Historias de terror, cuando el enemigo está adentro

Manuel Covarrubias, gerente técnico de Attachmate para Latinoamérica, expone su opinión acerca de la seguridad informática al interior de las compañías.

Manuel Covarrubias

Manuel Covarrubias, gerente técnico de Attachmate para Latinoamérica.



Autor: Manuel Covarrubias

Antivirus, firewalls, IDS. Mucha protección para las amenazas externas, pero ¿Qué hay con aquellos en quien confiamos? Si la persona que nos atiende en un call center es un estudiante con conocimientos básicos de hacker, ya casi innatos en las nuevas generaciones. O aquella señorita que está en la recepción que, con afán de ayudar, proporciona datos personales a un desconocido vía telefónica.

También, está el ejecutivo que se lleva información de procesos antes de renunciar por si la necesita en su siguiente trabajo. ¿Quién no se entera de una fuerte cantidad de chismes en el pasillo? ¿Cuántos de esos chismes contienen información sensitiva?

He escuchado tantas historias que resultan tanto divertidas como preocupantes. Me gusta clasificar estos eventos de naturaleza cien por ciento humana de dos maneras: Sabotaje premeditado y sabotaje de buena fe.

En el primer caso, encontramos personas que se las saben (o pretenden sabérselas) todas. Gente con mucha autoestima, siempre en busca de crecimiento a toda costa, un tanto egoísta, abierta y con amplias relaciones en los círculos en que se mueve. Casi siempre consciente de que sus sustracciones o divulgaciones de información son en detrimento de la compañía, pero siempre conscientes del beneficio que obtienen de ello.

Los segundos son personas tímidas, buena gente, algunas veces inseguras, otras demasiado seguras. Generalmente no conocen las regulaciones o no relacionan el impacto de la divulgación de la información en su área de influencia. Considero que el daño que pueden causar se equipara, aunque no se vea a simple vista, a aquel que se pueda recibir de los primeros o de entidades externas.

El reforzamiento de las políticas de seguridad por medios electrónicos ayuda, pero no da una solución total, especialmente en las áreas donde les es permitido trabajar. La utopía de tener el Servidor guardado en una caja fuerte y desconectado del exterior no es factible en el mundo real (aunque así aparezca en Misión Imposible).

La implementación de aplicaciones que aseguren un adecuado ciclo de vida de las políticas ayuda enormemente. El control, monitoreo y auditoria del proceso, desde la generación y aprobación, hasta el aseguramiento de la distribución, lectura y comprensión de las reglamentaciones de seguridad ayuda en gran medida. Los días donde una política enviada por correo electrónico era considerado una buena práctica, han pasado.

Un registro fidedigno del ciclo de vida de las políticas permite no solo medir su desarrollo e implementación de una manera independiente, sino que también -como lo hacen las herramientas de NetIQ- permite integrar automáticamente esta parte “biológica” a los reportes de cumplimiento de regulaciones para un seguimiento y control integral del proceso. Incluso en casos ya de carácter jurídico, ayuda para una presentación de hechos completa.

Sin etiquetas

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *