10 lecciones que la seguridad informática aplicaría a la crisis del ébola

Oct 9, 2014

Escribo esto a unas horas de cancelar un viaje de dos días a Madrid por tema de negocios (es lo que tiene la inmediatez de las agendas electrónicas), y pido perdón de antemano por lo pretensioso del titular, pero me pareció curioso tratar el tema desde mi sector, que lleva enfrentándose a situaciones semejantes en el tercer entorno día sí día también.

Para quien haya vivido debajo de una roca durante estos últimos días, solo decir que a una iluminada del gobierno (mejor dicho, a los iluminados que tiene detrás) se le ocurrió la brillante idea de traer a España, hace unos meses, a un misionero contagiado con un virus que ya había sido erradicado (más suerte que otra cosa) en los países del primer mundo y del que hoy en día no hay ~~antivirus~~ vacuna alguna. El pobre hombre, y pese a los esfuerzos de una sanidad pública axfisiada sutilmente por un gobierno que prefiere gastar el dinero en cosas sin duda más importantes como el mundo del toreo, la farándula y los sueldos vitalicios (tarjetas negras incluidas) de aquellos que al parecer nos representan, acabó por perecer.

Al gobierno de España le supo a poco, así que hace unos días se trajo a otro religioso, dejándolo en las buenas manos de un ~~servidor~~ hospital que gracias nuevamente a los recortes no contaba con las instalaciones oportunas, acabando igual que su compañero. Si a la primera se juntaron varios astros, y $deity decidió que no pasaría nada, a la segunda, un ~~usuario~~ trabajador del hospital, aparentemente realizando sus labores habituales (seguramente con todos los protocolos de seguridad oportunos en funcionamiento) resultó infectado (infectada, en este caso). Se aplicó la política de contingencia adecuada (es decir, te duele la cabeza y tienes un poco de fiebre, pero sigues trabajando porque no hay quien te cubra), y después de una semana, se dieron cuenta del percal.

A la hora de escribir esto hay 6 infectados conocidos, y mientras tanto, el gobierno pone hincapié en la necesidad de haber sacrificado al perro de la trabajadora, que pertenece a una raza distinta a la del ser humano, y de la que todavía no tenemos constancia de que pueda acabar siendo un vector de ataque (cortina de humo dijo alguien del fondo de la sala…).

A la vista de la situación, lanzo por aquí 10 lecciones que la seguridad informática podría enseñar a aquellos que están ahora al cargo (están y estaban, porque al parecer no se contempla el despido de iluminados) sobre contingencia de crisis víricas, gestión del riesgo y sobre todo, comunicación:

