Y la culpa será del cambio climático II…

cpd.jpgLa verdad es que hay veces que nos pasa poco respecto de lo que nos podría llegar a pasar. En el fondo el ser humano tiene un cupo de suerte razonable, aunque siempre nos parezca poca. No son pocas las organizaciones que gastan sumas importantes de dinero en productos y servicios que incrementan, aparentemente de forma proporcional, la disponibilidad de la información, la confidencialidad y su integridad en el perímetro interior de las organizaciones. Muchos gestores TIC centran sus políticas de seguridad en la protección puertas adentro pero ¿es realmente efectiva, en los tiempos que corren, una política de seguridad que solo contemple el perímetro físico interior de nuestra organización?

En mi opinión no, y si no, piensen ustedes en qué les sugieren las dos imágenes que incluimos en este comentario.

He observado varias reacciones al respecto de esta pregunta, además de la mía propia por supuesto. La reacción inicial dibuja una leve sonrisa en la cara del observador. Al cabo de unos segundos el gesto sonriente se torna en serio, mostrando una cara de preocupación. ¿Será tal vez porque vea a su organización identificada? Pues… tal vez.

mascara.jpgEl hecho cierto es que esta situación se repite constantemente, y no sólo con los hogares de directivos y de personal técnico con privilegios suficientes para tumbar las infraestructuras de su empresa. Las fronteras han caído (ver la entrada «La caída de las fronteras digitales») y desde las áreas de seguridad debemos extender nuestras preocupaciones y ocupaciones allende los muros de hormigón de nuestros despachos. Debemos llegar, virtualmente hablando, a la casa de nuestro Director General, a la casa del Director de Recursos Humanos, a la oficina de la gestoría que nos hace las nóminas o a la red de la empresa que está desarrollándonos esa aplicación para la gestión de clientes.

En el caso del “home office» somos nosotros los responsables de establecer las políticas, de implantarlas y hacer que se cumplan. En el caso de proveedores que tratan información de nuestras organizaciones también somos nosotros los “responsables» de marcar las pautas y, aunque sea el proveedor el responsable de aplicar las medidas oportunas, nosotros deberemos velar por el cumplimiento de las mismas “deber in vigilando»

La verdad es que es sorprendente lo duras que pueden llegar a ser las medidas de seguridad puertas adentro de una organización y lo descuidadas que pueden llegar a estar las mismas organizaciones en su seguridad en el exterior. Pero no se preocupen ustedes, si hay algún problema, como ya les dije la otra vez, siempre podremos decir que la culpa es del cambio climático…

LOPD Google Hacking

He hablado más de una vez a favor de la LOPD, incluso, como el otro día, cuando se trata de defender las nada despreciables multas que su incumplimiento conlleva. Considero que, más allá de consideraciones profesionales, la LOPD es una ley necesaria y aunque por supuesto susceptible de ser mejorada, bastante correcta.

Lo que me parece indignante es que una simple búsqueda en Google proporcione listados de admitidos a concursos públicos de todo tipo de organismos (públicos), y no sólo nombres, apellidos y DNI, sino además, la correspondiente información de admitidos en el cupo de discapacitados, que como saben es un dato especialmente protegido, porque además en las bases se suele indicar el porcentaje mínimo de minusvalía que se requiere para entrar en éste. Entiendo que esta información debe estar disponible para que los interesados comprueben sus calificaciones, si han sido admitidos o no, y el porqué no en este último caso. Entiendo que por una simple cuestión de transparencia, estos listados deben estar accesibles a todos los afectados.

Pero en mi humilde opinión, y al margen de que exista alguna instrucción emitida por la AEPD al respecto, cuando a cualquier pequeña empresa se le exige en ocasiones la aplicación de medidas casi imposibles para poder cumplir con los requisitos de la LOPD y (sobre todo) el RMS, y «habida cuenta del estado de la tecnología» y los recursos casi ilimitados de que dispone la administración, que se produzcan este tipo de actuaciones en el sector público resulta casi burlesco.

