El avance de la tecnología conlleva riesgos de ciberseguridad asociados al factor humano. La razón principal es porque existen atacantes que buscan sacar provecho sobre las organizaciones y los usuarios. En este contexto, la mayoría de las amenazas a los equipos digitales actuales tiene como propósito generar un beneficio económico.
Las organizaciones operan de manera compleja e incierta, debido a los cambios tecnológicos, y con poca comprensión del nivel de conciencia de seguridad de sus sistemas y sin la concienciación y capacitación de los empleados. Los medios de comunicación social, la informática móvil y los servicios en la nube cambiaron la forma de hacer negocios. A medida que las organizaciones aprovechan estas nuevas tecnologías, los sistemas nacen sin la protección adecuada y los riesgos no se mitigan. En ciberseguridad, el factor humano suele quedar en el olvido.
Los técnicos avanzados que en un inicio buscaban modificar el comportamiento de los sistemas para que operaran de una manera en la que no habían sido diseñados, con el paso de los años se han transformado en la industria de los ciberdelitos, pasando de hackers entusiastas y curiosos a crackers que buscan lucrarse con sus habilidades. En muchos casos se comenten actos no tipificados en la legislación utilizando las nuevas tecnologías. Y en caso de que estos actos causen un perjuicio, hacemos referencia a ciberdelincuentes.
La formación de los profesionales de la seguridad juega un papel preponderante en el contexto de la ciberseguridad. Pero al mismo tiempo lo hace la formación de quienes usan los sistemas de información, que deberían tener como base unos principios y valores que determinan el actuar de las personas.
La delgada línea entre lo lícito y lo ilícito
En el panorama actual, la ciberseguridad y la seguridad de la información, así como sus tendencias, nos muestran la necesidad de contar con profesionales muy preparados y actualizados, encargados de proteger los activos más importantes dentro de cualquier tipo de organización y sus usuarios. Pero, según la demanda actual, se detecta una escasez de personal cualificado en un futuro cercano.
Las habilidades técnicas, los conocimientos y las aptitudes que posean los profesionales de la seguridad resultan fundamentales para tal propósito, aunque no se debe dejar de lado la formación que considera también el factor humano.
Una persona que posee los conocimientos suficientes para vulnerar un sistema y acceder a la información privilegiada se encuentra frente a una delgada línea que puede traspasar fácilmente para obtener un beneficio, al tiempo que puede comprometer la seguridad de las organizaciones, los usuarios y la sociedad. Solamente su formación ética en ciberseguridad le permitiría discernir entre lo que puede ser considerado como lícito e ilícito y, por supuesto, lo que es legal o no.
Pongamos el famoso caso de Edward Snowden: él era un usuario con permisos para acceder a una gran cantidad de sistemas confidenciales. Y ninguna organización es capaz de mantener la confidencialidad si un usuario en el que confía decide violarla. Aunque Snowden tenga una aptitud y unos conocimientos profesionales, fue la ética la que le impulsó a desvelar la vigilancia a que estaban sometidas varias personalidades.
Y debemos considerar otros aspectos como la personalidad misma. Esta responde a un sinnúmero de estímulos, tanto internos como externos, donde pueden incluirse los intereses, las ideologías, las creencias, las escalas de valores, las motivaciones, las experiencias, la formación desde el hogar o la escuela… Por lo tanto, la personalidad se determina a través del carácter (innato) y el temperamento (experiencias y educación), que también es fundamental en el ejercicio profesional.
En el ámbito de las organizaciones, a la hora de seleccionar profesionales puede haber personas bienintencionadas y otras no tanto, por lo que a veces la elección se limita a conocer lo mejor posible la voluntad y las intenciones de la persona y si está realmente interesada en el hacking ético o tendrá siempre un aspecto que puede generar dudas.
Muchos de los que hoy son expertos en seguridad informática han experimentado y aprendido con el hacking en su juventud y primeros años en el mundo informático. Pero en cada caso hay matices que separan, por ejemplo, a quien usó una vez un gusano simple para molestar a sus amigos de quien desarrolló un malware destructivo, administró una botnet, robó información personal o confidencial o se lucró a costa de engañar a otros usuarios. Este es un debate de nunca acabar en el sector profesional de la seguridad informática.
Por lo tanto, una tarea a la que debemos prestar atención y priorizar es la formación de profesionales de seguridad con las habilidades técnicas necesarias para la protección, pero al mismo tiempo con sentido de la responsabilidad y ética para el ejercicio de sus actividades.
Asignatura pendiente
En un contexto mayor, una condición ideal consistiría en la alineación y concordancia entre la moral, la ética y las leyes que emanan de los distintos países; sin embargo, en ocasiones ello no es posible. Además, estos elementos varían de una sociedad a otra y cambian con el tiempo.
En materia de ciberseguridad y factor humano, el fin principal que deberíamos alcanzar dentro del contexto de los responsables de la ciberseguridad y la seguridad de la información es actuar y tomar decisiones sin afectar a otros. Esto determinaría un comportamiento ético y profesional, una tarea sin duda aún pendiente y que significa un gran esfuerzo con implicaciones laborales y sociales.