Complicando innecesariamente la seguridad

(Por Alfonso Martinez Montero - Director Técnico de Stonesoft Ibérica)
¿Cuánto más estricta sea una política de seguridad, más protegidos estaremos? En absoluto. En el mundo real, si la política de seguridad corporativa es demasiado estricta, el personal acabará por no cumplirla. Cuando las reglas de seguridad entorpecen una tarea, los empleados tienden a evitarlas en lugar de seguirlas. Una política de seguridad detallada y estricta también es difícil de mantener. Estos son algunos ejemplos de las tonterías con los que me suelo topar:

- Sólo se pueden compartir materiales que tengan la palabra “público” escrita en ellos.

- La política de seguridad describe al detalle el estado en que cada ajuste de cada servidor debe estar.

- Nunca abandone su portátil, ni durante una fracción de segundo, cuando lo saque fuera las instalaciones de la empresa.

- No anote sus contraseñas. Al mismo tiempo, utilice contraseñas complejas y cámbielas cada cierto tiempo.

Casi todo el mundo sabe que los empleados tratan de no acatar las normas si éstas son demasiado estrictas. Por lo general, se debe al hecho de que, al cumplir las reglas, se pierde un tiempo demasiado valioso y la eficiencia se resiente. Las normas poco razonables se ignoran y los empleados prefieren confiar en su propio juicio. Aquí radica el riesgo de que estos puedan hacer algo realmente perjudicial para la compañía, como por ejemplo, desactivar algunas opciones de seguridad de sus ordenadores. Es decir, que incluso si los códigos de seguridad contienen indicaciones útiles, se los tachará de “estúpidas reglas de seguridad”, a los que es “mejor no prestarles atención”. Y todo por su estupidez inherente.

Los mejores resultados se consiguen cuando el código de seguridad global es claro y comprensible. Las normas deben apoyar, y no inhibir, la ejecución de tareas cotidianas. Los empleados deben entender la situación general y el objetivo y la finalidad de las normas de seguridad. Esto, por supuesto, exige confiar en los trabajadores.

Otro error común de las políticas de seguridad corporativas es que se planifican habitualmente desde la perspectiva TI, y por lo tanto no son compatibles con los procesos de negocio de la empresa o sus necesidades. Por ello, al desarrollar este tipo de políticas, todos los miembros de la organización deberían ser consultados. De esta manera, las personas cuyo trabajo diario se ve directamente afectado por las normas podrían dar su opinión, con lo que se evitaría que las normas de seguridad pudiesen llegar a bloquear el crecimiento del negocio.

Hoy en día, no es raro que las políticas de recursos humanos se acaben mezclando con la seguridad informática. Esto puede ocurrir, por ejemplo, cuando se prohíbe el acceso a redes sociales como YouTube o Facebook por razones de seguridad. A los empleados les sienta mal que se limite su libertad de recibir información “por el bien de la seguridad”. El hecho es que, en realidad, estas redes sociales no suponen una amenaza seria para las empresas si su plan de seguridad TI y sus equipos están actualizados. Prohibir su uso desde el departamento de recursos humanos o porque se pueda producir una pérdida de productividad es algo más aceptable y que causará menor irritación.

Y ahora hablemos de las contraseñas: es bueno que las contraseñas no se tengan que compartir nunca con nadie. Pero si existen situaciones en las que el departamento informático necesita conocer la contraseña de un empleado, cada trabajador debe dejar constancia por escrito de ello. Así, las políticas de seguridad no generarán conflictos internos, sino que seguirán un proceso operativo fluido.

Sobre todo, es más seguro para la organización que los empleados elijan una buena contraseña y la escriban, antes de que traten de recordar una contraseña incorrecta. Las entidades no deben alentar a sus empleados a utilizar "cajas fuertes de contraseña”, o pequeñas aplicaciones que pueden contener cientos de contraseñas detrás de una clave maestra. La contraseña en un pedazo de papel y el papel en la billetera tampoco constituye es el peor de los casos, puesto que las personas están acostumbradas por lo general a proteger sus carteras y el valioso contenido que albergan en su interior.