Gastos en seguridad 2009

Según un estudio de Forrester, publicado en el tercer trimestre de 2008, la previsión de gasto en seguridad para 2009 mostraba una tendencia claramente ascendente, aunque a raíz de la crisis económica mundial es posible que dicha previsión se aleje de la realidad más de lo esperado. A continuación les resumo brevemente las principales conclusiones del estudio, que pueden obtener, previo pago, en este enlace de Forrester.

i1De manera general, tal y como puede verse en la gráfica de la izquierda, entre 2007 y 2008 (sobre un muestreo de corte radicalmente diferente), la parte del presupuesto informático ligado a los gastos en seguridad progresó de una manera importante, pasando de 7,2% al 11,7%. Este aumento que puede interpretarse como la toma de conciencia por parte de las empresas de la necesidad de inversión en seguridad.

Según el informe, este crecimiento del gasto continuará durante 2009, un dato que probablemente puede sorprender, ya que tradicionalmente los presupuestos ligados a las inversiones en Tecnología de la Información son revisados a la baja en tiempos de crisis. Una de las posibles explicaciones para dicha previsión podría ser el hecho de que el estudio de Forrester fuese realizado en el transcurso del tercer trimestre del 2008, cuando se desconocía parcialmente la magnitud de la crisis económica (como evidencia de este hecho, en septiembre de 2008 la Fed tenía los tipos de interés oficiales en el 2%, y el BCE los mantenía en el 4,75%, cuando los valores actuales son del 0%-0.25% y 1% respectivamente).

Entre 2008 y 2009, la estimación es que la asignación de medios otorgada a la seguridad debería permanecer estable. Sin embargo, hay dos ramas de IT que se benefician de una ligera alza: Se trata de la Innovación (I+D+i) y los servicios externos, entendidos éstos como servicios gestionados, consultoría y outsourcing.

[Read more…]

Estados Unidos, «des-unidos» por los fallos de seguridad informática

No es un secreto que Estados Unidos está expuesto a ataques cibernéticos de cualquier procedencia, y cada vez más. Un informe que se encuentra actualmente en preparación y que fue solicitado por la Casa Blanca y que pueda confirmar la falta de “ciberseguridad» de las infraestructuras de los Estados Unidos llegará cómo agua de mayo; además de los fallos informáticos detectados en sectores clave, existe la percepción de que la situación general en todos los sectores de actividad es de vulnerabilidad. Pasen y vean.

En diez años, se han censado en los EEUU ciento veinticinco incidentes de seguridad en sistemas SCADA, sistemas que son utilizados en centrales nucleares, plantas de tratamiento de agua, plataformas petrolíferas y todo tipo de infraestructuras críticas. Los incidentes detectados van desde problemas locales y/o autónomos, hasta otros que agravan o se nutren de ataques desencadenados en otro lugar por empleados o consultores externos. Según el Summary Report #757 del Senado americano, hecho público el 20 de Marzo pasado, las consecuencias de este tipo de fallos pueden ser tanto materiales, medioambientales como humanas, según el testimonio de Mr. Keith Lourdeau, FBI Deputy Assistant Director, Cyber Division.

Sin ir más lejos, hace unas semanas un consultor informático en un proyecto de corta duración para una refinería de petróleo fue rechazado para un empleo fijo en la empresa consultora para la que trabajaba. Según la revista Wired del 18 de Marzo pasado y la District Court of California, se vengó dejando fuera de servicio un sistema destinado a la detección de fugas de las tuberías de conducción de crudo. Es más preocupante aun, si cabe, que la red eléctrica americana se vea comprometida en su funcionamiento por ataques cibernéticos; éstos habrían introducido virus en la red cuyas consecuencias potenciales serían muy graves, según indicaba Le temps.ch en su edición del 11 de abril del 2009. Según mencionó en el Wall Street Journal un ex-responsable del ministerio de la seguridad interior, los ataques “parecen generalizados en todos los EEUU y no están enfocados a una compañía o una región en particular». Y a nadie se le escapa a estas alturas que estas brechas podrían convertirse en un arma en caso de conflicto geopolítico.