(Pueden ustedes buscar con una combinación de las palabras clave «listado», «admitidos» y «discapacidad» si tienen curiosidad…)

Ataques de Inyección SQL (I)

Siendo éstos los tiempos de la Web 2.0, es muy habitual que una empresa ofrezca servicios a través de aplicaciones Web; éstas se convierten en la interfaz perfecta para que todo el mundo desde cualquier lugar acceda a información que muy probablemente se almacena en bases de datos. sql_inj_xss.jpgEsta entrada (y otras que le seguirán) viene a mostrar uno de los ataques más habituales hoy en día en este tipo de aplicaciones: el ataque de inyección SQL, por el que adquiere especial importancia el tratamiento de la información que fluye entre el aplicativo visible al usuario que la muestra (lo que podríamos llamar el frontend) y la base de datos que la almacena y gestiona (lo que vendría a ser el backend).

Dejando los detalles técnicos para más adelante, este ataque se basa en explotar la interacción con el usuario ofrecida por aplicaciones Web (formularios de petición de datos, por ejemplo) para hacer llegar a la base de datos consultas SQL manipuladas, que al no ser filtradas correctamente por el aplicativo web pueden tener efectos indeseados, como proporcionar información sobre el sistema, la estructura de la BD, o incluso acceso o borrado de los datos almacenados. Una variante muy interesante de este tipo de ataques es el “Blind SQL Injection«, o ataque a ciegas por inyección SQL, que aprovecha el resultado obtenido tras lanzar consultas que emiten páginas de error no tratadas por el desarrollador de la aplicación.

Se requiere de varias técnicas y algo de dedicación para poder filtrar este tipo de ataques. De nada sirve, por ejemplo, tener un servidor Web sirviendo páginas cifradas si el atacante puede insertar cualquier tipo de parámetros, lo que además invalidaría un sistema de detección de intrusos, puesto que no podría descifrar los accesos. Hay que tener en cuenta que el atacante intentará aprovechar cualquier información que le proporcione indicios de alguna vulnerabilidad, comenzando por algo tan simple como puede ser la versión de nuestro gestor de base de datos, el nombre de cada una de las tablas, usuarios por defecto,… y así sucesivamente, hasta conseguir en el peor de los casos usuarios con permisos de administración e incluso la ejecución a través de comandos en el propio sistema que soporta la base de datos.

Como en la mayoría de los casos, las tareas que hay que realizar orientadas a prevenir este tipo de ataques no suponen un gran esfuerzo en comparación con el trabajo que supondría restaurar la información de una base de datos que ha sido comprometida, así como la credibilidad de los usuarios al comprobar que se ha detectado un ataque culminado en una base de datos con información relevante, entre otros muchos factores negativos (¿… de cuándo dices que es la última copia …?). Como siempre, evitar el robo de información y el tratamiento no controlado ni permitido de ésta requiere una atención especial.

Sin extendernos más, y como cierre de esta introducción, la seguridad aplicada a la integridad y privacidad de los datos almacenados en las bases de datos no es trivial, pero podemos tener cierto grado de tranquilidad si aplicamos algunas recomendaciones para los distintos casos y métodos de ataque.

[Gráfico de Acunetix.com]

¿Proporcionalidad o desproporcionalidad?

Imagino que conocen ustedes la LOPD y las sanciones que conlleva su incumplimiento: de 600 a 600.000 euros o más, dependiendo de la severidad y el número de incumplimientos, ya que las sanciones son acumulativas; no es lo mismo tener una página web con los nombres y apellidos de tus empleados, que otra que incluya además información de discapacidad o afiliación sindical con todo lujo de detalles (el ejemplo es inventado). No se preocupen, no vengo a meterle miedo a nadie ni pretendo ser agorero. Vengo a hablar de la proporcionalidad o desproporcionalidad de tales sanciones, algo sobre lo que probablemente ya tengan ustedes formada una opinión.

Uno de los colaboradores habituales de S2 Grupo comenta en ocasiones, en relación con este tema, que mientras la muerte de un trabajador en accidente laboral puede «arreglarse» económicamente con cerca de 120.000 euros, por muy duro y frívolo que eso suene, un incumplimiento severo de la LOPD —o de su acompañante, el RMS— puede conllevar una sanción de varias veces esa cantidad, algo que en apariencia al menos carece de sentido. Personalmente, considero la comparación bastante apropiada, ya que por muy flagrante y grave que sea la exposición de tales datos (sin tener en cuenta que incluso en empresas relativamente concienciadas, no es muy difícil tener alguna no conformidad grave), la muerte de una persona la supera con creces.

No obstante, pienso que esta aparente desproporcionalidad en las sanciones contempladas por la LOPD viene motivada no tanto por las consecuencias que se generan de los incumplimientos detectados, sino de la necesidad de concienciar —casi por la fuerza— a las empresas de llevar a cabo una adecuada gestión de los datos de carácter personal. En otras palabras, una multa de 20.000 euros sería asumible por muchas empresas, mientras que una de 300.000 no lo es; se trata de que el riesgo, tomado como la probabilidad de que suceda un determinado evento en relación con el impacto que éste tiene sobre la organización, sea de una magnitud suficiente como para que deba ser tenido en cuenta. Y la manera más sencilla —y única de momento— de hacer esto es incrementar el impacto, puesto que la probabilidad de la que les hablaba viene de momento limitada por la carga de trabajo de la AEPD. No es un secreto, y si lo es, es un secreto a voces, que la Agencia se encuentra totalmente saturada de trabajo y sus intervenciones están motivadas principal, aunque no únicamente, por denuncias de particulares, más que por actuaciones de oficio.

Dejando al margen consideraciones presupuestarias en las que no voy a entrar y que conllevan a su vez otras relativas a la escasez de personal, pienso que es necesario tener en cuenta que a pesar de la importancia de las sanciones, es de suponer que la AEPD conoce el estado actual de la adaptación a la LOPD en las empresas de este país, y las consecuencias que inspecciones masivas podrían tener en el tejido empresarial. Miguel me apunta además que debe tomarse en cuenta como un factor adicional y de importancia que mientras con la muerte de un trabajador una empresa no obtiene ningún beneficio —o eso es de esperar—, con el trasiego de datos de carácter personal muchas empresas hacen el agosto, y no me refiero únicamente a un beneficio directo (léase venta de bases de datos) sino también indirecto (léase realización de campañas comerciales dirigidas). Esto es, sin duda, un punto a favor de la diferencia en el volumen de las multas que aplica la LOPD en relación con otras leyes.

Visto en perspectiva, y a la vista de lo que iba comentando, es cierto que el riesgo de recibir una multa desproporcionada es relativamente bajo para cualquier empresa que tenga un mínimo cuidado y atención a la Ley y a lo que hace (las cláusulas ARCO donde toca y gestionadas como toca, ficheros declarados, Documento de Seguridad, copias de seguridad, etc). Adoptando un planteamiento futurista, me pregunto qué sucedería dentro de unos años si la Agencia, provista de un cuerpo suficiente de inspectores, fuese capaz de abordar inspecciones sectoriales en masa; ¿no creen que esa combinación de impacto y probabilidad generaría, entonces sí, un riesgo totalmente desproporcionado en relación con la violación de otras leyes tanto o más importantes?

Noticias de seguridad (o no)

Para empezar bien la semana, ayer lunes nos «desayunamos» con varias noticias relacionadas con la seguridad. La primera de ellas, la desmantelación de una red internacional de piratería de software dirigida desde Valencia (podemos ver la noticia en Levante El Mercantil Valenciano). Al parecer, ha caído una banda que se dedicaba a distribuir CDs «todo en uno». Una buena noticia, pero no tan buena como la siguiente. Sigan leyendo.

