Con las últimas consideraciones hemos empezado a entrar en un terreno nuevo y altamente arriesgado: los seres humanos implicados en la seguridad del sistema. De ellos no basta considerar sólo su relación con el mismo, sino también todos sus aspectos personales, humanos y psicológicos así como sus posibles motivaciones en su interacción.
En este área podemos considerar varios sub-niveles:
Veamos cada caso por separado:
Esta persona debe tener acceso directo al sistema ya que el buen estado del mismo depende de ello. En principio debería ser la única persona con acceso, y si es preciso, debería haber más de uno para cubrir emergencias (gripe, vacaciones, etc...). Dentro de su área debe tener un control absoluto ya que es quien asume la responsabilidad última de su funcionamiento, sin éste no la puede asumir y, en cualquier caso, si tiene acceso físico el control absoluto no se le puede quitar.
Debe recordarse que esta persona tiene acceso físico y los conocimientos precisos, y por tanto control absoluto irremisible, lo que supone que debe ser una persona equilibrada y de la máxima confianza, con todo lo que ello conlleva. La ley exige de esta persona el secreto profesional, lo que es una garantía más. Además, al tener control absoluto debe ser el responsable último de una parte importante de su seguridad.
Es por tanto fundamental asegurar a esta persona tan bien como se asegure el resto del sistema: de nada sirve disponer el sistema más sofisticado si esta persona puede fallar en cualquier momento. La única forma de conseguirlo es cultivando su fidelidad, tanto mediante recompensas como penalizaciones adecuadas y proporcionadas al valor de los bienes que custodia. No hacerlo así es como poner un zorro a guardar gallinas: un salario insuficiente o inapropiado y una penalización insuficientes le harán más susceptible al chantaje o al soborno, mientras que unas penalizaciones excesivas pueden llevar a la desesperación y pérdida del miedo a las consecuencias o a un nerviosismo artificioso que disminuya su capacidad.
Es frecuente observar sitios donde se establece una vigilancia férrea de éstas personas, sometiéndolas a escrutinios exhaustivos todos los días. Este es uno de los errores más comunes a evitar: olvidar el factor humano. Estos escrutinios son inútiles por cuanto no impiden que la información más importante, que está en la cabeza de las personas, entre y salga libremente, y además minan la confianza de las personas destruyendo su lealtad, facilitando así la generación de brechas en la línea de seguridad.
Es posible reducir nominalmente la responsabilidad de estas personas transfiriéndola a otras distintas que la asuman, normalmente sus jefes, reduciendo aparentemente la necesidad de cultivarlas. Pero esta es una transferencia ficticia: todo el que tiene acceso físico al ordenador tiene en última instancia control absoluto, y este traslado una vez más refleja una falta de confianza notoria que rompe de nuevo la necesaria relación de confianza y fidelidad, masacrando una vez más el sistema de seguridad.
Como decíamos más arriba, la mejor seguridad es eliminar todo acceso, pero este no es el caso habitual, que exige que muchas personas puedan acceder a los recursos protegidos.
En principio, nadie más que el administrador del sistema debería tener acceso físico al mismo. Esto no siempre es factible, y cuando sea así, debe considerarse a toda persona que tenga acceso como si fuera un administrador más, con las mismas responsabilidades de seguridad y las mismas capacidades (véase epígrafe anterior). Un error común es creer que la categoría oficial de una persona refleja sus capacidades y las de todas las personas con las que se relaciona. Este enfoque clasista y decimonónico ignora la capacidad del ingenio humano, las posibilidades del afán de superación y la eventualidad de que alguien se relacione con personas que no son de su clase.
Para evitar tener que dar la posibilidad de un control absoluto a muchas personas, la solución generalmente usada es establecer sistemas de acceso parciales con menores requisitos de seguridad. En este caso, los usuarios siguen teniendo control absoluto sobre su sistema, pero la responsabilidad y valor del sistema al que tienen acceso es mucho menor, disminuyendo la repercusión de un eventual compromiso y la importancia de la responsabilidad con la que tienen que cargar.
Casa con dos puertas mala es de guardar
. Esta es la máxima mas importante a considerar en estos casos: con el fin de limitar el acceso físico al sistema central estamos creando nuevos puntos de entrada, multiplicando el número de puertas del mismo y generando posibles agujeros en nuestro perímetro de seguridad. Es por ello importante comprobar que todas y cada una de ellas está debidamente asegurada, es necesaria, y que no sacrifica la seguridad global más allá de lo necesario.
En este sentido se deben establecer distintos niveles de importancia de los usuarios en base al grado en que comprometen la seguridad, tratando a cada uno de ellos correspondientemente. Es también imprescindible que todos ellos sean conscientes del grado en que son responsables de la seguridad del sistema, hasta qué punto pueden comprometerla y cuál es su grado de responsabilidad. Nadie que no esté dispuesto o pueda asumir esa responsabilidad debería tener acceso al sistema bajo ningún concepto.
Según esto, serían responsables de sistemas con responsabilidad limitada a la parte del sistema a que tienen acceso.
Un ejemplo puede aclarar estos puntos: en las oficinas de administración la persona responsable puede tener acceso a todos los datos administrativos, mientras que los administrativos y secretarias solamente deben acceder a una parte de esa información. Ocasionalmente, puede ser preciso más personal y emplear a personal eventual. Bien, en un entorno tal, es tristemente frecuente que el personal eventual se contrate deprisa y corriendo, sin control ni garantías. El jefe de personal no debería compartir sus privilegios de acceso con los demás, y bajo ningún concepto con el personal eventual. Sin embargo, es tristemente famoso el caso de los Servicios Secretos británicos, en que por dejadez o desidia, muchos miembros del personal oficial tenían anotadas sus claves de acceso en sitios visibles, permitiendo que durante un traslado en que hubo que contratar personal temporal cualquiera pudiera acceder a información de alto secreto.
Básicamente, estas se dividen en dos ramas: el personal ejecutivo de rango superior que delega en personal subordinado las tareas de trabajar con el ordenador y el personal de mantenimiento general.
Respecto al personal ejecutivo de rango medio en mi opinión, bajo ningún concepto debería acceder al sistema nadie que no lo necesite de forma imprescindible, incluyendo especialmente al personal ejecutivo. Estas son personas que no lo precisan, y por tanto su acceso supone una ruptura seria de seguridad. Sin embargo, siendo como son las tecnologías de la información un tema de moda y a menudo caro, es inevitable que despierten la curiosidad, el orgullo y la vanidad, dando lugar a que todo el mundo quiera ver la máquina, mostrarla, presumir de ella o simplemente mostrar su poder, ascendiente y estatus paseando libremente por sus señoríos. Este es un problema importante cuando se trata del personal ejecutivo, dado que al tener un rango superior pueden poner en un apuro a las personas encargadas de la seguridad forzando una nueva brecha.
Si el responsable de seguridad no puede detener estas incursiones entonces el sistema de seguridad es inaceptable, ya que bajo la arrogancia disfrazada de inocencia pueden ocultarse designios nefastos que burlen así (regodeo, mofa y befa) todo el sistema.
Lo que esto implica es que nadie de rango superior debería acceder al sistema a menos que esté en condiciones de asumir la responsabilidad de su compromiso y lo haga formalmente: es obvio que el propietario de la empresa puede asumir esa responsabilidad, pero sería estúpido por parte del responsable de la seguridad permitírselo sin dejar constancia de cuanto haga y sin que la asuma formalmente primero. Entre otras cosas porque al final la responsabilidad será del responsable de sguridad si así no lo hace y es una situación muy tentadora incluso para el propietario el poder aporvecharse de la descarga en otro de esa responsabilidad.
Son las personas de rangos superiores, pero que no pueden o no quieren asumir esa responsabilidad muy probablemente el principal agujero de seguridad en todos los sistemas. Para solucionarlo es preciso eliminar su ascendencia sobre el personal de seguridad, lo que exige un compromiso serio por parte del personal del más alto nivel.
Un consejo para todo responsable de seguridad es que se nieguen bajo ningún concepto a trabajar o asumir ninguna responsabilidad en entornos donde ejecutivos de rango medio puedan tener ningun ascendiente sobre ellos, sea éste cual sea.
La forma de establecer esta independencia puede variar según el entorno:
- El responsable de seguridad podría poseer un rango superior a cualquier persona que no pueda o deba sobreseer sus funciones
- Puede establecerse una jerarquía paralela completamente separada para el personal de seguridad (tratándolo como una entidad independiente)
- Puede establecerse un protocolo de acceso y vigilancia del personal de rango medio
- Se puede establecer un filtro independiente a nivel físico (por ejemplo control de acceso por una empresa independiente)
- Se puede separar el entorno protegido del rango de acción de los mandos medios
De estas soluciones sólo las dos primeras son recomendables. En la medida en que pueda existir alguna dependencia del personal de seguridad respecto a personal ejecutivo que no debe o puede sobreseer sus funciones todo el sistema es inútil. Una persona interesada siempre puede encontrar un modo directo o indirecto de forzar a un subordinado a realizar cualquier tarea que desee, y así superar las barreras de seguridad. Esto además libera una nube de humo de falsa seguridad al poner el agujero en un eslabón oculto y aparentemente no relacionado.
