La semana pasada fue noticia el delito de unos funcionarios de tránsito que montaron una oficina paralela para exonerar de multas a infractores por unas mordidas y que fueron detectados “después de revisar en la base de datos de la entidad”, según este diario.
Para los expertos en seguridad informática, aun para los que trabajan en sistemas sin ser especialistas en el tema, es obvio que se deben revisar periódicamente las bitácoras que dejan las bases de datos y en las que quedan registradas todas las actividades que se realizan en ellas. Para eso existen.
No tiene que ser muy difícil afirmar que en las entidades del Estado no se deben de revisar las bitácoras de bases de datos en forma rigurosa y frecuente. Seguramente, en algunas no se realiza esta tarea. En las bases de datos, por naturaleza muy sensibles, como las de la Dian, esto es posible que se haga, pero esta y otras pocas deben ser la excepción.
No estoy seguro de cuál sea la entidad que tenga que ordenar el requerimiento de que las empresas estatales se homologuen en ISO 27001, estándar que especifica lo que se debe hacer para implementar y mantener un sistema de administración de la seguridad de la información, pero es algo que hay que llevar a cabo.
Mientras tanto, valdría la pena evaluar cuáles son las políticas de seguridad informática implantadas en las entidades gubernamentales, para ver su eficiencia y cómo se administran y se obliga a utilizarlas. Las palabras claves para ingresar a los sistemas del Gobierno deberían ser por lo menos de 13 caracteres alfanuméricos, con la obligación de incluir caracteres especiales, números, mayúsculas y minúsculas. Ya me imagino claves de funcionarios públicos con acceso a sistemas de información importantes, iguales al nombre de alguien conocido (un hijo o hija o el nombre de su equipo de fútbol preferido). Prefiero no pensar en el período de vigencia de esas claves.
Si son de usuarios sensibles, lo ideal es que se cambien cada mes; si no, mínimo cada tres meses. Dejar los computadores con acceso abierto a la aplicación mientras toman tinto o van a almorzar no debe de ser raro en los empleados públicos, cuando esto tendría que estar terminantemente prohibido y aun ser causa para la terminación del contrato.
Estos son algunos ejemplos de algo que atenta contra la seguridad de la información en entidades estatales o privadas. Debe haber conciencia de que protegerla es fundamental y de que para esto hay que implementar políticas y estas tener uñas que permitan tomar decisiones disciplinarias cuando sean violadas. El Estado tiene que dar ejemplo en esta y muchas otras áreas, y no lo está haciendo.
Guillermo Santos Calderón
[email protected]
]]>