En la misma línea, en un informe reciente el Government Accountability Office (GAO) señalaba las graves carencias de la autoridad americana de vigilancia de mercados financieros, que no había tomado medidas de securización de sus sistemas de información. Aunque se imponían contraseñas complejas para los usuarios, el uso compartido de cuentas entre usuarios para utilizar una aplicación clave de la institución… ¡había sido autorizado! Por si eso fuese poco, la información y las comunicaciones de carácter confidencial de la institución no estaban cifradas, las contraseñas circulaban sin cifrar y la monitorización y vigilancia de los sistemas era insuficiente. Un informe anterior del GAO, probablemente olvidado en algún despacho debajo de un montón de papeles, ya apuntaba la necesidad de corregir tanto fallo, según recordaba el Network World el pasado 28 de febrero.

Las filtraciones de información, intencionadas o no, tampoco son escasas; un empleado de un proveedor del ministerio de defensa de los Estados Unidos distribuyó en Internet, sin saberlo, los planos del Marine One. La información secreta del helicóptero del presidente de los Estados Unidos se distribuyó mediante una red P2P, sin que el responsable de ello se percatase hasta algún tiempo después. Evidentemente, almacenar información confidencial o secreta en ordenadores conectados a Internet, y más en aquellos que contienen programas de intercambio de ficheros P2P, supone un factor adicional de riesgo de fugas.

En lo referente a ciberdemocracia y participación ciudadana, la seguridad de las máquinas para votar parece inexistente, tal y como vienen denunciando expertos como Bruce Schneier. Por una parte, el fabricante de las mismas, Diebold, admite la existencia de fallos de diseño, que quedaron demostrados no hace mucho. Por otra, un experto de la CIA ha afirmado, bajo juramento ante una comisión oficial, que ha observado fraudes electorales en los escrutinios venezolanos, así cómo en Macedonia y Ucrania.

Por si todo lo anterior no fuese suficiente, la propia policía de Nueva York también ha sido víctima de los ciber delincuentes, al haberles sido robado un soporte de información por parte de un empleado de los fondos de pensiones de esta institución, y por supuesto sin cifrar, conteniendo los nombres, direcciones, números de seguridad social y cuentas bancarias de los policías en activo y jubilados, según aparecía en el New York Post el pasado 4 de marzo. Cuesta entender este tipo de incidentes, cuando el cifrado de datos confidenciales se puede realizar sin grandes medios materiales, y sin la necesidad de utilizar software sofisticado o caro.

Todos estos ataques son llevados a la práctica en general sin demasiada dificultad: los administradores TIC piensan muy ocasionalmente en securizar y lanzar alertas a la nebulosa de ordenadores que gravitan alrededor de su red al respecto de la seguridad de la información y su transmisión, y se limitan a securizar su perímetro externo al mínimo. Por tanto, es suficiente para un hacker utilizar como vector de intrusión uno de sus contactos/clientes, que teniendo menos restringido su acceso por ser una parte confiable, puede alcanzar esos datos, o solicitar un acceso sin despertar sospechas. No por nada hay una ingente cantidad de robos de portátiles, siendo el objetivo del robo en muchos casos el disponer de acceso a la información del soporte y, si es posible, elevar los privilegios sobre la red de la empresa/institución atacada.

Como reflexión personal, no cabe otra que preguntarse por el caso español, ya que si en el país con mejor dotación del mundo en sistemas informáticos se cometen este tipo de barbaridades, en España existen lagunas, del tamaño de océanos en materia de seguridad de sistemas de información, ya sean militares, de salud, energía u otros. En lo referido a los ataques informáticos, pienso que hay que preocuparse en particular por aquellos que no se ven: si no son pocos los incidentes que conocemos, habrá que pensar en todos aquellos que han sido capaces de hacerlo sin haberse hecho notar, y que actualmente están en nuestros sistemas. El gran número de equipos infectados que forman parte de botnets no deja lugar a dudas.