Al mediodía, los periódicos nacionales nos informaban de la detención de «El Solitario», el atracador más buscado de España, con varios asesinatos y multitud de robos a sus espaldas. Otra buena noticia relacionada con la seguridad, y es que no sólo trabajamos contra hackers, crackers, virus y similares, sino que también nos preocupa la seguridad física —en especial cuando hay víctimas. A fin de cuentas, a una entidad bancaria le afecta tanto un ataque de phishing como un lazo libanés en un cajero, un descuidero o un atracador; obviamente mucho más el atracador cuando hay muertos o heridos de por medio. Otra buena noticia, y desde aquí nuestra enhorabuena a los que la han hecho posible.

La tercera noticia a la que hacía referencia en principio es un gran apagón en la ciudad de Barcelona, al parecer causado por la caída de un cable en una central eléctrica. Este apagón ha afectado a buena parte de la ciudad, causando el caos y paralizando parcialmente la actividad en nueve de los diez distritos de la ciudad: problemas circulatorios —no funcionaban los semáforos—, hospitales a oscuras, ferrocarriles detenidos, etc. ¿Qué tiene que ver esto con la seguridad? A primera vista, poco o nada… pero si nos paramos a pensar un poco, podemos plantearnos si sería posible conseguir esto mismo —lo que en este caso vino causado por un accidente— a través de ataques informáticos. En muchos países, en especial del ámbito anglosajón, se ha puesto de moda en los últimos años hablar de Infraestructura Crítica Nacional (los sectores básicos para que un país funcione: energía, finanzas, alimentación, logística…), así como de su protección frente a grandes ataques terroristas de cualquier tipo, tanto físicos —recordemos el 11S— como lógicos.

¿Cómo estamos de preparados en España para afrontar este tipo de amenazas? En opinión de muchos, la probabilidad de que se produzca un ataque ciberterrorista contra el país es mucho menor que la probabilidad de que se produzca un ataque «clásico», a causa en parte de nuestra historia más reciente. Dicho de otra forma, se considera más probable que una bomba destruya una presa, que el hecho de que los sistemas de control de esa misma presa sean neutralizados a nivel lógico por un tercero. Pero… ¿y si sucede? ¿Estamos preparados? Personalmente, yo —y esto es una opinión, tan buena o mala como cualquier otra— creo que no. Lo que no sé, y me gustaría saber, es si realmente se ha evaluado la amenaza de forma adecuada, o simplemente hemos dicho aquello de «como nunca ha pasado…». Porque tampoco antes del 11S habíamos pensado que dos aviones podían estrellarse contra los edificios emblemáticos de una ciudad como NY, causando miles de muertos y paralizando por completo a los Estados Unidos, la mayor potencia mundial, y lamentablemente pasó.

Vaya si pasó.

Actualización 11:00h: Para completar el inicio de semana, se ha descubierto una vulnerabilidad grave en Windows que afecta a Microsoft Office e Internet Explorer, para la que no existe en la actualidad parche por parte de Microsoft. Se recomienda por tanto especial cuidado en la apertura de documentos de la suite Microsoft Office (Excel, Power Point, Word, etc.) que no provengan de una fuente fiable, y el acceso a páginas web desconocidas. Como siempre, existe la alternativa de usar Mozilla Firefox y la suite OpenOffice, pero por supuesto, eso queda a elección del lector.

