«Hay un triunvirato dorado en seguridad de la información: confidencialidad, integridad y disponibilidad. Yo prefiero llamarlo la mesa de 3 patas de ciberseguridad.»
Darío, un exitoso empresario me resumió así su triste historia con algunos bancos. “Me aburrí: ahora dejo cheques firmados y un procedimiento administrativo entre el gerente y los contadores”. Había extendido su holding a otro país sudamericano a través de la adquisición de algunas compañías locales, pero todas las transacciones que normalmente hacía de manera electrónica decidió hacerlas manualmente, a través de cheques que tenían al menos dos firmas.
La complejidad adicional para el acceso a las aplicaciones bancarias con firma, que incluían token, cambios en el navegador, un número especial, adivinar figuras, teclado virtual y otras yerbas, finalmente hizo que se rindiera.
Mi padre es un señor de más de ochenta años que tiene una casa de descanso, a dos horas de su residencia habitual. Alarmado por algunos robos de casas cercanas, se dio a la tarea de armar un complejo sistema de protecciones, candados y cerraduras especiales. Estaba orgulloso de él hasta que le prestó su casa a una nieta que no pudo entrar. Mi padre trató de guiarla, pero no fue posible, así que tuvo que recorrer esas 2 horas de ida y de vuelta porque era una cita romántica.
Le puede interesar: Diseño, Implementación y Soporte de Soluciones de Ciberseguridad
Iván es un amigo consultor que estuvo aislado la mayor parte del confinamiento de la pandemia. Cuando recién pudo salir, compró con su tarjeta de débito algunas cosas básicas. Por la tarde del mismo día revisó su banco y vio que había varias compras adicionales que él no había hecho, realizadas en un centro comercial en otra ciudad, al que no iba hace más de una década. Habían clonado su tarjeta. ¿Qué tienen en común estas historias?
Hay un triunvirato dorado en seguridad de la información: confidencialidad, integridad y disponibilidad. Yo prefiero llamarlo la mesa de 3 patas de ciberseguridad. Como todo el mundo sabe, una mesa de tres patas no se cae, porque define un plano como dirían los matemáticos. Cuando una pata está débil, se cae o no funciona. Eso es más o menos lo que pasa en estas historias. Veamos.
La disponibilidad es la característica de los sistemas de estar operativos cuando se requiere que lo estén, brindando la data o los resultados si el usuario con los permisos adecuados accede a ellos. Esta parece ser la pata más sólida de la mesa. O al menos la más estudiada. Hace años se habla de alta disponibilidad que no es otra cosa que tener duplicadas todas las piezas de software y hardware involucradas en el sistema, junto con procesos – a veces automáticos – para activar o levantar la pieza de reemplazo si la primaria falla. En el caso de las historias, la disponibilidad no falló: el banco seguía brindando sus servicios y atendiendo a otros clientes, mientras que la casa estaba lista para ser usada, con luz, agua y gas; el problema era el acceso.
Le puede interesar: Desarrollo de Habilidades y Conocimiento en Ciberseguridad
La integridad tiene que ver con que los datos sean consistentes con lo que se ha registrado o provisto por los dueños de ellos. Cuando hay una alteración o modificación por personas o procesos no autorizados se ha perdido la integridad. Esto tiende a ser lo más grave. En el caso de Iván, cuando delincuentes utilizaron su tarjeta clonada, se dice que hay una falla absoluta de la integridad. Del mismo modo, si hubieran entrado a la casa de mi padre y robado un televisor hablamos – en esta analogía – de una falla en la integridad. Afortunadamente la casa de mi padre sigue infranqueable, gracias al enjambre de cerrojos que puso.
La confidencialidad mal entendida es el motivo por el cual Darío dejó de hacer transacciones electrónicas en un país con empresas de su holding. La confidencialidad o privacidad tiene que ver con que exclusivamente las personas autorizadas accedan a la data o los recursos que necesiten. Y no a otros. Hoy el énfasis parece estar puesto en que nadie que no corresponda acceda a los servicios, pero en medio de esa verdadera paranoia, se quita o hace muy complejo el acceso a los usuarios que sí son los autorizados. El caso de Darío y el de mi padre son similares en eso: se ponen tantos “candados” para ingresar que finalmente nadie puede hacerlo, ni siquiera las personas autorizadas.
En resumen, puede decirse que el triunvirato de la confidencialidad, integridad y disponibilidad debe dar un paso más. El énfasis en la mesa de 3 patas debe ajustarse según las necesidades de cada negocio. Junto con eso, es imprescindible acelerar la implementación de soluciones que incluyan biometría en conjunto con características de IA para manejar los patrones de comportamiento de los usuarios.
Lea también: Transformación Digital & Seguridad Cibernética
Qué interesante artículo, tan actual y fácil de entender para los no tecnológicos, como yo, y aún así, víctimas potenciales de fallas en la ciberseguridad. Mi pregunta es, cómo impedir que accedan a nuestras cuentas, de correo, bancarias y de otras plataformas, quienes no queremosque ingresen y den uso inadecuado a nuestros datos o dinero?