La última solución, separar el entorno protegido, es posiblemente un buen paliativo: uno de los trucos más útiles que siempre conviene recordar es intentar poner -si es posible- unos buenos ventanales que den al sistema central. Esto no sólo facilita su vigilancia, también permite su supervisión a mandos medios reduciendo su sensación de inseguridad, y facilita la realización de visitas guiadas sin acceso real para quienes deseen presumir ante los invitados, eliminando así las excusas más frecuentes para exigir el acceso. Aunque sigue siendo necesario contar con el apoyo del personal de alto nivel frente a posibles interferencias.
Respecto al personal de mantenimiento general, es importante tenerlos en cuenta: suelen ser personas con quien estamos tan familiarizados que casi siempre se ignora su existencia. Su labor puede parecer o ser incluso imprescindible, especialmente por cuanto comporta de molesta. Su acceso al perímetro protegido debería ser lo más restringido posible y sólo autorizarse si es necesario.
En estas personas confluyen además circunstancias especiales: por un lado suelen ser personas no técnicas, no relacionadas con los equipos, y por tanto es más probable que cometan errores comprensibles en su interacción con ellos. Por otro lado, el que no se les exija cualificaciones relacionadas para desempeñar su trabajo no quiere decir que no puedan poseerlas. Por ello, si deben acceder al sistema, es recomendable que lo hagan bajo supervisión por la persona responsable.
Esta responsabilidad debe hacerse extensiva a los demás usuarios en la medida en que también son responsables parciales de una parcela de la seguridad global del sistema: como vigilantes de su puerta de entrada deben supervisar que la misma no pueda resultar dañada o comprometida por nadie, y si alguien distinto debe acceder a su terminal, conviene que se aseguren de que no puede comprometerlo.
Una característica de este tipo de personas es que a menudo su función es considerada (13) como de un rango inferior por el resto del personal. Ello a menudo les convierte en objeto de iras injustificadas y malos tratos, casi siempre irracionales, por parte del otro personal. Este es un serio peligro psicológico a evitar: su función habitualmente les da también acceso a casi todos los rincones del centro de trabajo, y como decíamos tienden a ser ignorados y pasar desapercibidos con gran facilidad. Si a esto sumamos las escasas responsabilidades que tienen que asumir (y se les pueden exigir) y la siempre plausible excusa de la ignorancia, nos encontramos con un elemento para quien romper la seguridad es sumamente fácil, las exigencias de responsabiliad son casi nulas, la motivación es fuerte y la excusa inmediata.
En conclusión, no debemos olvidar nunca la naturaleza humana, ni dejar de tratar a nuestros semejantes con humanidad.
En principio, estas personas deberían ser tratadas siempre como elementos intrusos y probablemente agresivos, lo que no debe impedir el que se les trate con la debida cortesía y guarde el respeto en todo momento.
Volviendo al principio general de que nadie que no lo precise debe acceder al sistema, estas personas nunca deberían acceder. De hecho, son estas personas la justificación de la existencia de todo el sistema de seguridad. Sin embargo pueden existir circunstancias especiales.
Una de tales circunstancias es la anteriormente mencionada situación en que se desea mostrar el sistema de protección por motivos psicológicos (orgullo) o políticos a alguien ajeno. En la medida de lo posible, debería restringirse este tipo de accesos, pero si son inevitables, nunca deberían autorizarse sin el consentimiento formal de alguna persona con un grado de responsabilidad y compromiso con el sistema de seguridad que lo garantize. La visita deberá ser siempre guiada y el visitante deberá ser sometido durante la misma a un férreo pero discretísimo marcaje para asegurar que en ningún momento la seguridad resulte comprometida.
Una alternativa honorable en ocasiones puede ser el establecer una sala alternativa de demostración, ocultando la sala real. Esta podría consistir simplemente en ordenadores viejos que adicionalmente son más grandes, ruidosos, tienen más lucecitas y son más impresionantes. Si el visitante no es técnico puede resultar suficiente e incluso más productivo, sirviendo al objetivo sin dañar la seguridad.
