Conócenos

CIBERSEGURIDAD

Un usuario en la corte del ISMS Forum y el cambio de paradigma en el enfoque de la seguridad corporativa

Por Carlos Núñez Vázquez

  • Imprimir

Carlos Nuñez

El pasado 26 de mayo tuve el privilegio de asistir a la XVIII Jornada Internacional de Seguridad de la Información de ISMS Forum, que se celebró en el incomparable Palacio de Bellas Artes de Madrid. Antes de nada agradecer a Daniel García Sánchez, coordinador del evento, y a su equipo, la excelente velada que supuso esta Jornada. 

Las ponencias y mesas cubrieron los aspectos más actuales en materia de Ciberseguridad y Protección de Datos; Iniciativas de colaboración internacional en políticas de seguridad, Políticas y guías de actuación en Seguridad Empresarial, Protección de la información como activo empresarial, etc. a tenor de esto, el presente artículo no pretender ser una crónica al uso de la Jornada. Para ello tienen un excelente ejemplo aquí. Mi propósito es plasmar mis impresiones desde un ángulo absolutamente subjetivo, y desde el punto de vista de un posible usuario. 

Una de las ideas que más me llamó la atención la expuso un ponente cuando explicó el cambio de enfoque tradicional de seguridad perimetral al de Seguridad con enfoque a comportamientos. Esto significa dar más importancia al registro de actuaciones del usuario que al registro de accesos. Utilizó una parábola absolutamente gráfica, presentando una casa a la que accedía un fontanero. Este como tal podía necesitar hacer varias entradas y salidas al sistema, dentro del ámbito de sus atribuciones. Pero saltaría una alarma si este pasara a la zona de la casa donde están las habitaciones, ya que esta acción no entraría dentro de sus atribuciones habituales.

Esta idea del personal interno como protagonista de las principales infracciones de seguridad se repitió en varias de las intervenciones, y las soluciones propuestas coincidían más o menos en prestar más atención a las actividades dentro de la organización, y la monitorización del personal, estableciendo estrictos perfiles de usuarios, asignando concretos roles de permisos y estableciendo un férreo control de los comportamientos de los usuarios, a nivel del uso de los recursos informáticos. 

Para que me sigan mejor, les voy a presentar a una figura mítica de los CPD (Centros de proceso de datos). Me estoy refiriendo al BOFH (Bastard Operator from Hell), personaje ficticio creado en 1995 por Simon Travaglia. En efecto, “el Administrador de Sistemas del Demonio” que goza flagelando a los pobres usuarios que tienen la desgracia de sufrir su tiranía. Pues bien, mi percepción fue que, de una u otra manera, las tendencias en seguridad pasan mucho por establecer controles draconianos sobre los usuarios, en nombre de la seguridad corporativa. 

En mitad de esta ofensiva la única intervención en favor de los usuarios, de la libertad del individuo, y de los derechos civiles fue la videoconferencia (por Skype) del señor Bruce Schneier , un gurú de la Ciberseguridad, quien hizo un llamamiento a la preservación de los derechos civiles e individuales frente a los corporativos y gubernamentales al más propio estilo de los padres de la nación Norteamericana. Tuvo una frase que cayó en el teatro como un obús del 105; – “Google sabe más de ud que ud mismo, sabe incluso hasta qué tipo de porno le gusta, y eso no debe ser.” -- Si una frase como esta no despierta conciencias, nada lo hará. 

Las intervenciones se sucedieron, y terminaron, con un magnífico servicio de catering de por medio, hasta que llegamos a un fin de velada magnífico, coronado por un sorteo de cachivaches tecnológicos y un Gin Tonic servido como Dios manda, y terminó este mochuelo marchándose a su olivo sumido en un mar de impresiones y pensamientos. 

La primacía de la Inteligencia Artificial sobre las decisiones individuales, la traslación de la fría y científica programación al mundo de los procesos laborales y al caótico, entrópico y heurístico mundo real, lo objetivo dominando lo subjetivo, lo medible frente a lo indeterminado...

Y en el fondo de nuestra subjetividad sabemos que esto no funcionará. Un control policial milimétrico y pormenorizado de los empleados y sus comportamientos en el trabajo (o en otros ámbitos) puede tener beneficios en seguridad a corto plazo, pero a medio y largo plazo puede tener otros efectos secundarios que pueden poner los beneficios en entredicho. Uno por ejemplo, es la pérdida de iniciativa de los usuarios por miedo a que los cambios de patrón en su conducta puedan ser entendidos como actividad sospechosa. Otro lo pueden dar aquellos usuarios que por su propia especialidad no quedan correctamente encuadrados dentro  de los roles definidos por los sistemas de seguridad y producen falsos positivos continuos, lo que puede dar lugar a situaciones insostenibles, luchas de poder entre departamentos, etc. Otra torre de Babel se nos prepara cuando a un sistema teóricamente simple tenemos que añadir proveedores, clientes, filiales, asociados, personal fijo discontinuo o asignado a proyectos part-time, y un largo etcétera. A la parálisis por el análisis... 

