La vacunación es una herramienta muy moderna en la historia de la humanidad pero de una gran eficacia en la prevención de enfermedades. Al igual que los sistemas de seguridad, las vacunas previenen, es decir, se adelantan al problema poniendo barreras.
Las vacunas, búrdamente explicadas, consisten en la inoculación de enfermedades debilitadas en el organismo del animal o persona que pretendemos inmunizar. Cuando la enfermedad debilitada es introducida en el organismos del vacunado, sus anticuerpos la detectan y luchan contra ella. Los anticuerpos, que no tenían conocimiento previo específico de la enfermedad, la atacan y al estar tan débil, aprenden como funciona mientras la derrotan. De este modo, si una cepa no debilitada de la enfermedad atacase al sujeto vacunado, los anticuerpos ya conocerían el método para derrotar a la enfermedad aunque esta no haya sido deliberadamente debilitada.
El primer paralelismo que podemos ejercer entre la seguridad empresarial y de la información y las vacunas es que el siempre se pueden poner a prueba los sistemas de seguridad y a sus responsables para que cuando el ataque o problema sea real, estén preparados y conozcan sus fortalezas, debilidades y los recursos a su alcance. De este modo no sólo limitamos el impacto moral sobre las personas ocupadas de contrarrestar la brecha de seguridad si no que tendremos conocimientos reales del alcance efectivo de las herramientas defensivas de que disponemos.
Por otro lado, existe el efecto de protección colectiva. Si una población se somete a vacunación no importa que no todos los individuos se vacunen. Con que un número importante lo haga, típicamente el 90%, el resto de la población queda estadísticamente protegida. Dado que gran parte de los individuos de la población están seguros, es difícil que una enfermedad se propague por contagio por lo que las posibilidades de que un individuo no vacunado contraiga la enfermedad se reducen drásticamente. Además, en caso de que alguien enfermase, las probabilidades de que contagiase a otros serían muy limitadas y bastaría con impedir el acceso al enfermo a individuos no vacunados.
Con la seguridad, de nuevo, ocurre algo parecido aunque no del todo igual. La parte parecida es que si, por ejemplo en una empresa, todos los miembros de una plantilla aplican un convenio de normas de seguridad para evitar infecciones por malware o exfiltración de datos, las posibilidades de que algo así ocurra se reducen. La diferencia está en que en las empresas, los sistemas informáticos están generalmente interconectados, normalmente a nivel de red telemática, pero aunque así no fuese, lo están a nivel informativo por intercambio de emails, aplicaciones de mensajería instantánea, etc. Es decir, que aunque la computadora A y el teléfono B no estén interconectados, sí he enviado un email de uno a otro y accediendo a cualquiera de los 2 tendré acceso a la información.
Pues bien, esta es la principal diferencia con la protección colectiva por vacunación: A pesar de que la implementación de medidas de seguridad individuales de cada individuo, en seguridad, no basta con un 80 o 90% de adopción de las mismas. Las medidas de seguridad deben adoptarlas TODOS los miembros de un equipo ya que la seguridad será tan débil como lo sea el miembro más débil del equipo, al igual que en las formaciones defensivas de escudos de la falnage hoplita de la ilustración que acompaña este texto. Puede que la infección por malware a ese sujeto que no aplica las normas de seguridad no se propague a otros miembros que si actúan con seguridad y responsabilidad, pero la información que compartiesen con el individuo comprometido, está a su vez comprometida independientemente de lo que hagan a partir de ese momento.
Por eso la seguridad debe ser integral. debe aplicarse de forma uniforme a todos los sistemas e individuos de un colectivo, sea la plantilla de una empresa o los miembros de una familia puesto que la vulnerabilidad de uno lo es para todos.
Deja un comentario