Como de costumbre, es importante considerar todos los aspectos humanos implicados en estas personas: sus motivos para acceder, justificados o no, pueden surgir por múltiples razones, y el análisis de las mismas puede arrojar diáfana luz sobre las necesidades de seguridad y las soluciones más apropiadas. De hecho, éste es el abordaje mas efectivo y seguro para la protección de cualquier objeto, y a menudo también el más barato -si bien en ocasiones también puede ser insosteniblemente costoso.
En todo caso, sin un análisis detallado de las personas de quienes nos queremos proteger y de sus interacciones con nosotros, el entorno, y el resto de personas implicadas, es muy difícil, si no imposible, desarrollar estrategias defensivas efectivas. Ya hemos visto algunos ejemplos en los epígrafes anteriores. Veamos alguno más:
Durante la década de los 80 y primeros de los 90 (s. xx) surgió un gran número de penetradores de sistemas en las universidades. El problema surgía en muchos casos debido a estudiantes que deseaban acceder a más recursos de computación, aprender más cosas de las que se les enseñaba en clase, o acceder a nuevas tecnologías que eran fundamentales para su carrera pero les eran denegadas. El problema se recrudecía con la presencia de muchos profesores y administradores de sistemas (en la Universidad y empresas) que o bien desconocían las tecnologías que manejaban -y no querían que se notara- o bien deseaban mantener una sensación de alto sacerdocio elitista de la tecnología. Adicionalmente, el compromiso (en Universidad y empresas) del personal directivo con el mantenimiento de los equipos y la seguridad era escaso, dando lugar a que los recursos de contención fueran insuficientes. En tales circunstancias los estudiantes tenían la ventaja de disponer de un tiempo y tesón del que los responsables de seguridad carecían y constantemente penetraban los sistemas, a menudo generando problemas por su falta de conocimiento. Como reacción muchos administradores desarrollaron un miedo cerval y casi místico a los mismos, aunque usaran técnicas a menudo simples y primitivas. El miedo cerval generó medidas mas restricitvas, forzando a los estudiantes emprendedores a buscar caminos mas sofisticados y generando una peligrosa espiral.
En esta historia es posible detectar varios problemas: si los estudiantes hubieran dispuesto de un medio de satisfacer su curiosidad y hubieran podido acceder a las tecnologías que necesitaban y les eran negadas, muchos de ellos -la inmensa mayoría- no sólo no hubieran recurrido a penetrar sistemas de seguridad, también habrían estado mucho más ocupados en explorar aquellas que en buscar problemas. Es interesante también observar que los motivos pueden no siempre ser meramente económicos o nocivos, y basarse en algo tan básico como la curiosidad.
Más interesante aún es analizar las medidas de contención: claramente insuficientes, no podían desarrollarse debido a la falta de apoyo por el personal directivo. Y la ignorancia y sobrecarga de trabajo degeneraron en conductas supersticiosas, y en medidas más restrictivas de lo preciso. El resultado fué en conjunto peor para todos y la causa fué fundamentalmente psicológica.
De aquí podemos derivar otra conclusión importante: aprendamos de nuestros errores.
La otra cara de la moneda es la segunda mitad de los 90 (s. xx) en que la disponibilidad de sistemas operativos avanzados de dominio público permitió el acceso a entornos profesionales, avanzados y sofisticados a toda persona interesada, y las limitaciones de acceso a tecnologías de comunicaciones se eliminaron casi totalmente: esto redujo la necesidad de explorar, y dio acceso a problemas complejos e interesantes en que invertir el tiempo, proporcionando objetivos constructivos. Sin embargo, y como contrapartida, los medios de comunicación de masas habían hincado el diente en el filón de la seguridad, promoviendo una falsa imagen mitificada del penetrador como un héroe romántico promoviendo los ataques destructivos como un fin en sí mismo que convertía automáticamente al perpetrador de los mismos en un mito objeto de la admiración de sus amigos e ídolo indiscutible del sexo contrario. Como resultado lógico la penetración de sistemas se convirtió en un objetivo por sí misma, sin justificación, irracional.
Una lectura interesante de esta situación es observar la necesidad del tratamiento holístico del problema: un análisis reducido que no considere la terrible influencia social ejercida por medios de comunicación de masas irresponsables no podría identificar la raíz del problema. Nos sirve también para ver como un abordaje tardío a la solución de un problema -la curiosidad y deseo de aprendizaje- puede llegar cuando este ya ha degenerado en un problema intratable -la presión social- por ser demasiado tarde.
Es decir, no hay que dormirse en los laureles ni dejar las cosas para mañana.