CIBERSEGURIDAD Y EL FACTOR HUMANO
Los profesionales de seguridad juegan un papel preponderante en el contexto de la ciberseguridad, pero al mismo tiempo lo hace la formación de las persona que usan los sistemas de información
El avance de la tecnología conlleva riesgos de seguridad asociados a su uso, la razón principal es porque existen atacantes que buscan sacar provecho sobre las organizaciones y actualmente se está extendiendo a los usuarios. En este contexto, la mayoría de las amenazas a los equipos digitales actuales tienen como propósito generar un beneficio económico a sus atacantes.
Las organizaciones operan de manera compleja e incierta, debido a los cambios tecnológicos y con poca comprensión del nivel de conciencia de seguridad de sus sistemas y sin la concienciación y capacitación de los empleados. Los medios de comunicación social, la informática móvil y los servicios en la nube cambiaron la forma de hacer negocios. A medida que las organizaciones aprovechan estas nuevas tecnologías, los sistemas nacen sin la protección adecuada y los riesgos no se mitigan, el factor clave más importante, el humano, suele quedar en el olvido.
Los técnicos avanzados que en un inicio buscaban modificar el comportamiento de los sistemas para que operaran de una manera en la que no habían sido diseñados, con el paso de los años se han transformado en una industria, la de ciberdelitos, pasando de hackers entusiastas y curiosos a crackers que buscan lucrar con sus habilidades. En muchos casos se comenten actos no tipificados en la legislación, utilizando las nuevas tecnologías, y éstos provocan un perjuicio; hacemos referencia a ciberdelicuentes.
La formación de los profesionales de seguridad juega un papel preponderante en el contexto de la ciberseguridad, pero al mismo tiempo lo hace la formación de las persona que usan los sistemas de información, que deberían tener como base, principios y valores que determinan el actuar de las personas.
La delgada línea entre “lo lícito y lo ilícito”
En el panorama actual la ciberseguridad y la seguridad de la información, así como sus tendencias, nos muestran la necesidad de contar con profesionales muy preparados y actualizados, encargados de proteger los activos más importantes dentro de cualquier tipo de organización, así como a sus usuarios; según la demanda actual se detecta una escasez de personal cualificado en el futuro cercano.
Las habilidades técnicas, conocimientos y aptitudes que posean los profesionales de seguridad resultan fundamentales para tal propósito, aunque no se debe dejar de lado la formación que considera también el factor humano.
Una persona que posee los conocimientos suficientes para vulnerar un sistema y acceder a la información privilegiada se encuentra frente a una delgada línea que puede traspasar fácilmente para obtener un beneficio, al tiempo que puede comprometer la seguridad de organizaciones, usuarios y la sociedad.
Solamente su formación ética en ciberseguridad le permitiría discernir entre lo que puede ser considerado como lícito e ilícito, y por supuesto, lo que es legal o no.
El famoso caso de Edward Snowden: él era un usuario con permisos para acceder a una gran cantidad de sistemas confidenciales, y ninguna organización es capaz de mantener la confidencialidad si un usuario en el que confía decide violarla. Aunque Edward Snowden tenga un aptitud, conocimientos profesionales, fue la ética la que le impulsó a desvelar la vigilancia a que estaban sometidos varias personalidades.
Debemos considerar otros aspectos, como la personalidad misma. Esta responde a un sinnúmero de estímulos, tanto internos como externos, donde pueden incluirse los intereses, ideologías, creencias, escalas de valores, motivaciones, experiencias, la formación desde el hogar o la escuela. Por lo tanto, la personalidad se determina a través del carácter (innato) y el temperamento (experiencias y educación) que también es fundamental en el ejercicio profesional.
En el ámbito de las organizaciones, a la hora de seleccionar profesionales, puede haber personas bien intencionadas y otras no tanto, por lo que a veces la elección se limita a conocer lo mejor posible la voluntad y las intenciones de la persona, y si está realmente interesada en el hacking ético o tendrá siempre un aspecto que puede generar dudas.
Muchos de los que hoy son expertos en seguridad informática han experimentado y aprendido con el hacking en su juventud y primeros años en el mundo informático, pero en cada caso hay matices que separan, por ejemplo, a quien usó una vez un gusano simple para molestar a sus amigos, de quien desarrolló un malware destructivo, administró una botnet, robó información personal o confidencial o lucró a costa de engañar a otros usuarios. Este es un debate de nunca acabar en este sector profesional de la seguridad informática.
Por lo tanto, una tarea en la que debemos prestar atención y priorizarla es en la formación de profesionales de seguridad con las habilidades técnicas necesarias para la protección, pero al mismo tiempo con sentido de responsabilidad y ética para el ejercicio de sus actividades.
Moral, ética, leyes y su propósito principal
En un contexto mayor, una condición ideal consistiría en la alineación y concordancia entre la moral, la ética y las leyes que emanan de los distintos países; sin embargo, en ocasiones esto no es posible. Además, dichos elementos varían de una sociedad a otra, y cambian con el tiempo.
El fin principal que deberíamos alcanzar dentro del contexto de los responsables de la ciberseguridad y la seguridad de la información es actuar y tomar decisiones sin afectar a otros. Esto determinaría un comportamiento ético y profesional, una tarea sin duda aún pendiente y que significa un gran esfuerzo con implicaciones no solo laborales, sino también sociales. n
