El Blog de Josep Miró

Continuación de:  Agujeros de seguridad en la empresa, los mayores responsables los usuarios (o trabajadores)

2-Robo de Información.

Si te quieren robar, te van a robar, te pongas como te pongas, pero al menos ponlo difícil, no dejes las llaves puestas…

Algunos consejos, pueden ser evidentes y más de uno pensará “y el listillo este”, pero os aseguro que las cosas pasan y no pasan más por que la gente es buena.

• Evita el acceso físico a los servidores, no lo dejes en un pasillo donde pasa todo el mundo, déjalo en un despacho a puerta cerrada o en un armario Rack para tal efecto y con llave.
• No apuntes post-it con las contraseñas.
• No dejes contraseñas por defecto en los routers (no querrais saber la cantidad de 1234 que hay por ahí…)
• Las cintas, cd y dvd de las copias de seguridad, llevatelas a tu casa o guárdalas bajo llave (en un armario ignífugo, claro).

Los portátiles, si te lo roban o lo pierdes, ¿que? aparte del disgusto por el equipo, ¿que pasaría con la información?¿tienes copia en la empresa de la información?¿y de los mails?, Si me encuentro tu portatil, aunque no sepa la contraseña de Windows, ¿crees que no tendré acceso a su información?

Los portatiles, hay que encriptar el disco duro, al menos si lo pierdes o te lo roban que no puedan ver lo que hay dentro…

3.Fuga de Información.

Tampoco seria la primera empresa donde un empleado se va, y se lleva información, ya sea esta para uso personal como para utilizarla en su nuevo empleo (probablemente la competencia).

Este punto es más critico, porque lo ideal seria “blindar” la empresa, es decir, que un empleado no pueda “llevarse” información, y es que hoy en día es muy fácil “llevarse” información, desde enviarla por correo a casa, enviarla por ftp a algún servidor, haciendo una copia en un cd/dvd/, con un pen (memoria usb), tarjeta de una cámara, un disco usb, la memoria del teléfono o incluso un Ipod o reproductor mp3…

La solución ideal pasa por dos tipos de medidas:  medidas de acceso telemático y medidas de acceso a hardware.

3.1 Telemáticas:

• Blindar el acceso al exterior, como el envió de correo electrónico a ciertas cuentas personales o tipo gratuito como Hotmail, etc.
• Blindar el acceso al exterior a servicios de alojamiento como megaupload, rapidshare, etc
• Prohibir el acceso al exterior a servicios tipo ftp, servicios remotos, etc.

El handicap, no tan técnico ya que esto con un servidor proxy se puede conseguir, es que hay que estar en permanente evolución y al día de nuevos servidores de alojamiento, nuevos servidores de correo electrónico, etc y es que cada día aparecen cientos de nuevos.

Otra opción es limitar el acceso a internet, pero esto creo iria en contra del beneficio propio de la empresa, ya que es habitual que un empleado requiera acceder a internet para buscar información de los mas variopinta.

La mejor opción sería encriptar toda la información que circula por la empresa, de modo que solo pueda ser “leida” por ordenadores que posean la llave de desecriptación, con esto tendriamos un control bastante real de la información y poca fuga, ya que si alguien se envia un documento a casa, deberia tener el mismo programa de desencriptación que en la oficina. La pega seria el envio de información a posibles clientes, colaboradores, etc pero es facilmente subsanable este punto.

3.2 Hardware:

El objetivo es impedir que un usuario, llega a su mesa y conecte en su equipo, ya sea de sobremesa o portatil, cualquier dispositivo que pueda tener en casa, bien sea una memoria usb, un disco duro externo, una camara de fotos, un Ipod…así como impedir que puedan utilizar la grabadora de cd/dvd’s.

Para ello existe software especifico en el mercado o una solución más económica si utilizamos windows, es aplicar distintas directivas y politicas de seguridad y desplegarlas en la empresa mediante “active directory”.

continuará …

foto: http://www.sxc.hu/profile/walker_M