Seguridad por cultura, no por diseño


Nos machacan una y otra vez con el mismo mensaje: a la hora de desarrollar un servicio digital, la ciberseguridad debería estar integrada en el diseño del mismo, no añadida posteriormente como un emplasto. Sin embargo, no debemos olvidar que la solidez de nuestras defensas se determina por su eslabón más débil: nosotros mismos.

Si alguna vez trabajas en remoto para una empresa americana es bastante probable que te casquen un acuerdo de no competencia que te impida marcharte directamente a una empresa rival, pero lo que seguro que vas a encontrar es un NDA o acuerdo de confidencialidad para restringir la información y el know-how internos que podrás compartir con posteriores empleadores.

En España, este tipo de acuerdos son bastante inusuales -una evidencia de nuestra escasa formación sobre seguridad y privacidad de datos- y hasta están mal vistos por parte los profesionales, que los ven como una muestra de «desconfianza» por parte de la empresa en vez de como una herramienta para proteger su trabajo -su medio de vida- ante alguna filtración malintencionada y, aunque pocos lo sepan, cumplir la Ley. 

El artículo 40 del RGPD recomienda la elaboración de «códigos de conducta destinados a contribuir a la correcta aplicación del Reglamento», teniendo en cuenta las características específicas de las pymes y los distintos sectores. El artículo 32 establece que las empresas también están obligadas a «tomar las medidas técnicas y organizativas apropiadas» para garantizar la seguridad de los datos personales gestionados. Sin embargo, de nada sirve un NDA o las medidas técnicas si, en el día a día, las buenas prácticas más elementales en materia de seguridad y privacidad no se aplican o -directamente- se ignoran por parte de los empleados que deben seguirlas. 

¿De qué sirve que una multinacional bastione su base de datos si luego sus empleados imprimen los curriculums de los candidatos a distintos procesos de selección y los tiran a la basura sin destruirlos, con argumentos para descartarlos tan peregrinos como «extranjero, gordo, morenete, parece Pancho Villa pero hambriento» o «no me gusta su cara y además es separada con 26 años»? ¿Para qué cumple una startup escrupulosamente el RGPD al recoger el consentimiento para procesar los datos de sus clientes si luego a su responsable comercial se le ocurre mandar un mail para felicitar la Navidad poniendo en copia los correos de todos? 

Para evitar ese tipo de comportamientos no basta con invertir paladas de dinero en herramientas y auditorías de ciberseguridad; tampoco crear un exhaustivo reglamento interno que nadie comprende ni cumple, sino educar a todos los empleados para que sean conscientes de hasta qué punto una empresa tecnológica depende de la integridad de los datos que gestiona, e involucrarles en su cuidado y defensa. 

Pero, seamos sinceros, ¿cuántas empresas incluyen una formación específica en ciberseguridad y privacidad de datos en el onboarding de todos sus empleados? Desde el becario de contabilidad hasta la Administradora de Sistemas con 257 años de experiencia. Todos. 

Todas las empresas deberíamos concienciarnos de que en algún momento van a intentar hackear nuestros sistemas y, consciente o inconscientemente, lo más probable es que el ataque se origine desde dentro. No deberíamos preguntarnos si hay datos personales cuya consulta deberíamos restringirnos a nosotros mismos, sino más bien cuáles son los estrictamente necesarios que consultemos. Y eso no tiene nada que ver con confianza sino con nuestra ética profesional. Porque nuestro deber es proteger siempre los datos de nuestros usuarios y, también, porque shit happens.

Un par de iniciativas que podemos implementar para protegernos de nosotros mismos son eliminar «el modo Dios» -la capacidad de consultar y modificar los datos personales de usuarios, de forma indiscriminada e inadvertida- y autoauditarnos de forma pública: ser conscientes de que cada vez que accedamos a los datos de un usuario, este podrá comprobar en su perfil quién lo hizo -con nombres y apellidos-, cuando y por qué. 

Pero más allá de esa seguridad por diseño, deberíamos intentar que la misma forme parte de nuestros principio y valores. Por ejemplo, invirtiendo parte de nuestro presupuesto y tiempo en formar periódica y continuadamente a los empleados en seguridad y privacidad, usando contra-ejemplos de «lo que no se debe hacer» y los escenarios a los que se enfrentaría la empresa si alguien se aprovechara de esas malas prácticas. Al fin y al cabo, «si no te cuestan dinero, lo que tienes no son principios sino opiniones».

Siempre habrá alguien que diga que ninguna de estas iniciativas puede adoptarse en el sector público, donde suelen producirse las mayores brechas de seguridad, pero en realidad, al contrario que la seguridad por diseño, para generar una cultura de seguridad en la Administración Pública sólo haría falta un puñado de iniciativas sin apenas coste para el contribuyente y, eso sí, una mínima voluntad política para hacerlo. 

Simplemente obligando por ley a que todo software usado por un servicio público, que no fuera una solución estándar sino construida ad hoc para él mismo, fuera open source y dispusiera de un programa de bug bounty, cuyas recompensas no salieran de nuestros impuestos sino de las empresas encargadas de su desarrollo y mantenimiento, el sistema se auditaría a sí mismo y cambiaría por completo. 

Al fin y al cabo, la mejor manera de defender a nuestras empresas e instituciones de un ciberataque es concienciarnos de que la seguridad de un sistema informático no es una funcionalidad opcional y la protección de un servicio digital y sus datos no debe ser solo responsabilidad del equipo de ciberseguridad, ni siquiera del Departamento de Informática, sino de toda la organización. La ciberseguridad no solo debe integrarse en el diseño de cualquier producto de software sino, también, en la cultura del equipo que los construya y gestione.

Esta Bonilista se publica gracias a TrainingIT

TrainingIT nace de la idea de su fundador, el informático David Morillo, de crear cursos online de calité bonificables por Fundae para que tanto a empresas como a empleados les salga gratis.

En 2020 ya pasaron por la Bonilista más de una vez y, como quedaron más felices que unas perdices, vienen a presentarnos todos los cursos nuevos que han sacado en 2021: pentesting, RPA, NPL, Flutter, Dashboards, Procesos ETL… y muchos más que irán saliendo durante el año.Todos los cursos se pueden bonificar a través de Fundae, y salirte a coste cero. Si quieres saber cómo, escribe a TrainingIT (info@trainingit.es) y ellos te informarán sin compromiso.

Además, si les comentas que llamas de parte de la Bonilista, obtendrás un descuentón de aviñón para la convocatoria del 29 de marzo ¡Puedes consultar todos sus cursos y próximas convocatorias en su web!

Este texto se publicó originalmente en la Bonilista, la lista de correo de noticias tecnológicas relevantes para personas importantes. Si desea suscribirse y leerlo antes que nadie, puede hacerlo aquí ¡es bastante gratis!

Conoce toda nuestra oferta de newsletters

Hemos creado para ti una selección de contenidos para que los recibas cómodamente en tu correo electrónico. Descubre nuestro nuevo servicio.

Votación
0 votos
Tags
Comentarios

Seguridad por cultura, no por diseño