Siguiendo con la línea de “Problemas LOPD” que comenzó con Palotes de Chiclana, a continuación les presento un caso que hace unas semanas plantearon Edgard y Dani Puente en su blog Eddasec; les advierto que en este caso, a diferencia del anterior, es posible que no exista una solución clara más que la interrupción de la relación comercial. Vamos allá.

Una empresa, llamémosla Piruletas de Motilla del Palancar, tiene una relación mercantil con la página web “Bolsa de trabajo”, cuyo negocio se centra en la gestión de ofertas de empleo a través de Internet; se trata obviamente de un portal de búsqueda de empleo. Ésta informa al candidato de sus derechos en los términos establecidos por la LOPD, y puesto que existe una relación de comunicación/cesión de datos con el ofertante de empleo, “Bolsa de trabajo” recoge el debido consentimiento.

Hace unos meses leía en la web de Bruce Schneier un artículo en el que hablaba de la responsabilidad -o irresponsabilidad- de los generadores de software (por “generadores” me refiero a programadores, empresas de desarrollo, analistas, etc.) en la seguridad de la información. Bajo mi punto de vista, el software -en especial las aplicaciones- fallan. Fallan y mucho. Y demasiado. No únicamente desde el punto de vista de seguridad -que también-, sino incluso desde el punto de vista de la funcionalidad. Y lo peor, es que todos lo asumimos como algo habitual, como lo más normal del mundo, y como decía Schneier, incluso parcheamos nosotros mismos las aplicaciones (algo impensable con un coche, por ejemplo).

¿Por qué falla el software? Mi opinión es que en términos generales el software falla por cuatro grandes motivos; los comento, sin ningún orden particular:

Por todos es conocido el hecho de que el mejor producto que pueda fabricarse, o servicio que pueda proveerse, necesita de una gestión de marketing para su promoción en el mercado al que va dirigido; por bueno que sea, un producto o servicio no se vende si no se da a conocer. La labor del personal de este departamento, tantas veces infravalorada por otras áreas de la empresa es la que da vida a la misma, mediante la promoción de productos y servicios para la obtención de contratos y pedidos por parte de los clientes. Esta tarea es casi siempre callada y confidencial, con el objeto de evitar que otros competidores puedan estar informados de las posibilidades de negocio de la compañía, y sólo cuando una contratación se produce, se anuncia, anuncio que casi nunca transmite de manera evidente el esfuerzo que ha requerido la venta, y más aún en el caso de nuevos clientes.

Sin embargo, en todos los sectores existen factores que el personal de Marketing no ignora y que son decisivos a la hora de valorar las posibilidades de obtener un contrato con un cliente. En el caso que nos ocupa, los servicios de seguridad, hay una serie de componentes que facilitan o complican la presentación de ofertas y sus posibilidades de éxito, y que posteriormente serán los que condicionen la satisfacción del cliente y su fidelidad.

Como se puede leer en la Wikipedia, la Pirámide de Maslow es una teoría psicológica propuesta por Abraham Maslow en su obra de 1943 “Una teoría sobre la motivación humana” (A Theory of Human Motivation). Maslow formula en su teoría una jerarquía de necesidades humanas y defiende que conforme se satisfacen las necesidades más básicas, los seres humanos desarrollan necesidades y deseos más elevados; en esta jerarquía, en el segundo escalón -justo por encima de las necesidades básicas para sobrevivir-, aparecía el concepto de seguridad en todos sus ámbitos: lo que necesitamos, una vez sobrevivimos, es tranquilidad.

Según Maslow, en la jerarquía propuesta, las necesidades más altas ocupan nuestra atención sólo cuando se han satisfecho las necesidades inferiores de la pirámide; las fuerzas de crecimiento dan lugar a un movimiento ascendente en la jerarquía, mientras que las fuerzas regresivas empujan las necesidades prepotentes hacia abajo en la jerarquía (algo a tener especialmente en cuenta en estos tiempos de crisis).

Dentro de las herramientas ciertamente peligrosas (aunque muy útiles en algunas ocasiones), durante estos últimos años se están popularizando las de acceso remoto a los PCs de escritorio, a pesar de que en realidad son muy antiguas y desde siempre han traido importantes problemas de seguridad, como por ejemplo, el Back Orifice (cuyo nombre estarán de acuerdo conmigo que es bastante descriptivo).

Las últimas versiones de estas herramientas que les comento están diseñadas para saltarse todas las políticas de seguridad perimetral implantadas en las organizaciones; por supuesto, el uso de dichas herramientas puede ser perfectamente lícito, pero puede también no serlo (y en ese caso, convertirse en un riesgo de seguridad) si no son controladas y validadas por la normativa de la organización.