Es necesario poner en marcha un amplio plan de formación en los diferentes sectores para concienciar de los riesgos de los ataques sobre los sistemas de información, mostrando la relevancia de fallos humanos, físicos y lógicos, y las consecuencias sobre redes y los puestos de trabajo. La diferencia entre los EEUU y nosotros, es que les llevamos al menos 20 años de retraso, y aún no nos hemos dado cuenta de que la seguridad es un aspecto vital para la defensa de nuestros intereses y un indicador de progreso, visto el papel cada día más importante que tiene la tecnología en nuestros días.

Seguridad y riesgos en las TIC (IV): Proceso de Administración del Riesgo

Retomando la serie introductoria de «Seguridad y Riesgos en las TIC» (uno, dos, y tres), que habíamos dejado temporalmente aparcada, en esta última entrada entraremos a considerar el proceso de Administración del Riesgo, para acabar con unas breves conclusiones. Dicho esto, vamos con la cuarta parte de esta serie.

El proceso de administración de riesgos es un proceso continuo, dado que es necesario evaluar de manera periódica si los riesgos identificados y la exposición de la organización a éstos, calculada en etapas anteriores, se mantiene vigente. La dinámica en la cual se encuentran inmersas las organizaciones actualmente, requiere que ante cada nuevo cambio, se realice en etapas tempranas un análisis de riesgo del proyecto así como su impacto futuro en la estructura de riesgos de la organización.

riesgo.jpg

A continuación se presenta una matriz simplificada, donde en cada fila se presenta una amenaza identificada, y en las columnas se indica, en primer orden la probabilidad de que esa amenaza actúe, y en las columnas siguientes, para cada uno de los activos a proteger cuál es el importe de la pérdida media estimada que ocasionaría esa amenaza en ese activo. La suma de los datos precedentes permiten calcular la columna «Riesgo total», a la cual se le aplica la efectividad del control actuante, para obtener el riesgo residual.

Como verán en la tabla, y por poner algunos ejemplos, la amenaza de inundación puede ser mitigada ubicando el Centro de Cálculo en un piso elevado, o por razones de seguridad bajo tierra. Por otra parte, los accesos no autorizados vía Internet pueden ser mitigados con un cortafuegos (barrera de control de accesos desde fuera y hacia fuera) correctamente configurado.

riesgo2.jpg

Acabamos de mencionar la presencia de controles, pero, ¿qué es un control? Un control es una medida técnica, organizativa, legal o de cualquier otro tipo que mitiga el riesgo intrínseco del escenario de riesgo, reduciéndolo y generando lo que denominamos riesgo residual, que es el riesgo que obtenemos tras la valoración de la efectividad de los controles. Puede decirse que existe una relación biunívoca entre riesgo y control, por la cual se establece que el coste de un control no debe nunca superar el coste de la materialización del escenario de riesgo. Esto no obstante tiene el problema de poder cuantificar adecuadamente el coste de una amenaza, ya que más allá de costes económicos directos, es necesario considerar costes indirectos, tales como reputabilidad o pérdida de productividad.

Los distintos controles que hemos indicado pueden ser agrupados, sobre la base de los objetivos primarios que quieren satisfacer, en tres categorías no excluyentes: aquellos integrantes del sistema de control interno, aquellos referidos a brindar seguridad y aquellos destinados a brindar calidad de las operaciones. El control interno busca asegurar la eficiencia y eficacia de las operaciones, el cumplimiento de leyes, normas y regulaciones, y la confiabilidad de la información (básicamente aquella publicable). La Seguridad busca asegurar la disponibilidad, confidencialidad e integridad de las operaciones, mientras que la gestión de calidad busca asegurar la adecuada calidad, entrega y coste de las operaciones.

Esto ha sido únicamente una introducción muy básica a los riesgos en el entorno TIC. Existe numerosa documentación sobre el tema, así como diversas metodologías: OWASP, MAGERIT II, CRAMM o la relativamente reciente norma ISO/IEC 27005:2008, cada una con su enfoque y su propia aproximación. Más allá de otros artículos que previsiblemente escribiremos sobre el tema, les dejo que indaguen sobre ellas y descubran sus virtudes y defectos. Sea como sea, no se debe olvidar nunca que los riesgos están presentes en el quehacer diario, aún cuando no se puedan o no se quieran identificar. Por ello, independientemente de la metodología y las herramientas utilizadas para la administración de los riesgos, la administración del riesgo informático debe ser una actividad llevada a cabo, del mismo modo que la implementación y funcionamiento de los sistemas de información. La única manera que evitar un riesgo es eliminar la, o las actividades que lo generan, pero debido a que algunas actividades no pueden ser eliminadas, eso nos obliga a un proceso continuo de administración del riesgo de las TIC.

Seguridad y riesgos en las TIC (III)

Nos van a disculpar la ausencia de estos días, pero diversas cuestiones nos han mantenido alejados del blog, y no hemos podido dejarnos caer por aquí. En cualquier caso, dicho eso y esperando que acepten las disculpas, volvemos con la tercera parte de la serie «Seguridad y Riesgos en las TIC» (uno, y dos), que se centra en el Análisis de Riesgos. Al igual que en otros «capítulos» de la serie, no esperen demasiada profundidad ni tecnicismos, ya que no es ese el propósito de esta serie.

El Análisis de Riesgos es una herramienta de diagnóstico utilizada para determinar la exposición de una organización a los riesgos. Sus objetivos son (a) identificar los riesgos mediante la identificación de sus elementos, (b) determinar el riesgo total o exposición bruta al riesgo, como combinación de los elementos que lo conforman, y (c) determinar el riesgo residual.

Comúnmente se calcula el valor del impacto promedio por la probabilidad de ocurrencia para cada amenaza y activo. De esta manera tendremos, para cada combinación válida de activos y amenazas:

RT (riesgo total) = Probabilidad x Impacto Promedio

Por ejemplo, si la probabilidad anual de sufrir un incendio es de 0,0001 y su impacto promedio en términos monetarios es 600.000 €, la exposición al riesgo anual es de 60. Al cálculo previo se debe agregar el efecto de medidas mitigantes de las amenazas, lo que generará el riesgo residual: el riesgo «que queda» tras la aplicación de las medidas implantadas para reducir los riesgos existentes. Estas medidas son conmunmente conocidas como controles, por lo que tendremos que el riesgo residual es una medida del riesgo total remanente después de contemplar la efectividad de las contramedidas implantadas.

De esta manera, siguiendo con el ejemplo planteado, si el riesgo total de la amenaza de incendio es 60, tras contratar un seguro sobre la totalidad de los activos, el riesgo residual resultante sería igual a cero; si en su lugar se asegurara por la mitad del capital, el riesgo residual sería igual a 30. Ni que decir tiene que el ejemplo está simplificado, con el único objetivo de ayudar a comprender los conceptos anteriores; en la realidad no es nada sencillo cuantificar adecuadamente los riesgos, y es habitual utilizar un enfoque cualitativo en lugar del anterior cuantitavivo, expresando los riesgos en escalas: alto, medio, bajo, o equivalentes.

El proceso de análisis descrito genera habitualmente un documento que se conoce como matriz de riesgo, en el que se muestran todos los elementos identificados, sus relaciones y los cálculos realizados. La suma de los riesgos residuales calculados será la exposición neta total de la organización a los riesgos. Simplificando, su resultado será positivo si decidimos asumir un cierto nivel de riesgo residual (lo que en términos anglosajones se conoce como el risk appetite de la organización), cero en el caso ideal (número justo de controles para mitigar todos los riesgos), o negativo si la organización se encuentra cubierta de cualquier riesgo pero tiene más controles de los necesarios (y por tanto su coste es superior al óptimo).

