En el día a día del sysadmin, son muchos los sistemas que directa o indirectamente dependen de ti, de tu trabajo directo, o de las decisiones que en su día tomaste en la elección de una u otra solución tecnológica.

En muchas ocasiones no es fácil, por ejemplo, hay que poner un sistema de correo electrónico en la empresa, ¿que adoptamos?, ¿una solución on-premise? MS Exchange, Zimbra… ¿una solución cloud externa? Office365, GSuite… cómo dotamos a esa solución de seguridad (firewall, antivirus, antispam), disponibilidad, monitorización, copias de seguridad, etc… 

Son muchas las cuestiones a evaluar, has de empaparte de todas las tecnologías para tener una visión clara, y luego además, has de tener claro el contexto en el que estás, es decir, el presupuesto asumible por tu empresa, y condicionantes de otro tipo (características legales, private shield, gestión de datos…).

Con todo y con ello, es posible que tras realizar la evaluación y decidir que una tecnológica es la mejor, ya sea por temas económicos u otros motivos, sea rechazado por Dirección, y debas replantear de nuevo el análisis hasta encontrar la solución más adecuada. Incluso es posible, termines implantando un plan B o C, tratando de vitaminarlo para que se parezca a tu plan A lo máximo posible, a través de software o desarrollos complementarios.

Todo lo anterior sirve como preámbulo al quid de la cuestión, la confianza sobre todo el trabajo y resultados anteriores. Y es que una vez finalizados los procesos, es posible que obtengas, siguiendo el ejemplo del correo electrónico, un servicio eficaz, quizá incluso a coste cero si optas por soluciones OpenSource, y que durante años ese servicio no se vea comprometido por incidencias directas, y sin embargo, lo más probable es que este servicio jamás obtenga la confianza total del resto de usuarios.

Y es que la confianza se vende muy cara, un simple falso positivo de SPAM, un correo de phishing que se cuela en la bandeja de entrada, o un corte en el acceso al servicio que quizá ni tan siquiera haya tenido nada que ver con el propio servicio en sí, y la confianza en el sistema queda a cero. 

Este ejemplo se puede extrapolar a cualquier otro servicio, la calidad de conexión a red, el acceso a una aplicación propia, la disponibilidad de una base de datos… Cualquier fallo, lentitud, bug… hace que a partir de ese momento, el servicio se mire con recelo. Es algo que con la experiencia ves como inevitable, y además es muy difícil de paliar.

Y con esto no quiero que se me malinterprete, sinceramente creo que es bueno que haya un punto de vista crítico por parte del usuario, es una buena manera de mantener en forma al sistema, y al personal encargado del mismo, pero como siempre debe haber unos límites, y si la desconfianza es excesiva, va a conllevar otro tipo de problemas. ¿Qué tipo de problemas? Pues en el ejemplo del correo electrónico, que cualquier falso positivo o correo de spam en bandeja, termine como incidencia de cara al técnico, o que el usuario decida utilizar cuentas de correo personales cuando por ejemplo se devuelve un correo por cualquier motivo justificado sin tratar de revisar el caso en cuestión, o la mala práctica del reenvío automático de correos profesionales a cuentas personales de Gmail u Outlook, saltándonos a la torera todos los aspectos legales, de seguridad y confidencialidad de la empresa.

Y es aquí, cuando llegamos a la doble vara de medir, cuando una persona deja de utilizar un servicio corporativo, en el cuál se han mimado mil aspectos (SLAs, disponibilidad, backups. monitorización, legalidad, etc…) por uno estándar gratuito, en el cual confía ciegamente sin saber muy bien por qué.

Y es que por algún motivo, existe la creencia de que los grandes no tienen problemas de seguridad, o caídas de servicio, cuando la realidad es otra. Google, Microsoft, Amazon, Netflix, Whatsapp, todo tipo de entidades bancarias y servicios financieros, Facebook, Dropbox, Apple… todos, pero todos sin excepción han tenido brechas de seguridad graves, y no sólo eso, si no que las siguen teniendo, día a día se corrigen cosas, como es además lógico y normal, de ahí actualizaciones de seguridad, parches, etc, etc…

Sin embargo, y por algún motivo incomprensible, normalmente no supone un trauma al usuario, recibir un correo de la entidad X, indicando que han sufrido una brecha de seguridad, y que se han visto comprometidos datos, cambia su contraseña de acceso como le indican y listo. Tampoco que temporalmente se quede sin servicio como recientemente me pasó a mi mismo (enlace), o que durante horas por una caída de servicio no puedan acceder a su aplicación de mensajería o videos favorita. 

En el ejemplo del correo electrónico, todos recibimos phishing en nuestras bandejas de correo personales (Gmail, Outook, Yahoo…), y ojo es normal, lo sistemas antispam no son infalibles, pero en estos casos parece que no pasa nada, tampoco pasa nada si nos llega un correo legítimo y se cuela en la carpeta de Spam, incluso a veces parece que el usuario tiene la sensación de que el problema es encima del origen remoto («Outlook funciona muy bien, debe ser esta empresa que lo tiene manga por hombro y se etiqueta como Spam…”). 

Con todo lo anterior, no trato de comparar unos servicios u otros, ni mucho menos, lo primero de todo porque dicha comparativa no tiene lógica, son cosas y usos diferentes, pero si trato de abrir un debate sobre 2 cuestiones concretas:

  • Por un lado, tratar de concienciar que es necesario que los equipos IT promocionen sus servicios, y traten de que el impacto de esa desconfianza de la que hablamos anteriormente sea mínima. Esto es algo que normalmente se obvia durante la puesta en marcha de un nuevo servicio: la promoción. Aunque por recursos en entendible esto suele ser complicado. 
  • Por otro lado, y esto ya es una reflexión mucho más profunda, es necesario que haya una educación y concienciación en materia de ciberseguridad para todos. Vivimos en un mundo digital, que cada vez lo es más, y desconocemos muchos de los tejemanejes de “los grandes”, otorgando una confianza excesiva para con los mismos, tanto en lo relativo a la reputación que nos merecen, como con los datos privados que les ofrecemos “gratuitamente”. Es algo a reflexionar detenidamente.