Hay palabras que lo dicen todo, al menos para algunas personas. Solo tienes que utilizarla en el momento adecuado, y se acaba la discusión. No hay que argumentar más, no hay que comparar las diferentes alternativas. “Si es por la seguridad, no se hable más, lo haremos, sea lo que sea”.
Si es para poner un nuevo candado en la puerta, no es grave. Pero cuando las medidas de seguridad afectan de forma significativa a los usuarios (y cuando digo afectan me refiero a que les hacen perder tiempo continuamente) y cuestan un dinero que deja de estar disponible para otros fines, conviene ser un poco más racional y evaluar bien las ventajas e incovenientes de esas imprescindibles medidas de seguridad.
Cuando hago este ejercicio de evaluación de una opción siempre me acuerdo de la teoría de juegos. ¿Conoces el concepto de “juego justo”? Es muy sencillo, aunque a veces se complica al aplicarlo a situaciones complejas. Si apuestas 1 contra 6 a que saldrá un 5 al tirar un dado (que no esté cargado, claro), estás jugando a un juego justo. La probabilidad de ganar (1/6) multiplicada por el premio (6×1) equivalen a 1, justamente. La ruleta es casi un juego justo. Te dan 36 veces lo que apuestas a un número, aunque queda el cero para que la Banca acabe ganando siempre. En el Black Jack es más difícil saber si es justo.
¿Y qué tiene esto que ver con la seguridad? Mucho. Ahora lo que me estoy jugando es la posibilidad de perder mis datos (porque se rompa el disco duro, un virus me los borre o un ladrón robe los ordenadores por la noche). Existe un riesgo cierto. Y hay mucho en juego. Hay una frase que llevo más de 20 años utilizando para convencer a mis clientes (y amigos) de que hagan copias de seguridad. “Si mañana cuando llegues a la oficina, o tu casa, el ordenador no arranca, o no está encima de la mesa ¿qué harías? 1.- Tirarme por la ventana, 2.- Tirarme de los pelos, 3.- Sacar una copia de seguridad de todos mis datos de un cajón”. Imagínatelo: todas tus fotos, tus documentos en Word, las hojas de cálculo con las cuentas de la casa, los contratos escaneados… (ojo que esta misma pregunta se puede aplicar a los documentos en papel: contratos, escrituras, fotos, negativos… pero en este blog hablamos de documentos electrónicos).
Hay tanto que perder que parece que cualquier medida está justificada para garantizar la seguridad de los datos. Pero conviene no exagerar. Hay que recordar la ecuación del juego justo y ponderar un poco el coste de las medidas a adoptar y la probabilidad de que ese riesgo del que nos vamos a proteger ocurra. Algunos ejemplos para situaciones concretas:
1.- Copias de seguridad. Hay que hacerlas de forma regular y con el menor coste posible. Pero no hay que exagerar. No hacerlas es una locura, por supuesto. Pero dedicarle una hora diaria también sería absurdo. Lo que sí es corriente, demasiado, es encontrar personas o empresas que tienen un sistema tan incómodo que acaban haciendolas con una frecuencia mucho menor de lo recomendable. Hay muchas herramientas y opciones para sistematizar las copias y que no sean una carga. Todavía me sorprendo de vez en cuando con algún familiar o conocido que me dice que todas sus fotos personales están en su portátil, y en ningún otro sitio. O empresas, normalmente muy pequeñas, que hace meses que no han comprobado si las copias se hacen bien. Si es tu caso, ¡haz algo ahora mismo!
2.- Claves de acceso. Hace unos días me comentaba un amigo que en su trabajo (una entidad pública muy importante) han puesto una clave de acceso en todos los ordenadores muy larga y complicada y que en pocos minutos de inactividad (incluso en una conversación telefónica) se cerraba la sesión y había que volverla a introducir. Lo decía con cierta frustración porque le hacía perder un tiempo significativo a lo largo del día. Vale que la clave no sea “1234” pero tampoco hay que exagerar. ¿Protege esa clave tan larga de un hacker que le robe el portátil en un viaje? No mucho mejor que una clave sencilla y sin embargo lo que es seguro es que cada día pierde un tiempo valioso por si acaso…
3.- Acceso remoto. La semana pasada instalé en mi iPad un programa fabuloso, LogMeIn (hay otros similares, por supuesto), que me permite acceder a mis ordenadores desde cualquier lugar. Es sorprendente, aunque no sea una novedad, ya lo sé, ejecutar mi programa de gestión documental con el dedo, poder consultar un documento que echo de menos, cuando estoy a cientos de kilómetros de distancia… Pero, evidentemente, hemos creado una nueva vulnerabilidad en nuestro sistema. ¡No! me dice el técnico que lo ha instalado en el servidor: No hay un agujero de seguridad porque hay una clave de acceso. Vale que no haya un agujero, pero lo que está claro es que tenemos una nueva puerta por la que se puede entrar. Si no fuera así, tampoco yo podría entrar. Obviamente a esa nueva puerta hay que ponerle un candado (clave), exactamente igual que a una puerta física que impida que entren a robar en la oficina. Da un poco de miedo pensar que existe esa puerta, pero la clave de acceso del programa, más la clave de acceso del servidor Windows 2008, más la clave de acceso al programa de gestión… los datos están más seguros frente a un ataque por esta vía que frente a otras amenazas, por ejemplo a un robo físico del servidor.
En definitiva: no podemos caer en los extremos: ni ser tan maniáticos de la seguridad que tomemos medidas que supongan un coste muy alto o un malestar diario, ni tampoco olvidarnos de los peligros reales que corren nuestros datos. Como siempre, en el término medio está la virtud.
Responder