuidadosamente todos los aspectos de la seguridad, al final es preciso confiar en las personas.

Además, los medios que utilizamos para evitar que individuos no autorizados hagan usos indebidos del sistema no sirven para evitar que el personal autorizado haga lo mismo.

Es muy difícil establecer barreras contra los incidentes, tanto voluntarios como involuntarios, provocados por las personas en las que se deposita la confianza del uso y manipulación de lo que en muchas ocasiones es uno de los principales activos de cualquier organización: sus sistemas informáticos. Porque, si bien establecer controles para evitar que una acción determinada se produzca (por ejemplo, modificaciones en una base de datos por una determinada persona) puede resultar técnicamente muy sencillo, conseguir que el sistema autorice esa acción unas veces sí y otras veces no, no siempre resulta posible (por ejemplo, ¿cómo se puede distinguir entre modificaciones “buenas” y “malas” de la base de datos por parte de la misma persona, para poder bloquear eventualmente las segundas?).

La implantación de unas adecuadas medidas de seguridad de la información exige contemplar aspectos técnicos (antivirus, cortafuegos, IDS...), organizativos (planes y procedimientos) y legales (cumplimiento de la legislación vigentes sobre protección de datos, uso de la firma electrónica, propiedad intelectual, etc.). No obstante, en muchas ocasiones se presta muy poca atención a la importancia del factor humano en la seguridad informática.

Según varios estudios publicados, más del 75 % de los problemas inherentes a la seguridad se producen por fallos en la configuración de los equipos o por un mal uso por parte del personal de la propia organización.

Además, hay que tener en cuenta que una empresa u organización puede ser responsable subsidiara por los actos de

...