El usuario: el eslabón más débil de la cadena

Cuando pensamos en seguridad y en privacidad, generalmente solemos hacerlo en términos de grandes infraestructuras y costosos sistemas de control. Tenemos a pensar que las inversiones han de ir siempre dirigidas al sistema, poniendo en marcha controles sofisticados que impidan fugas de información. Pero generalmente solemos obviar un elemento fundamental en lo relacionado con la seguridad: el usuario.

Una frase dice algo parecido a “una cadena es tan fuerte como el más débil de sus eslabones”, y en este caso es absolutamente verdad. De nada sirve un complejo sistema de seguridad si:

• El usuario vuelve de vacaciones, no recuerda su contraseña y accede al sistema con los datos de otro usuario, ya que todos conocen las contraseñas de los compañeros.
• El sistema de información no está bien dimensionado y resulta que todos los usuarios tienen los mismos privilegios y accesos.
• En aras de “simplificar” el recordatorio de las contraseñas, se aplica una contraseña por departamento con la excusa de “todos acceden a las mismas carpetas”.
• El usuario envía por correo electrónico listados de clientes (por ejemplo) con la excusa de “así puedo trabajar en casa”.
• El usuario pide tener acceso a sistemas de almacenamiento en la nube (tipo Dropbox) porque “así puedo compartir carpetas con los compañeros del departamento”, sin tener en cuenta que quizás exista un servidor para eso.
• Un usuario trabaja con su propio equipo porque “es más rápido que el que la empresa me proporciona”.

Aunque simplificados, son ejemplos que la experiencia real me ha proporcionado a lo largo de años de carrera profesional.

La seguridad no es solo el resultado de una inversión en sistemas y equipos (que hay que hacer, no nos engañemos), si no de una inversión en personas. Una inversión en formación y en concienciación y en crear una cultura de la seguridad y la privacidad, sin la cual, todo euro dedicado a infraestructuras, irá a la basura.