Seguridad de la Información, mas allá de la Seguridad Informática
Publicado en la revista Más Seguridad, en la edición de Septiembre de 2008

La cada vez mayor relevancia de la información para el quehacer humano la ha convertido en un activo social prioritario y de gran valor. Y el reconocimiento más claro de esta condición, es la muy conocida y aceptada frase que dice información es poder, al grado de que hoy día a nuestra sociedad humana se le considerara como la sociedad de la información, ávida de crearla y consumirla.

Por ello se puede considerar que todos en la sociedad, tanto los individuos como las organizaciones, nacen, crecen, viven, mueren y en especial establecen sus posibilidades de progreso apoyados de alguna manera en la información. De tal suerte que, bajo una óptica de simple conveniencia social, la información constituye un objetivo de protección, que debe sujetarse a medidas y previsiones de seguridad.

Para este propósito el atributo a considerar es la forma que adopta la información, ya que puede materializarse bajo una gran diversidad de medios de contención, en virtud de que en sí misma es un intangible, lo que determina la naturaleza de los posibles agentes de riesgo para la misma, y en consecuencia, las características de las medidas y previsiones de seguridad pertinentes.

Los medios más comunes hoy día para la contención de la información, son los formatos de tecnología, principalmente de naturaleza informática, ya sea en alguna de la amplia variedad de equipos de proceso de datos, desde computadoras hasta organizadores personales y celulares 3G, o bien en la gran diversidad de medios de transporte, tales como discos compactos, DVD, memorias y discos portátiles.

Esta tendencia hacia lo tecnológico ha inducido que los esfuerzos sociales se dediquen primordialmente al desarrollo de instrumentos y mecanismos de seguridad informática, como la gran solución, casi al nivel de una panacea absoluta, para la protección y salvaguarda de la información. Para lo cual el enfoque de restricción se orienta en su mayor parte a los aspectos de almacenaje y accesibilidad de la información.

El resultado de esta tendencia ha sido un fenómeno progresivo de creación y mejora de productos tecnológicos cada vez más sofisticados, para la protección y salvaguarda de la información contenida en los recursos informáticos. Y sin embargo, a pesar de su sofisticación y supuesta mejora en su efectividad, la seguridad de la información sigue siendo violada, en ocasiones sin que sea detectado, al menos con oportunidad.

La razón de esta triste y cruda realidad reside en su propia naturaleza, ya que cualquier cosa que la tecnología puede hacer, la misma tecnología lo puede deshacer. Asimismo, que en última instancia, a este aparente poder de la tecnología, de alguna manera se le sobrepone el poder humano, que no sólo la crea y la controla, sino que eventualmente la puede superar con otra creación no necesariamente tecnológica.

Así, el mejor y más sofisticado de los firewall puede ser penetrado por un intruso (hacker) muy hábil y/o armado de recursos tecnológicos muy sofisticados, o bien por un simple operador sin grandes conocimientos, pero que posee las claves para desactivarlo, e incluso la autorización para hacerlo, así como las facilidades para entrar y salir de las instalaciones con materiales de trabajo, desde documentos hasta una memoria portátil.

Las famosas intrusiones de hackers contra los sistemas del Pentágono, el FBI y la NASA en los Estados Unidos, son ejemplos de lo primero, y los casos de espionaje por agentes infiltrados en el Centro de Comunicaciones de la Marina y los Laboratorios Livermore también en los Estados Unidos, de lo segundo. Todas ellas supuestamente instalaciones de muy alto nivel de seguridad.

Otra situación consiste en que, si bien la fuente de la información se puede confinar a un equipo de cómputo protegido con artilugios muy sofisticados, eventualmente dicha información se traslada a otros medios de contención, tales como documentos impresos, cuya circulación no se controla con la misma minuciosidad que los medios magnéticos, e incluso acaban en los botes de basura, que no son controlados pero si constituyen el objetivo de los famosos buscadores de basura, de lo cual el caso más famoso fue el de los documentos secretos destruidos en la embajada de los Estados Unidos en Teherán en 1979, que fueron pacientemente reconstruidos por las mujeres iraníes.

La gama de riesgos para la información contempla una amplia variedad de posibilidades, de la cual en muchas ocasiones la destrucción es la menos dañina, porque la secuela es evidente, contra las mayores perspectivas de daño de la sustracción sin secuelas, porque no hay daño aparente, así como de la alteración no detectada, con un efecto no percibido de inmediato.

Por ello, la conveniencia sugiere que las medidas y previsiones de seguridad para proteger y salvaguardar la información, NO deben circunscribirse ni limitarse a los aspectos tecnológicos, sino que deben considerar a todo el contexto de su manejo, con el factor humano como el elemento determinante en última instancia, y los aspectos de procedimiento y control como condiciones favorables o adversas para tal propósito.

En consecuencia se puede establecer que la clave para una exitosa seguridad de la información consiste en no dejarse distraer por lo atractivo y cómodo de las soluciones de tecnología, y no perder de vista la participación del factor humano, tanto de los directamente involucrados en el acceso y manejo de la información, como de las prácticas y procedimientos descuidados que la expongan a riesgos.

Corporación Euro Americana de Seguridad México, 2013 © Todos los Derechos Reservados