Realizar un análisis de riesgos es indispensable para llevar a cabo una administración adecuada de los riesgos, aspecto que consiste en gestionar los recursos de la organización para lograr un nivel de exposición determinado, generalmente establecido por el tipo de activo: a mayor criticidad del activo, menor exposición y viceversa. El ciclo de administración de riesgo se cierra (tras el análisis) con la determinación de las acciones a seguir respecto a los riesgos residuales identificados.

Acciones que pueden ser (a) controlar el riesgo, si se fortalecen los controles existentes o se agregan nuevos, (b) eliminar el riesgo, si se elimina el activo relacionado y por lo tanto el riesgo, (c) transferir el riesgo, traspasando parte de éste (o su totalidad) a un tercero (un ejemplo típico son los seguros), o (d) aceptar el riesgo, al determinar que el nivel de exposición es adecuado. La opción a escoger para administrar cada uno de los riesgos dependerá de diferentes factores, tanto económicos como estratégicos, teniendo en cuenta que las consecuencias asociadas a un determinado riesgo no siempre aceptan todas «opciones posibles»; se puede transferir el impacto económico de un robo en un banco a través de un seguro, pero no su impacto en la imagen de marca.

En la próxima entrada, veremos un poco más en profundidad el proceso de administración del riesgo como proceso continuo.

Seguridad y riesgos en las TIC (II)

Seguimos en esta segunda entrada de la serie (ver primera parte) definiendo e introduciendo algunos conceptos básicos relacionados con la gestión del riesgo y la seguridad. Como estrella de la serie, tenemos por supuesto el riesgo, que podemos definirlo como aquella eventualidad que imposibilita el cumplimiento de un objetivo. De manera cuantitativa, el riesgo es una medición de las posibilidades de incumplimiento del objetivo planteado, y en lo relacionado con tecnología, generalmente determina el grado de exposición a la ocurrencia de una pérdida (por ejemplo el riesgo de perder datos debido a avería de disco, virus informáticos, etc.).

La Organización Internacional por la Normalización (ISO) define el riesgo tecnológico (Guías para la gestión de la seguridad de TI /TEC TR 13335-1, 1996) como:

“La probabilidad de que una amenaza se materialice, utilizando vulnerabilidades existentes de un activo o un grupo de activos, generándole perdidas o daños».

[Read more…]

Seguridad y riesgos en las TIC (I)

Del mismo modo en que para mí fue una novedad entrar en otro nivel del mundo de la seguridad informática, ya que los aspectos de mis anteriores ocupaciones estaban sobre todo orientados a solucionar los problemas que ya hubiesen surgido en los sistemas, periferia y redes, también puede serlo para algunas de las personas que leen el contenido de Security Art Work. Me refiero a responsables financieros, gerentes, directores de departamentos, o simples curiosos por saber de qué hablamos cuándo nos referimos a Seguridad Informática.

Para el resto, los expertos en SI, mis disculpas por entrar en niveles tan básicos, pero a veces se echa de menos un lenguaje más llano, o una definición sencilla que explique aquello en lo que nosotros estamos especializados. También se proporciona una visión global de aquellos aspectos en que la seguridad incide directamente a nivel económico. Lo que publicaré a lo largo de esta serie está extraído en parte de apuntes cuya trazabilidad es imposible resolver, por lo que no menciono autores de los párrafos extractados.

El crecimiento de la tecnología de la información (TI) (También se suele referir en plural: «Tecnologías de la Información», aunque es mejor referirse a las Tecnologías de la Información y las Comunicaciones (TIC)) en los últimos 20 años ha generado un creciente número de oportunidades así como no menos creciente número de amenazas. Un alto nivel de inversión en tecnología, tal cual existe hoy en día, produce un efecto multiplicador importante en caso que dichas amenazas se materialicen, dado que las pérdidas posibles se ven incrementadas en igual proporción al aumento de la inversión.

