Orlando Viloria, Miguel Torrealba y Walter Blanco
El carácter abierto de la Internet la hace proclive a una gran variedad de amenazas de diferente naturaleza. Sin embargo, la Internet, la Intranet y la Extranet tienen enormes ventajas a pesar de lo vulnerables que son; la gente y las organizaciones siguen utilizándolas, ya que estas redes se convirtieron en canales para el comercio y la base para la creación de nuevos modelos de negocio que trastocan los escenarios de los esquemas tradicionales de mercadeo y ventas de las empresas, y representan la manifestación de la globalización del capitalismo mundial.
Las redes corporativas privadas como todo lo relacionado con la Internet son vulnerables, al respecto Schneier (2000) se refiere a ellas como un agujero en el corta fuego. La Intranet y la Extranet son redes privadas, comparables metafóricamente con autopistas privadas de información, paralelas a una red pública por donde viajan los vehículos de los clientes, de los proveedores, de los trabajadores del conocimiento y de oficina de la organización. Pero el hecho es que ambas vías permiten el tráfico del mismo tipo de autos, los paquetes IP, por lo tanto no imposibilita a otros a usar la misma vía en un momento no previsto. Ello significa que no se necesitan programas, ni sistemas especiales para utilizarlas, que no sean los que utilizan los paquetes que viajan por Internet, el protocolo TCP/IP. McCarthy y Campbell (2002) señalan: “La naturaleza basada en estándares de Internet es clave para su omnipresencia. Pero es su Talón de Aquiles”. La Internet no se diseñó con énfasis en la seguridad y menos en sus protocolos; de hecho uno de los objetivos principales en su concepción fue la facilidad para compartir información.
Por otro lado, Melián (2002) señala: “la seguridad absoluta no existe”. En efecto, ningún esquema de seguridad de la información es una panacea, y lo más grave es que la mayoría de los planes no afronta la problemática bajo una visión holística sino parcial, los esfuerzos están concentrados en la seguridad lógica, después la seguridad física, y casi en el olvido la gestión y el contexto organizacional. Se concentran entonces en aspectos netamente tecnológicos y se descuida el humano, que resulta crucial para alcanzar una efectiva protección.
En este mismo orden de ideas, Schneier (Native Intelligence, 1998) expresó: “los principiantes asaltan sistemas, los profesionales lo hacen a través de las personas”, frase que se divulga ampliamente en la red, para hacer explícita, entre otras cosas, lo determinante de incorporar la educación y entrenamiento de los usuarios finales a razón de obtener una protección real. Protección contra amenazas naturales y otras, la mayoría de las veces, producto del propio accionar humano. Sea por error o en forma deliberada, los principales ataques tecnológicos que fomentan la inseguridad de la información digital tienen su raíz en un proceder humano; éste a su vez se enmarca dentro de la gran crisis moral moderna de nuestra sociedad. Esto puede ocurrir por problemas en el diseño, en la configuración de los sistemas o en el uso de los mismos; son los humanos quienes construyen y emplean los sistemas computacionales y dan origen a las vulnerabilidades informáticas. Por tanto, la inseguridad no podrá ser resuelta en su totalidad hasta que la crisis moral del hombre moderno sea superada. Mientras, se tendrá que contentar con disminuir la inseguridad informática o física hasta un grado tolerable, casi siempre con controles técnicos y de procedimientos, que permitan regular adecuadamente la interacción humano-computador.
Dentro de ese marco de acción, se reconoce el rol de los gerentes de muchas organizaciones, que tienen la responsabilidad de proteger la confidencialidad, la integridad y la disponibilidad de la información con la implementación de mecanismos de seguridad. Al respecto, los resultados de una encuesta internacional señalada por Briney (2004) es un buen indicador de esta aseveración. Allí se señala que aumentó el perímetro de la seguridad en las organizaciones, con la actualización de la infraestructura tecnológica y la administración de la seguridad de la informática. Además, se acota que existe mucha inversión en la compra de herramientas de protección (hardware y software) y de sistemas de seguridad que abarcan la parte interna de las empresas, al igual que la adopción de modelos de riesgo y control. Sin embargo, es impredecible si los ataques a los sistemas informáticos crecerán.
Todo lo antes expuesto es muy importante, pero el enfoque predominante de seguridad es netamente técnico, lo cual descuida el componente gerencial y el contexto organizacional del modelo dinámico de Leavitt. Por ello, Ribagorda (2004) señala: “la seguridad es un problema de gestión más que de tecnología”. Un modelo de seguridad bajo el esquema técnico, no es sistémico ni completo. Al respecto Cano (2005) opina: “el paradigma es eminentemente técnico alrededor del tema de seguridad informática, generalmente del dominio de los profesionales de ingeniería, donde el espacio para profesionales de otras disciplinas generalmente no es muy amplio”.
