La confianza

Según la Real Academia Española la confianza es la “esperanza firme que se tiene de alguien o algo” y creo que es un concepto muy necesario en los actuales modelos de negocio tanto para la venta de servicios como de productos, ya que los clientes necesitan fiarse de la persona o empresa a la que les compran, siempre pensando en que el producto o servicio que se le vende cumple la necesidad por la que fue comprada. Pero no solo la confianza se da en la compra/venta de productos sino también, y cada vez más, en las relaciones personales entre compañeros, jefes, familia, amigos, etc, pienso que la confianza es algo imprescindible para compartir opiniones, información o incluso para hacer negocios, pero también es algo difícil de medir y controlar en la vida diaria y como no, en las organizaciones.

La confianza es un riesgo que toda organización debe asumir y por tanto es un peligro en cuanto a seguridad, sin embargo hay que intentar controlarlo de la mejor manera posible firmando acuerdos de confidencialidad, clasificando la información, estableciendo políticas de seguridad, asignando permisos de accesos por roles o usuarios, etc. Pero por muchos controles que se establezcan la confianza puede saltárselos todos, revelando contraseñas, compartiendo documentos, en definitiva, proporcionando información confidencial a un tercero. Es en este punto donde entra la profesionalidad y la valía de cada persona, en el que debe tenerse cuidado qué se dice, a quién se dice y cómo se dice, ya que el traspaso de cierta información puede dificultar el éxito de un proyecto, puede desencadenar la perdida de clientes o incluso puede comprometer la continuidad de un negocio. Desde los ejecutivos, directores, consejeros, CEO, CIO, CSO hasta técnicos, limpiadores, electricistas, guardas de seguridad, etc, todos tenemos información confidencial, de mayor o menor grado, que no deberíamos revelar bajo ninguna circunstancia tanto durante el empleo como tras el cese del empleo o cambio de puesto de trabajo.

Ejemplo de estos problemas se ven diariamente, como el caso de la Operación Pitusa donde hay más de 80 personas detenidas por el traspaso de información confidencial, desde agentes de la Guardia Civil, empleados públicos de las Seguridad Social o empleados de compañías telefónicas. Todos nosotros hemos cedido datos personales, tanto a compañías privadas como públicas, confiando en que estos datos no serían utilizados y vendidos para otro fin que no fuese por el que se entregaron, pero vemos que la confianza y los sobornos lo pueden todo, se han saltado todos los controles de seguridad definidos y finalmente nuestros datos han sido expuestos y utilizados por mafias. Otro caso reciente es la detención del mayordomo y hombre de confianza del papa Benedicto XVI donde se ha podido comprobar que el ex mayordomo del Papa fotocopiaba documentos y los filtraba a la prensa, y por tanto violaba todas las políticas de seguridad.

Pero no solo es trasladable a la confianza de las personas, sino también a la confianza técnica como puede ser la confianza que tenga un equipo o usuario a un certificado. En este caso quiero hacer referencia al robo del certificado de Adobe donde varios hackers lo han utilizado para propagar malware e infectar los equipos de los usuarios, con el certificado firmaban el malware y lo distribuían engañando a los usuarios, y saltándose los antivirus y políticas de seguridad de los Sistemas Operativos con el objetivo de contagiar y controlar el mayor número posible de equipos.

Para finalizar, aunque la confianza es difícil de controlar y medir, es necesario y recomendable establecer unos controles mínimos para evitar situaciones desastrosas, y por tanto en este caso se aconseja cumplir todos los controles pertenecientes a los dominios A8 – Seguridad ligada a los recursos humanos y A15 – Cumplimiento.