Nuestro amigo recién presentado BOFH nos dirá que no tiene problema al respecto, que aplica tabla rasa y serán los individuos los que tendrán que aclimatarse al sistema. “Es lo que hay”, esta frase lapidaria que probablemente la estudien como definición de nuestros tiempos dentro de doscientos años. 

Es lo que hay o, al menos, es lo que tenemos. En cualquier caso, con lo que no cuenta BOFH en sus diabólicas maquinaciones por dominar el mundo pequeñito que es su empresa, es con otra figura de la mitología informática extraída de la película TRON Legacy de 2012, dirigida por Joseph Kosinski. Me estoy refiriendo al propio personaje TRON , y su frase final “I fight for the users” (Yo lucho por los usuarios) -los que no sepan de qué estoy hablando sigan los enlaces, pero por favor, vuelvan para terminar de leer este artículo :-) 

No me voy a poner a contar la película (en cualquier caso les recomiendo que la vean, si no lo han hecho), y únicamente les voy a recordar la idea central de la misma, que fue la idea con la que me marché a casa. La conclusión de la saga TRON, puede resumirse en que la misión de los sistemas cibernéticos deberá ser servir al hombre y a los usuarios, y no gobernarlos.

Lefebvre - EL Derecho no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación

Widgets Magazine

Comentarios jurisprudenciales

CASE STUDY & MASTER CLASS

LOPD EN DESPACHOS DE ABOGADOS

  • Buenas prácticas en el despacho

    El despacho deberá establecer una normativa de uso de dispositivos y sistemas informáticos por escrito, así como unos criterios de supervisión de su actividad, remitiendo ambos documentos a todos sus integrantes y haciendo que firmen una conformidad de la información recibida.

  • Funciones y obligaciones del personal del despacho (y II)

    El personal que tenga acceso a información propiedad del despacho jurídico estará obligado a conocer y a observar las medidas, normas, procedimientos, reglas y estándares que afecten a las funciones que desarrolla en el despacho. 

  • Funciones y obligaciones del personal del despacho(I)

    Hay que tratar de inculcar al personal el carácter obligatorio de seguir estas disposiciones, así como de las consecuencias laborales y de cualquier otra índole que pueda tener su no observancia. Notifique estas medidas a su personal y fórmelos adecuadamente.  

ebook gratuito

ENTREVISTAS

GESTIÓN DE DESPACHOS

  • ¿Por qué es importante implementar el marketing en una empresa de servicios jurídicos?

    Hoy en día, el mercado legal está inmerso en una etapa de dinamismo que se está llevando a cabo a través de numerosas integraciones y/o fusiones entre despachos de diferente perfil que lo que buscan es crear una marca más sólida con la que poder prestar un servicio más completo a sus clientes.

  • La web y el blog, primeras piedras del camino hacia el posicionamiento SEO

    ¿Recuerdas cuando captar clientes se reducía al ‘boca a oreja’ y al prestigio del despacho? ¿Todo iba mucho más rodado, ¿verdad? ¿Cuál es el motivo por el que ahora ya no es tan fácil? Muy sencillo: se ha constituido un nuevo canal de captación que aún tiene mucho potencial: internet, la web y Google, el mayor canal de información y búsqueda de contenidos de España.

REDES SOCIALES & ABOGADOS

  • Internet y Redes Sociales para despachos de abogados: una exigencia necesaria

    ¿Por qué es importante que los despachos de abogados entren en la dinámica de las redes sociales e Internet? ¿Cómo puede afectar a un bufete el estar o no en el mundo digital? ¿Qué es lo que quieren tus futuros clientes de su abogado? El mundo se ha digitalizado y los abogados no pueden quedarse atrás.

COLABORA CON NOSOTROS

Colabora

Envianos un artículo sobre nuevas tecnologías aplicadas al ámbito jurídico

Colaborar

Enviar Artículo

He leído y acepto las condiciones de la Política de Privacidad y el Aviso Legal

(*) Campos obligatorios

Pablo García Mexía

Abogado, Cofundador de Syntagma, Centro de estudios estratégicos.

1

Carlos Pérez Sanz

Socio del área de Information Technology y Compliance de ECIJA.

1

Raúl Rubio

Partner, Information Technology & Communications Baker & McKenzie

1

AIshow, el evento de Inteligencia Artificial, llega a Madrid

Reunirá a investigadores y profesionales de diversos campos con el propósito de explorar las interacciones y los impactos prácticos de la Inteligencia Artificial (IA)

Metricson refuerza el área de compliance, protección de datos y propiedad intelectual

Incorpora a  Alejandro Martínez Méndez como director del departamento de protección de datos, propiedad intelectual y compliance de la sede de Barcelona. 

Facebook recurrirá la sanción de Protección de Datos y recuerdan que lo usuarios eligen la "información de su perfil"

La AEPD acusa a la red social de Mark Zuckerberg de recopilar, almacenar y utilizar datos, incluso especialmente protegidos, con fines de publicidad sin recabar el consentimiento del usuario.

feedburner

Reciba LAW & TIC de forma gratuita.

Atención al cliente: De lunes a viernes de 8:30 a 20:00 horas ininterrumpidamente. Tel 91 210 80 00 - 902 44 33 55 Fax. 915 78 16 17