¿ESTÀ SEGURO QUE ESTÁ SEGURO?

¿ESTÁ SEGURO QUE ESTÁ SEGURO?

NO ENTENDEMOS CÓMO FUNCIONA LA SEGURIDAD

El mundo cambió en unas horas cuando cayeron las Torres Gemelas. Si apartamos la repulsión y el horror que a todos nos causó esto, los ataques fueron soprendentes por su:

• .Eficiencia
• Audacia
• Preparación detallada y disciplina de ejecución
• Simplicidad tecnológica de la operación
• Redefinición del secuestro de aviones y del concepto de terrorismo
• Nivel de éxito desvastador.

¿Podía preveerse esto? No hubo ninguna filtración, ningún desertor, que son las causas más comunes de fallo de este tipo de acciones. Y no es que faltaran pistas, uno de los líderes de la operación fue arrestado en Minnesota por el FBI un mes antes de los atentados. La inteligencia francesa y la alemana estaba observando a otros de los terroristas que participaron en los ataques del 11 de Septiembre. Pero nadie unió los puntos. El plan era demasiado simple e innovador.Ya Tom Clancy en 1996 había escrito una novela donde unos terroristas secuestran un avión y lo estrellan contra el Capitolio de los Estados Unidos. Y dos años antes de esto, unos terroristas trataron de lanzar un avión contra la contra la torre de Eiffel.

La respuesta fue más controles, más seguridad. Pero, lamentablemente, esos cambios no nos han puesto en condición más segura. Muchos pueden hacernos, de hecho, más inseguros. Algunos son humillantes

El problema es que la efectividad de la seguridad es muy difícil de medir: la mayoría de las veces escuchamos de ella cuando falla. No sabemos cuántos atentados se detuvieron parecidos a los del 11 de septiembre. Cuando la seguridad funciona bien, da la impresión que es un gasto innecesario, pues su éxito permanece invisible. 

No entendemos la seguridad, a pesar que ella está presente a diario en nuestras vidas. 

LA FORMA DE PENSAR SOBRE LA SEGURIDAD

Hay conceptos que no cambian seas un dueño de casa que trata de proteger su propiedad, un Presidente tratando de defender a su país del terrorismo, o un conejo tratando que no se lo coman. Los actores, las estrategias y tácticas pueden ser diferentes en cada situación, pero los principios y prácticas fundamentales son los mismos en cualquier sistema de seguridad: personal, informática, corporativa, anti-terrorista, etc. 

En asuntos de seguridad hay que aprender a hacer compromisos. Cada día hacemos compromisos de seguridad, aun cuando no estemos pensando en amenazas, peligros, o ataques. Al cepillarnos los dientes aceptamos gastar tiempo en eso para evitar caries; al usar alarmas aceptamos gastar dinero a cambio de que sea más difícil para el ladrón entrar en nuestras propiedades; cuando compramos un carro más seguro gastamos por tal de tener mayor probabilidad de sobrevivir a un accidente. 

La seguridad influye en dónde vamos a comprar la comida, a qué colegio enviamos a los hijos, en qué vecindario vivimos, a qué lugares nos gusta ir, cuál es la ruta para caminar, dónde vacacionar, etc.

Tomamos decisiones sobre seguridad a diario, querramos o no, nos demos cuenta o no. 

Cuando uno comienza a pensar de modo sensible sobre estas soluciones de compromiso, reconoce enseguida cuando hay una seguridad mala o costosa en algún lugar. 

La seguridad es tanto un sentimiento como una realidad. Estamos seguros cuando nos sentimos protegidos, libres de peligro. Desde este ángulo, la seguridad es un estado de la mente. Pero en términos de la seguridad real, estamos seguros cuando estamos protegidos de verdad. No es lo mismo. 

La seguridad cuesta dinero, tiempo, conveniencia, flexibilidad, privacidad. Hay seguridad barata y seguridad cara. Hay seguridad que realmente nos hace estar más protegidos, y seguridad que sólo nos hace sentirnos más protegidos, sin ningún soporte real. 

