ON0AR

CX2SA  > COMPU    09.07.05 02:04l 91 Lines 5722 Bytes #999 (0) @ LATNET
BID : 8363_CX2SA
Read: GUEST
Subj: El enemigo puede estar.. 1/2
Path: ON0AR<ON0AR<7M3TJZ<IW8PGT<CX2SA
Sent: 050709/0202Z @:CX2SA.LAV.URY.SA #:8363 [Minas] FBB7.00e $:8363_CX2SA
From: CX2SA@CX2SA.LAV.URY.SA
To  : COMPU@LATNET


                         El enemigo puede estar dentro
                         -----------------------------

Uno  de  los factores  cr¡ticos  a la  hora  de gestionar  la  seguridad de  la
informaci¢n en las organizaciones, es  el factor humano. A£n as¡,  es frecuente
observar c¢mo, por norma general, los esfuerzos de seguridad t‚cnica suelen ser
muy considerados, pero sin embargo, la  seguridad del factor humano a veces  es
menospreciada o  en el  peor de  los casos,  pasada por  alto. En  ‚stos casos,
hablamos del enemigo que  est  dentro, bien sea  por la intencionalidad de  sus
actos,  bien  sea  por negligencia  en  el  tratamiento de  los  activos  de la
informaci¢n.

Si  nos  ce¤imos al  marco  normativo m s  reconocido,  el que  nos  ofrece ISO
17799:2000, hay  varios puntos  de control  que tienen  que ver  con el  factor
humano.  Adem s de  la seguridad  f¡sica y  del entorno,  el punto  de  control
principal viene  reflejado claramente  en lo  que se  suele denominar seguridad
ligada al personal. La idea de controlar al personal no est  relacionada con la
restricci¢n  de  la   libertad  y  la   comodidad  de  los   empleados  en  las
organizaciones: se trata de imponer puntos  de control en el factor humano  que
opera con la informaci¢n, de modo  que se eviten fugas de informaci¢n,  errores
en el manejo de  datos, brechas en la  confidencialidad y que la  protecci¢n de
aspectos importantes,  como los  secretos industriales  y el  "know-how" de los
negocios,  sea  una realidad  no  sujeta a  posibles  fisuras causadas  por  el
espionaje industrial o la competencia desleal.

En las labores de consultor¡a de seguridad es frecuente que se realicen  muchos
trabajos para definir radiogr ficamente la situaci¢n de una empresa determinada
en cuanto a la robustez de su infraestructura t‚cnica. Los an lisis  generales,
las auditor¡as  perimetrales, los  test de  intrusi¢n, la  anal¡tica forense  y
otros tipos  de pruebas  son muy  £tiles para  saber si  las puertas de entrada
aguantar n los golpes  de los arietes,  o si la  cerradura ser  suficientemente
segura para  que ninguna  ganz£a pueda  abrirla. Es  el enfoque  tradicional de
seguridad ante los  ataques de fuerza  bruta y ante  los intentos de  intrusi¢n
sigilosos y t‚cnicamente  depurados, metodolog¡as de  ataque que aunque  pueden
actuar por separado, normalmente, suelen ir de la mano.

Llegados a este  punto, ser¡a conveniente  plantearnos un paso  m s all  de  la
seguridad tradicional basada en las pruebas t‚cnicas. Seg£n lo que se  plantea,
abordar las cuestiones de seguridad relativas al personal parece una medida muy
interesante, ya que a fin de  cuentas, el hardware y el software  est  operado,
supervisado  y  administrado  por usuarios.  En  otra  ocasi¢n, desde  Hispasec
Sistemas, hemos  hablado de  la gesti¢n  del riesgo.  Hoy complementaremos  esa
informaci¢n con las nociones elementales de la seguridad ligada al personal.

La  seguridad  ligada  al personal  debe  ser  meticulosamente planificada.  El
tratamiento de  las medidas  de control,  aplicadas a  seres humanos,  requiere
tacto  y  requiere  tener  en  cuenta  que  cada  empleado  tiene  sus  propias
determinaciones  y condiciones  laborales. A£n  as¡, es  posible planificar  la
seguridad del  personal como  un conjunto  de medidas  de control  general, que
hagan que ‚stas sean efectivas independientemente del sujeto afecto, y sin  que
‚stas  medidas  supongan un  menoscabo  de los  derechos  y el  confort  de los
trabajadores.

Las principales medidas de control que se suelen recomendar son las siguientes:

* Reducci¢n del riesgo del factor  humano, debido a errores, p‚rdidas, robos  y
usos  indebidos  de  la  informaci¢n.  Los  acuerdos  de  confidencialidad,  la
selecci¢n rigurosa del personal  y la inclusi¢n de  la seguridad dentro de  las
responsabilidades  contractuales  son  buenas  pr cticas  aconsejables  en este
punto.

* Concienciaci¢n del personal en cuanto  a pol¡tica de seguridad y medidas  que
deben contemplar para evitar riesgos. La £nica manera de propagar la esencia de
la  gesti¢n de  la seguridad  es que  el personal  conozca los  riesgos y   sus
consecuencias, con lo que  la empresa debe invertir  en la formaci¢n sobre  los
principios b sicos de gesti¢n segura de la informaci¢n.

* Minimizaci¢n de las consecuencias de los incidentes provocados por el  factor
humano,  tomando el  error como  fuente de  aprendizaje para  la prevenci¢n  de
futuros problemas. El error es  una importante fuente de retroalimentaci¢n  que
puede  permitir  que  en  futuras  repeticiones  de  una  problem tica  hayamos
aprendido a minimizar los impactos. Es  imperativo ajustar y dar a conocer  los
medios de difusi¢n  de los incidentes  una vez ocurran,  de modo que  todos los
integrantes de la cadena  de responsabilidad sepan qu‚  han de hacer y  a qui‚n
deben informar en  todo momento. Cuando  exista intencionalidad en  el personal
infractor, temerario o negligente, es  evidente que la empresa debe  recurrir a
procesos disciplinarios y represalias legales.

* Estudio  del personal  cr¡tico, es  decir, del  personal que  debe cubrir las
tareas cr¡ticas de la organizaci¢n  cuya importancia es vital para  la empresa.
Los procesos cr¡ticos son m s importantes  que los procesos de apoyo, luego  el
personal   que   debe   atenderlos  es   m s   importante   para  la   empresa,
independientemente que todos  los empleados son  de importancia vital  para las
organizaciones. De esto se deduce claramente que un error  o mala intenci¢n  de
un asalariado cr¡tico normalmente ser  m s  da¤ino que un error de un  empleado
adscrito a un proceso no cr¡tico.


Read previous mail | Read next mail