Tags: seguridad, redes-sociales

Comenta este interesante artículo de EL PAÍS "Mi Twitter es también de mi empresa" que

• una encuesta de la consultora Manpower Professional revela que el 75% de los empleados afirma que sus empresas no cuentan con una política formal sobre el uso de las redes sociales en el trabajo. "Esto sugiere que una amplia mayoría de empresas está adoptando la postura de 'esperar a ver qué sucede' antes de desarrollar sus propias políticas sobre el uso de las redes sociales", dice el estudio.

lo cual indica que la mayoría de las empresas ni siquiera se han planteado redactar una "Política de Seguridad", que, en una primera aproximación podríamos definir como hace la Wikipedia:

• La política de seguridad es un documento de alto nivel que denota el compromiso de la gerencia con la seguridad de la información. Contiene la definición de la seguridad de la información bajo el punto de vista de cierta entidad. Debe ser enriquecida y compatibilizada con otras políticas dependientes de ésta, objetivos de seguridad, procedimientos (véase referencias más adelante). Debe estar fácilmente accesible de forma que los empleados estén al tanto de su existencia y entiendan su contenido. Puede ser también un documento único o inserto en un manual de seguridad. Se debe designar un propietario que será el responsable de su mantenimiento y su actualización a cualquier cambio que se requiera.

Es decir que una Política de Seguridad se asemeja a una Constitución porque marca las líneas maestras de actuación, pero también se asemeja a una Ley porque contiene acciones concretas sobre cómo implementar esas ideas en el escenario actual. La política se seguridad debe de ser constantemente enriquecida, tanto en las líneas maestras de actuación (que cambian al surgir nuevas tecnologías) como en la forma de abordar esas líneas maestras (ya que el escenario tecnológico y empresarial es cambiante).

Como Constitución la política de seguridad contesta a tres preguntas:

• [1] ¿Qué necesito proteger?
• [2] ¿De qué necesito protegerme?
• [3] ¿Cómo voy a protegerme?

Como Ley la política de seguridad propone normas de actuación semejantes a los diez mandamientos. Semejantes porque no solo dicta qué NO hacer sino también (preferentemente) qué SÍ hacer.

Podemos decir que ha habido tres GENERACIONES de políticas de seguridad:

• Generación 1 que trata de aspectos muy tecnológicos y de seguridad de red
• Generación 2 que trata de regular el uso del ordenador que maneja el usuario
• Generación 3 en la que estamos ahora, que trata de regular el impacto en la reputación empresarial del uso de las redes sociales por parte de sus empleados desde sus cuentas personales

Primera generación

Esta es la única conocida en la mayoría de las empresas.

Inicialmente se asoció el término Política de Seguridad con cortafuegos, hacking, intrusiones, con lo que el tema se abordó desde un punto de vista puramente tecnológico, contestando de esta forma a las tres preguntas básicas que orientan una política de seguridad:

[1] ¿Qué necesito proteger? La continuidad de mis sistemas de información: servidores, servicios y líneas de comunicaciones; y los datos que en ellos se gestionan.

[2] ¿De qué necesito protegerme? De las vulnerabilidades del software, de errores de configuración y de malas prácticas de uso

[3] ¿Cómo voy a protegerme? Aplicando parches de seguridad, auditando el código que programo yo mismo, haciendo copias de seguridad de datos y de configuraciones y mediante la formación contínua del personal técnico.

Esto es un error porque como voy a comentar a continuación, la política de seguridad es, en realidad, el contrato por el que se regula el uso de los medios tecnológicos en una empresa, y no son solo los técnicos los que usan dichos medios, sino todos los usuarios, así que ¿por qué no se incluye en la política de seguridad la regulación de las actividades informáticas de los usuarios?

Que una empresa se planteara hacer al menos la primera aproximación a la política de seguridad, la que solo trate solo detalles tecnicos ya sería un logro: Sony acaba de reconocer que usaban un software para su servidor web que tenía muchas vulnerabilidades conocidas y además no lo protegían con un cortafuegos. Esto indica que o no había una política de seguridad o no se cumplió.

Si suponemos que Sony es una empresa seria con buenos profesionales, no vamos a entrar en cómo gestiona su seguridad una empresa que reutiliza al "informático" de chico para todo: para configurar un servidor, instalar Office, configurar el router. De hacer auditorías de código a las aplicaciones que la propia empresa desarrolla mejor ni hablamos. Ciencia ficción.

