|
CX2SA > COMPU 09.07.05 02:04l 91 Lines 5722 Bytes #999 (0) @ LATNET
BID : 8363_CX2SA
Read: GUEST
Subj: El enemigo puede estar.. 1/2
Path: ON0AR<ON0AR<7M3TJZ<IW8PGT<CX2SA
Sent: 050709/0202Z @:CX2SA.LAV.URY.SA #:8363 [Minas] FBB7.00e $:8363_CX2SA
From: CX2SA@CX2SA.LAV.URY.SA
To : COMPU@LATNET
El enemigo puede estar dentro
-----------------------------
Uno de los factores cr¡ticos a la hora de gestionar la seguridad de la
informaci¢n en las organizaciones, es el factor humano. A£n as¡, es frecuente
observar c¢mo, por norma general, los esfuerzos de seguridad t‚cnica suelen ser
muy considerados, pero sin embargo, la seguridad del factor humano a veces es
menospreciada o en el peor de los casos, pasada por alto. En ‚stos casos,
hablamos del enemigo que est dentro, bien sea por la intencionalidad de sus
actos, bien sea por negligencia en el tratamiento de los activos de la
informaci¢n.
Si nos ce¤imos al marco normativo m s reconocido, el que nos ofrece ISO
17799:2000, hay varios puntos de control que tienen que ver con el factor
humano. Adem s de la seguridad f¡sica y del entorno, el punto de control
principal viene reflejado claramente en lo que se suele denominar seguridad
ligada al personal. La idea de controlar al personal no est relacionada con la
restricci¢n de la libertad y la comodidad de los empleados en las
organizaciones: se trata de imponer puntos de control en el factor humano que
opera con la informaci¢n, de modo que se eviten fugas de informaci¢n, errores
en el manejo de datos, brechas en la confidencialidad y que la protecci¢n de
aspectos importantes, como los secretos industriales y el "know-how" de los
negocios, sea una realidad no sujeta a posibles fisuras causadas por el
espionaje industrial o la competencia desleal.
En las labores de consultor¡a de seguridad es frecuente que se realicen muchos
trabajos para definir radiogr ficamente la situaci¢n de una empresa determinada
en cuanto a la robustez de su infraestructura t‚cnica. Los an lisis generales,
las auditor¡as perimetrales, los test de intrusi¢n, la anal¡tica forense y
otros tipos de pruebas son muy £tiles para saber si las puertas de entrada
aguantar n los golpes de los arietes, o si la cerradura ser suficientemente
segura para que ninguna ganz£a pueda abrirla. Es el enfoque tradicional de
seguridad ante los ataques de fuerza bruta y ante los intentos de intrusi¢n
sigilosos y t‚cnicamente depurados, metodolog¡as de ataque que aunque pueden
actuar por separado, normalmente, suelen ir de la mano.
Llegados a este punto, ser¡a conveniente plantearnos un paso m s all de la
seguridad tradicional basada en las pruebas t‚cnicas. Seg£n lo que se plantea,
abordar las cuestiones de seguridad relativas al personal parece una medida muy
interesante, ya que a fin de cuentas, el hardware y el software est operado,
supervisado y administrado por usuarios. En otra ocasi¢n, desde Hispasec
Sistemas, hemos hablado de la gesti¢n del riesgo. Hoy complementaremos esa
informaci¢n con las nociones elementales de la seguridad ligada al personal.
La seguridad ligada al personal debe ser meticulosamente planificada. El
tratamiento de las medidas de control, aplicadas a seres humanos, requiere
tacto y requiere tener en cuenta que cada empleado tiene sus propias
determinaciones y condiciones laborales. A£n as¡, es posible planificar la
seguridad del personal como un conjunto de medidas de control general, que
hagan que ‚stas sean efectivas independientemente del sujeto afecto, y sin que
‚stas medidas supongan un menoscabo de los derechos y el confort de los
trabajadores.
Las principales medidas de control que se suelen recomendar son las siguientes:
* Reducci¢n del riesgo del factor humano, debido a errores, p‚rdidas, robos y
usos indebidos de la informaci¢n. Los acuerdos de confidencialidad, la
selecci¢n rigurosa del personal y la inclusi¢n de la seguridad dentro de las
responsabilidades contractuales son buenas pr cticas aconsejables en este
punto.
* Concienciaci¢n del personal en cuanto a pol¡tica de seguridad y medidas que
deben contemplar para evitar riesgos. La £nica manera de propagar la esencia de
la gesti¢n de la seguridad es que el personal conozca los riesgos y sus
consecuencias, con lo que la empresa debe invertir en la formaci¢n sobre los
principios b sicos de gesti¢n segura de la informaci¢n.
* Minimizaci¢n de las consecuencias de los incidentes provocados por el factor
humano, tomando el error como fuente de aprendizaje para la prevenci¢n de
futuros problemas. El error es una importante fuente de retroalimentaci¢n que
puede permitir que en futuras repeticiones de una problem tica hayamos
aprendido a minimizar los impactos. Es imperativo ajustar y dar a conocer los
medios de difusi¢n de los incidentes una vez ocurran, de modo que todos los
integrantes de la cadena de responsabilidad sepan qu‚ han de hacer y a qui‚n
deben informar en todo momento. Cuando exista intencionalidad en el personal
infractor, temerario o negligente, es evidente que la empresa debe recurrir a
procesos disciplinarios y represalias legales.
* Estudio del personal cr¡tico, es decir, del personal que debe cubrir las
tareas cr¡ticas de la organizaci¢n cuya importancia es vital para la empresa.
Los procesos cr¡ticos son m s importantes que los procesos de apoyo, luego el
personal que debe atenderlos es m s importante para la empresa,
independientemente que todos los empleados son de importancia vital para las
organizaciones. De esto se deduce claramente que un error o mala intenci¢n de
un asalariado cr¡tico normalmente ser m s da¤ino que un error de un empleado
adscrito a un proceso no cr¡tico.
Read previous mail | Read next mail
| |