Existen varios mitos en torno a la seguridad de la información que en realidad no tienen fundamentos sólidos. Muchos se deben a rumores que nunca son comprobados realmente y que, al ser considerados como reglas de aplicación obligatoria, terminan siendo perjudiciales para las empresas.

Aunque sepamos que hay mitos acerca de la seguridad, hay que hacer una investigación exhaustiva de los mismos para no dejarse engañar fácilmente. Por ello, a continuación veremos algunos hechos que suelen ser tomados como ciertos pero que no tienen validez alguna.

Uno de los mitos más populares dice que cuánta más seguridad haya en la información de la empresa, mayores serán los beneficios para la misma: esto no siempre es así. Para Bruce Schneier (experto en cuestiones de seguridad y autor de varios libros al respecto), el exceso de seguridad dentro de una organización puede resultar tan contraproducente como el descuidar la misma.

De acuerdo con Schneier, es necesario evaluar la relación costo-beneficio antes de determinar las medidas de seguridad a aplicar. Hay áreas en las que simplemente es mejor correr riesgos antes que gastar dinero que puede dedicarse a asuntos más rentables.

Es fundamental tener presente que la seguridad absoluta es un ideal inalcanzable, por lo que conviene saber cuánto vale la información que pretendemos asegurar y no gastar en soluciones que exijan un desembolso mayor al valor de la información.

Otro mito que aparece con frecuencia es que tener un gran ancho de banda evita los ataques de denegación de servicio (DDoS). De acuerdo con la firma de seguridad Radware, la instalación de un mayor ancho de banda solo previene la cuarta parte de estos ataques; la mayoría de estas agresiones están orientadas a las aplicaciones.

Un tercer mito hace alusión a que las contraseñas deben caducar automáticamente cada cierto tiempo. Tal como demuestra un estudio reciente de RSA Laboratories, esto podría ser beneficioso si las solicitudes de cambio de contraseña se realizaran de forma aleatoria; sin embargo, resulta un problema si se establecen plazos fijos para el cambio.

Otra verdad infundada es que el uso de contraseñas aleatorias provee más seguridad que la utilización de contraseñas elegidas conscientemente por los usuarios. El problema es que las primeras son más difíciles de recordar y esto puede conducir a pérdidas de tiempo innecesarias, con la consecuente disminución de la productividad.

También es posible que, para no perder tiempo tratando de recordar la clave para acceder al sistema, los empleados anoten sus contraseñas. Los papeles pueden perderse o ser robados, lo que no favorece en absoluto la seguridad de la información de una empresa.

Un mito muy interesante es aquel que dice que un virus se puede detectar porque algo ocurrirá en la pantalla: esto es absolutamente falso. No todo virus o malware tiene efectos visibles (es más, actualmente la tendencia de todo nuevo malware es pasar lo más desapercibido posible), con lo que un programa con fines maliciosos puede estar ejecutándose en una computadora sin que su usuario lo note; por ello resulta importante contar con un software antivirus y antispyware actualizado.

La elección de los sistemas de seguridad también es fuente de varios mitos. Uno de ellos dice que contar con un buen firewall perimetral hace innecesaria la instalación de un antivirus o de un cortafuego personal; algo que es claramente falso: todo el tiempo surgen nuevos programas capaces de vulnerar la protección que proporcionan los cortafuegos, y que cada PC tenga el suyo junto a un software antivirus, es la mejor manera de aislar posibles infecciones que provengan desde dentro de la red.

Para que la información de la empresa esté completamente protegida, es necesario tomar medidas basadas en información confiable y contrastable, y no en mitos urbanos. Hacer esto resultará en un entorno de trabajo más seguro, reducirá las pérdidas ocasionadas por los robos de información y los ataques informáticos y contribuirá al crecimiento de la organización.