| Artículos | 01 SEP 2004

Seguridad: el enemigo en casa

Tags: Histórico
Juan Blázquez.
Si en algo coinciden todas las estadísticas e informes sobre incidentes de seguridad es en destacar el alto porcentaje de sucesos que tienen como origen los propios empleados, en activo o no. Poner todo el esfuerzo y recursos de seguridad en prevenir los ataques externos deja la retaguardia completamente desguarnecida frente a la amenaza más probable y posiblemente más dañina: el propio usuario.

Para propios y extraños, puede parecer que la seguridad está de moda en informática. Sin embargo, lo que realmente sucede es que se está cubriendo otra etapa dentro de la rápida evolución de esta tecnología. Hasta no hace mucho tiempo, en el mundo del ordenador lo que realmente importaba era conseguir conectividad y se dejaban de lado otros aspectos importantes en aras de su consecución. Ahora que la interconexión de ordenadores es algo casi trivial, cuando el ordenador es omnipresente en cualquier actividad, es el momento en el que se necesita hacerlo más seguro.
Habitualmente, se identifica el peligro como una amenaza que procede desde el exterior y se olvida que un empleado desleal, descontento o -por qué no- perturbado, puede causar mayor estrago que cualquier ataque hacker proveniente de Internet. La ausencia de barreras y la falta de control sobre su actividad puede dar alas a un empleado disgustado dispuesto a cometer cualquier tropelía sobre el sistema informático para llamar la atención sobre su despecho. No hay que descartar otras motivaciones más prosaicas, como obtener beneficio personal económico o de cualquier otra índole, dentro de la propia compañía o frente a terceros. Tampoco hay que perder de vista la posibilidad de sufrir un sabotaje procedente del exterior con datos precisos proporcionados por personal propio a los atacantes, para saltar todas las medias de seguridad implantadas para impedir estos asaltos.
Protegerse de estas y otras amenazas pasa necesariamente por la definición y puesta en marcha de un plan de seguridad que evalúe la realidad del sistema, detecte las necesidades y aplique las medidas protectoras adecuadas al nivel de seguridad buscado. No se trata de aplicar seguridad por aplicarla, sino de hacerla coherente y posible. Un plan de seguridad debe ocuparse de definir medidas que protejan los recursos tanto frente a las amenazas externas como internas, identificando claramente qué se protege, por qué y cómo, así como recoger procedimientos y medidas correctoras en caso de que se produzca algún incidente. Esta actitud de gestión no sólo forma parte del “manual del buen administrador”, sino que puede ser exigible desde el punto de vista legal. Su ausencia puede acarrear consecuencias jurídicas, tanto si se producen percances de seguridad como si no. La Ley de protección de datos en vigor es un claro exponente de la responsabilidad que exige el mantenimiento de un sistema informático.
Para conseguir implantar un buen plan de seguridad es imprescindible crear una “cultura de seguridad” entre los usuarios, que les haga partícipes y les implique en su efectiva aplicación. Dar publicidad sobre normas de obligado cumplimiento, recomendaciones sobre cómo llevar a cabo determinadas operaciones, consejos y todo tipo de información relacionada, puede evitar que técnicas como la ingeniería social puedan afectar al personal de la organización, puede revelar a los responsables informáticos posibles fisuras inadvertidas o alertar sobre comportamientos y actitudes que puedan dar lugar a incidentes si no se atajan a tiempo. Un ejemplo claro de la importancia de la colaboración del usuario en el mantenimiento de la seguridad se encuentra en la lucha antivirus y contra el spam. Es incuestionable que unos usuarios concienciados y bien aleccionados es el primer filtro más efectivo para impedir la propagación de código malicioso de todo tipo en la red interna.

Confidencialidad e integridad
Obviamente, que la información se difunda sólo entre aquellos usuarios que realmente deben tener acceso a ella, en el momento adecuado y que los datos sean veraces, es la principal finalidad de la seguridad. Mantener la confidencialidad e integridad de sus datos es una tarea crítica para la informática de la empresa, independientemente de la actividad y dimensión de ésta.
El personal interno no suele dar importancia a la información que maneja, seguramente por la cotidianidad de su acceso, y normalmente se implantan restricciones sólo a los datos que no “conviene” que sean ampliamente conocidos. Sin embargo, la mayoría de los datos manejados por la compañía son fundamentales para su actividad. La base de clientes, proveedores, informes de situación financiera, stock de almacén, propuestas a clientes, programas propios y una larga retahíla de datos, resultan bienes intangibles del patrimonio de la empresa que no figuran en ningún inventario, pero su pérdida o menoscabo puede acarrear graves trastornos y perjuicios de toda índole. Y no es sólo cuestión de permitir o no el acceso a los datos. También es importante el momento en el que se puede acceder a la información. Como botón de muestra, si una oferta se filtra antes de llegar al cliente puede hacer que la competencia reaccione y presente una propuesta más atractiva por la que se decante el comprador. La facilidad para obtener datos implica la misma facilidad para poder atentar contra ellos.
La seguridad en el acceso a la información básicamente está conformada por la asignación de privilegios mediante permisos y la encriptación. La integridad de los datos tiene, además, como principal valedor la firma electrónica. Mientras que la propuesta de los primeros mecanismos es impedir los accesos no deseados, la validación digital se utiliza para confirmar que los documentos electrónicos son originales y no han sufrido ningún tipo de modificación. Aquellos administradores que basen sus sistemas en Microsoft Windows 200X, la plataforma más extendida, tienen disponible este tipo de mecanismos como funciones incorporadas dentro del sistema operativo, tanto en las ediciones de escritorio como de servidor, de las que ya se habló en PC World nº 210, de junio de 2004. Sin embargo, aunque tradicionalmente la asignación de privilegios le ha correspondido al personal informático, un buen plan de seguridad debe dejar esta tarea en manos de los usuarios, los responsables de los contenidos, quienes mejor saben qué información hay, quiénes pueden acceder a ella, cuándo y para qué. El informático conoce la información desde un punto de vista técnico, como archivo, como base de datos o programa, y se preocupa de ella desde esa perspectiva.
Para que los usuarios puedan hacer un buen uso de los privilegios, los permisos que se otorgan desde el sistema operativo pueden ser insuficientes para regular las necesidades de acceso a los datos o no aplicables, como puede suceder en el acceso a los registros de una base de datos. La seguridad de acceso resulta mucho más flexible, completa y fácil de utilizar cuando se establece desde los programas que tratan los datos a proteger. Por ello interesa implantar programas que permitan establecer privilegios de paso, regular las operaciones que se realizan y que sean los usuarios los responsables de su asignación. Esta filosofía suele estar recogida en los programas de bases de datos y hacia ella evolucionan los programas ofimáticos, donde Office 2003 puede ser una muestra. En esta edición de la conocida suite de Microsoft, dentro

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información