Por qué la seguridad informática no es un buen negocio

Algunos dicen que Bruce Schneier es un gurú. Yo creo que no. Cuando oí por primera vez su nombre, inevitablemente vinculado a ese latiguillo de “la seguridad no es un producto, sino un proceso”, mi opinión inicial fue negativa. Quizá se trataba de otro Douglas Rushkoff, erguido en el escenario frente a un auditorio de estudiantes universitarios y ejecutivos de empresa, haciendo gestos dramáticos bien calculados y diciendo estupideces sobre la transformación de las relaciones sociolaborales en la Baja Edad Media. La lectura de “Secrets and Lies” (Wiley 2004) me hizo cambiar de parecer. Schneier se ha convertido en personaje de moda no solo por su carisma, sino también por un conocimiento minucioso de todo el panorama actual de las tecnologías de seguridad aplicadas a la informática, hasta unos niveles de detalle que le dejan a uno con la boca abierta. Por lo tanto, y siguiendo el modelo de su lapidaria frase, podríamos decir: Schneier no es un gurú, es un experto. Expert, de esos a los que Obama da patadas en el culo para que busquen un modo de arreglar la catástrofe nacional provocada por los vertidos de petróleo en el Golfo de Mexico. Bruce Schneier destaca asimismo por un talento didáctico poco comun en el gremio, y por la capacidad de transmitir contenidos áridos y farragosos a un público compuesto no solamente por gente de la casa, sino también por legos. Si de vez en cuando no se subiera al escenario sería un desperdicio.

Encarecidamente recomendaría la lectura de “Secrets and Lies” a quien desée hacerse una idea no solo de en qué consisten las principales tecnologías de seguridad aplicadas en todos los sectores imaginables -desde cajeros automáticos hasta transmisiones militares-, sino también del estado actual del arte y las limitaciones de los diferentes métodos y procesos. Salvo en aspectos muy puntuales la obra no ha perdido vigencia pese a los ocho años transcurridos desde su publicación. Téngase en cuenta que ocho años, en los tiempos que corren, es decir mucho: cinco ciclos de Moore, con considerables avances cualitativos en la tecnología y una multiplicación por 32 en las prestaciones del hardware.

En este libro Schneier también explica uno de los mayores y más irritantes misterios del oficio. Todos sabemos lo importante que es la seguridad informática. Cada año se publican miles de artículos sobre el tema y se celebran numerosos eventos como ENISE o NoConName, financiados por consultoras, universidades y administraciones públicas. Podría parecer que la profesión de experto en seguridad es una de las más demandadas. Entonces, ¿por qué la mayor parte de los que se dedican a este campo trabajan en condiciones laborales poco gratificantes, como administradores de redes, adjuntos universitarios, profesores de academia, instaladores de hardware y en ocasiones incluso sirviendo copas en los bares? ¿Por qué las empresas no se los disputan con codicia? ¿Por qué la seguridad informática, uno de los campos más complejos de la tecnología, no termina de despegar, dejando de ser un hobby para convertirse en una especialidad profesional establecida y con los niveles de reputación que merece? ¿Será porque estamos en crisis y preferimos perder unos pocos registros de clientes antes que soportar los lamentos del director de contabilidad?

La respuesta la hallará el lector en las páginas de “Secrets and Lies”, y es tan simple que hasta da risa: los productores y prestatarios de servicios relacionados con las tecnologías informáticas no son civilmente responsables de los daños causados por pérdida o alteración de datos debidas a mal funcionamiento, catástrofes naturales, sabotaje, ataques de hackers de sombrero negro y otras incidencias. En este sentido el progreso de la legislación se está revelando como un factor dinamizador más poderoso que el esfuerzo de los expertos y el poder económico de las empresas. Como resultado del cambio en las normativas legales las compañías aseguradoras crean nuevos productos para la protección de datos y ofrecen condiciones más favorables a quienes acreditan cumplir leyes y catálogos de buenas prácticas. Ese es un estímulo financiero que nadie podrá ignorar.

Como ejemplo típico de su argumentación Schneier cita el caso de los cortafuegos y los sistemas de detección de intrusos. Cuando una empresa instala un IDS no lo hace porque piense que se trata de una medida eficaz para mantener sus redes a salvo de intrusos, sino porque las entidades de auditoría lo exigen. Asi de simple: sin firewall bastión no hay certificación. En cualquier caso debería tomarse nota de esto: los mejores amigos del sector de la seguridad informática no son la consultoría ni la universidad, sino el poder legislativo y las compañías aseguradoras.

One Trackback to “Por qué la seguridad informática no es un buen negocio”

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: