Web 2.0 con toda seguridad S i partimos de la base de que Web 2.0 es una plataforma para crear, compartir y distribuir información entre diferentes actores, es evidente que hemos topado con la materia troncal a proteger en asuntos de seguridad TI: la información. Generalmente se clasifica y cataloga en función de diversos atributos, si bien el criterio más utilizado suele ser su grado de confidencialidad (p.ej., pública, privada o confidencial). Una de las características de Web 2.0 es que toda la información es pública (por lo menos para el grupo de interés), por esta razón, el uso de las redes sociales para compartir información de la empresa puede no ser una buena idea si no se tiene un estricto control sobre ella. Jordi Gascón Director Solutions Sales CA Como ejemplo y sin caer en apocalípticos mensajes, recientemente un periodista describía que los datos de Facebook y otras redes sociales sobre él y su entorno familiar proporcionaban suficientes detalles para que unos ciberdelincuentes casi consiguieran convencerle para realizar una transacción económica por un “problema de aduanas de su sobrino”. La suerte quiso que se percatara del engaño a tiempo, pero estuvo a punto de caer en la trampa. Con esto se pone de manifiesto que el uso que se febrero 2010 112 hace de la información no es neutro; puede servir a múltiples objetivos, entre ellos los delictivos, que suelen ser bastante lucrativos. Entonces, ¿cómo aprovechar el potencial de esta plataforma e incorporarla de manera segura a nuestras organizaciones? La adopción de esta tecnología es más beneficiosa que perjudicial para las empresas, puesto que permite el acceso inmediato a uno de los mayores tesoros de cualquier organización: el conocimiento. Ya sea sobre clientes, mercado, ofertas o acercamientos exitosos o fallidos propios y de la competencia, experiencias comerciales, es decir, un sinfín de información a nuestro servicio. De modo que la clave radica en evaluar los riesgos y aplicar las medidas de control para mitigarlos. Todo ello apoyado, por supuesto, con un buen programa educativo de los usuarios finales, tanto en los peligros reales existentes (especialmente el phishing o la ingeniería social) como en las buenas prácticas y sin olvidar que debe difundirse esta política a todos los usuarios con la definición clara de los usos permitidos en la organización. Ejemplificar el uso de la información que cae en manos equivocadas con un lenguaje adaptado a todos los niveles es básico en el proceso de concienciación de los usuarios. seguridad y políticas industriales Por otra parte, controlar el acceso a la información de las organizaciones, gestionar adecuadamente roles e identidades es esencial, pero no suficiente. Es importante incorporar soluciones de prevención de pérdida de datos (Data Loss Prevention) que permitan garantizar que un usuario que accede legítimamente a la información por derecho del rol que desempeña en su empresa, no haga un uso no legítimo de ella, como puede ser publicarla en una red social, enviarla a un correo externo, etcétera. Así pues, es necesario controlar quién accede a qué información, cómo y cuándo pero, además, qué uso hace de ella. La seguridad no puede ser un freno para la adopción de nuevas formas de colaboración, negocios o comunicación entre los empleados, clientes o socios comerciales. El responsable de seguridad debe ser un facilitador en la adopción de las nuevas tendencias en un mundo que se mueve “a velocidad Internet”. Los responsables de seguridad actuales pueden y deben ser impulsores en el aprovechamiento de los beneficios que la incorporación de éstas y otras tecnologías emergentes aportan al negocio. Como siempre, deben velar para que el negocio asuma los riesgos inherentes a cada actividad de manera informada, asesorando y proporcionando las alternativas tanto tecnológicas como organizativas o metodológicas que existan. Los profesionales de la seguridad están obligados a estar a la última con respecto a los riesgos, nuevas técnicas y argucias utilizadas y demás peligros de las actividades relacionadas con las tecnologías de la información. También deben estar informados y atentos a las novedades que se produzcan en materia tecnológica para que dispongan de soluciones que les ayuden a paliar futuros peligros. Ahora bien, los profundos cambios que se están produciendo en la forma en que se están utilizando las tecnologías (Web 2.0, cloud computing, virtua113 febrero 2010 lización, etc.) nos deberían hacer reflexionar sobre la manera en que abordamos la seguridad. Es imperativo cambiar de un modelo “defensivo” en el que tenemos controlados todos los elementos dentro de un perímetro más o menos conocido a otro más “descentralizado” en el que no necesariamente conocemos ni los elementos que estamos protegiendo, ni su localización y, por tanto, debemos concentrarnos en la protección de la información allá donde resida. Una cosa sí es cierta: la evolución, adopción y reinvención de éstas y otras nuevas formas de utilización de las tecnologías de la información no se frenarán por la imperfección de no ser “absolutamente seguras”. Por tanto, como tantas otras veces, a los responsables de seguridad no les queda otra opción que mitigar al máximo los riesgos ayudándose de todos los instrumentos que estén a su alcance, en especial, de la propia tecnología que permite estos nuevos modelos.