11 febrero 2009

Primer Blogger Security Summit

El pasado 3 de febrero tuvo lugar la primera reunión de bloggeros de la seguridad de la información (1st Security Blogger Summit) y si yo tuviera que hacer mi resumen, diría que se habló sobre todo de 2 aspectos:

  • La concienciación de los usuarios, y de la sociedad en general, es un aspecto fundamental para lograr la mejora del nivel de seguridad de la red, siendo los usuarios domésticos los más afectados.
  • La habilitación de mecanismos de respuesta (con las dificultades que eso conlleva en cuanto a saber qué ha pasado y la problemática de la distinta regulación en diferentes países) es imprescindible para generar confianza en los usuarios de Internet.

En algunos momentos, se generó un debate respecto a si la concienciación era suficiente o no, puesto que algunos bloggeros apostaban más por medidas a corto plazo. En realidad, creo que no debe ser un planteamiento alternativo. En mi opinión, sabemos que los efectos de la concienciación por la que trabajemos ahora los veremos cuando las generaciones actuales crezcan. Pero mientras tanto, no podemos dejar esto como está, así que tenemos que poner controles compensatorios para que en el corto plazo este entorno tenga unas medidas de seguridad razonables.

En ese sentido, no me parece mal el planteamiento de que sea necesaria cierta acreditación para el manejo de determinados sistemas de información. Me explico: la utilización de cualquier herramienta (y más si es un sistema complejo) puede usarse en un ambiente amateur (sin necesitar ningún tipo de acreditación, por ejemplo, una sierra) o en un ambiente profesional (con todo tipo de medidas preventivas y formación específica para que sepa usarse adecuadamente). Pues bien, creo que lo mismo pasa con los sistemas de información; quizás en un entorno doméstico (léase, amateur) podría usarse sin ningún tipo de acreditación (lógicamente), pero también es cierto que en entornos profesionales (y las empresas lo son) quizás tendríamos que plantearnos que el uso de un medio productivo como es un sistema de información debería requerir de un planteamiento más profesional: formación, acreditación previa (a modo de Carné de manipulador de alimentos), etc.

Ahí queda el debate...