El remolino de la modernidad es un mundo generador de peligro. Esta es una frase intencionalmente dramática, pero que encierra realidad. Las noticias diarias son reveladoras: crecimiento de la delincuencia, más violencia, incremento de delitos económicos e informáticos, terrorismo diverso y más. En consecuencia, nos sentimos y estamos vulnerables ante cualquier agresión, incluso aquéllas aún desconocidas.
¿Cuál es la reacción más instintiva y defensiva ante tal avalancha de amenazas? Crear sistemas y mecanismos de defensa que nos protejan. Pero, ¿estamos realmente seguros o es sólo una sensación? Al respecto, Bruce Schneier, tecnólogo y gurú de la seguridad informática, analiza la psicología de la seguridad en el ser humano: “la seguridad es una realidad y una sensación al mismo tiempo, y estas dos últimas no son lo mismo”. Schneier afirma que la realidad de la seguridad es algo matemático, basado en la probabilidad de diferentes tipos de riesgos y de la efectividad de sus contramedidas.
Podemos calcular el grado de seguridad de nuestra casa frente a un robo, apoyándonos en los índices de criminalidad de la zona. Pero la seguridad es también una sensación que está basada en reacciones psicológicas frente a los riesgos y contramedidas. “Podemos sentirnos atemorizados frente a un posible ataque terrorista o sentir que es algo sobre lo que no vale la pena preocuparse”, señala. La sensación y la realidad de la seguridad están relacionadas, pero no son lo mismo.
La seguridad y sus devastadoras consecuencias
Para las empresas la información es uno de los pilares básicos, como tal, debe mantenerse siempre confidencial, íntegra y disponible. De lo contrario y por consecuencia, las empresas están expuestas a catastróficas pérdidas financieras.
Según los resultados del sondeo sobre el delito informático y la seguridad, realizado en 2006 por CSI (Computer Security Institute and FBI), la fuente más grande de pérdidas financieras para las empresas, continúa siendo, en primer lugar, los ataques de virus. El acceso desautorizado a la información, la segunda. Los notebooks (o el hardware móvil) y el hurto de la propiedad de información propietaria (es decir, característica intelectual) son la tercera y cuarta. Estas cuatro categorías juntas representan más del 74% de pérdidas financieras en las compañías.
Las conclusiones de este estudio indican, además, que el cibercrimen es una preocupación crítica. Las organizaciones son vulnerables a numerosos ataques de diversas fuentes y las consecuencias de una intrusión pueden ser devastadoras en términos de activos perdidos.
La percepción del riesgo y las concesiones de seguridad
Tememos más a los riesgos que conocemos que a los que no conocemos. Nos asustamos más de los riesgos cuando la incertidumbre es alta y menos cuando sabemos más. Esta es una razón de vital importancia para que las empresas inviertan en entrenamiento de su personal y en el conocimiento sobre las diferentes áreas de seguridad informática.
Cuanto mayor es la divergencia entre la realidad y la percepción de seguridad, mayor es la diferencia entre la concesión percibida y la concesión real. Citando a Schneier, «si se piensa que el riesgo es mayor que lo que realmente es, se sobrevalorarán las contramedidas para mitigarlo. Si se piensa que el riesgo es real pero que afectará a otras personas, se infravalorará y no se aplicarán las contramedidas para su mitigación». Exageramos algunos riesgos y minimizamos otros.
Considerando los peligros y agresiones que vive el mundo de los negocios, los servicios ofrecidos en seguridad informática deben estar respaldados no sólo con óptimas herramientas de protección, sino también por una apropiada consultoría para que las empresas hagan las concesiones correctas en su seguridad y eviten la sobrevaloración o infravaloración de las contramedidas y de los costos de su resguardo. Los productos diseñados para esto, por sí solos, distan mucho de ser la protección ideal, porque la seguridad se tiene que tratar en conjunto.
Diariamente, hacemos concesiones, por diferentes razones, que nos permiten evolucionar o involucionar como especie humana. Nuestra seguridad también implica hacer concesiones, es el caso -por ejemplo- de la seguridad en los aeropuertos para evitar el terrorismo en la aviación a base de revisar a cada pasajero.
Como la seguridad absoluta no existe y cualquier mejora significa cierto grado de concesión. La exhortación, según Bruce, es mirar a la seguridad no sólo en términos de efectividad, sino como una ‘buena’ o ‘mala’ concesión; un ejercicio que nos conduce a pensar y a evaluar decisiones sobre seguridad más cercanas a la realidad que a la percepción.
«Imaginemos -propone Schneier- un conejo en un campo comiendo vegetación. De repente, ve un zorro y tiene que decidir qué concesión hará ¿Debería correr o quedarse inmóvil? Los conejos que son buenos tomando estas decisiones vivirán para poder reproducirse y perpetuar su especie, mientras que los que no, morirán». El ejemplo es concluyente para que las empresas hagan buenas concesiones de seguridad y opten por las mejores decisiones para que -al igual que los buenos conejos- puedan reproducirse y perpetuar su especie empresarial.