Pues en estas estamos, aún intentando implementar la forma más básica de una política de seguridad para que la gestión de la informática se parezca a una ingeniería y genere sistemas predecibles y repetibles cuando los usuarios empiezan a hacer cosas que repercuten en la seguridad de los sistemas.

Segunda generación

Nueva versión de las tres preguntas basicas de la política de seguridad en la que empezamos a incluir a los usuarios:

[1] ¿Qué necesito proteger? La continuidad de servicio de los PCs de escritorio y la privacidad de lo que en ellos se teclea y almacena

[2] ¿De qué necesito protegerme? Del software que el usuario se instala en su PC que contiene programas espía, troyanos, keyloggers, virus y otros ataques al navegador.

[3] ¿Cómo voy a protegerme? Usando siempre navegadores seguros, aplicando en ellos los parches de seguridad que los fabricantes recomienden. Formando a los usuarios para que conozcan las amenazas de sitios web inseguros.

En este punto empieza a surgir lo que yo denomino dictadura tecnoaristocrática: aquellos técnicos que conocen las amenazas (y el trabajo que les va a dar solucionarlas si se consuman) toman decisiones radicales con la esperanza de mitigar las amenazas mediante el recorte de las libertades de los usuarios (forma de pensar muy de moda desde hace unos años, y no solo en temas informáticos). Así que nuestro administrador de sistemas empieza a tomar unilateralmente decisiones que (según él) mejoran la seguridad de la instalación sin que haya (según él) ninguna consecuencia negativa para los usuarios.

Nuestro sysadmin emite desde su Sinaí Tecnológico los diez mandamientos de la seguridad:

1. No instalarás nada que yo no autorice
2. ¿Que quieres usar un Mac? ¿Linux? ¡Estás loco! ¡Aquí solo se usan PCs con Windows!
3. Yo soy quien decido qué sitios web visitas
4. Yo soy quien decido si algo es personal o de trabajo
5. No puedes usar el disco duro del ordenador para almacenar música o fotos personales, es una herramienta de la empresa
6. No pincharás ningúna llave USB en tu equipo para que no puedas llevarte nada a casa
7. El Flash 9 ha funcionado toda la vida así que la versión 10 es para ver chorradas en Internet
8. ¿Para qué quieres instalar Firefox si tenemos Explorer?
9. ¿Plugins de navegador? ¿Para jugar a qué?
10. Como me hartes te corto la red (arrieros somos...)

Aseguro que he visto en acción estos diez mandamientos, si bien no todos a la vez.

La dirección de la empresa, que no tiene ni idea de tecnología, ve muy razonable este recorte de libertades puesto que en el fondo siempre ha creído que la gente usa el ordenador para jugar y chatear y ve con buenos ojos un poco de mano dura tecnológica.

Este recorte tecnológico es exactamente lo contrario de lo que pide la política de seguridad, cuyo objetivo no es principalmente impedir sino de promover.

Compare los anteriores con estos nuevos diez mandamientos de la seguridad:

1. Todas las aplicaciones críticas para la empresa estarán alojadas en servidores, a los que los usuarios se conectarán desde sus PCs como si de terminales se tratara
2. Los datos de las aplicaciones y el perfil del usuario estarán almacenados en servidores, nunca en el PC del usuario. De estos datos se hará copia de seguridad
3. La ofimática puede ser usada en el PC del usuario pero siempre habrá esas mismas aplicaciones disponibles en modo terminal
4. El usuario puede instalar en su PC cualquier software que considere útil y que parezca seguro según los criterios que se le transmitieron en el curso de formación de seguridad.
5. El usuario puede usar para sus datos personales el disco duro de su ordenador, no así las unidades de red. Es responsable de hacer copias de seguridad de los datos de su PC si así lo desea. La empresa no lo hará.
6. El usuario debe avisar rápidamente al Centro de Atención de Usuarios si el programa software que le permite convertir su PC en terminal y acceder a las aplicaciones ha dejado de funcionar por haber instalado nuevo software o por cualquier otra causa.
7. En caso de que el PC del usuario se estropee, se le cambiará inmediatamente por un Thin Client con funciones de Terminal y el PC del usuario se devolverá a la configuración original, perdiéndose todos los datos que tuviera almacenados.
8. Los sitios web que el usuario no puede visitar serán los que infrinjan la legislación vigente y aquellos que la mesa interdepartamental de seguridad decida. En todo caso serán conocidos por los usuarios mediante información publicada en la intranet.
9. El usuario recibirá un folleto en el que se le detallan estas instrucciones y será formado para que pueda comprenderlas y seguirlas. Deberá expresar su aceptación mediante devolver a la mesa interdepartamental de seguridad el formulario de aceptación debidamente firmado.
10. Si un empleado cree que cualquiera de estas normas obstaculiza su trabajo de alguna forma debe informar a la mesa interdepartamental de seguridad para que se pueda revisar la norma.