«Conectividad limitada o nula»

¿Conectividad limitada o nula? Madre mía, pero si tengo el AP en la habitación de al lado…

¿Cuántas veces hemos tenido que deambular por la casa portátil en mano alejándonos de zonas de sombra de cobertura, buscando incrementar la señal? Sí, bueno, ya se lo que pensaréis, ese escenario es ligeramente diferente al primero, ya que puede que el Access Point en cuestión no se encuentre en nuestra casa. Pues bien, hablando de cobertura, el profesor Ermanno Pietrosemoli de la escuela latinoamericana de Redes ha batido el récord, este mes pasado, de cobertura WiFi. Nada más y nada menos que ha conseguido establecer una conexión direccional a 382 Kilómetros de distancia, con un ancho de banda de 3 Mb en ambos sentidos, superando el antiguo récord establecido en 310 Km.

Esta tecnología aplicada a largas distancia no es tan robusta como podría ser WiMax, pero… ¿alguien sabe cuanto cuesta una torre WiMax? (creo que en ebay hay alguna de segunda mano). Así pues WiFi puede ser una solución a coberturas de larga distancia que requieran un ancho de banda limitado, y aquí tenemos la prueba. Eso sí, los problemas que pueden suponer alinear correctamente las antenas, los obstáculos en visión directa o la propia curvatura de la Tierra dificultan «bastante» el despliegue.

Y además 382 km dan mucho espacio para poner un sniffer.

Hola, buenos días y bienvenidos

Hace unas cuantas semanas, a raíz del documental de Michael Moore contra el sistema sanitario norteamericano, alguien en Google descubrió que tener un blog en el que representas a tu empresa implica que no siempre puedes decir lo que quieres, y menos si tu blog lleva por descripción «News and Notes from Google’s Health Advertising Team«. En este caso en concreto, Lauren Turner tuvo incluso que dar marcha atrás y matizar sus palabras, aunque a la vista del revuelo que se levantó no parece que las palabras que escogió para hacerlo fuesen las mejores. También es cierto que no deja de ser sospechoso que en un blog que es a todas luces corporativo aparezca algo que parece ser una opinión personal, así que personalmente me inclino más por un globo sonda de Google y una rectificación simulada que por un error real; es decir, una forma de publicitar sus poco populares prácticas sin que tal anuncio parezca venir oficialmente de Google. Recordemos que no estamos hablando del blog de Lauren Turner que casualmente trabaja en Google, sino más bien al contrario: el blog del equipo de Google encargado de publicidad relacionada con cuestiones de salud, en el que casualmente escribe Lauren Turner.

Bien, a estas alturas probablemente estén ustedes desconcertados. Lo anterior puede resultar muy interesante o no, y aunque Google es una mina en asuntos de privacidad con tal de rascar un poco la superficie, lo anterior no viene a tener nada que ver con la seguridad, o al menos no desde ningún punto de vista que yo reconozca. A pesar de ello, me pareció una manera interesante de empezar la entrada con la que presentar esta bitácora, porque si nos hubiesen seguido ustedes desde el principio, se habrían dado cuenta de que no hubo presentación oficial ni inaguración; únicamente una frase en aquella primera entrada que la posponía.

Así pues, he pensado que antes de que se vayan ustedes de vacaciones, no estaría de más hacer esa presentación algo más formal, o al menos informativa, que teníamos pendiente. Para empezar, les diré que sí, que este es un blog de S2 Grupo, en el sentido que todo lo que aquí se expresa se hace en representación de S2 Grupo, yo lo sé y todas las personas que emiten su opinión o sus impresiones lo saben. Pero al mismo tiempo, les aseguro que no, este no es un blog «dirigido» por S2 Grupo, en el sentido de que las entradas no siguen una línea predefinida, estudiada e impuesta desde la dirección, más allá de las temáticas relacionadas con la seguridad o los sistemas de información. En otras palabras, teniendo el debido cuidado, puede hablar uno de lo que quiera; casi de la misma manera que en un blog personal; nadie, excepto algún desaprensivo con demasiadas ansias de publicidad y audiencia, cuelga los trapos sucios de los amigos y la familia a los ojos del mundo, y nosotros no somos ese tipo de gente.