Antes de meter mano, informe de la situación: Llámelo como quiera, pero antes de meter mano a un elemento infectado, hay que sentarse y escribir un documento con los pros y los contras. Que sí, que sé que esos datos que tenemos en ese ordenador son vitales para el futuro de la compañía, y quien sabe, de la humanidad, pero primero debemos tener en cuenta los contras, el cómo vamos a actuar y si merece la pena mojarse.
Un sistema es tan inseguro como lo sea la inseguridad de su elemento más inseguro: Señores iluminados, ¿de verdad después de varios siglos siendo potencia mundial (porque lo fuimos, aunque suene ya muy lejano), de darnos guantazos con vecinos y de cagarla una y otra vez por una mala gestión de las expectativas, no hemos aprendido nada sobre debilidades internas? Si nuestro sistema operativo (o sanitario, que ya me confundo) no está pasando el mejor momento. Si hablamos de un virus capaz de mutar y ramificarse, de adaptarse a diferentes entornos, y saltarse la mayoría de herramientas de protección que tenemos, ¿de verdad los beneficios superaban a las posibles consecuencias?
La importancia de mantener actualizados nuestros sistemas: Y esto va por todo, tanto a nivel logístico como funcional ¿No hay instalaciones oportunas? Mal ¿Hace tiempo (quizás nunca) que aplicamos una directiva de gestión de riesgo? Pues nos informarmos, y las actualizamos. Que sí, que la primera vez hay que hacer el doble o el triple de trabajo, y que con suerte, nunca más vamos a necesitarlas (y quizás cuando las necesitemos tengamos nuevamente que actualizarlas), pero bienvenido sea si con ello minimizamos el riesgo.
Los sandbox son tus aliados: Vale, imaginemos que es buena idea meterse con el bicho. Pero hagámoslo con cabeza. Si un elemento está infectado, se levantan murallas alrededor (no vale de nada un cordón de amenaza vírica), se llama a los expertos, y se traslada con sumo cuidado a un entorno controlado. La habitación de un hospital como el Carlos III que ya no cuenta con instalaciones preparadas para este tipo de contingencias no es un entorno controlado. Un PDF lo puede abrir desde el ordenador, pero si viene con regalo, es culpa suya. Y en este caso, no hablamos de documentos, sino de vidas.
El factor usuario: Juntemos en un saco decisiones más o menos desafortunadas, un sistema inseguro y no actualizado, una gestión ineficiente del riesgo y unámoslo a la figura del ser humano, ese ser imperfecto. Que la trabajadora haya estado infectada y haciendo su vida durante una semana parece una temeridad, pero es que no había un sistema de contingencia claro que evitara que ella (aka el usuario) actuara de esa manera ¿Es su culpa? Bajo mi punto de vista tengo claro que no. Si el usuario comete perrerías, seguramente será porque o bien no las hemos contemplado en el diseño del producto, o bien lo hemos permitido. En cualquier caso, el fallo es nuestro, y quien sufre las consecuencias es el/ella.
Un sistema es bueno cuando no te enteras de que existe: ¿Qué hubiera pasado si estos dos pobres hombres se hubieran salvado? Que habrían acaparado algunas portadas, y poco más ¿Qué hubiera pasado si no se hubieran salvado pero nadie más hubiera sido infectado? Que habrían acaparado algunas portadas, y poco más. El problema es que el sistema no ha realizado su cometido. Donde antes había un problema menor (y pido perdón por considerar menor la vida de dos personas, pero así lo creo cuando la comparo a la de 40 millones), ahora hay una crisis. Que espero se solucione y acabe por quedar en nuestro recuerdo como un escarmiento que nos sale caro, pero que puede comprometer al resto de sistemas.
Ante todo, informar: La crisis ha estallado, y nos están cosiendo a balazos en los medios de comunicación. Fue nuestro error. Las cosas salieron mal, y para colmo hay en juego vidas ¿Qué hacemos? Pues lo primero sería evitar realizar una rueda de prensa en la que despotrico contra esos medios, que sí, seguramente están tirándose (como en parte está haciendo el autor de este artículo) por el titular fácil. Pero haciendo eso, pierdes credibilidad, confianza, y en una crisis, es lo peor que puede pasarte.
Usemos los canales de comunicación con los que contamos…: Un must de cualquier crisis. Han saltado las alarmas, y estamos aplicando las medidas oportunas para solucionarlo, pero mientras, deberíamos hacer uso de esos canales comunicativos que están bajo nuestro control. En el caso que nos compete, la web del Ministerio de Sanidad (ES).
…Porque contamos con canales de comunicación bien diseñados, ¿verdad?: Pare ahora mismo de leer, abra una pestaña nueva en su navegador preferido, y escriba en Google (o el buscador que desee) “Ministerio de Sanidad España”, dándole click al enlace. En serio, hágalo, que yo le espero… ¿Ya lo ha hecho? ¿Y qué ha ocurrido? Pues eso, que la web del Ministerio de Sanidad de este país del primer mundo cuenta con un certificado SSL caduco. Un usuario que desconozca el funcionamiento de Internet, ve eso, y lo primero que hace es asustarse (¡Coño, si es que el anuncio que te salta Chrome no es para menos!). O tienes certificado activo (que recordemos, estamos pagando todos), o la web no tiene certificado. Pero un certificado caduco hace que se te quiten las ganas de entrar (y en algunos casos, saltárselo no es ni por asomo sencillo para un usuario de nivel medio).
Apliquemos entonces el sentido común, y que los profesionales se encarguen de tranquilizar al usuario: Bueno, al final hacemos de tripas corazón, abrimos una ventana de incógnito (si ni siquiera se han molestado en renovar el certificado, a saber qué me puedo encontrar) y volvemos a intentar entrar en la página, saltándonos el aviso de peligro inminente que nos devuelve el navegador. Ya estamos dentro. El sentido común nos dice que habrá información en la sección Actualidad ¡Bien, una noticia! (ayer mismo no había ninguna). Entramos y nos encontramos un artículo de unas 200 palabras, con un solo enlace (por cierto, con parte del código HTML visible y mal escrito, pero al menos funciona) para escribir un email que seguramente nos contesten en apenas unos minutos. También hay un número de teléfono, pero como buen teléfono de servicio público, parece que está descolgado… Un buen estudio de cómo afrontar, tanto técnica como comunicativamente, una crisis, sí señor…

Sobre el Autor

Pablo F. Iglesias

Pablo F. Iglesias es Consultor de Presencia Digital y Reputación Online, fundador de la agencia de reputación online CyberBrainers, escritor de los libros de ciencia ficción "25+1 Relatos Distópicos" y "Historias Conectadas", y la colección de fantasía épica "Memorias de Árganon", un hacker peligroso y un comilón nato :)

SI TE HA GUSTADO EL ARTÍCULO...
Envío cada lunes a las 7am un email con toda la actualidad tecnológica para que estés al día de las tendencias.

