InfoSecMan Blog

Leemos continuamente en distintos medios, y no cesamos de decir, que la seguridad no es sólo un producto tecnológico, sino que existen otras muchas variables que establecen el nivel de seguridad de una organización (o de un país) y que una de las más importantes, que conforma uno de los pilares de la seguridad, son las personas, y concretamente su conocimiento, formación y `cultura` de la seguridad.
Se quejan los profesionales de nuestra área del mal comportamiento de los usuarios, de su desconocimiento de los riesgos y de la `inconsciencia` de los actos que realizan o de sus actuaciones.
Supongamos por un momento que todos los usuarios de una organización, o de los habitantes de un país, ciudad o pueblo yendo un paso más allá, tuviesen un conocimiento básico sobre seguridad. Y no me refiero a un conocimiento técnico, sino a su cultura de la seguridad (lo que los angloparlantes llaman security awareness). Si éste fuese el caso, los incidentes de seguridad en ese entorno serian casi inexistentes… Parad un momento y pensad en la mayoría de incidentes y noticias relativas a esta área: con una cultura de seguridad adecuada casi no existirían. ¿Cuántas infecciones por virus, troyanos o malware se darían? ¿Cuantas pérdidas de datos ocurrirían?
Me aventuro a elucubrar que probablemente se reducirían en mas de un 90% con todo lo que ello supondría en cuando a disminución de pérdidas económicas y mejora del nivel general de la organización y sus usuarios (o del país y sus ciudadanos).
Estaríamos hablando pues de un mundo ideal en ese sentido. Y, ¿qué  seria necesario para ello? Simplemente que las personas estuviesen concienciadas y formadas.
En este sentido creo que los países en vías de desarrollo suponen una oportunidad para incorporar la cultura de seguridad desde los primeros inicios en la formación básica del individuo.
Si se consiguiese desarrollar un plan de formación básico que se difundiese de forma masiva en esos entornos, se obtendrían unos resultados a medio y largo plazo muy positivos en la reducción de incidentes y nivel de riesgo, y por tanto en su impacto económico (en organizaciones, y en el propio país en el caso más favorable).
Podría compararse análogamente con las campañas de educación vial que pretenden disminuir los accidentes y daños causados por los conductores. Si estas campañas se aplican desde el inicio de la formación mas básica, antes de que el usuario adquiera malos hábitos, o `vicios` el resultado será mucho mejor (seria el caso de introducir esa formación en los países en vías de desarrollo) que en el caso de usuarios con una experiencia o formación previa, y que por tanto, esta formación o información modifica su forma de actuar adquirida en el tiempo.
Como punto de partida, habría por tanto que establecer cuál debe ser el marco de actuación óptimo, puesto que deberían tratarse de países con un mínimo desarrollo e infraestructura de formación en el área técnica, pero que aun no hayan conseguido un despliegue masivo de la tecnología entre sus habitantes. No estaríamos hablando de países totalmente subdesarrollados, ya que como es lógico éstos tienen otras prioridades mucho más fundamentales, pero sí podrían ser objeto de este tipo de proyecto países con un cierto desarrollo económico, aunque este sea mínimo y que se encuentren en el inicio del despliegue tecnológico.
Si en nuestro país hubiese existido un proyecto o programa formativo similar, por ejemplo a principio o mediados de los 90 antes de la aparición de InfoVía o de forma simultánea, es muy posible que la situación actual fuese muy distinta.
Seleccionado el objetivo y establecido el alcance, debería entonces desarrollarse un plan de formación adecuado en los ámbitos correspondientes, como podrían ser escuelas primarias y secundarias, complementándolo con módulos formativos en enseñanzas superiores que informasen a los usuarios (ciudadanos) de las amenazas y vulnerabilidades de la tecnología que están apunto de recibir.
¿Utopía o realidad? ¿Cuál es vuestra opinión? ¿Sería un proyecto viable? Quiero pensar un poco más sobre este tema por si pudiese llegar a darle forma, pero me gustaría conocer vuestra opinión…