El error humano: ¿Más destructivo que los ataques maliciosos?

1 Ago 2004 en Seguridad

Si bien no es algo que se diga en todas partes, la mayoría de los especialistas en seguridad de la computación admiten que las fallas en la seguridad de las redes es, con frecuencia, causad por errores humanos, más que por ataques de un hacker. Generalmente, la tecnología y los procedimientos de seguridad necesarios han sido dispuestos, pero de todos modos algo puede salir mal.
“Yo diría que la mitad o más de las brechas de seguridad no se producen debido a que algunos criminales altamente organizados tratan de robar la información corporativa,” afirma Laura Koetzle, analista principal sobre computación y seguridad en Forrester Resarch. “Se trata de cosas más bien estúpidas que ocurren. La mayoría de esas cosas son producto de la ignorancia.”
Con amenazas externas crecientes de parte de usuarios impredecibles, el desafío que enfrenta un CIO puede ser tremendo. Eso lleva a pensar que deberían revisar productos de seguridad capaces de anticipar también a los errores de los usuarios internos. Pero, además de tecnologías capaces de cuantificar el error humano, los expertos también recomiendan procedimientos de seguridad claramente comunicados a los usuarios de los desktop. Esto debe combinarse con las auditorías de seguridad capaces de detectar errores humanos, desvíos de los procedimientos trazados o mala configuración de equipamientos.
“Las reglas deben ser fáciles de seguir,” señala Koetzle. “Tiene que ser una página en lenguaje bien común en la que se dice a los usuarios qué hacer y qué no hacer. Pero hay que tener algo bien en claro: los procedimientos sólo funcionan si la gente está motivada.”
No siempre son los usuarios los que causan problemas. El error humano puede consistir en mala configuración o mantenimiento inadecuado. Según Global Security Survey de Deloitte Touche Tohmatsu,  un tercio de los ejecutivos consultados creen que las tecnologías de seguridad adquiridas por su empresa no han sido usadas efetivamente.
En algunos casos, las políticas y herramientas de seguridad son las correctas, pero las redes no son auditadas con la frecuencia suficiente. Firmas como Preventsys ofrecen herramientas de auditoría, mientras que otras, como KaVADo Inc. Con su ScanDo, realizan el escaneo de aplicaciones Web para encontrar agujeros de seguridad y recomendar soluciones.
La seguridad de las redes tiene tres patas: gente, procesos y tecnología. Las tres deben estar en su lugar para que todo funcione bien.