1.7. La seguridad no puede ser una ocurrencia posterior
Sin importar lo que usted piense sobre el entorno en el cual se ejecutan sus sistemas, no puede asumir la seguridad como algo garantizado. Hasta los sistemas independientes que no están conectados a la Internet están a riesgo (obviamente los riesgos son diferentes de aquellos de un sistema con conexiones al mundo externo).
Por lo tanto, es extremadamente importante considerar las implicaciones de seguridad en todo lo que realice. La lista siguiente ilustra los diferentes tipos de problemas que debería considerar.
La naturaleza de las posibles amenazas a cada uno de los sistemas bajo su cuidado
La ubicación, tipo y valor de los datos en esos sistemas
El tipo y la frecuencia del acceso autorizado a los sistemas
Cuando piense sobre seguridad, no cometa el error de asumir que los posibles intrusos solamente atacarán sus sistemas desde afuera de su compañía. Muchas veces el autor es alguien dentro de la compañía. Así que la próxima vez que camine alrededor de la oficina, mire a la gente que lo rodea y hágase la siguiente pregunta:
¿Qué pasaría si esa persona intentara subvertir nuestra seguridad?
 | Nota |
|---|---|
Esto no significa que usted deba tratar a sus compañeros de trabajo como criminales. Simplemente significa que debe observar el tipo de trabajo que cada persona realiza y determinar qué tipos de violaciones de seguridad puede llevar a cabo una persona en esa posición, si tuviese esas intenciones. |
1.7.1. Los riesgos de Ingeniería Social
Mientras que la primera reacción de los administradores de sistemas cuando piensan sobre seguridad, es concentrarse en los aspectos tecnológicos, es importante mantener la perspectiva. Muy a menudo, las violaciones de seguridad no tienen sus orígenes en la tecnología, pero en la naturaleza humana.
La gente interesada en violar la seguridad a menudo utiliza la naturaleza humana para saltar los controles de acceso tecnológicos. Esto se conoce como ingeniería social. He aquí un ejemplo:
El segundo operador de turno recibe una llamada externa. La persona que llama dice ser el Director de Finanzas (el nombre del Director de Finanzas e información de fondo se puede obtener desde el sitio web de la organización, en la página de "Equipo de Gerencia").
La persona que llama dice que está en algún lugar del mundo a mitad de camino (quizás esta parte de la historia es fabricada completamente o quizás en el sitio web de la organización, en la sección de noticias, se menciona sobre el Director de Finanzas viajando a una exhibición).
La persona cuenta la historia de un infortunio; su portátil fue robada en el aeropuerto y ahora se encuentra con un cliente importante y necesita acceso a la intranet corporativa para verificar el estado de la cuenta del cliente. ¿Será el operador tan amable de darle la información de acceso necesaria?
¿Sabe usted qué hará el operador? A menos que su operador tenga las pautas claras (en cuanto a las políticas y procedimientos), lo más seguro es que no esté seguro de lo que hará.
De la misma forma que los semáforos, el objetivo de las políticas y procedimientos es el de proporcionar direcciones inequívocas sobre lo que es y no es el comportamiento apropiado. Sin embargo, así como los semáforos, las políticas y procedimientos solamente funcionan si todos los siguen. Está además el quid del problema — es muy poco probable que todos se sometan a las políticas y procedimientos. De hecho, dependiendo de la naturaleza de su organización, es posible que ni siquiera tenga suficiente autoridad para definir las políticas, mucho menos para hacerlas cumplir. Entonces ... ¿qué hacer?
Lamentablemente, no hay respuestas fáciles para esto. La educación para los usuarios puede ayudar; haga todo lo que pueda para poner a su comunidad al tanto de la seguridad y de la ingeniería social. Haga presentaciones durante la hora del almuerzo sobre seguridad. Publique enlaces a artículos relacionados con la seguridad en la lista de correo de su organización. Exprese su disponibilidad como una junta para contestar preguntas de los usuarios sobre cosas que no parecen del todo correctas.
En resumidas cuentas, entregue el mensaje a sus usuarios de la forma que pueda.