Cuando hace algunos meses se propuso la creación de un blog de seguridad, reconozco que la idea me entusiasmó. Llevo escribiendo en mi blog personal algo menos de cuatro años, y creo, aunque no a pies juntillas y de forma incondicional como mucha gente en esto del dospuntocero, que las bitácoras son una forma fantástica bastante buena no únicamente de darse a conocer, sino también de interactuar con otros profesionales interesados, en este caso, en la seguridad, sea del tipo que sea; quizá esa confianza algo menos que ciega en todo esto, y la experiencia acumulada, fuesen las razones de que se me «nombrase» responsable de esto que están leyendo y la principal de que esté aquí escribiendo esto.

Para acabar, les voy a ahorrar el chorro estadístico de datos, por escaso y tedioso. Sólo les diré que cuando empezamos hace ya casi tres meses no teníamos —lógicamente— ningún lector, más que a mí mismo, que no cuenta. En la actualidad tenemos una media de unos veinte lectores diarios más los veintitantos que entran a través del feed (aunque ambos medios no sean mutuamente excluyentes). Algunos de ustedes son clientes nuestros, otros no. No tengo dudas de que hay muchas cosas por mejorar, empezando por la frecuencia de actualización que quizá no sea la mejor (y esto es un guiño a mis compañeros), pero al menos les prometo que en lo sucesivo intentaremos incrementarla, con la esperanza no sólo de tener nuevos lectores sino de conservar los que ya tenemos.

En cualquier caso, como les dije en aquel primer post, bienvenidos.

Breves

Aunque sea cierto que de vez en cuando a algunos nos entra la paranoia Gran Hermano, cuando ve uno cosas como las que han pasado con Vodafone en Grecia, no deja de sentirse algo justificado en sus miedos. Cosas que demuestran, además, que una puerta trasera suele ser una muy mala idea, sea para quién sea, porque nunca sabe uno quién acabará utilizándola.

La convergencia de las «seguridades»

En la mayor parte de organizaciones, la seguridad física y la seguridad lógica se ubican en departamentos completamente diferenciados, en muchos casos incluso reportando a dos o más áreas independientes de la organización; no obstante, son cada vez más las opiniones de profesionales de la seguridad que apuntan a los aspectos comunes de ambos grupos, por encima de las diferencias individuales, y plantean la seguridad como un aspecto global de reducción del riesgo en la organización, presentando la tendencia a unificar ambos grupos bajo la gestión de un mismo Director de Seguridad (CSO, Chief Security Officer).

El concepto de convergencia, aunque data de 1997, recibió su mayor impulso tras los atentandos del 11S en Nueva York; este punto de inflexión, que supuso un cambio radical en la visión de la seguridad que hasta ese momento existía, puso de manifiesto que la seguridad es un concepto global, y que los atacantes —cuyo objetivo, no lo olvidemos, es dañar a sus víctimas— simplemente elegirán el camino más fácil para hacerlo: cualquiera de las «patas» de la seguridad (física, lógica, legal, semántica…). Desde entonces, planteamos la seguridad como un todo a la organización, desdibujando la separación entre los aspectos físicos, lógicos u organizativos: hablamos ya de la convergencia de la seguridad.

La convergencia proporciona a las organizaciones unos beneficios claros en materia de seguridad, como son la visión holística del riesgo, la reducción de costes o la existencia de un punto único de referencia (el CSO) en la materia. Viene catalizada por diferentes factores, entre los que es necesario destacar la convergencia tecnológica (elementos TIC que por sí ya difuminan las diferencias entre «seguridades»: cámaras CCTV controladas vía TCP/IP, sistemas de autenticación únicos para accesos físicos y lógicos, etc.), o la existencia de amenazas comunes en todos los frentes. Por contra, a la hora de converger nos encontramos ante barreras que en muchos casos son difíciles de superar (sensación personal de pérdida de poder en la organización, áreas de conocimiento diferentes, etc.), siendo la mayor de todas ellas la diferencia cultural que existe entre las «seguridades» particulares: por ejemplo, el personal de seguridad TIC siempre ha visto al de seguridad física como «la gente de pistola en mano», y éstos últimos a los primeros como los tecnólogos que solucionan todo con ordenadores; obviamente esta visión no es correcta en la actualidad, pero por experiencia, podemos decir que aún se mantiene en muchas ocasiones.

