Mis primeros años en el mundo laboral, una vez concluida mi formación universitaria como informático de sistemas, los pasé ganándome la vida como docente. Pasé algún tiempo impartiendo clases, entre otros, en un centro de enseñanza privado. En la administración del centro se apañaban con una aplicación hecha en dBaseIII+ que rodaba sobre MS-DOS en un trasto con pantalla verde y, casi con total seguridad, con procesador 8086 u 8088 de Intel. Ha llovido.
Después de varias advertencias al personal del centro acerca de, entre otras cosas, la importancia de realizar copias de seguridad de la información en disco (y aunque no era asunto mío, yo era un simple profesor) preparé una BAT ad-hoc que se ejecutaba automáticamente cada semana. Más simple no podía ser: a las 17:00 horas de cada viernes aparecía un mensaje en pantalla que pedía que se introdujese el juego A o B, según fuera semana par o impar, de diskettes de 3½ y que se pulsase una tecla para continuar. Y ya sólo restaba ir cambiando de disco conforme se iba solicitando. Esta operación se llevó a cabo correctamente durante las primeras semanas. Pero un buen día, la persona que estaba al mando de la administración de ese centro, la simpática Marina, por el motivo que fuese y pese a mis advertencias admonitorias, dejó de hacer las copias de seguridad y comenzó a responder al incómodo mensaje semanal a base de CTRL-C.
Tenía que ocurrir. Unos meses después Murphy tomó el control de la situación. Y es que nunca pasa nada, nunca pasa nada… hasta que pasa.
Una tarde, precisamente un viernes, vino Marina a buscarme al aula donde impartía mi clase para decirme que había salido “un mensaje muy raro” en la pantalla de su ordenador. Me disculpé con los alumnos y fui a verlo de inmediato. Ese mensaje tan raro resultó ser ni más ni menos que el grito de guerra de uno de aquellos primitivos virus, AntiTel o Telecom se llamaba, cuyo autor proclamaba haber sido timado por Telefónica y juraba venganza al tiempo que borraba el disco duro de la pobre Marina, que nada tenía que ver en todo aquel asunto.
Ni undeletes ni recoverys ni Comandante Norton ni nada: el disco estaba borrado y bien borrado.
Cuando comuniqué el diagnóstico a la afectada no pudo controlar su reacción y súbitamente inició un llanto inconsolable que le duró el resto de la tarde. Y apuesto a que el fin de semana tampoco le fue bien. Estábamos en abril y la última copia de seguridad databa de unas pocas semanas después del comienzo del año académico con lo que se perdió la información de buena parte de las matriculaciones en cursos, cursillos y seminarios así como de la práctica totalidad de los registros de asistencia, calificaciones, actas, emisiones de certificados, etc. de los seis meses anteriores. Un desastre. No hace falta decir que partir de ese momento Marina pasó a realizar escrupulosamente la copia de seguridad cada viernes, sin fallar uno solo.
Si alguna vez en mi vida he oído maldecir y blasfemar de una manera y en un tono que nunca podré olvidar fue sin duda a un compañero de cuarto curso de carrera que desarrollaba un programita con una versión del Turbo Pascal de Borland. Este arcaico entorno no preguntaba nada si elegías la opción de salir sin haber guardado los cambios (si elegías salir, salía). Mi compañero perdió todo su trabajo después de más de cuatro horas dejándose los ojos delante de una pantalla de caracteres, esta vez de color ámbar. Yo, tras una pérdida menor pero que ya molestó lo suyo, adquirí la buena costumbre de ir guardando todo cada pocos minutos y siempre antes de compilar. Y es que las herramientas de la época (y sigo siendo joven, ¿eh?) eran tan básicas o tan tontas que no lo hacían por nosotros.