Nada que ver ¿verdad? Probablemente haya que incluir algún mandamiento más, pero una empresa que adopte este estilo de mandamientos entiende que la seguridad es un proceso contínuo y que se regula desde un documento de política de seguridad redactado por una mesa interdepartamental. No solo eso, también entiende que la máxima para que una política de seguridad sea aceptada es que todos ganen, tanto el usuario como la empresa.

Tercera generación

Pues bien, llegamos al tercer escenario, que no es planteado por la navegación por Internet de los usuarios, sino por sus comentarios en las redes sociales.

Tercera versión de las preguntas de la política de seguridad, que incluyen las actividad en las redes sociales de los empleados:

[1] ¿Qué necesito proteger? La imagen que de mi empresa quiero fabricar en Internet, la reputación online.

[2] ¿De qué necesito protegerme? De empleados insatisfechos con sed de venganza, de usos ingénuos y torpes de las redes sociales.

[3] ¿Cómo voy a protegerme? Mediante formar a los empleados en los conceptos de reputación online y permitirles participar en su construcción mediante su participación en las redes sociales. Mediante una presencia activa y permanente en la red que neutralice los comentarios negativos o los reconduzca hacia un diálogo positivo.

Ahora el que se pone en el papel de "aristócrata" y trata de regular unilateralmente no es el técnico sino el directivo que vela por el prestigio de la empresa ante la sociedad y que no quiere que los trapos sucios se ventilen fuera (probalemente tampoco dentro).

Esta nueva aristocracia de la moral empresarial no soporta que alguien diga en Twitter que está aburrido una mañana mientras trabaja, o que algún empleado diga en su red social lo que dice en la fotocopiadora ante compañeros de oficina sobre sus jefes. Este nuevo aristócrata que confunde la reputación de los directivos con la de la empresa es el mismo que no sabe encajar críticas de los consumidores de sus productos, pues su sonrisa forzada esconde un "¿tú qué sabrás?" inefable.

También él, desde su "Sinaí moral" emite sus diez mandamientos, que tienen la ventaja de que son mucho más fáciles de memorizar que cuando los redacta un técnico:

1. No usaras las redes sociales desde el trabajo
2. Voy a espiar lo que dices de nosotros y como digas algo que me incomode te vas a enterar
3. No usaras las redes sociales desde el trabajo
4. Voy a espiar lo que dices de nosotros y como digas algo que me incomode te vas a enterar
5. No usaras las redes sociales desde el trabajo
6. Voy a espiar lo que dices de nosotros y como digas algo que me incomode te vas a enterar
7. No usaras las redes sociales desde el trabajo
8. Voy a espiar lo que dices de nosotros y como digas algo que me incomode te vas a enterar
9. No usaras las redes sociales desde el trabajo
10. Voy a espiar lo que dices de nosotros y como digas algo que me incomode te vas a enterar

A este estilo se opone el de quienes tratan de incluir en la política de seguridad de la empresa un código de conducta que permita a los empleados ejercer una medida de expresión y libertad al tiempo que se salvaguarda la reputación empresarial.

El artículo de EL PAÍS antes citado contiene ideas interesantes que implícitamente proponen la idea de una política de seguridad aunque erróneamente propone una ad-hoc, cometiendo en el terreno de las redes sociales el mismo error que se cometió en el terreno del uso del PC empresarial: la falta de visión global:

• demandó a American Medical Response, la empresa en la que trabajaba Souza al entender que la política que imponía a sus trabajadores de publicación en Internet era "demasiado vaga" y "contenía disposiciones ilegales"

• el 75% de los empleados afirma que sus empresas no cuentan con una política formal sobre el uso de las redes sociales en el trabajo

• una amplia mayoría de empresas está adoptando la postura de 'esperar a ver qué sucede' antes de desarrollar sus propias políticas sobre el uso de las redes sociales

¿Alguna propuesta para "diez" mandamientos que engloben las tres generaciones de políticas de seguridad? ¿Hacemos una lista unificada?