Pero no solamente ha cambiado el volumen del uso de la tecnología. También ha cambiado la forma de su utilización. Hoy en día el acceso a los recursos de TIC no está restringido a los profesionales en informática, sino que es accesible para la casi totalidad de la población. A su vez, el acceso a las TIC no se realiza únicamente a los recursos propios, sino que se extiende a otros organismos, sin que exista una frontera física, todo ello gracias a Internet y a la apertura de las redes corporativas, en una magnitud inimaginable años atrás. A su vez, como condición necesaria de todo ello, el grado de complejidad de la tecnología utilizada ha aumentado considerablemente, tornándola cada vez más difícil de administrar adecuadamente, lo cual incluye el control de riesgo para proteger la seguridad.

En este entorno creciente y complejo es dónde los responsables de gestionar las herramientas tecnológicas deben poder diagnosticar adecuadamente los riesgos a los cuales se ven expuestos para poder mitigar de manera oportuna las pérdidas que puedan generarse (que como se ha dicho están relacionadas a la cuantía de la inversión, pudiendo superarla).

Anteriormente, los responsables de manejar los recursos de tecnología eran solamente profesionales de tecnología. Actualmente esto ha cambiado, llevando a profesionales en otras áreas a tener que comprender razonablemente las herramientas y recursos tecnológicos con los cuales cuentan, dado que pueden ser responsables tanto por la gestión integral de las TIC en su organización, como por la gestión de algún componente específico que soporta el proceso de negocio del cual ellos son responsables. Y tras esta breve introducción, es donde comienza, en el siguiente post de la serie, el verdadero meollo de la cuestión: el Análisis de Riesgos.

La Edad Media

Después de la prehistoria, viene la edad media

Hace no mucho tiempo, digamos que unos 20 años, muchas empresas trabajaban con sistemas propietarios de las marcas que en aquella época estaban en auge. Podía encontrarse uno con los sistemas de Digital Equipment Corporation, Bull, etc., pero sin duda, toda aquella PYME de la época que tuviese cierto nivel de administración algo complejo optaba por los sistemas de IBM. Habían nacido los primeros mini ordenadores que eran asequibles, programables por el usuario, o por una empresa subcontratada.

El sistema operativo de aquellos “mini» ordenadores —el peso de la máquina podía llegar a unos 400 Kg.— era el SSP, que en sus diferentes versiones cubrió el abanico de los S/3X de IBM. El más utilizado en la época era el S/34, aunque ya existía el S/36, pero en cierto modo era bastante inalcanzable para aquellos que conservaban su S/34.

Mi trabajo en la época era de ingeniero de campo, por lo que me dedicaba a solucionar los problemas de dichas máquinas. Por lo general eran problemas de cableado de las pantallas, pero también ocurrían cosas como el bloqueo del sistema de frenado de los discos duros (que iba de 5 a 64 Mb). Hay que tener en cuenta que aquellos discos podían pesar unos 35 a 40 kilos, por lo que parar la inercia del giro era una ardua tarea, y para lo que se aplicaba la fuerza de un freno eléctrico con una zapata sobre el eje. Otros de los problemas podía ser que un módulo de memoria (de 8 Kb) fallase, y el peor desastre que podía ocurrir era que aterrizasen (literalmente, porque “volaban» controladas por un flujo de aire) las cabezas de lectura del disco duro.

Pues bien, en ese problema me vi metido en algunas ocasiones, pero la peor que recuerdo fue cuando en la empresa que me encontraba, filial de otra recientemente desaparecida, además de no tener las copias de seguridad al día, no sabían la contraseña del administrador del sistema. Restauré el contenido del disco a partir de la copia de seguridad más reciente, y tras ello arrancó el sistema operativo, pero para poder configurar lo básico y poder funcionar, se debía introducir la contraseña del administrador.

