Acabo de hacer lectura de un documento publicado en Security Focus, titulado Users want ISPs to filter spyware.
Según ese artículo, el 51% de una totalidad de 1000 usuarios encuestados, según se deduce del contexto usuarios corporativos, está a favor de los proveedores de servicios actuén contra el spyware, concretamente filtrando todo lo filtrable, de modo que el spyware residual recibido sea el mínimo posible. Sólamente uno de cada diez manifestó que es el usuario final el que tiene que tomar cartas en el asunto.
Blue Coat, empresa que está detrás de la encuesta, encontró que sólo alrededor del 36% de los usuarios encuestados sabían qué era el spyware. Para muchos, según la encuesta, el spyware es un gadget de Star Wars. Tremendo :)
La encuesta arroja una cifra cercana al 30% a la hora de cuantificar el número de empleados que ejecutan aplicaciones anti-spyware en sus PCs de oficina por motu propio, es decir, sin la intervención de los departamentos relativos a IT. Confieso que llegado a este punto no termino de ver las sumas porcentuales y cómo han distribuído los resultados, pero el caso es que me llama la atención que un empleado se instale un software anti-spyware porque su departamento de IT no le suminsitra garantías. En el artículo hay más datos, todos ellos de cierto interés, que hablan sobre aspectos relacionados al comentado.
¿Deberían los ISPs tomar cartas en el asunto? ¿Hay que echarle todo el muerto al usuario final? ¿Qué rol juegan los departamentos de IT en la gestión del malware?
Quizás lo más recomendable, al menos si hablamos de un entorno corporativo, es que la primera línea de defensa se traze en la propia organización. Para eso es imprescindible que los departamentos de IT, seguridad o cualesquiera que tengan competencias en la reducción de la exposición por mantener actividades online, planifiquen adecuadamente cómo afrontar el riesgo inherente a que los empleados conecten a la red para ejercer sus actividades profesionales.
Confiar en los ISPs para éstos menesteres es un error. Es un error porque es un factor externo a nuestro entorno, y por tanto, no está sujeto a nuestro control. Si nuestro proveedor implementa medidas, pues genial, aprovecharemos el trabajo que hagan, pero donde debe hacerse todo el esfuerzo es en el perímetro de la organización. Las externalidades son, en éstos casos, problemáticas muy graves si no están total y absolutamente controladas mediante contratos y líneas de actuación claramente definidas. Para los casos en los que por cualquier razón sean partes públicas las que puedan alterar para bien o mal nuestra actividad, convendría repasar el Teorema de Coase.
Permitir que los usuarios se autoimplementen soluciones anti-malware es otro error. Un empleado debería dedicar todo su esfuerzo a realizar su tarea profesional, y no debería perder el tiempo en bajar software de protección. Para eso se crean los departamentos correspondientes. Permitir que un usuario instale soluciones en su terminal es permitir que puedan romper la política de seguridad de la empresa. Significa que la asignación de roles queda invalidada, y eso nunca puede ser bueno. En el peor de los casos, el usuario que requiera instalar alguna aplicación determinada debería contar con la aprobación de los responsables, si bien insisto, los empleados deberían ejecutar únicamente las tareas explícitamente relacionadas con su puesto y empleo.
Resultados como los que observamos en la encuesta de Blue Coat sólo hacen confirmar lo que sospechamos: las tecnologías de la información empresariales son, en muchas ocasiones, cotos de caza anárquicos, donde no existen reglas, políticas ni responsables involucrados. Y eso lo paga la empresa en forma de pérdidas. Creo que la causa de todo esto podría estar debida a que la seguridad de la información es, en muchas ocasiones, un proceso minusvalorado en las empresas.
Por eso creo que ántes que perder el tiempo esperando a que nuestro proveedor de servicios actúe contra el malware, es mejor poner orden en casa y hacer lo más lógico y congruente. Y eso no es otra cosa que ser autosuficientes a nivel organizativo, para poder resolver con éxito el problema acuciante que representa el malware, de un modo plenamente autónomo. Y cuando no sea posible resolverlo de modo autónomo, confíe en profesionales para que hagan por usted éstas tareas.