11 Comentarios

Pau Company el 9 octubre, 2014 a las 12:08

Es mas incomprensible aun que siendo “MEJORES LOS HOSPITALES PRIVADOS”, lleven a los enfermos de EBOLA SIEMPRE A LOS PÚBLICOS. Desde aquí le deseo a Excálibur, QUE SIGA JUGANDO en el cielo. DEP. Me siento INDIGNADO
Responder
- Pablo F. Iglesias el 9 octubre, 2014 a las 12:30
  
  Ya no es que el privado sea mejor o peor. El caso es que si no hay instalaciones oportunas, no lo lleves ahí. Que mi madre ha trabajado y trabaja en un hospital, y esto está a la orden del día, pero vamos, que hablamos de ébola y no de un resfriado.
  
  Más gestión correcta del riesgo. Más análisis, y menos intereses político-religiosos…
- Pau Company el 10 octubre, 2014 a las 9:16
  
  Precisamente por eso entrecomillo “HOSPITALES PRIVADOS”, no me refiero a la “calidad”, si no que de una manera sencilla intento llegar mas lejos aun habida cuenta de los “argumentos” dados por un DESGOBIERNO ( realizando un gran esfuerzo por respeto a ti tu blog y usuarios del mismo para ser EDUCADO) , que se ha ocupado de utilizarlo COMO EXCUSA, para PRIVATIZAR la SANIDAD PUBLICA y seguir viviendo a costa DEL CONTRIBUYENTE, sin importarle mas QUE LOS BENEFICIOS ECONÓMICOS.
Andres el 9 octubre, 2014 a las 22:19

Viste que siempre hay un capítulo de los Simpson para cada cosa de la vida? bueno, sería éste del minuto 2:22 al 2:42

https://www.youtube.com/watch?v=cw5mdqiyAq8

Y si, es terrible cuando un gobierno recorta en trabajo, educación y salud! Son 3 pilares fundamentales de una sociedad.
Recortar en salud es poner en riesgo la existencia biológica del ciudadano, y es un problema a corto plazo, (y te pueden jugar situaciones como las de la nota -me pregunto: ¿hubiera sido distinto si hubiera más presupuesto? habría estado prediseñado un plan de contingencia?-) los otros 2 tienen consecuencias para más adelante e impactan en la subjetividad de las personas (lo “menos biológico” del Ser Humano). Sé que no es bueno separar al hombre en partes como lo he hecho pero es para que se entienda mi punto.
Responder
- Pablo F. Iglesias el 10 octubre, 2014 a las 8:48
  
  Tienes razón Andrés. De hecho a veces menos recursos obliga a buscar salidas inteligentes, que pueden ser más rentables que cuando hay abundancia.
  
  Es un problema habitual. Estar preparado para una crisis (sea del tipo que sea) requiere tomar medidas cuando todavía no hay crisis, y que para colmo consumen mucho tiempo. Vivimos por tanto el presente, y rara vez tenemos bien diseñado ese cojín para sucesos futuros, por lo que cuando llega, tomamos las decisiones en caliente, y jugamos con la suerte.
- Pau Company el 10 octubre, 2014 a las 9:31
  
  Los ciudadano debemos de seguir con nuestras vidas y realizar nuestro trabajo son los “señores” votados por el pueblo, los que deben proveer estas crisis, en lugar de JUZGAR Y REALIZAR UNA CAZA DE BRUJAS hacia la afectada , SACRIFICANDO ADEMAS A SU PERRO sin ni siquiera realizar una consulta a profesionales (http://www.schnauzi.com/el-mayor-experto-mundial-en-ebola-perros-no-hay-que-matar-al-perro-de-la-contagiada-de-ebola-es-importante-para-la-ciencia/) lo que demuestra segun mi corto entender LA TREMENDA CRUELDAD de VERDADEROS LOS RESPONSABLES, incapaces siquiera DE ACEPTAR SU RESPONSABILIDAD Y COMPLETA IGNORANCIA siendo plenamente CONSCIENTES ademas de que son los CULPABLES DE esta CRISIS, que puede convertirse en una PANDEMIA DE EFECTOS DEVASTADORES. En casos de esta envergadura NO SE DEBE JUGAR CON LA SUERTE JAMAS y el presente debe de ser EL PUEBLO EL QUE LO VIVA ya que el DESGOBIERNO es el responsable de PREVER para que – de esta manera DEMUESTREN – que están a la ALTURA del cargo que desempeñan . Todo lo demás es “MAQUILLAR” la realidad: UNA CLARA INCOMPETENCIA por parte de las AUTORIDADES SANITARIAS.
- Pablo F. Iglesias el 10 octubre, 2014 a las 11:48
  
  Tengo claro que sacar a un país adelante es una tarea titánica. Seguramente, pequemos de inocentes analizando las cosas por separado y no en su conjunto.
  