Hallé la solución por casualidad, en base a unas explicaciones ciertamente poco claras y no manuscritas: había que arrancar con el soporte de instalación del sistema operativo y utilizar la opción Debug. Esto proporcionaba una visión del contenido, byte a byte y en hexadecimal, del disco duro. En el primer segmento, aparecían varios caracteres diferentes de los 00 iniciales, por lo que deduje que la primera información que aparecía debía ser la que estaba buscando. Al no tener traducción a caracteres EBCDIC legibles, hice una sencilla operación: resté lo que estaba escrito del hexadecimal FF y me dio la clave: era el nombre del operador al revés.

Desde ese día, y con una pequeña orientación por mi parte en cuanto a seguridad básica, construyeron una verdadera fortaleza en cuanto al acceso al sistema. No hay nada cómo sufrir problemas de seguridad para que se despliegue la imaginación de los responsables.

Mi pregunta es: ¿Por qué no se conciencian desde el primer momento en que tienen a su cargo un sistema, que la seguridad es vital? Otra pregunta obvia que se me ocurre es: ¿Seguro que se le piden responsabilidades a aquellos que administran un sistema sin seguridad definida? Y la siguiente y última sería: ¿Es consciente el director general, al administrador, el gerente o el responsable de la empresa, de que su departamento de TI tiene una infraestructura de seguridad sólida y fiable?

Dejo la respuesta a esas preguntas como ejercicio para el lector.

Seguridad en la prehistoria

Ahora que está tan de moda revivir sucesos y acontecimientos de los años 70 y 80 (no hablo de D.C., sino del siglo pasado), antes de que existiese la necesidad de protegerse de los accesos exteriores de “curiosos» (por no llamarles de otra manera) a nuestras redes y sistemas, ya existía la preocupación por la seguridad. Recuerdo el primer sistema que vi en funcionamiento en una empresa: un IBM, del que no recuerdo el modelo pero posiblemente se llamaba P6 ó P36. El caso es que era similar a una máquina de escribir, con una esfera de caracteres que imprimía sobre el papel continuo todo aquello que se procesaba. Servía, además de consola de control del sistema y recepción de los mensajes del mismo, para obtener la salida de la información que procesaba el operador. El sistema operativo se cargaba mediante fichas perforadas, y cada uno de los programas con paquetes individuales de fichas muy similares, pero de colores diferentes. Contabilidad rosa, facturación verde, gestión de almacén azul, y sistema operativo gris. No existían usuarios y claves, ni tampoco bloqueos para el acceso, sino algo tan simple cómo un sitio seguro, como una caja fuerte controlada muy de cerca por la gerencia de la empresa. Al fin y al cabo, aquello había que protegerlo: había costado millones. Y entonces un coche de “categoría» valía 150.000 Pesetas.

Sin duda era la seguridad al uso, el no perder aquello por lo que se había pagado tanto. Sin embargo, debo decir que en aquella época no tenían consciencia del peligro que una máquina similar representaba: todo aquello que se imprimía en la consola acababa en la basura en forma de grandes cajas de papel continuo. Yo iba a la escuela en esa época, concretamente terminaba el bachiller y pasaba aquello que se llamaba reválida, y al salir de casa podía ver esas cajas de papel, e incluso utilizarlo para escribir en el reverso (sí, era buen chico y no cogía el extremo del papel y salía corriendo hasta la puerta del colegio con unos cuatrocientos metros de desastre detrás de mí).

Sin duda, situaciones tan aberrantes cómo aquellas en materia de seguridad de datos se seguirían viendo años después, y en la línea de una entrada anterior, debemos suponer que más de una empresa ha perdido sus clientes por saber la competencia el producto o productos que les servían, a qué precios y en qué escalado de tarifas según las cantidades servidas. De todos modos, en ocasiones da la sensación de que no nos hemos movido de los 70 en esa materia, cuando se encuentra en la basura de un juzgado los datos completos de maltratados y maltratadores en fichas perfectamente legibles.

Y a veces también nos preguntamos si es que las mentalidades de los empresarios formados entonces siguen ancladas en el pasado.