"Parece evidente que es necesario cambiar nuestra percepción de la seguridad"

Está claro que la forma en la que, como usuarios, hemos decidido utilizar los servicios en Cloud y los dispositivos móviles es nueva. Hace cuatro días nos rasgábamos las vestiduras si una empresa hacía un uso poco adecuado de nuestro currículum. Nos parecía un problema tan grave como para plantearnos denunciar esta situación ante la Agencia de Protección de Datos (lo cual es absolutamente legítimo). Sin embargo, ahora nos parece perfecto colgar nuestro currículum en Internet y ponerlo a disposición de todo el que quiera consultarlo. Y si los empleados de una empresa utilizan ordenadores portátiles y tienen que manejar en estos equipos información clasificada como de nivel alto, desde un punto de vista legal estos dispositivos deben estar cifrados. Si el dispositivo que utilizamos es un tablet o un smartphone, ni siquiera nos planteamos la posibilidad de utilizar cifrado. Y no hace tanto tiempo, nos parecía una locura acceder desde un cibercafé a alguna aplicación que manejara datos sensibles. Ahora nos conectamos al WiFi de cualquier cafetería y empezamos a trabajar. Nada de todo esto es malo en sí mismo. Solamente es la forma en la que hemos decidido utilizarlo. Tenemos que ser conscientes de eso y de las posibles amenazas que supone.

Olof Sandstrom, director de Operaciones de Arsys.

A la mayoría de los usuarios ya les supone un engorro el tener que meter un pin de cuatro números para poder acceder a su smartphone. ¡Como para plantear el que utilice una contraseña de calidad, o una herramienta de cifrado del correo electrónico en ese dispositivo móvil! Otro ejemplo es que, para mejorar la usabilidad, algunas de las aplicaciones móviles permiten la opción de recordar al usuario la contraseña, de forma que no tengamos que introducirla cada vez que queremos acceder. Esto hace que el uso de la aplicación sea más cómodo, pero si perdemos (o nos roban) el smartphone o el tablet, debemos ser conscientes de que todas las contraseñas están memorizadas. Es decir, cualquier usuario puede acceder no sólo a los datos almacenados en el dispositivo, también al contenido al que dan acceso estas aplicaciones. Hay que ser conscientes de esto, y si en algún momento un usuario pierde o le roban su dispositivo móvil, si hay una fuga de información confidencial a raíz de ese hecho, no se puede alegar que es un problema de seguridad del Cloud o de los dispositivos móviles. Es una decisión que ese usuario ha tomado y, como tal, tiene que ser consecuente de las consecuencias que conlleva. Parece evidente que es necesario cambiar nuestra percepción de la seguridad.

No se puede seguir gestionando la seguridad hoy en día como se hacía cinco años atrás. Los profesionales de las tecnologías de la información, y especialmente los de la seguridad, tenemos que asumir que la sociedad usa Internet como mejor le parece, y que contra esto no se puede pelear. Además, no tiene sentido hacerlo. Hablamos de realidades como un perímetro que ya no existe (o como mínimo está bastante difuso), usuarios con varios dispositivos (y muchos son personales) y datos que deben estar almacenados en algún lugar al que se pueda acceder fácilmente desde cualquier sitio. Es evidente que tenemos que cambiar el enfoque.

Por hacer un símil, en la Edad Media se vivía en ciudades amuralladas con una o dos puertas donde era suficiente con situar allí a alguien que fuera capaz de controlar quién entraba y quién salía. Hoy vivimos en ciudades completamente abiertas a las que se puede llegar andando, en coche, en tren, en avión, en autobús o en bicicleta; es imposible controlar todas esas entradas y salidas. En nuestras ciudades actuales, la seguridad se controla a través de leyes, normas de convivencia, concienciación ciudadana, cuerpos y fuerzas de seguridad del Estado, servicios de inteligencia y un largo etcétera de medidas que, en conjunto, consiguen que nuestras ciudades sean un lugar razonablemente seguro para vivir. Eso sí, contemplando una serie de normas básicas. Tenemos que entender que dentro del nuevo escenario de la seguridad de los sistemas de información debemos ser tremendamente creativos para encontrar la manera de aplicar a nuestro mundo virtual un modelo similar al que utilizamos en nuestras ciudades físicas. No podemos hacer una o dos puertas de entrada y salida en nuestras ciudades actuales. Tampoco en nuestros sistemas de información.

Como responsables de seguridad, tenemos que estar dispuestos a renunciar a algunas de las grandes conquistas que se lograron en el pasado, porque ya no tienen sentido en la forma en la que están definidas. Parece que es normal que los usuarios de los PC no tengan privilegios de administrador y que tampoco conozcan cuál es la contraseña de administrador para, de esta forma, garantizar que la configuración del puesto cumple con los requerimientos del departamento de seguridad y que el usuario no se pueda instalar ningún programa no autorizado. ¿Cómo podemos querer mantener eso ahora? ¿Es que nadie ha oído hablar de las apps? Esto sería sólo un ejemplo de cómo han cambiado algunos temas que eran prácticamente dogmas de fe en la gestión de la seguridad.

En el segmento servidor de las aplicaciones, no era extraño que no se contara con algunas de las herramientas de seguridad tradicionales, bien porque se consideraba que podían entorpecer la operativa normal, o bien porque se entendía que el riesgo asociado no era demasiado alto. Ahora mismo, el volumen de ataques que recibe cualquier servidor que esté conectado a Internet es muy alto y totalmente indiscriminado. En la mayoría de las ocasiones los 'malos' no atacan un servidor porque es de una u otra empresa. Lo hacen porque está disponible y es vulnerable. De igual modo que un carterista no nos roba porque seamos nosotros, sino porque pasábamos por allí y teníamos la cartera a la vista en el bolsillo de atrás del pantalón.

Las soluciones como detección y prevención de intrusiones, análisis y gestión de vulnerabilidades y parches, auditorías de seguridad del código de las aplicaciones, o cortafuegos de aplicaciones web se convierten en este nuevo escenario en una necesidad irrenunciable. Son herramientas de seguridad que tienen que estar, y no parece demasiado sensato plantearnos poner una aplicación en Internet sin contar con estas medidas de seguridad preventivas. En lo que respecta al segmento cliente (es decir, a la aplicación que corre en nuestro smartphone o en nuestro tablet), también tenemos que cambiar la forma de pensar. Para empezar, tenemos que extender una de esas históricas conquistas de la seguridad al mundo de la movilidad: la organización debe disponer de una política y una normativa de uso de los dispositivos móviles. Y, por supuesto, los usuarios tienen que conocerla y entenderla.

Por otra parte, tendremos que asumir que hace falta securizar estos dispositivos móviles. Es curioso cómo se propagan mitos urbanos del estilo de que no hay virus para los de smartphones. El número de aplicaciones maliciosas para dispositivos móviles se multiplica año tras año. Es evidente que tenemos que disponer en nuestros dispositivos móviles de las herramientas básicas de seguridad que normalmente se instalaban en los ordenadores portátiles tradicionales. Antivirus, cortafuegos de puesto, cifrado, protección mediante contraseñas, localización y borrado remoto del contenido del terminal, etc. tienen que estar cada vez más presentes en los dispositivos móviles. Y, tal vez lo más importante de todo: los usuarios tienen que conocer y entender las amenazas que están relacionadas con los dispositivos móviles y la información que gestionan a través de ellos.