La informació circula a gran velocitat en qüestió de segons per tot el món. Quan la informació es publica a Internet, podem estar segurs que perdrem a la pràctica tota possibilitat de control, perquè serà copiada i reproduïda milers de vegades a milers de llocs diferents.
D’altra banda, cada vegada és més gran el nombre d’aparells que es connecten a Internet. En molt poc temps, els nostres habitatges obriran les seves finestres al món Internet amb desenes d’objectes connectats cada dia. Precisament per això, la seguretat és fonamental.
Resulta necessari, si no indispensable, assegurar-nos que la informació està protegida, adequadament custodiada i que ningú la pot alterar o utilitzar per fer mal.
És per això que la seguretat persegueix tres objectius fonamentals.
Però el principal protagonista de la seguretat no són les màquines, no són els programes antivirus o de protecció, ni tan sols els informàtics responsables de la seguretat.
El principal protagonista de la seguretat ets tu. És cada usuari d’un sistema d’informació.
Quan et compromets amb la seguretat i adoptes un comportament responsable:
Per això, la seguretat és un element fonamental en un instrument de garantia de la privacitat. Sense seguretat no hi ha vida privada.
Com reaccionaries si sabessis que la teva xarxa social és vulnerable, que hi ha qui accedeix a la missatgeria privada del teu mòbil i que hi ha tercers que estan coneixent els teus pensaments més íntims?
En el context del nostre lloc de treball som nosaltres els qui ens assegurem que d’altres se sentin segurs, que puguin confiar que tractarem les seves dades d’una manera exquisida, amb les màximes garanties.
El nostre compromís amb la seguretat ha de ser lleial, inqüestionable i fins i tot militant, recorda-ho: no protegim dades, protegim les persones.
Per a la societat en la qual vivim, per a la transformació digital, la informació i el coneixement posseeixen un valor essencial. Els processos d’innovació, canvi tecnològic i internacionalització han de complir amb el Reglament General de Protecció de Dades (RGPD) i garantir la seguretat de l’usuari.
La seguretat resulta fonamental per garantir el funcionament adequat de tots els sistemes, tractin o no dades de caràcter personal. A més a més, resulta essencial en qualsevol procés de gestió que requereixi l’ús de tecnologies de la informació i, a la pràctica, es projecta sobre la manera d’ordenar l’activitat de les organitzacions.
Per tant, resulta molt convenient explicitar els valors positius que aporta la implementació de les mesures de seguretat:
A la pràctica, la seguretat afecta totes les formes d’organització i els seus suports, així com qualsevol mètode utilitzat per transmetre coneixement, dades i idees.
La implementació de mesures de seguretat permet dipositar prou confiança sobre la capacitat d’aquesta informació i dels sistemes per sostenir el funcionament adequat de les funcions i els valors de l’entitat.
D’altra banda, el RGPD racionalitza el deure de seguretat assenyalant un conjunt d’idees que seran fonamentals:
Les organitzacions disposen de polítiques i/o normatives de seguretat. Es tracta d’informació que es comunica als usuaris i que sol estar a disposició a la intranet corporativa. Solen ser extenses, de vegades difícils d’entendre, i solen generar certa angoixa als seus destinataris. Però és important que entenguem fins a quin punt una conducta aparentment innòcua pot repercutir en la nostra organització.
Imaginem per un instant tres persones, evidentment fictícies:
En Jordi ha rebut un correu electrònic enviat pels seus amics. El nostre protagonista fa servir el correu de la feina per a assumptes personals, se subscriu amb ell a alertes dels seus programes preferits i comparteix des del seu compte corporatiu arxius de tota mena. Aquest cop el missatge inclou un arxiu que li juren que és divertidíssim, quan el punxes s’executa una mena de vídeo molt graciós. L’executa i a més el comparteix amb tots els seus col·legues a l’organització. L’arxiu instal·la un programa maliciós que posa en greu perill els sistemes.
Què passa a partir d’aquí?
El divertiment d’en Jordi Sirga ha tingut el cost següent:
Aquest exemple només vol posar de manifest com un comportament banal, veure un vídeo que ens passa un amic, pot posar en perill una organització.
Tot i que aquí no podem explicar en profunditat les obligacions que s’imposen a un usuari, ni simplificar-les, mirarem d’oferir quines són les més habituals i la finalitat que persegueixen en cada cas.
Objectiu
Protegir els sistemes d’informació de l’accés de persones no autoritzades.
Per exemple, les següents mesures organitzatives tenen a veure amb el control d’accés:
Objectius
Objectiu
Impedir que les amenaces presents a las xarxes impactin en l’esfera de seguretat de l’organització.
Objectius
Existeix una mesura addicional que resulta fonamental: la notificació d’incidents de seguretat. Una incidència és qualsevol anomalia que afecti o pogués afectar a la seguretat de les dades. Per tant, és impossible a priori establir-ne un catàleg. N’hi ha algunes que són òbvies i comuns:
És fonamental entendre, assumir i aplicar que detectar un incident fins i tot quan sigui degut a un error humà propi no criminalitza qui ho fa. L’error greu, la infracció, consisteix a no notificar la incidència perquè posa en perill tota l’organització.
Veiem-ne un cas:
Un usuari comença el dia i en arribar al seu lloc de treball descobreix que l’ordinador està engegat. L’usuari aplica el sentit comú, creu que probablement va fer clic a ‘reiniciar’ o que una instal·lació d’actualitzacions del sistema operatiu va reiniciar l’equip. Imaginem que l’usuari acaba de realitzar aquest curs i pensa dues coses:
Seguim amb el nostre esforç d’imaginació. Imaginem que des d’aquest terminal es gestionen les nòmines de 10.000 treballadors i es té autorització per transferir diners als seus comptes. Si el nostre usuari notifica l’incident, pot ser que no passi res i efectivament sigui que l’ordinador es va reiniciar. Però, ¿i si lladres digitals s’han infiltrat a l’empresa de seguretat i han disposat de tota la nit per atacar els sistemes?
Tu decideixes quin usuari seràs, si el que va actuar notificant un incident encara que pogués semblar lleu, o el que no ho va fer.
Les normes de seguretat poden ser més extenses que les que reproduïm aquí i més complexes quan el perfil del lloc ho exigeixi, però el valor sempre és el mateix:
El teu compromís amb la seguretat és essencial per a tota l’organització.
Localitza a la teva organització les polítiques de seguretat, les mesures de seguretat i les recomanacions o instruccions de seguretat per als usuaris i familiaritza-t’hi.