La seguridad informacional es un tema permanente, que hay que definir muy bien, y que, cómo hemos estado viendo, tiene una perspectiva informática y una perspectiva informacional. Los responsables de servicios de información saben que uno de los factores que tienen que tomar en cuenta cuando definen cómo van a trabajar la seguridad es el tiempo en que se espera por un usuario, luego que éste interrumpe su trabajo por cualquier motivo. Dedicamos este post a este problema, muy simple, pero a veces muy importante por sus implicaciones en la seguridad…
Efectivamente, el hecho sucede cotidianamente, múltiples veces, en todas partes, en todo tipo de interacciones. En sistemas cuyo servicios principales son públicos y en sistemas cuyos servicios son todos o casi todos privados. Siempre hay tareas que son restringidas a ciertas personas, las que tiene un determinado perfil. Estas personas deben identificarse, de alguna manera, por ejemplo, lo más típico, indicando su nombre de conexión y su contraseña. Los esquemas de autenticación pueden variar de un caso a otro, de una institución a otra. Pueden ser muy simples o pueden ser muy sofisticados. Pueden resolverse en términos de una aplicación o pueden que sean resueltos en términos de una institución. No faltan los casos en que la autenticación se resuelve en términos de una macro institución, certificadora de autenticación para múltiples instituciones, a través de Internet.
Pero independientemente de que el procedimiento sea simple o complejo, local o no, el usuario se autentica. ¿Qué pasa luego? Con esa autenticación se identifica su perfil y con este perfil el usuario tiene acceso a determinados tipos de contenidos y a determinadas funciones sobre esos contenidos. El problema aparece porque siempre ocurre que los usuarios abandonan el contacto con el computador, bien sea ocasionalmente o bien en forma más definitiva, y los descuidos abundan. A veces porque se pensó en volver rápido y luego se sucedieron incidentes que impidieron el propósito y a veces, simplemente, por olvido. No faltan las ocasiones en que el problema se presenta por ignorancia en el procedimiento.
La pregunta pertinente es ¿Cuánto tiempo se debe esperar por un usuario que no ha vuelto hacer contacto con el teclado o el ratón? No hay una respuesta única correcta, cinco minutos de espera pueden ser suficientes y más, algo intolerable. Pero otras veces se debe ser mucho más flexible y se deben poder esperar lapsos mayores. Incluso mucho mayores, hay sistemas que esperan todo el día y sólo exigen reautenticación al día siguiente. Lo cierto es que si el usuario debe poder leer varias páginas de contenidos o revisar una cantidad de relaciones equivalentes, hay que estar dispuestos a esperar. Adicionalmente, es muy típico hoy en día que los usuarios sean multitareas, que hagan varias cosas a la vez, que tengan varias ventanas abiertas. Este hecho obliga a ser más laxos en los tiempos de espera en detrimento de la seguridad.
En los casos extremos hay que exigir al usuario concentración y, si éste se va con su atención a otra ventana durante un tiempo mayor del permitido, se le penaliza obligándolo a autenticarse de nuevo al momento en que vuelva con su atención. Por ejemplo, si se trata de un sistema bancario, es lógico que así sea y que los umbrales sean menores que otros que manejan contenidos menos delicados.
En el futuro, los sistemas biométricos sabrán quién es la persona que está al frente, pero lo que está claro es que hoy un Arquitecto de información y un Responsable de servicios deben poder conversar muchas cosas sobre seguridad, entre ellas, cuánto tiempo se espera por un usuario…
No hay comentarios:
Publicar un comentario