concienciación

opinión

Para empezar...,
sentido común (I parte)

Samuel Uriarte
Blanco
Técnico de Sistemas de
Accenture Outsourcing Service

SUPONGAMOS UNA empresa preocu-
pada por sus recursos informáticos,
conocedora de las principales ame-
nazas en Internet y de las mejores
vías para defenderse de ellas, que
vela por la integridad y confiden-
cialidad de sus documentos y pro-
cesos… Supongamos, en definitiva,
una empresa cuyo departamento de
Tecnologías de la Información (TI) pro-
cura hacer bien su trabajo.
Esta empresa ha dedicado tiempo y
dinero a montar un buen cortafuegos
perimetral que controla los intentos
de acceso externos a la red local, un
proxy con filtrado de contenidos para
agilizar y supervisar los accesos a
sitios web visitados por sus emplea-
dos, una política de contraseñas con
cambios periódicos de las mismas,
un sistema de encriptado de los datos
de los equipos portátiles para proteger
su información en caso de pérdida o
sustracción, otro sistema centraliza-
do de control de virus informáticos y
spyware, sin descuidar el análisis e ins-
talación de los parches que los distin-
tos sistemas software van necesitando
con el paso de las semanas.
Así las cosas, ¿cual es el princi-
pal problema de seguridad al que
esta empresa debe enfrentarse?
Pues, probablemente, a sus propios
empleados. Y no precisamente por
sus malas intenciones, sino más bien
a los excesivamente confiados, a los
ligeramente descuidados, a los muy
curiosos, a los que pulsan "Aceptar"
sin leer lo que están aceptando, a
los que utilizan equipos portátiles que
conectan a Internet en su casa o en
un hotel, a los que son muy cons-
cientes de algunos riesgos pero muy
ajenos a otros,...
La seguridad puede ser tan rela-
jada que no sea efectiva. O puede
ser tan estricta..., que tampoco sea
efectiva. Todos conocemos las notas
manuscritas llenas de contraseñas
que habitualmente decoran el moni-
tor de un usuario si le obligamos a
cambiar de contraseña demasiado a
menudo, o si debe tener varias o si
han de ser demasiado complejas. O
la facilidad con que comparten éstas
con compañeros. O casos como el de
aquel usuario de alto rango que tenía
que trabajar con documentos tan
confidenciales que no quería enviarlos
a las impresoras comunes ni alojarlos
en recursos de red..., pero que tenía
su portátil sobre una mesa en una
sala de reuniones vacía, sin "atar"
a ningún sitio, sin vigilancia, con su
sesión abierta, conectado en red...
Seguro que todos conocemos algún
ejemplo en esta línea.
La idea sería lograr dotar de cierto
"sentido común" a los usuarios, no
dejarles a un lado en la estrategia de
Seguridad, conseguir que se desen-
vuelvan con cierto conocimiento tanto
en su entorno laboral/corporativo
como, por qué no, en el doméstico. Y
para ello iremos viendo en las siguien-
tes entregas los problemas habituales
y la forma de afrontarlos en un entor-
no sencillo (tomando el doméstico
como ejemplo) para poder comparar
después con la forma de afrontarlos
en un entorno corporativo.

No es nueva la frase de que en la

seguridad lo que más falla es el
eslabón más débil. Y es que en las
corporaciones es imprescindible que
todos encajen perfectamente.

66 red seguridad enero 2008