El mundo es un lugar peligroso, es cierto, pero es también un lugar bueno y decente. La seguridad existe porque hay unas pocas manzanas podridas en la sociedad: delincuentes, criminales, predadores, violadores, psicópatas y otros. La seguridad perfecta es imposible, pues además de ser carísima, implicaría tratar a todos como amenazas potenciales. Es crear un régimen opresivo. La libertad y la apertura son seguras. Pero recuerde que las catástrofes de seguridad son eventos raros. No tiene sentido hacer grandes cambios en función de cosas que ocurren muy rara vez en nuestras vidas diarias.
No hay que andar armado para una guerra cuando no la hay

Pero no se puede vivir ignorando que hay manzanas podridas en la sociedad y no sabemos nunca cuándo toparemos con una bestia de esta naturaleza

LA SEGURIDAD ES, ANTE TODO, PREVENCIÓN

Es prevenir las consecuencias adversas de acciones intencionales e indeseables de otros. Un sistema de seguridad es el conjunto de cosas que se colocan o hacen para prevenir consecuencias adversas: los carros tienen sistemas antirrobos, el dinero tiene una impresión difícil de falsificar, los aeropuertos, la informática, la contabilidad tienen sistemas de control para reducir o prevenir los efectos adversos de los criminales. 

La seguridad tiene que ver con acciones intencionales. La proteccion contra acciones no intencionales no es seguridad, es cautela. Esas acciones intencionales son indeseables desde el punto de vista del que se defiende. Esas acciones no tienen que ser necesariamente ilegales. Es decir, la seguridad requiere del concepto de un atacante que realiza acciones intencionales e indeseables. Esas acciones se llaman ataques. Un ataque es una forma específica de intentar romper la seguridad de un sistema o un componente de un sistema. Los objetos atacados son activos. 

Las acciones de prevención, respuesta, y mitigación a esos ataques se llaman contramedidas. Muchas contramedidas son poco efectivas: no preven las consecuencias de los ataques o el compromiso asociado a ellas no vale la pena. Se gasta mucho dinero en seguridad inapropiada. 

En seguridad no nos puede seducir la promesa de la tecnología. La tecnología tiende a ser un facilitador que permite que las personas hagan cosas; la seguridad es lo opuesto pues trata de impedir que algo ocurra o que la gente haga algo. Por eso, la tecnología no trabaja en la seguridad del mismo modo que en otras partes. 

Una mala seguridad puede ser peor que ninguna seguridad. Se gasta tiempo y dinero en sistemas que pueden ser atacados fácilmente, o que no enfocan a las amenazas reales. Hacemos compromisos pobres, dando mucho a cambio de muy poco en materia de seguridad. Nos rodeamos de contramedidas para sentirnos seguros, más que para estar realmente seguros. Nos engañamos a nosotros mismos creyendo en una seguridad que no funciona.
Un buen método para estar alerta está basado en la gráfica siguiente

 Es importante reconocer lo que pasa por nuestra mente en una confrontaciòn. Aquí les dejo un vínculo interesante: http://www.tirodefensivoperu.com/forum/index.php?topic=11411.0

LAS PREGUNTAS CLAVES

1. ¿Qué activos se está tratando proteger?
2. ¿Cuáles son los riesgos a dichos activos?
3. ¿Cuán bien la solución de seguridad mitiga esos riesgos?
4. ¿Qué otros riesgos causa la solución de seguridad?
5. ¿Qué costos y compromisos impone la solución de seguridad? 

Al final hay que preguntarse si vale la pena el nivel de seguridad que tenemos. Esto es, si los beneficios de mitgar los riesgos son superiores a los riesgos adicionales y a los compromisos que la solución de seguridad nos impone. 

Es interesante aplicar las 5 preguntas claves a situaciones reales y pensando en atacantes reales.
Ejercicio: Responder estas 5 preguntas para el caso especìfico de su seguridad personal. 