Esto es impensable hoy en día pero así eran las cosas entonces, no me invento nada. La experiencia enseña y la veteranía es un grado pero sobre todo las experiencias duras marcan a fuego. Es una lástima y no debería ser así pero está visto que en ocasiones para aprender antes hay que perder. Tan rápidamente cambian las tecnologías que se hace prácticamente imposible seguirlas. Y al cabo de unos cuantos años están irreconocibles. El dBaseIII, la copia en diskettes, la pantalla de caracteres verdes y la capacidad y la velocidad del procesador dan risa ahora y puede sorprender a los más jóvenes.
En el otro extremo, hay aspectos que cambian poco o nada por más años que pasen. Y estos aspectos no son otros que el problema de fondo (la necesidad de disponer de copias de respaldo) y el factor humano. Pero ya que el problema de fondo parece inamovible (seguimos haciendo copias de seguridad y seguiremos haciéndolas) tocaría invertir y avanzar en el factor humano, ¿no?
Después supe que no tenía que haberme quedado en la BAT y en la mera información a modo de advertencia sobre los posibles peligros de no disponer de una copia de seguridad actualizada. Sin duda hubiera ido mucho mejor si hubiera sido capaz de asegurarme de que Marina comprendía realmente la imperiosa necesidad de disponer de una copia de seguridad semanal. Hubiera resultado mucho más eficaz que la añeja solución técnica a base de líneas interpretadas, mensajes en pantalla y juegos de diskettes, que al final no sirvió de nada. Aquella solución hace lustros que quedo obsoleta pero una buena concienciación de las personas es independiente de los entornos, las versiones y los cambios tecnológicos y queda para siempre.
Sé por experiencia que cambiar hábitos y costumbres y conseguir la motivación y concienciación de las personas es una tarea complicada y casi siempre inacabada, tanto en temas relacionados con la seguridad o en otras disciplinas, pero personalmente no puedo más que reafirmarme en mi convencimiento del papel fundamental que el factor humano juega en todo lo relacionado con la seguridad.
Por ello, siempre que se trata sobre aspectos relacionados con la seguridad ligada a las personas no puedo evitar quedarme con la sensación de que es un tema al que no acabamos de concederle la importancia que merece. Por el motivo que sea tendemos de manera automática a otorgar más importancia a aspectos de índole técnica. Dedicamos más atención a la configuración de la electrónica de red que a la concienciación de los usuarios de esa red. Puede bastar una persona para configurar correctamente la electrónica de red pero perdemos de vista que son muchas las personas, al menos tantas como usuarios bienintencionados, que tienen la oportunidad de convertirse en potenciales peligros para esa red y, por tanto, para el resto de los recursos. Por poner un ejemplo.
Y es que los técnicos se centran en la vertiente técnica pero los aspectos de la seguridad ligada a las personas frecuentemente caen en terreno de nadie. O de todos, que al final viene a ser lo mismo. Sin duda vale la pena invertir en la prevención más que en la reparación, en concienciar más que en arreglar los problemas provocados por la falta de concienciación e implicación de las personas. Y es que cuando hablamos de seguridad ligada a las personas a menudo nos quedamos en una mera formación (si acaso acompañada de la firma de algún tipo de compromiso que no se acaba de entender) quedándonos por tanto en el forro de la cuestión.
La formación enseña, la concienciación implica. La formación está muy bien y es condición necesaria, pero no suficiente. Ni de lejos.
Y si no, que le pregunten a Marina.
Gran post y tema candente desde el inicio de los tiempos. Me ha tocado pelearme desde equipos de fotógrafos de estudio que han perdido las fotos de las 4 últimas bodas porque “si en el ordenador están bien, para que voy a hacer copias en DVD o en un servidor adicional que me cuesta una pasta” a gente que sabe que hay que hacer copias de seguridad y las hace en una partición del mismo disco duro.
Como bien dices, hay que implicar al usuario, no sólo decirle que hay que hacer una copia y explicarle cómo se hace, ya que normalmente sólo ven “esa pérdida de tiempo” que es hacer las copias.