Tienes un e-mail

NO. No se preocupen que no les voy a contar una película de Nora Ephron por Tom Hanks y Meg Ryan...

Casi y sin querer hemos sustituido el tradicional fax, o el correo ordinario, por un correo electrónico (email = electronic mail).

Un modesto ordenador con un teclado, un programa apropiado, una línea telefónica (vale la normal RTB)), y una dirección de origen y de destino.

Esta mañana oí una conversación sencilla sin ánimo de escuchar ni atender al contenido, pero debido al volumen de la voz y del otro sujeto que participaba no tuve más remedio que poner mis antenas.

Se trataba de una conversación sobre un comentario de algo y que la noche anterior se lo habían detallado por correo electrónico. Como el sujeto destinatario no abrió el ordenador, le dijo que no lo había leído; más aún, se lo contó enterito de viva voz. Casi estuvieron todo el trayecto hablando del tema escrito; y cuando terminó de contárselo, el otro dijo: "Cuando llegue ahora a la oficina lo leo". ¡Pero si se lo había contado! Y además con copia a mí... que estaba escuchando.

Pues si señores, yo estaba escuchando. Y de la misma forma que escucho, también hay otros que se entretienen en escuchar pero leyéndolos en línea interviniendo los correos electrónicos.

Hay programas (Sniffers) que pueden intervenir los servidores de correos electrónicos y en los ordenadores personales. Estos programas son sencillos para un usuario con cierta experiencia pero no mucha. Es más, un administrador de redes sea interno o externo, puede monitorear los correos incluso leerlos antes de que sean entregados a su destinatario.

No vamos a ser fatalistas a este respecto pero les sugiero que utilicen los medios de protección adecuados para evitar en la medida de lo posible estas inoportunas intervenciones.

¿Entregaría Ud., una carta a una persona que no conoce para que la entregue a otra, o utilizaría la Oficina de Correos a través de sus oficinas y buzones autorizados?

Ésta es una de las medidas que hay que tomar. Una Oficina de Correos Electrónicos debería de contar con servidores seguros y con los sistemas de seguridad para evitar ser intervenidos. Elegir un proveedor de servicios de correos electrónicos es una tarea sencilla, pero averiguar primero cuál durará unos días de consultas.

La pregunta ahora se nos plantea: ¿Quién vigila al que vigila?

Los Administradores de Redes tanto de las empresas como los de los proveedores de internet, correos electrónicos y aplicaciones, comúnmente carecen de protocolos de auditorías, y tampoco tienen auditores internos que auditan su labor diaria. Estos Administradores tienen todo bajo su vigilancia con unos recursos mínimos (dependiendo de la empresa), para controlar los usuarios, las tareas de éstos y vigilar que el sistema sea estable. También controlan las claves de acceso de todos pudiendo cambiarlas, modificarlas y manipularlas.

Según un Real Decreto sobre las RMS (Reglas de Medidas de Seguridad), los servidores sujetos a Auditorías Internas deben tener un registro (log), de accesos de los usuarios a los recursos del sistema indicando la fecha, hora y accesos a la información requerida.

Comentemos que este fichero (log), se puede modificar y alterar su contenido; es un simple fichero de texto editable. Pero no seamos alarmistas, y pensemos que los Administradores son personas fieles, honradas y serias....(dejo puntos suspensivos al pensamiento, porque no todos somos iguales sino semejantes).

Los Sistemas Informáticos deben estar continuamente Auditados por personas cualificadas, e incluso por Auditores Técnicos especializados externos para evitar "amiguismos", que actúen de forma imparcial ante una empresa u organismo.

El alcance de una Auditoría de Sistemas va en función de las exigencias de cada empresa; tampoco hay que ser un paranoico en esto. Conozco quien desenchufa todos los cables del servidor, baja el interruptor del cuarto de comunicaciones y desconecta la linea ADSL de la roseta del teléfono casi todos los días... tampoco tanto, si se cuenta con las medidas de seguridad apropiadas.

Si esto fuera así, imagínense las multinacionales y las empresas financieras que tuvieran que apagar todos sus sistemas cada noche o fin de semana, sería algo demencial.

Sería suficiente si contásemos con un servicio externo que realice las pruebas "in situ" periódicas y de comprobaciones para asegurar sus sistemas.

También hagamos referencia a las Administraciones Remotas, ahora que están de moda. Tomar las precauciones previas al contratar este servicio. Asegurarse que el que administra remotamente sólo pueda intervenir a petición del cliente con autorización electrónica y con intervención del usuario en tiempo real, y no a libre albedrío. Lo que queremos decir es que el sistema de comunicaciones no permita la conexión no estando el otro interlocutor conectado al servicio.

Para ello existen unas aplicaciones concretas y específicas para ello. Comúnmente y algunas empresas que ofrecen los servicios de Administración Remota utilizan aplicaciones informáticas Gratuitas que te instalan cuando adquieres el servicio y luego se conectan cuando quieran y donde quieran. Con el argumento comercial de que así el cliente se ahorra el desplazamiento y que el servicio es inmediato....Sí, claro y así se ahorran dos personas en la nómina.

La Agencia Tributaria y otras pocas empresas de mantenimiento de hardware y software cuentan con un servicio de asistencia remota segura y fiable. DIALCOM® por ejemplo; en las que para asistir al usuario tienen que estar previamente citados, con un número de incidencia, y a la hora convenida el usuario acepta la conexión y está viendo lo que el otro está haciendo. Permitiendo al usuario en un momento dado cortar la conexión a su conveniencia.

De otro modo, el otro se conecta cuando quiera estés o no estés delante.

Luego, te envían un correo electrónico (email) diciéndote que han estado por allí y que te han optimizado el sistema y te han "limpiado" el ordenador...a saber. Ah, y la factura del servicio en el mejor de los casos.

*Director General de TyC Consulting