En los seminarios que dictamos regularmente en universidades, instituciones educativas, eventos y congresos de todo Latinoamérica, hay temas recurrentes y preguntas del público que se van repitiendo, producto de las dudas e inquietudes más comunes en materia de seguridad.
Una situación muy frecuente, que proviene generalmente de un público técnico y dedicado a la informática, es escuchar el siguiente planteo cuando se habla de educación y concientización en seguridad:
Yo se mucho de computadoras, me dedico a ello, y conozco mucho sobre las amenazas a las que me expongo. Así que yo uso la computadora con cuidado, se dónde hago clic y dónde no; y eso es suficiente protección para mí. No necesito ni utilizo tecnologías de seguridad como firewall o antivirus porque soy muy consciente de lo que hago y lo que no en mi computadora, y de hecho nunca me pasó nada.
Este tipo de planteos estoy seguro que muchos de los lectores lo habrán escuchado. Sin embargo, el mismo posee ciertos errores que me interesa compartir con ustedes para clarificar algunos conceptos y contarles una analogía sobre la seguridad en otros ámbitos.
Voy a pasar rápidamente el primer vicio de este planteo: ¿cómo sabe un usuario que nunca sufrió un incidente? A diferencia de otros ámbitos, muchos incidentes en una computadora pueden tener perjuicios difíciles de identificar por cualquier usuario: robo de información o actividad del tipo botnet, entre otros.
Pero avancemos a lo que más nos interesa. ¿En qué debo depositar mi seguridad: en la tecnología o en la concientización? Este es el dilema que muchos parecen plantear con frases como la que da origen al post. También están aquellos que, del otro lado de la vereda, ofrecen a los usuarios tecnologías de seguridad 100% seguras, algo que ya hemos explicado que es imposible.
¿Entonces? La respuesta es que, para una mejor seguridad de nuestros sistemas, debemos combinar tecnologías de seguridad con la educación de los usuarios. No es una riña entre una u otra. Son ambas. Ninguna de las dos provee un 100% de seguridad. Ambas combinadas tampoco, pero obviamente aumentan la protección.
Para graficar esto se me ocurrió pensar en otro aspecto de la seguridad: la seguridad vial. Pensemos al respecto:
- Tecnologías de seguridad: aquí podríamos incluir todas las tecnologías que colaboran en disminuir los accidentes de tránsito, como autopistas y rutas bien señalizadas, cinturones de seguridad, airbag, etc.
- Educación del usuario: aquí estamos hablando de conductores que conozcan las leyes de tránsito, que sepan manejar, que sepan que no deben conducir su automóvil ebrios, que no circulen a altas velocidades, etc.
Ahora, pensemos planteos extremos como el que inaugura este post. Supongamos que estas personas saben conducir muy bien, son muy responsable al volante y lo hacen a velocidades moderadas y con extremo cuidado. ¿Alguna de estas variables hace que esta persona cuando se suba a su automóvil no use el cinturón de seguridad, no utilice mejores frenos y compre sus automóviles sin airbag?
Como se imaginarán, esta situación parece absurda. ¿Cómo no usar una tecnología como el cinturón de seguridad independientemente de la educación vial que posea el conductor?
El planteo inverso tampoco tiene sentido: pensar que como una persona usa cinturón de seguridad o airbag, puede no ser consciente de las leyes de tránsito o puede manejar a altas velocidades.
De hecho, para cerrar este concepto, los usuarios más conscientes y educados respecto a la seguridad vial son aquellos que utilizan más las tecnologías. Aquellos usuarios menos educados, son los que se suben al automóvil y no utilizan su cinturón de seguridad.
Espero que esta analogía sea de utilidad para compartir con ustedes por qué hacemos tanto hincapié en combinar tecnologías de seguridad con la educación del usuario. En cualquier posición extrema, no creemos que genere mayor seguridad para el usuario.
Así que ahora, cuando utilicen su computadora, haganlo a velocidades moderadas... ¡y con cinturón de seguridad!
Sebastián