Finalmente, es necesario destacar que la convergencia de la seguridad en las organizaciones requiere de una figura clave a la que ya se ha hecho referencia: el Director de Seguridad (CSO, Chief Security Officer); las competencias y habilidades básicas de esta figura para garantizar la protección activa de todos los activos de la organización y la respuesta correcta ante los incidentes que en la misma se produzcan son cada vez más críticas, por lo que la figura del CSO en la actualidad debe ubicarse sin duda en un nivel ejecutivo y de liderazgo, de forma que el Director de Seguridad sea capaz de garantizar de forma eficaz el nivel de riesgo reputacional asumible, la disponibilidad de las infraestructuras y de los procesos de negocio, la protección de los activos tangibles e intangibles, la seguridad de los empleados y la confianza de los terceros en la organización.

El cambio climático (o esta vez, quizá no)

En los últimos tiempos hemos encontrado un nuevo culpable para casi todo. Igual que la informática ha sido en las últimas décadas culpable de que los vuelos se retrasen, de que se pierdan las maletas, de que salga mal la cuenta del restaurante e incluso de que nos operen de apendicitis cuando lo que nos duele es un ojo, desde hace ya unos años otro culpable por excelencia de lo que acontece diariamente en el mundo es “el cambio climático». No creo que sea un problema con el que hacer demasiadas bromas. El asunto es serio. Pero también lo son los problemas relacionados con la seguridad y a menudo tenemos que escuchar muchos comentarios irónicos al respecto.

Nuestra sociedad necesita incrementar su productividad. Somos una potencia económica mundial, pero no somos una potencia económica en productividad. Para llegar al puesto que nos corresponde tenemos algunas asignaturas pendientes y no cabe ninguna duda que una de ellas es el uso y la introducción de las tecnologías en la sociedad a todos los niveles: la empresa, el hogar, las instituciones,…

Desde siempre, uno de los inhibidores importantes del uso de las TIC en la sociedad ha sido la desconfianza en el medio, promovida en muchas ocasiones por el desconocimiento, las leyendas urbanas y en definitiva por la falta de formación e información, y es que en mi opinión uno de los puntos débiles de las organizaciones grandes y pequeñas, pero sobre todo de las grandes, es la formación y concienciación en materia de seguridad. Pero no hay manera de que se tome en serio este problema en las organizaciones. Es francamente difícil y cuesta mucho, a pesar de ser la única manera de que podamos avanzar “hacia una cultura de la seguridad».

Si no abordamos el problema de frente acabaremos, como sociedad, o no haciendo un uso adecuado de los medios disponibles y perdiendo puestos en el ranking de la productividad, o sufriendo incidentes de seguridad. Cualquiera de los dos caminos es malo, muy malo, y no creo que en este caso podamos culpar de sus consecuencias al cambio climático, sino a una falta de visión o de responsabilidad social, o simplemente a una falta de interés o presupuesto.

¿No creen ustedes que es ya el momento de afrontar nuestras responsabilidades como organizaciones y como individuos en la formación y concienciación en materia de seguridad de la información? No podemos seguir mirando hacia otro sitio y culpando al cambio climático o al gobierno por el desconocimiento generalizado en asuntos tan importantes como estos, y les aseguro que no es habitual que una asignatura troncal como esta se aborde con los esfuerzos mínimos necesarios… y como en anteriores casos, a las pruebas me remito.

Pero no se preocupen que volveremos a hablar del cambio climático como culpable por excelencia de (casi) todo…