LOS COMPROMISOS DE SEGURIDAD SON SUBJETIVOS

Cada persona tiene diferentes percepciones de lo que constituye una amenaza, o del nivel de riesgo que es aceptable. Y no existe algo así como la seguridad absoluta. Y dado que la seguridad siempre implica un compromiso, más seguridad no siempre es mejor. Y no son solo los costos, es la incomodidad y la invasión a la privacidad que viene asociada a tener más seguridad. 

No es lo mismo amenaza que riesgo. Una amenaza es una forma potencial en que un atacante puede atacar a un sistema. Por ejemplo, el robo de carros y los secuestros son amenazas. Pero cuando se habla de riesgos, también se toma en cuenta la probabilidad de que ocurra el ataque y la seriedad de un ataque exitoso. 

Por ejemplo, el robo de carros es un riesgo más serio que el secuestro, porque es mucho más probable que ocurra.

La mayoría de las personas no piensa en la seguridad cuando pone su almuerzo en el refrigerador del trabajo. Aunque exista una amenaza de robo del almuerzo, no es un riesgo significativo porque los ataques son raros y las pérdidas no son grandes. Pero un creciente robo de almuerzos en la empresa cambia el panorama. La amenaza es la misma, pero el riesgo ahora es mayor. En respuesta a eso, la gente comienza a dejar el almuerzo en su escritorio. 

La pintura de un famoso que está en la recepción de la oficina es un blanco mucho más valioso para un ladrón que un almuerzo, así que aunque la amenaza de robo es la misma, el riesgo para el caso de la pintura es mucho mayor que para el almuerzo. 

La gestión de riesgos es imaginar qué ataques son los que vale la pena preocuparse y cuáles deben ser ignorados. Es invertir más recursos en los ataques serios y menos en los frívolos. Es hacer un buen uso del presupuesto de seguridad. Los riesgos serios (por la frecuencia del ataque o porque sus efectos sean desvastadores) deben ser defendidos, evitando desenfocar por estar atendiendo riesgo triviales. Si bien existe el riesgo que unos paramilitares ataquen su casa, esa probabilidad es tan remota que ni siquiera piensas en cómo defender tu casa ante un ataque así. 

Las amenazas determinan los riesgos, y los riesgos determinan las contramedidas. 

GESTIONAR LOS RIESGOS ES ESENCIAL

Esto es cierto tanto para la vida personal como para los negocios. Las amenazas a la seguridad son otro riesgo más entre todos los riesgos que están presentes. Las actuaciones particulares dependen de la situación en específico. No es lo mismo un robo de una camiseta en una venta que un robo de una joya. Por eso la joyería probablemente invertirá en un seguro contra robos, y la venta no.

En una venta de licor tal vez hay que invertir en poner un vidrio antibalas delante de la cajera y una ventanilla diseñada para pasar las botellas y recibir el dinero. Esto no lo necesitan otras tiendas. Lo mismo ocurre con las cámaras de video. En Israel muchos restaurantes añaden un costo adicional a la factura para pagar los guardas armados.

La mayoría de estas cosas es puro sentido común. No se usan las mismas contramedidas para proteger diamantes que para proteger sorbetes. El valor, y por ende, el riesgo, son completamente diferentes. 

La seguridad debe balancer el riesgo. Lograr una gestión de seguridad a un costo razonable. La decisión de poner vigilantes armados no es sólo basada en el riesgo, sino también en los costos de este servicio. En Centro América el costo de un vigilante armado por hora es menor que el EU. Por eso muchas empresas los utilizan. En Israel el costo es alto, pero los riesgos de un ataque son mayores. 

Cada cual gestiona los riesgos de modo diferente. No sólo es difícil evaluar los riesgos, es también el grado de tolerancia al riesgo.  Un compromiso que es totalmente inaceptable para unos es normal para otros. Algunos no toleran vivir sin seguro, mientras que otros no se preocupan por eso. 

La moral juega un rol. Algunas personas no están dispuestas a arriesgar ciertas cosas, independientemente de los posibles beneficios. Para algunos, ciertos ataques son inaceptables, para otros no lo son. Lo mismo con las contramedidas. Luego del 11 de septiembre muchas personas estuvieron de acuerdo con el uso de la tortura bajo ciertas circunstancias. Trabajar por tener la bomba atómica era un gran riesgo, pero menor que permitir que Europa estuviera dominada por los nazis. 

Muchos tenemos una intuición natural respecto al riesgo. Sabemos que es más riesgoso cortar por una calle oscura en la noche que seguir por la iluminada avenida. Sabemos que es más riesgoso comer en pulperías que en un buen restaurante. No debemos confiar en extraños, los tigres atacan, los cuchillos tienen filo, el fuego quema. 

Toda criatura viva tiene que lidiar con los riesgos. La sociedad siempre ha necesitado seguridad. Tenemos esa intuición, pero eso no significa que sea precisa. La gente suele desestimar el riesgo de ciertas cosas y sobreestimar el de otras. El riesgo percibido puede ser muy diferente al riesgo real. 

La gente tiende a exagerar los riesgos espectaculares, pero raros, mientras subestima los riesgos comunes. Nos preocupamos más por un terremoto que por resbalar en el baño, aunque lo segundo mata mucha más gente que lo primero. 

Tenemos problemas para estimar los riesgos de algo que no sea una situación normal. Creemos que los EU está lleno de armas. Subestimamos el riesgo al que están sometidas las mujeres sin acompañante en la calle. 

Los riesgos personificados se perciben como mayores que los anónimos. 

Tendemos a subestimar los riesgos que estamos dispuestos a correr y a sobreestimar los riesgos en las situaciones que no podemos controlar. Cuando no tenemos otra alternativa que asumir el riesgo, tendemos a sobreestimarlo. Los aviones comerciales se perciben como más riesgosos que los automóviles porque los controles están en manos del piloto. La gente sobreestimar todavía más los riesgos que no pueden controlar pero que piensan que sí pueden controlarse. Nos preocupan los desastreas aéreos no porque podamos detenerlos, sino porque creemos que la sociedad puede controlarlos. 

En EU los automóviles producen 40, 000 muertes al año, lo que equivale a tener 727 desastres aéreos cada día y medio, y un total de 225 anuales. Pero tenga por seguro que habría grandes cambios en la aeronaútica civil si cada año murieran 40 mil personas por desastres aéreos (en lugar de accidentes de tránsito) .

Los estudios muestran que es más probable morir en un accidente (conductor o pasajero) si vas en una camioneta que si vas en un auto compacto, aunque uno de los puntos fuertes de venta de las camionetas es que son más seguras. 

NOS CUESTA EVALUAR LOS RIESGOS 

La primera causa es rapidez del avance de la tecnología. Antes (salvo los marineros y los soldados) la gente no viajaba muy lejos de su casa, las cosas cambiaban más lentamente que ahora. Esa rapidez de los cambios es más rápida que nuestra capacidad para absorber sus implicaciones. 

Los medios masivos, además, han degradado nuestra capacidad natural para evaluar los riesgos. 

Aprendemos respecto  a los riesgos no por haberlos vivido; creemos que aprendemos por lo que vemos en la TV y los periódicos. Los niños tratan de repetir las acrobacias que ven en las películas sin comprender las precauciones que toman los dobles profesionales. Las noticias del canal 10 no reflejan exactamente la realidad del mundo en que vivimos.

La gente vive atemorizada de un ataque de tiburón, pero la verdad es que las causas principales de muerte en EU son ataques cardiacos, cáncer, diabetes, neumonía/resfriado, accidentes vehiculares,  asesinatos, y SIDA. ¿Y los tiburones? 

Muchas veces creamos un "teatro" para la seguridad, que tiene como fin la sensación de estar seguro que la seguridad real. Este "montaje" si bien no asegura la efectividad, al menos te hace sentir más seguro.
Nota: Si este blog tiene suficientes revisiones, haré otro explicando por qué la seguridad falla.