¿Qué tiene en común la seguridad informática y la presión arterial de mi finado abuelo?

Por Gerardo Canedo

Mi abuelo fue alguien que trabajó toda su vida de sol a sol. Nunca faltó, nunca se enfermó, nunca se tomó un tiempo para sí (más que para ir al estadio a ver a Peñarol). Siempre se jactó de ser un hombre sano, nunca fue al médico porque no sintió la necesidad. Eran otras épocas.

Un buen día, absolutamente de la nada, un pico de presión le provocó una hemiplejia y al poco tiempo falleció. Esta historia se ha repetido incontablemente en muchas familias. Casi me animo a afirmar que es la historia de toda una generación, y no exclusivamente un caso aislado. Con el paso de las generaciones hemos entendido la importancia de una alimentación balanceada y las horas de esparcimiento. Por otro lado, algunas cosas no han cambiado: no vamos al médico hasta que tenemos una dolencia casi insostenible. Por supuesto, al presentarse síntomas ya es tarde para la prevención.

Todo lector que haya llegado hasta aquí y no lo haya perdido en el feed de la red social, se debe estar haciendo una pregunta: ¿Y qué tiene que ver la seguridad informática con el abuelo de Gerardo?

Para mi la relación es evidente, y se las voy a compartir. Un problema informático o un pico de presión no avisan; y cuando atacan, las consecuencias son devastadoras.

Para una organización, una vulnerabilidad fácil de explotar y accesible desde Internet, le puede resultar tan fatal como una medición de 30-15 de presión. Solo bastan unos minutos y la imagen de la organización queda dañada de por vida. Un poco más de mala suerte, y en esta nueva realidad donde cualquier proceso de negocio tiene una parte cibernética, nuestros clientes se van por la misma puerta por la que llegaron y para no volver, sacándola del negocio.

Mi abuelo sabía de la existencia de la presión alta y de sus consecuencias. Algunos de sus amigos ya la habían sufrido. Alguno sin consecuencias graves (y encima le tomaban el pelo porque no comía ni frito ni con sal), otro con consecuencias fulminantes. Él nunca se vio en esa situación; “esto siempre le pasa a otro”.

En cuanto a la seguridad informática, “siempre hackean a otro”. Hablamos de lo horrible que hizo las cosas el otro, y es hasta casi gracioso en algunos casos. Siempre les pasa a compañías grandes, que mueven millones y que tienen otra exposición. La realidad es que esto no es cierto. Brechas de datos les pasan a todas las compañías, pero no solían salir a la luz. Pasaban y no nos enterábamos, salvo que estuviéramos en el micro mundo de la seguridad informática. Eran cosas que no se contaban abiertamente.

Algo cambió y este tema ya no es tabú. Ahora, incluso hay sitios web que cuentan con detalle los problemas de seguridad de algunas organizaciones. No escribo esto para hacer un juicio moral, ni siquiera para dar una opinión al respecto; solamente quiero puntualizar que cualquiera que tenga aplicaciones publicadas a Internet, puede recibir un informe de un investigador independiente sobre una vulnerabilidad; o peor aún, ser atacado y nunca enterarse hasta que su negocio se vea afectado. Vale preguntarnos ¿cómo supo mi competencia cuales son mis clientes y cómo hizo para mejorar mi oferta comercial?.

De la misma forma que en mi familia, generación tras generación hemos cambiado nuestras costumbres, es crucial hacer lo mismo con la seguridad informática en las organizaciones.

Mi presión a los 30 años era 18-10. Comencé a ir al médico de forma anual, me detectaron hipertensión y comencé a tomar pastillas. Casi nunca como con sal (resalto el “casi”, no siempre puedo elegir comer sin sal y tampoco voy a pasar hambre), y algunos hábitos diferentes tengo con respecto a mi abuelo. Son otros tiempos.

En las organizaciones, hoy más que nunca es imperativo “tomarles la presión”. No quiero convencerlos de hacerles un electrocardiograma (¡que no estaría de más cada cierto tiempo!) o un escaneo completo, sino un mínimo de pruebas preventivas para curarse en salud.

Tómese por lo menos la presión mi estimado lector, y una vez cada tanto pruebe la seguridad informática de su organización desde Internet como lo haría un atacante.

Ninguna de las dos cosas le van a garantizar una larga vida, pero van a minimizar las chances de que se lleve una desagradable sorpresa.