Me ha sorprendido mucho leer un estudio del fabricante de antivirus AVG en el que se indica que,aproximadamente, un 39% de los estudiantes de Reino Unido, entre 18 y 25 años, comparten sus contraseñas del correo electrónico o redes sociales con sus amigos o familiares, me ha sorprendido y a la vez no tanto, porque creo que, desgraciadamente, son resultados que se pueden extrapolar a otros grupos demográficos. El estudio, realizado por la empresa de seguridad, ha sido llevado a cabo como parte de una campaña para concienciar a los estudiantes acerca de la suplantación en las redes sociales y la necesidad de asegurar sus perfiles en éstas.
Otro dato revela que las mujeres son más propensas a compartir sus contraseñas, con un 42%, en comparación con sólo el 28% de los hombres encuestados. Y aunque llama la atención el dato relativo a las mujeres, he de reconocer que, al menos, en mi entorno laboral se cumple. He visto compartir contraseñas entre el sector femenino de mi empresa, por ejemplo, para ficharse en el sistema de control horario y que no conste que alguien llega tarde o se va antes de la hora, una contraseña que además sirve para acceder a todos las aplicaciones o al correo corporativo, puesto que se utiliza una validación contra un LDAP centralizado. Pero claro, si alguien usa esa misma contraseña para su correo personal o para su perfil enFacebook, está entregando una llave a toda su vida virtual en una nota escrita en un Post-it. Y con esto no quiero que me tachen de machista, simplemente, es algo que he podido contrastar en mi propio entorno de trabajo.
Otro dato interesante del estudio es que el 78% de los encuestados utiliza contraseña en su portátil, es decir, que uno de cada cinco encuestados no bloquea el acceso a su portátil mediante una contraseña. Aquí, sinceramente, sí que sería muy interesante ampliar el intervalo de edad del estudio o trasladarlo a un entorno empresarial, mucho me temo que el índice de equipos empresariales sin contraseña o con una contraseña dummy del estilo “1234567” sería alarmantemente elevado. Las contraseñas son un mundo, pero, en el fondo, no son tan complicadas como parecen: el nombre de algún familiar, fechas de nacimiento, etc, es decir, todo lo contrario a lo que dice cualquier manual de seguridad.
Sorprende el hecho de que los participantes en el estudio, jóvenes entre 18 y 25 años, afirmasen que eran conscientes de que debían utilizar diferentes contraseñas para cada una de las redes sociales en las que poseían un perfil, sin embargo esta práctica tan sólo era llevada a cabo por el 72% de los estudiantes, de hecho, el resto usaba la misma contraseña para todo: Gmail, Facebook, Tuenti, etc, y eso es algo que se puede extender, no sólo a Reino Unido que es el objeto del estudio, si no que podría extrapolarse a cualquier rincón del planeta y, casi, a cualquier grupo de edad.
Según AVG:
“El hecho de que la mayoría de los encuestados proteja mediante un usuario y contraseña sus equipos portátiles o sus PCs es una noticia positiva, pero es preocupante que un 40% comparta sus contraseñas, algo que desaconsejamos por completo. Compartir las contraseñas deja la puerta abierta a que sus perfiles en las redes sociales sean suplantados exponiendo otras cuentas, como por ejemplo, las bancarias a posibles ataques”
Ahora que andamos planificando la implantación de un Sistema de Gestión de la Seguridad de la Información (SGSI) basado en la norma ISO 27001, no sería una mala idea la de realizar una encuesta similar a los trabajadores de mi empresa para ver si están o no concienciados con los aspectos más básicos de la seguridad, y si antes de empezar a implantar, vamos a necesitar una fase previa de concienciación o si la formación prevista va a tener que ser mucho más profunda de lo que habíamos estimado. De hecho, creo que muchas empresas, si realizasen este tipo de encuestas se sorprenderían de los resultados que obtendrían.
Cuando uno se pone a leer la norma ISO 27001 y piensa en las cosas que ve en el día a día, la visión no es nada alentadora. La seguridad de la información no es algo sencillo, parte de unos buenos procedimientos y de una concienciación del personal, cultura de empresa que lo llaman. Sin embargo, tan sólo hay que dar una vuelta por cualquier oficina y ver algunas prácticas que provocarían algún infarto: gente que desinstala el antivirus para que el equipo les funcione más rápido, otros que instalan todo lo que encuentran (legal o no), gente que se va (a desayunar o de vacaciones) y se dejan el equipo encendido sin bloqueo por contraseña, gente que tiene su password, o la de la red Wifi, apuntada en un Post-it encima de su mesa, etc.
Los cimientos de cualquier sistema de seguridad se sustentan sobre un buen plan de concienciación, sin eso, cualquier medida que se implante no se entenderá y, por tanto, perderá eficacia porque se terminará viendo como un impedimento más que una herramienta o un aliado.
Fuente: bitelia.com
