El pasado 19 de octubre el mundo del arte y la arqueología quedaba en «shock» al conocerse la noticia del robo efectuado en el museo Louvre de Francia. El hecho ocurrió a plena luz del día y fue ejecutado por cuatro asaltantes que cargaron con un total de ocho joyas de la corona francesa, con un valor estimado en más de 88 millones de euros (unos 100 millones de dólares estadounidenses).
Utilizaron un camión con una escalera extensible, parquearon en la calle y subieron al segundo piso. Para el acceso por la ventana hicieron uso de una cortadora de disco. Ejecutado el robo huyeron en motocicletas, coronando un robo que tardó apenas 7 minutos en llevarse a cabo.
El desconcierto inicial se amplificó cuando salieron a la luz una serie de debilidades en los sistemas informáticos que servían de apoyo a la seguridad de la institución ubicada en París.
Un informe de auditoría del 2014 elaborado por la Agencia Nacional Francesa para la Seguridad de los Sistemas de Información (ANSSI) reveló que la institución seguía utilizando Microsoft Windows 2000 un sistema operativo que había dejado de recibir actualizaciones de seguridad para esa versión desde julio de 2010.
Más alarmante aún, el documento señala que la contraseña de acceso al servidor de videovigilancia era simplemente «LOUVRE», el nombre del museo, y que otra aplicación de seguridad tenía como clave el nombre del fabricante: «THALES».
Otro informe indicaba que la entidad tenía Microsoft Windows XP instalado en algunas estaciones de trabajo, observar que Microsoft dejó de ofrecer actualizaciones, soporte y parches de seguridad de este producto en 2014.
Como era de esperar se realizaron recomendaciones para que se establezcan contraseñas complejas y las actualizaciones de los sistemas operativos obsoletos pero ninguna de las recomendaciones fueron implementadas.
Si bien estas debilidades no incidieron en el robo al museo no cabe ninguna duda que resulta altamente preocupante primero que existieran y más alarmante aún que la administración no haya hecho caso alguno a las observaciones de los especialistas que actuaron como auditores informáticos.
La cultura de la seguridad de la información
Con este escenario como ejemplo y tomando en cuenta que este incidente ocurrió en un área relacionada con la cultura, es innegable el avance de la tecnología, productos, tendencias que marcan la pauta a las empresas e instituciones en un mundo cada vez más interconectado y automatizado para facilitar el famoso “dia a dia” de la humanidad.
Es irrebatible que lo descrito anteriormente también representa un desafío para las áreas que tienen bajo su responsabilidad garantizar la seguridad de la información, puesto que a mayor automatización mayor es el riesgo de ataques informáticos o filtración de datos que expongan información sensible afectando a los clientes y a la reputación de las organizaciones.
Siguiendo en esta línea de desarrollo me permito plantear a continuación los aspectos esenciales que permitirían crear una cultura de seguridad de la información dentro de una entidad pública o privada.
Según el diccionario de la Real Academia Española (RAE) crear es producir algo nuevo, la cultura se refiere a un conjunto de modos de vida y costumbres, seguridad se asocia a una cualidad de seguro, fiabilidad, confiabilidad y la información es la acción y efecto de informar.
En conjunto, estos conceptos nos llevan a una pregunta clave:
¿Cómo podemos llegar a producir un conjunto de costumbres que permita que la información de una empresa o entidad sea segura, confiable y esté disponible cuando se requiera?
Todo entorno automatizado precisa de la presencia humana en alguna etapa de su procesamiento, es acá donde recordamos la afirmación que señala al usuario como “el eslabón más débil” en un entorno de sistemas.
La debilidad en esta ocasión no se refiere a fuerza física; más bien trata de establecer o indicar la fuente más probable de cometer errores que comprometan la seguridad de la información ya sea por falta de conocimiento, inadvertencia o exposición a la técnica de ingeniería social.
En el caso del Louvre, eran los propios empleados quienes debían implementar las contraseñas seguras y las recomendaciones de los auditores, pero no lo hicieron. Esto demuestra que la seguridad no solo depende de la tecnología, sino de las personas y de la cultura organizacional.
Dicho lo anterior y respondiendo a la pregunta, es tarea de las gerencias o departamentos de Tecnologías de la Información implementar las políticas y procedimientos que alcancen el nivel de madurez necesario para convertir la seguridad de la información en algo cultural dentro de una institución o empresa.
Transformar la seguridad de la información
Dada la importancia de este tema y a todas las implicaciones que este conlleva, la industria ha creado decenas de marcos o estándares internacionales que ofrecen lineamientos sobre gestión de la seguridad, como ISO 27001 o COBIT, para citar algunos.
Estas normas parten del plano general; por lo que es necesario realizar un análisis o levantamiento que permita decidir qué o cuales normativas se adaptan al entorno informático que se está administrando debido a la naturaleza del negocio y a la complejidad de la infraestructura informática instalada.
Es papel de las gerencias de informática crear las políticas y procedimientos que permitan la adecuada gestión de los recursos tecnológicos disponibles en las empresas y es tarea de la dirección del negocio otorgar legitimidad con su aprobación.
Una vez aprobadas la gerencia de informática tendrá a su cargo el diseño del plan de implementación que debe iniciar con las fases de educación y concienciación de los usuarios. Solo así será posible transformar la seguridad de la información en un valor cultural y sostenible en el tiempo.
