El Blog de Josep Miró

Leo una nota en www.tecnologiapyme.com, donde a modo de resumen viene a concluir que el mayor agujero de seguridad de una empresa son los trabajadores y que los directivos son poco conscientes de la situación. Hace referencia dicho informe que las empresas se protegen mejor contra los ataques “externos” que contra los internos e involuntarios por parte del personal. En la reseña hacen referencia a un informe de IDC (www.idc.com), pero he sido incapaz de encontrarlo en menos de 5 minutos, por lo que voy a aportar mi granito de arena.

Bien, definamos “Seguridad IT” como aquellas barreras y métodos para evitar el acceso indebido a la información. A su vez, llamaremos “acceso indebido” a documentos, bases de datos, etc en las siguientes situaciones:

• Acceso a información.
• Robo de información.
• Fuga de información.
• Destrucción de información.

Los que nos dedicamos a esto de las tecnologías de la información desde hace años, y hemos visitado centenares de empresas de todos los tamaños y sectores, sabemos que la seguridad informática es una Utopia, y que no hay quien se salve de tener ciertos agujeros, sino todos, ya sean empresas con personal “teóricamente” cualificado como empresas con servicios subcontratados (que es peor, encima de p..a, paga la cama).

Partamos de un escenario base, es decir, un servidor o dos, conexión a internet mediante un router debidamente cerrado, es decir, nada de fuera tiene acceso a dentro ni tan solo puertos redireccionados, un sistema mínimo de autenticación en la red basado en windows (active directory) y un sistema de copias de seguridad, menos es un suicidio en seguridad…

1. Acceso a la información.

El ejemplo típico sería el de una vez conectado a la red, es decir llegar y conectar el portátil y obtener una dirección de la red, poder examinar la misma sin ningún “muro” que nos lo impida, viendo todos los documentos de todos los ordenadores, del servidor, etc.

Si esto lo puedo hacer yo que vengo de fuera, imaginemos un empleado que esta todo el día en la red y tiene acceso a contratos, ofertas, presupuestos, etc, o una persona descontenta y con ganas de fastidiar, lo mismo que lee un documento podría modificarlo o borrarlo. Vamos, lo que se conoce como entrar hasta la cocina.

Los típicos errores son:

• La mala, o inexistente,  configuración de la red a nivel de servidor, dando permisos a todas las carpetas o directorios a todos los usuarios.
• Contraseñas en los servidores “estandar” como Admin/Admin o Administrador/Administrador o lo peor Administrador sin contraseña.
• Contraseñas en los equipos (usuarios) estandar y evidentes o dejar los equipos con el Administrador y la contraseña en blanco.

Esto sería fácilmente subsanable creando lo que se llama “políticas de grupo” en Windows y aplicarlas correctamente.

Una buena política de contraseñas tanto a nivel de servidor como de equipos (aunque esto ultimo sea un coñazo). Delimitar el acceso a la información, la información de Gerencia no debería ser visible por el dept. técnico, por no hablar de toda la información sensible donde ademas incumpliriamos la LOPD.

continuará…

foto: http://www.sxc.hu/profile/saavem