Supongamos una empresa preocupada por sus recursos informáticos, conocedora de las principales amenazas en Internet y de las mejores vías para defenderse de ellas, que vela por la integridad y confidencialidad de sus documentos y procesos…supongamos, en definitiva, una empresa cuyo departamento de IT procura hacer bien su trabajo.
Esta empresa ha dedicado tiempo y dinero a montar un buen cortafuegos perimetral que controla los intentos de acceso externos a la red local, un proxy con filtrado de contenidos para agilizar y supervisar los accesos a sitios web visitados por sus empleados, una política de contraseñas con cambios periódicos de las mismas, un sistema de encriptado de los datos de los equipos portátiles para proteger su información en caso de pérdida o sustracción, otro sistema centralizado de control de virus informáticos y spyware, sin descuidar el análisis e instalación de los parches que los distintos sistemas software van necesitando con el paso de las semanas.
Así las cosas, ¿cual es el principal problema de seguridad al que esta empresa debe enfrentarse? Pues probablemente a sus propios empleados. Y no precisamente por sus malas intenciones, sino más bien a los excesivamente confiados, a los ligeramente descuidados, a los muy curiosos, a los que pulsan "Aceptar" sin leer lo que están aceptando, a los que utilizan equipos portátiles que conectan a Internet en su casa o en un hotel, a los que son muy conscientes de algunos riesgos pero muy ajenos a otros,...
La Seguridad puede ser tan relajada que no sea efectiva. O puede ser tan estricta... que tampoco sea efectiva. Todos conocemos las notas manuscritas llenas de contraseñas que habitualmente decoran el monitor de un usuario si le obligamos a cambiar de contraseña demasiado a menudo, o si debe tener varias o si han de ser demasiado complejas. O la facilidad con que comparten éstas con compañeros. O casos como el de aquel usuario de alto rango que tenía que trabajar con documentos tan confidenciales que no quería enviarlos a las impresoras comunes ni alojarlos en recursos de red... pero que tenía su portátil sobre una mesa en una sala de reuniones vacía, sin "atar" a ningún sitio, sin vigilancia, con su sesión abierta, conectado en red,... Seguro que todos conocemos algún ejemplo en esta línea.
La idea sería lograr dotar de cierto "sentido común" a los usuarios, no dejarles a un lado en la estrategia de Seguridad, conseguir que se desenvuelvan con cierto conocimiento tanto en su entorno laboral/corporativo como, por qué no, en el doméstico. Y para ello iremos viendo en las siguientes entregas los problemas habituales y la forma de afrontarlos en un entorno sencillo (tomando el doméstico como ejemplo) para poder comparar después con la forma de afrontarlos en un entorno corporativo.
RedSeguridad 01 Ene2008
0 comentarios:
Suscribirse a Enviar comentarios [Atom]
Publicar un comentario