  Dicho esto, sí es verdad que vivimos una situación de absoluta impotencia, con acciones que (quizás por ser tratadas por separado y no en su conjunto socio-político) directamente parecen un despropósito.
  
  Traer a dos misioneros con un virus que no tiene cura (únicamente podemos favorecer que las propias defensas del organismo sean capaces de luchar contra él). Hospedarlos (al menos el segundo) en un hospital que no cuenta con medidas oportunas para un caso semejante. No mantener en cuarentena al personal que lo ha tratado (y se comenta que tampoco se pidió permiso para ello). Sacrificar a un animal por el simple hecho de que quizás (no demostrado) pueda ser contagioso (cuando lo suyo, en ese caso, hubiera sido mantenerlo en cuarentena). La oleada de abandonos de animales cercanos que ello ha propiciado (y que de ser en verdad peligroso, acarreará todavía más riesgo). Y la gestión comunicativa, que te hace preguntar en qué se está gastando el dinero (cuando ves que empresas privadas e incluso marcas personales les dan mil vueltas).
  
  En fin, que esperemos que no pase de un suceso aislado que nos ha salido caro, que sirva para motivar a la sociedad y exigir unos dirigentes que sepan dirigir, o que al menos, sepan delegar en personas que están más preparadas para según qué casos.
- Pau Company el 10 octubre, 2014 a las 14:53
  
  Si la tarea de sacar adelante un País es titanica, que cambien de oficio. Parece que no les cuesta tanto seguir robando, mintiendo y corrompiéndose. Si utilizaran toda esta capacidad en GOBERNAR DE MANERA DEMOCRÁTICA Y TRANSPARENTE, seria diferente. Aparte de que la caza de brujas sigue:http://www.yometiroalmonte.es/2014/10/10/hermano-teresa-romero-despedido-trabajo-miedo-contagio/. Y referente al echo aislado: http://www.espiaenelcongreso.com/2014/10/10/oculta-100-infectados-ebola-morir/.
  Como siempre un placer leerte pablo.
- Pablo F. Iglesias el 10 octubre, 2014 a las 18:39
  
  Igualmente Pau. Sabes que tus comentarios son bienvenidos, tanto por aquí como por el resto de canales :).
Raul el 15 octubre, 2014 a las 19:43

Muy bueno el post, deberían tomar nota.
Por lo de los certificados SSL caducos añadir que ¿como van a actualizarlos? Si el de la casa de la moneda y timbre los tiene caducados :O
Responder
- Pablo F. Iglesias el 15 octubre, 2014 a las 21:08
  
  Jajaja. Debe ser que cobran muy poco como para renovarlos :P.
  
  Muchas gracias por el apoyo Raul. Un placer que te haya gustado.

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

COMENTARIO

Nombre *

Correo electrónico *

Web

Suscribirme a la lista de correo aceptando la Política de Privacidad.

Notificarme nuevos comentarios por correo electrónico.

Información básica de protección de datos.

Es mi deber informarte de que el Responsable del Tratamiento de los datos que facilitas es Pablo F. Iglesias (es decir, yo), y se tratan con el fin de participar en la página web a través de comentarios y/o atender tu petición de recibir semanalmente información sobre tecnología y seguridad y/o participar en sorteos, por lo que la legitimación deriva de ti como interesado. Los datos solo se cederán: a) a terceros directamente si existe amparo legal para ello; b) a Encargados de Tratamiento; c) en otros casos, se te solicitaría consentimiento previo y expreso. Tienes derecho a saber si se tratan sus datos y a acceder, rectificar, oponerte, portar, limitar su tratamiento y a no ser objeto de decisiones automatizadas, así como a suprimirlos y cancelarlos en los casos legales, y puedes ejercitarlos dirigiendo tu solicitud a [email protected]

Se conservan en los plazos legales y contractuales aplicables según el caso. Puedes acceder a información más amplia sobre privacidad en esta página.

Current [email protected] *