En efecto no existe el pensamiento sistémico, herramienta muy pregonada por Senge (1992), por ello el usuario y los componentes del modelo dinámico de Leavitt no son considerados a la hora de planificar la seguridad en la organización. Morales (2004) opina: “constituir una solución no es cuestión de adquirir un producto y ponerlo a funcionar”, es lo que hacen la mayoría de las organizaciones y universidades. Morales acota: “una solución real y efectiva armoniza con la política de funcionamiento organizacional, con la cultura corporativa, evoluciona de acorde con el dinamismo empresarial”.
En otras palabras, una solución de seguridad o una arquitectura de seguridad de la informática, es un sistema dinámico que evoluciona según los cambios en el entorno, aquellos que trastocan la seguridad de la información en la organización, más los nuevos mecanismos de protección de los sistemas informáticos. Morales llama solución integral a este enfoque, pues abarca el aspecto técnico y se extiende “hasta tratar lo que en seguridad constituye una piedra angular de su éxito: el factor humano”. Adicionalmente, los ataques a la Intranet no solamente provienen de la Internet sino también desde el interior de la organización. Según McCarthy y Campbell (2002) la mayoría de las estadísticas de seguridad computacional señalan que más del 80% de todos los fraudes relacionados con los computadores, son cometidos por usuarios de los sistemas en las organizaciones.
En resumen, es importante que las organizaciones y, en especial las universidades, planifiquen bajo una perspectiva de la seguridad de la información que abarque el entorno físico y el interno, con su componente humano y el contexto organizacional, para implementar las acciones necesarias de protección de los activos informáticos frente a su posible destrucción, modificación, utilización y difusión indebida. Bajo el panorama descrito en este trabajo, la solución del problema de inseguridad de la información no es fácil de afrontar, requiere de mucha experticia técnica y sobre todo gerencial. En el caso de las universidades venezolanas, no están exentas de este problema, a pesar de la calidad de los profesionales que laboran en estas organizaciones, pero dichas instituciones son sistemas muy complejos con una diversidad de problemas que mantienen permanentemente un alto grado de entropía. La incorporación de la Intranet o Extranet son factores tecnológicos que contribuyen con este desorden y aumentan la complejidad de estas instituciones.
El trabajo realizado es un componente de un macro proyecto de Planificación Estratégica de los Sistemas de Información (SI), de la Tecnología de la Información y de las Comunicaciones (TIC) y de la Seguridad de la Información (SIF) para las universidades. Se generaron varias líneas de investigación, algunas culminadas en publicaciones y ponencias y otras aún en desarrollo.
En tal sentido, el macroproyecto desencadenó varias ramas de investigación de la SIF y la planificación estratégica de los SI y TIC, que determinaron la aplicación de diferentes metodologías, métodos, instrumentos y técnicas. Por un lado, investigaciones de campo de tipos exploratorias y cualitativas, con la aplicación de entrevistas abiertas y cerradas; por otro lado, análisis de tipo descriptivo con la aplicación de encuestas de opinión. Por lo tanto la totalidad de los resultados proviene de los resultados parciales obtenidos en diversos estudios realizados o actualmente en desarrollo, publicados por los autores de este artículo. Cabe destacar que en el desarrollo de las investigaciones, así como en la que se presenta, se aplicaron técnicas y métodos para la recolección de información, tales como: entrevistas informales, reuniones con gerentes e informantes claves, la observación directa a los procesos críticos y el método de investigación-acción, en el caso de la Universidad Simón Bolívar.
Igualmente, para el trabajo actual se realizó un estudio exploratorio, el cual incluyó la revisión de una serie de trabajos relacionados con gerencia, aprendizaje organizacional, gestión tecnológica en las universidades y la seguridad de la informática: Viloria y Blanco (1999, 2000, 2001, 2004a, 2004b, 2006a; 2006b); Blanco y Viloria (1999a; 1999b, 2001); Morales (2004); Morales, Viloria, Torrealba y Isern (2000); Morales y Torrealba (2004); Torrealba (2004); Torrealba y Morales (2004, 2005). Todas estas investigaciones sirvieron para establecer los cimientos necesarios para identificar variables, tendencias y estructurar el problema planteado, tal como lo recomiendan Hernández, Fernández y Baptista (1998) para esta modalidad de investigación.
Es importante señalar que entre los trabajos citados destaca el análisis de las universidades como sistemas sociales, sistemas alejados del equilibrio (Briggs y Peat, 1999) en donde el componente humano es un factor crítico de éxito en la adopción de los SI y TIC, y principalmente de la seguridad de los sistemas informáticos.
Las deliberaciones formales del grupo de investigación sirvieron para establecer bajo una perspectiva sistémica la situación de la seguridad de la informática en las universidades venezolanas.