Dice el dicho que ‘la confianza da asco‘. Esta frase, que se aplica normalmente en tono distendido para describir una característica propia de las relaciones humanas, cobra hoy especial significación en el mundo digital. Y es que la confianza ya no se limita a las relaciones interpersonales, sino que amplía su ámbito de aplicación a las relaciones persona-máquina e incluso máquina-máquina.
Con la llegada de la era digital, Internet y las nuevas formas de comunicación, se nos presentan cada día situaciones, de las cuales la confianza forma parte consustancial. Así pues, acciones cotidianas tales como abrir un email o acceder a una web determinada, implican un ejercicio de confianza que, en ocasiones, realizamos sin ni siquiera ser conscientes y que, lamentablemente pueden llegar a ocasionarnos perjuicios tales como el robo o pérdida de información, chantajes, daño a la imagen personal o corporativa… Aunque dado el perfil de nuestros lectores todo esto puede parecer trivial, casi todos conocemos algún caso, bien sea a través de terceros o de los medios de comunicación, en el cual la confianza mal entendida ha derivado en alguno de los quebrantos mencionados anteriormente.
La gestión de las relaciones de confianza resulta compleja dada su naturaleza, pues cumple en ocasiones las propiedades de asimetría (A confía en B pero B no confía en A) y transitividad (si A confía en B y B confía en C, entonces A confía en C). También cabe destacar que no es igual la gestión de la confianza en el ámbito personal, que se consolida con la cercanía y el tiempo, que en un entorno corporativo. En este último, se establece una relación de confianza entre la empresa y el trabajador, que viene impuesta por la naturaleza misma de la relación contractual entre ambos, y he aquí el problema.
Desde el momento en que damos a un usuario acceso a recursos corporativos, estamos haciendo un ejercicio implícito de confianza, por el cual asumimos el riesgo de que no se va a hacer un mal uso de dichos recursos. En este punto cabe destacar que la confianza puede verse amenazada, no solo por la mala intención de una de las partes, sino también por irresponsabilidad o ignorancia. No se trata de criminalizar al usuario.
Pongamos por ejemplo, una empresa que proporciona acceso a sus empleados a uno de los servicios corporativos, permitiéndoles el acceso desde fuera de la red de la empresa. En general, los usuarios hacen un uso responsable del servicio en cuestión pero un usuario en particular, se conecta a través de una red insegura, exponiendo así sus accesos a dicho servicio a ataques de tipo Man in the Middle. Si bien no hay una intención expresa del usuario de poner en riesgo la seguridad del servicio, lo cierto es que la confianza implícita depositada en el usuario, se ve mermada por la ignorancia o irresponsabilidad de éste.
Por todo ello, es importante tratar de reducir a su mínima expresión el papel que juega la confianza a la hora de establecer una política de seguridad en entornos corporativos. Aplicar el principio de mínimo privilegio, junto con campañas de formación y concienciación de los usuarios son medidas fundamentales para evitar incidentes que puedan comprometer la seguridad de nuestros sistemas y la información que contienen.
En definitiva, no se trata de desconfiar del usuario, sino de desconfiar de la confianza.