Las políticas de seguridad deben contar con pleno respaldo del que manda en la entidad.

Como seguimiento del editorial de ayer de este periódico, sobre la ciberguerra que muchos hackers han emprendido contra instituciones estatales y privadas de Colombia y otros países, luego de que estas han ejecutado alguna acción contra ellos, es importante profundizar un poco más en este tema.

Las principales razones para que muchas entidades estatales pueden ser 'hackeadas' y penetradas muy fácilmente son: carencia de políticas de seguridad, seguramente más en unas que en otras, y falta de seguimiento y auditoría de su cumplimiento.

Imagino a muchos empleados públicos navegando por páginas de contenido dudoso: porno, juegos y otras, que son inyectadas con troyanos (programas maliciosos -malware, en inglés-), que lo que hacen, una vez se instalan en el computador objetivo sin que el usuario lo note, es permitir al hacker tomar control de él, o robarle la contraseña cuando se digite, o convertir el PC en un robot, que es cuando ejecuta cosas ilegales solo cuando el hacker le da la orden; de resto se comporta normalmente.

Las políticas de seguridad no obligatorias o que no tienen dientes ni herramientas para poder hacerle seguimiento a su cumplimiento son como las señales de tránsito de parqueo prohibido, que solo sirven para que la gente se les estacione al lado, gracias a que la Policía no las hace cumplir.

Debe hacerse seguimiento a la navegación en sitios como los mencionados o se deben usar los firewalls para que no lo permitan y, si alguien logra navegar en una de ellas, se deben revisar las bitácoras de navegación de los usuarios para detectar el hecho y, como conclusión, se le debe cancelar el contrato de trabajo al que lo hizo. De resto, para nada sirven las políticas. Es solo un ejemplo de lo que seguramente no se está haciendo en las entidades estatales y, de paso, seguramente en muchas privadas también. Las políticas de seguridad deben contar con pleno respaldo del que manda en la entidad. No puede ocurrir que el gerente o presidente de la compañía apruebe las políticas siempre y cuando no se las apliquen a él. Esto es inaceptable.

El trabajo de los hackers se puede evitar o, por lo menos, hacérselo muy difícil, si se tiene conciencia de la seguridad informática. De lo contrario, se es carne fresca para aquellos que quieren penetrar sistemas de empresas. ¿Qué entidades estatales tienen un gerente de seguridad informática? ¿Cuántos han sido botados por navegar en páginas pornográficas? Sería bueno conocer las respuestas a estas preguntas para ver qué tan conscientes son de la seguridad informática.

guillermo.santos@enter.co