La seguridad y los eslabones débiles

ImagenEste caso me recuerda poderosamente a uno de los que utilizamos habitualmente en el Instituto de Empresa para discutir sobre la seguridad, su coste, el diseño de sistemas, etc., escrito por mi amigo Fernando Aparicio. En él se cuenta una «historia para no dormir», construida a base de reunir los muchísimos episodios de problemas de seguridad vividos por el propio Fernando en su empresa, en la que se ven innumerables malas prácticas, problemas de actitud y falta de sensibilidad con los problemas y la valoración económica de la falta de seguridad y privacidad, y los alumnos tienden a pensar, de entrada, que es una soberana exageración. Pues bien, aquí tenemos el caso «en modo real»:

Fidelity Investments, una empresa de fondos de pensiones, «pierde» accidentalmente los datos personales de 196.000 empleados y ex-empleados de Hewlett-Packard (ver noticia en ComputerWorld). Al investigar el incidente, leo en el WSJ ($) cómo se descubre que el problema ha estado en un empleado de Fidelity, que dejó su ordenador portátil en un coche de alquiler aparcado en un restaurante. Una de las personas que estaba en la comida regresó un momento al coche a recoger algo y, simplemente… lo dejó abierto. El coche, evidentemente, no mostraba signo de violencia alguno. ¿Que hacían los datos de 196.000 empleados en un laptop y en un archivo no encriptado? No lo saben, y aseguran que tal proceder no es conforme a sus estrictas políticas de seguridad. Pero mucho me temo que las políticas de seguridad no basta con escribirlas…

Lo normal es que este tipo de robos y denuncias acaben siendo simplemente un robo de un portátil, que es convenientemente revendido lo antes posible tras haberlo borrado. Se desconocen, por la naturaleza de la materia, casos en los que se haya hecho uso de la información contenida en ellos. Pero en este caso, la información incluía nombres, apellidos, números de la seguridad social, salarios, cumpleaños, etc. En manos de según quién…

8 comentarios

  • #001
    Gorki - 27 marzo 2006 - 09:50

    En efecto el eslabón más débil de la seguridad siempre es el usuario. Me tocó trabajar en un banco poco después que se produjera el típico desfalco millonario de una transferencia fraudulanta hecha desde el banco a una cuenta numerada a Suiza.
    Las normas de seguridad que pusieron nos hacían casi imposible trabajar a los informáticos. Sin embargo lo que hizo posible el desfalco, podia poderse volverse a repetir, un jefe con nivel para permitir la transeferencia, dio su password al subordinado que tenia que autorizar. Debido a mil circunstancias que se dan a diario, unas vacaciones, una ausencia por enfermedad, … cualquiera de esos motivos llevan a cualquiera a dar su password a otro compañero y luego vienen las consecuencias imprevistas.
    Cosas como llevarse trabajo a casa y mil asuntos derivados del exceso de confianza del usuario, son la causa reales de los fallos de seguridad, muy por encima de hackers y virus.
    Simplemente, dejar tu terminal abierto, permite que segundos, alguien introduzca un programita lector de pulsaciones, para descubrir tu password. ¿Quién no ha abandonado su puesto de trabajo montones de veces dejando abierta la sesión?

  • #002
    Luis - 27 marzo 2006 - 10:46

    Otro caso:

    http://seguridad-de-la-informacion.blogspot.com/2006/02/el-eslabn-ms-dbil-siempre-el-factor.html

  • #003
    CarlosML - 27 marzo 2006 - 11:34

    Que el eslabón más débil es el individuo es una obviedad que siempre ha de tenerse en cuenta. No sólo hay que implantar un sistema de seguridad de la información, hay que gestionarlo. Si en su día se consideró que la información era un activo lo suficientemente importante para crear una función dedicada dentro de una organización, hoy para que esa información siga siendo un activo estratégico hay que dotarla de seguridad y ésta ha de ser gestionada. Efectivamente, no basta con escribirlas.

    Separation of duties & Rotation of duties

    Saludos

  • #004
    jm - 27 marzo 2006 - 12:08

    Je, de todos modos me gustaría añadir que seguro, seguro, seguro, que todos los empleados de esa empresa han realizado «mega succsessfully» el curso «virtual» por supuestísimo y «mandatory» de las «policyÃ?Åœs» de uso de herramientas y de ética en la empresa y de seguridad y bla bla bla.. Esto pasará cada vez más en un mundo donde «todos los departamentos de soporte y atención a clientes internos/externos» están siendo sustituidos por el maldito doit yourself de una página web de la maldita intranet/extranet… reivindico el derecho al «en que te puedo ayudar» de un «ser humano»
    Pos eso..

  • #005
    Antoine - 27 marzo 2006 - 13:25

    Cuando la seguridad de una empresa se pone en peligro porque un empleado se deje el coche abierto, es un problema de incompetencia de su top management, más que del pobre trabajador.

    Es como si el Banco de España le diera las llaves de la caja fuerte a un cajero, y no estableciese ninguna otra medida de seguridad. Si el cajero pierde las llaves, y el Banco de España es desvalijado ¿quién es el responsable?

    Muchos en Fidelity Investment «should be fired inmediately», y no refiero al que se dejó el coche abierto, que entre otras cosas, igual se iba meando, y se metió corriendo en el restaurante a aliviarse, y logicamente no se acordó de echar el seguro.

  • #006
    troll - 27 marzo 2006 - 13:28

    El punto mas debil siempre es el administrador, es posible que este usuario fuera una administrador de la base de datos y que para pruebas se llevo a su portatil una descarga de una tabla.

    Con un disco USB y algunas password, me puedo llevar a casa todos los datos que quiera, si trabajo en una empresa de seguros me puedo llevar toda la informacion de todas las polizas, hay discos USB como el de Enrique que pueden contener todos los datos sin problemas.

    El USB no esta encriptado y es el principal enemigo.

    Hace mas de 10 años nos robaron en mi departamento todas CPUs, HD, grabadoras etc, no robaron un servidor SUN que era lo que mas valia, pero dio la casualidad que se llevaron los discos duros de nuestro repositorio en RED, un proyecto de mas de 200 millones de los de antes.

    Las pruebas con gaseosa.

  • #007
    JFT - 27 marzo 2006 - 16:20

    No se si es el más débil pero si el que provoca más problemas de seguridad. Dentro de este zoo esta el primero el «empleado descontento». De todas formas, la ingeniería social es uno de los primeros pasos para llegar a la información golosa.
    Lo que ahora toca es la valoración de los activos y defender sólo lo necesario para no caer en políticas que no son asumibles por la mayoría. Quizás el mejor ejemplo de esa nueva política que supera a todas las anteriores sera la SRM. Pero aún no llegamos a ello en España. Tenemos aún un problema de seguridad física más que lógica aunque ahora todo huele a esperanza…

  • #008
    JULEN - 29 marzo 2006 - 18:46

    Enrique: ¿controlas el sector de la seguridad informática? ¿Conoces la empresa de San Sebastián S21sec?

Dejar un Comentario

Los comentarios están cerrados