Según Bruce Schneier, uno de los principales expertos en seguridad del mundo (y alto cargo de BT), la seguridad es a la vez un sentimiento y una realidad. Esos dos aspectos, aunque están relacionados, no son en absoluto lo mismo.

‘Schenier argumenta que la seguridad es también un sentimiento, que no se basa en las probabilidades, sino en nuestras reacciones psicológicas a los riesgos y a las contramedidas.’
- Bruce Schneier La solución de problemas de seguridad complejos consiste en dividirlos en pasos más pequeños y más sencillos. Schneier ha ideado cinco preguntas que ponen en contexto todas las elecciones de seguridad, tanto de los gobiernos como de las empresas o las personas, y muestran las concesiones que se requieren y sus consecuencias.

La seguridad es una amalgama de emociones y racionalidad.
Schneier cree que la realidad de la seguridad es matemática y se basa en la probabilidad de diferentes riesgos y la eficacia de las diferentes contramedidas. Podemos calcular lo protegida que está su casa de robos, por ejemplo, basándonos en factores como la tasa de criminalidad de su barrio y si cierra o no las puertas. Podemos calcular la probabilidad de que alguien sea asesinado, ya sea en la calle por un extraño o en su casa por un miembro de su familia. O la probabilidad de que roben su identidad. Si se tienen estadísticas suficientes, ni siquiera es difícil. Las compañías de seguros lo hacen continuamente.

También podemos calcular si su casa será más segura con una alarma contra robos o si una congelación de los créditos bancarios le protegerá del robo de identidad.

Pero Schneier argumenta que la seguridad es también un sentimiento, que no se basa en las probabilidades, sino en nuestras reacciones psicológicas a los riesgos y a las contramedidas. Se puede tener mucho miedo del terrorismo o se puede pensar que no merece la pena preocuparse. Uno puede sentirse más seguro cuando se tiene que quitar los zapatos en las puertas de seguridad de los aeropuertos, o puede darle igual. Una persona puede sentir que tiene un riesgo alto de robo, un riesgo medio de asesinato y un riesgo bajo de robo de identidad. Mientras que su vecino, que está exactamente en la misma situación, puede sentir que tiene un riesgo alto de robo de identidad, un riesgo medio de robo y un riesgo bajo de asesinato.

O, más en general, una persona puede estar segura aunque no se sienta segura. También se puede sentir segura aunque no lo esté. El sentimiento de seguridad y la realidad de la seguridad están ciertamente relacionados entre sí, dice Schneier, pero, con total certeza, no son lo mismo. De hecho, probablemente sería mejor tener dos palabras diferentes para distinguirlos.

Schneier, que también es director de tecnología de BT Counterpane, una práctica de seguridad excelente que ayuda a las empresas y a los gobiernos a proteger sus activos, gestionar los riesgos, asegurar la continuidad de negocio y simplificar el cumplimiento de la normativa, ha escrito recientemente un libro “Beyond Fear” que investiga la forma en que las personas y las empresas pueden tratar algo tan complejo como la seguridad.

‘Aunque el sentimiento y la realidad de seguridad están relacionados...no son lo mismo.’
- Bruce Schneier Enfoque de cinco pasos
Scheneier intenta simplificar la seguridad dividiéndola en unos pocos pasos más sencillos. Desarrolla un proceso de cinco pasos para analizar y evaluar los sistemas de seguridad, las tecnologías y las prácticas. Cada uno de los cinco pasos contiene una pregunta clave que ayuda a centrarse en las elecciones de seguridad particulares, ya sea la compra de nuevo software de seguridad o las implementaciones en toda la empresa de contramedidas específicas. Las cinco preguntas contribuyen realmente a determinar qué tipo de seguridad tiene sentido y cuál no.

1. ¿Qué intenta proteger?
Esta pregunta puede parecer básica, pero un número increíble de personas no se lo pregunta nunca. De hecho, responder a la pregunta significa comprender el alcance del problema. Por ejemplo, la protección de un avión, un aeropuerto, la aviación comercial, el sistema de transporte y una nación contra el terrorismo son problemas de seguridad que requieren soluciones diferentes.

2. ¿Cuáles son los riesgos de los activos?
Aquí, Schneier considera la necesidad de seguridad. La respuesta implica comprender qué se defiende, cuáles son las consecuencias de que un ataque tenga éxito, quién desea atacarle, cómo pueden atacarlo y por qué.

3. ¿Mitiga la solución de seguridad esos riesgos?
Otra pregunta aparentemente obvia, pero que, según Schneier, se ignora normalmente. Si la solución de seguridad no resuelve el problema, no es buena. Esto no se limita a estudiar la solución de seguridad y ver si funciona bien, sino que implica observar cómo interactúa con todo lo que la rodea y evaluar su funcionamiento y sus fallos.

4. ¿Qué otros riesgos puede originar la solución de seguridad?
Esta pregunta va dirigida a lo que podrían llamarse consecuencias imprevistas. Las soluciones de seguridad, dice Schneier, tienen un efecto dominó y la mayoría de ellas causan nuevos problemas de seguridad. El truco consiste en comprender los nuevos problemas y asegurarse de que son de menor importancia que los anteriores.

5. ¿Qué costes y concesiones implica la solución de seguridad?
Todos los sistemas de seguridad tienen costes y requieren concesiones. La seguridad suele costar dinero, a veces en cantidades considerables; pero las concesiones pueden resultar más importantes, ya que pueden variar de aspectos como la comodidad a cuestiones que implican libertades básicas como la privacidad. Comprender estas concesiones es esencial.

Schneier aplica estas cinco preguntas a algunos de los retos de seguridad críticos a los que nos enfrentamos hoy en día y examina, por ejemplo, el debate sobre la necesidad de tarjetas de identificación nacionales o el enfrentamiento a la amenaza terrorista, entre otros temas.

Llega a algunas conclusiones sorprendentes y, a menudo, nada convencionales, y argumenta que, en contra de la creencia popular, la seguridad no es misteriosa. Ni siquiera es difícil. Lo difícil es distinguir la propaganda de lo que realmente importa.

Schneier invita a sus lectores a quitarse el miedo y a empezar a pensar con sensatez en la seguridad. Demuestra que la seguridad consiste en algo más que circuitos cerrados de televisión, vigilantes armados o identificaciones con foto para todo trabajador o visitante. También concluye que los artilugios costosos y las panaceas tecnológicas suelen ocultar los retos de seguridad reales.

El enfoque no alarmista, claro y sensato de Bruce Schneier es un agradable antídoto a las exageraciones vertidas por otros, así llamados, expertos en seguridad. Deberían conocerlo todos los empleados públicos y directivos de empresas responsables de tomar decisiones sobre seguridad.

Lea el texto divulgativo completo sobre el control del riesgo en: Beyond Fear – Thinking Sensibly About Security in an Uncertain World by Bruce Schneier, published by Springer Science & Business Media, 2006