4. El papel de los usuarios

Para centrar el debate y analizar el nivel de responsabilidad de los empleados y empresas en aspectos de seguridad, el moderador de la mesa, formulaba estas preguntas: “¿La industria TI tiene madurez suficiente para responder a esta delincuencia organizada?¿Valoran los usuarios los riesgos que corre o piensan que siempre le toca al otro?”

Al respecto, Julio Lage, hizo un inciso para distinguir entre robo interno y externo: “La balanza está inclinada hacia el primero, que es más fácil de proteger, aunque el externo puede producir un daño mucho mayor: de imagen, hacia la clientela…”. El consultor sostiene que existe tecnología muy buena para evitar males mayores, pero el problema no es ese, atañe a la confidencialidad y su tratamiento. Como ejemplo, Lage aludió a su propia experiencia como empleado en un banco: “Nunca tenía acceso a la información de clientes y eso no tenía por qué molestarme porque no todo el mundo debe tener derecho a todo. La gente debe saber que romper la seguridad es como meter la mano en la caja, sin discusión”.

Una medida para evitarlo es sencilla, de concienciación básica, aclara Julio Lage, ya que “los passwords no pueden estar pegados en un post-it, ni podemos dar la clave a un compañero porque nunca se sabe el papel que juega cada uno y como puede cambiar su actitud en caso de enfado”.

En cuanto a los robos de información desde el exterior, un elemento de consenso es el esfuerzo del sector de la seguridad por adelantarse a los problemas. Bien es cierto que los desarrollos tecnológicos son cada vez más avanzados, y la competencia entre compañías se recrudece. Desde Symantec proponen una resolución en tiempo real de los ataques, pero el remedio reside en la prevención, asociada a mecanismos de inversión y colaboración entre todos, “porque el que roba datos pone toda la carne en el asador y hay que reducir la ventana de oportunidad del tiempo a su favor”, puntualiza Lage. “Hay que tener en cuenta que es importante saber quién te ha robado para realizar un ‘contraataque’ y estar en una posición de menos riesgo. Igual que una central tiene un centro de alerta que detecta incidencias, lo mismo debe pasar con la seguridad, que requiere cerrar puertas rápidamente, sin interrumpir la operatividad y eso da miedo a veces. Hay que hacer que la alta dirección lo vea desde dentro, sin ver a quién lo solicita que solo pide más presupuesto”, aconseja.

En este sentido, la mesa coincidía en que planificar, valorar, aplicar las medidas de forma correcta y avanzar al mismo tiempo que el mercado. La seguridad arrastra cumplimientos normativos y de RSC porque su mala gestión puede hundir la reputación de una empresa… un riesgo continuo que requiere saber que por muy avanzada que esté la tecnología siempre hay un hueco de oportunidad y hay que atajarlo.

César Peñacoba aludía a un ámbito de las TI en la empresa, donde la confidencialidad cada vez está más extendida, gracias a nuevas soluciones: las impresoras. “Un papel encima de la mesa sin etiquetar no se sabe si debería estar guardado o no, un auditor tampoco lo sabe. Un sistema de gestión de la seguridad de la información está inventado y si dejas huecos por ahí...”, explica el ejecutivo, que recomienda que para no dejarte huecos lo más importante es hacer partícipe a la dirección y desarrollar una visión global.

El consultor de Accenture, Manuel Cortés, valora el hecho de que las compañías sean más conscientes de que deben ayudar a dictar unos mecanismos necesarios, pero indudablemente, “el principal inconveniente es la falta de concienciación, no ya en la alta dirección, cuyo variable para algunos depende de que mejore la información, sino en la persona que trabaja día a día y no tiene cuidado”. En este terreno hay que hacer muchísimas cosas, según Cortés, pero sobre todo garantizar que los contratos de nivel de servicios con terceros (SLAs) les obliguen a tratar la información con las mismas medidas de seguridad.
Como apoyo a su argumentación, Cortés planteó a la audiencia una interesante cuestión: “¿Por qué dejamos la tarjeta a un camarero, que se la lleva y puede hacer lo que quiera con ella y, sin embargo, no compramos por Internet?”