10 lecciones que la seguridad informática aplicaría a la crisis del ébola

Escribo esto a unas horas de cancelar un viaje de dos días a Madrid por tema de negocios (es lo que tiene la inmediatez de las agendas electrónicas), y pido perdón de antemano por lo pretensioso del titular, pero me pareció curioso tratar el tema desde mi sector, que lleva enfrentándose a situaciones semejantes en el tercer entorno día sí día también.

Ebola virus

Para quien haya vivido debajo de una roca durante estos últimos días, solo decir que a una iluminada del gobierno (mejor dicho, a los iluminados que tiene detrás) se le ocurrió la brillante idea de traer a España, hace unos meses, a un misionero contagiado con un virus que ya había sido erradicado (más suerte que otra cosa) en los países del primer mundo y del que a día de hoy no hay antivirus vacuna alguna. El pobre hombre, y pese a los esfuerzos de una sanidad pública axfisiada sutilmente por un gobierno que prefiere gastar el dinero en cosas sin duda más importantes como el mundo del toreo, la farándula y los sueldos vitalicios (tarjetas negras incluidas) de aquellos que al parecer nos representan, acabó por perecer. 

Al gobierno de España le supo a poco, así que hace unos días se trajo a otro religioso, dejándolo en las buenas manos de un servidor hospital que gracias nuevamente a los recortes no contaba con las instalaciones oportunas, acabando igual que su compañero. Si a la primera se juntaron varios astros, y $deity decidió que no pasaría nada, a la segunda, un usuario trabajador del hospital, aparentemente realizando sus labores habituales (seguramente con todos los protocolos de seguridad oportunos en funcionamiento) resultó infectado (infectada, en este caso). Se aplicó la política de contingencia adecuada (es decir, te duele la cabeza y tienes un poco de fiebre, pero sigues trabajando porque no hay quien te cubra), y después de una semana, se dieron cuenta del percal.

A la hora de escribir esto hay 6 infectados conocidos, y mientras tanto, el gobierno pone hincapié en la necesidad de haber sacrificado al perro de la trabajadora, que pertenece a una raza distinta a la del ser humano, y de la que todavía no tenemos constancia de que pueda acabar siendo un vector de ataque (cortina de humo dijo alguien del fondo de la sala…).

A la vista de la situación, lanzo por aquí 10 lecciones que la seguridad informática podría enseñar a aquellos que están ahora al cargo (están y estaban, porque al parecer no se contempla el despido de iluminados) sobre contingencia de crisis víricas, gestión del riesgo y sobre todo, comunicación:

  1. Antes de meter mano, informe de la situación: Llámelo como quiera, pero antes de meter mano a un elemento infectado, hay que sentarse y escribir un documento con los pros y los contras. Que sí, que sé que esos datos que tenemos en ese ordenador son vitales para el futuro de la compañía, y quien sabe, de la humanidad, pero primero debemos tener en cuenta los contras, el cómo vamos a actuar y si merece la pena mojarse.
  2. Un sistema es tan inseguro como lo sea la inseguridad de su elemento más inseguro: Señores iluminados, ¿de verdad después de varios siglos siendo potencia mundial (porque lo fuimos, aunque suene ya muy lejano), de darnos guantazos con vecinos y de cagarla una y otra vez por una mala gestión de las expectativas, no hemos aprendido nada sobre debilidades internas? Si nuestro sistema operativo (o sanitario, que ya me confundo) no está pasando el mejor momento. Si hablamos de un virus capaz de mutar y ramificarse, de adaptarse a diferentes entornos, y saltarse la mayoría de herramientas de protección que tenemos, ¿de verdad los beneficios superaban a las posibles consecuencias?
  3. La importancia de mantener actualizados nuestros sistemas: Y esto va por todo, tanto a nivel logístico como funcional ¿No hay instalaciones oportunas? Mal ¿Hace tiempo (quizás nunca) que aplicamos una directiva de gestión de riesgo? Pues nos informarmos, y las actualizamos. Que sí, que la primera vez hay que hacer el doble o el triple de trabajo, y que con suerte, nunca más vamos a necesitarlas (y quizás cuando las necesitemos tengamos nuevamente que actualizarlas), pero bienvenido sea si con ello minimizamos el riesgo.
  4. Los sandbox son tus aliados: Vale, imaginemos que es buena idea meterse con el bicho. Pero hagámoslo con cabeza. Si un elemento está infectado, se levantan murallas alrededor (no vale de nada un cordón de amenaza vírica), se llama a los expertos, y se traslada con sumo cuidado a un entorno controlado. La habitación de un hospital como el Carlos III que ya no cuenta con instalaciones preparadas para este tipo de contingencias no es un entorno controlado. Un PDF lo puede abrir desde el ordenador, pero si viene con regalo, es culpa suya. Y en este caso, no hablamos de documentos, sino de vidas.
  5. El factor usuario: Juntemos en un saco decisiones más o menos desafortunadas, un sistema inseguro y no actualizado, una gestión ineficiente del riesgo y unámoslo a la figura del ser humano, ese ser imperfecto. Que la trabajadora haya estado infectada y haciendo su vida durante una semana parece una temeridad, pero es que no había un sistema de contingencia claro que evitara que ella (aka el usuario) actuara de esa manera ¿Es su culpa? Bajo mi punto de vista tengo claro que no. Si el usuario comete perrerías, seguramente será porque o bien no las hemos contemplado en el diseño del producto, o bien lo hemos permitido. En cualquier caso, el fallo es nuestro, y quien sufre las consecuencias es el/ella.
  6. Un sistema es bueno cuando no te enteras de que existe: ¿Qué hubiera pasado si estos dos pobres hombres se hubieran salvado? Que habrían acaparado algunas portadas, y poco más ¿Qué hubiera pasado si no se hubieran salvado pero nadie más hubiera sido infectado? Que habrían acaparado algunas portadas, y poco más. El problema es que el sistema no ha realizado su cometido. Donde antes había un problema menor (y pido perdón por considerar menor la vida de dos personas, pero así lo creo cuando la comparo a la de 40 millones), ahora hay una crisis. Que espero se solucione y acabe por quedar en nuestro recuerdo como un escarmiento que nos sale caro, pero que puede comprometer al resto de sistemas.
  7. Ante todo, informar: La crisis ha estallado, y nos están cosiendo a balazos en los medios de comunicación. Fue nuestro error. Las cosas salieron mal, y para colmo hay en juego vidas ¿Qué hacemos? Pues lo primero sería evitar realizar una rueda de prensa en la que despotrico contra esos medios, que sí, seguramente están tirándose (como en parte está haciendo el autor de este artículo) por el titular fácil. Pero haciendo eso, pierdes credibilidad, confianza, y en una crisis, es lo peor que puede pasarte.
  8. Usemos los canales de comunicación con los que contamos…: Un must de cualquier crisis. Han saltado las alarmas, y estamos aplicando las medidas oportunas para solucionarlo, pero mientras, deberíamos hacer uso de esos canales comunicativos que están bajo nuestro control. En el caso que nos compete, la web del Ministerio de Sanidad (ES).
  9. …Porque contamos con canales de comunicación bien diseñados, ¿verdad?: Pare ahora mismo de leer, abra una pestaña nueva en su navegador preferido, y escriba en Google (o el buscador que desee) “Ministerio de Sanidad España”, dándole click al enlace. En serio, hágalo, que yo le espero… ¿Ya lo ha hecho? ¿Y qué ha ocurrido? Pues eso, que la web del Ministerio de Sanidad de este país del primer mundo cuenta con un certificado SSL caduco. Un usuario que desconozca el funcionamiento de Internet, ve eso, y lo primero que hace es asustarse (¡Coño, si es que el anuncio que te salta Chrome no es para menos!). O tienes certificado activo (que recordemos, estamos pagando todos), o la web no tiene certificado. Pero un certificado caduco hace que se te quiten las ganas de entrar (y en algunos casos, saltárselo no es ni por asomo sencillo para un usuario de nivel medio).
  10. Apliquemos entonces el sentido común, y que los profesionales se encarguen de tranquilizar al usuario: Bueno, al final hacemos de tripas corazón, abrimos una ventana de incógnito (si ni siquiera se han molestado en renovar el certificado, a saber qué me puedo encontrar) y volvemos a intentar entrar en la página, saltándonos el aviso de peligro inminente que nos devuelve el navegador. Ya estamos dentro. El sentido común nos dice que habrá información en la sección Actualidad ¡Bien, una noticia! (ayer mismo no había ninguna). Entramos y nos encontramos un artículo de unas 200 palabras, con un solo enlace (por cierto, con parte del código HTML visible y mal escrito, pero al menos funciona) para escribir un email que seguramente nos contesten en apenas unos minutos. También hay un número de teléfono, pero como buen teléfono de servicio público, parece que está descolgado… Un buen estudio de cómo afrontar, tanto técnica como comunicativamente, una crisis, sí señor…