| |
Uso de almacenamiento
extraíble
En los ordenadores modernos
contamos con diversos dispositivos destinados a introducir y extraer
información en formato digital. Desde los clásicos lectores de diskette a
lectores de tarjeta de memoria, pasando por los lectores/grabadores de CD
y DVD, los dispositivos magneto-ópticos o las "llaves" de memoria flash.
Todo esto, como puerta de entrada a nuestro sistema, debe de ser
controlado de cara a la seguridad.
El problema más obvio que
presentan estos dispositivos es la entrada de código malicioso a través de
ellos. Un usuario, de forma maliciosa o inocente, puede colocar dentro de
la red software perjudicial, como un virus, un troyano o simplemente una
aplicación que oculte spyware. Parece que quedan lejanos los días en que
la única forma de transmisión de los virus era a través de discos
flexibles compartidos entre los usuarios, pero sigue siendo una puerta
posible para su difusión. A esta amenaza se le suma la que representa
cierto software que, bajo una apariencia útil y gratuita, alberga troyanos
o spyware. Un usuario podría, con la mejor intención, instalarse una
aplicación que le resultase a primera vista útil, y de esta forma abrir la
puerta a un asaltante que hubiese escondido su código en ella.
Otro problema, no tan obvio,
pero existente, es el de fuga de información. Está claro que hay
departamentos de la empresa que son apetecibles desde el punto de vista
del espionaje industrial, como pueden ser los de desarrollo, contabilidad
o comercial, y que, por tanto, deben de ser especialmente protegidos. Pero
una estricta política de seguridad de la información se puede venir abajo
si una de las personas con acceso se lleva la lista de clientes o el
diseño del último proyecto en una llave USB, para vendérsela a nuestra
competencia. Sin llegar a esos departamentos críticos, es posible que un
usuario saque información aparentemente no demasiado secreta, pero si útil
para los posibles atacantes, como puede ser organigramas de la empresa, o
planos de la red.
En todo caso, en esto como en
la mayoría de las cosas deberemos guiarnos por el principio del mínimo
acceso. Si una persona no tiene necesidad por su trabajo de acceder a
dispositivos removibles, no deberemos facilitarle el uso de los mismos.
Los distintos sistemas operativos proveen de diversos mecanismos para
eliminar estos dispositivos lógicamente, si no es posible eliminarlos
físicamente.
Políticas y
restricciones
Aparte de todos estos
mecanismos, deberemos fijar unas políticas claras a nivel empresa del
software que se puede usar en el sistema. Es preciso una delimitación
nítida por puesto y necesidad, para evitar confusiones. Si un usuario de
contabilidad necesita acceso a la base de datos del programa contable, se
le dará únicamente acceso a este. No tiene porque tener acceso al
directorio donde están los planos de diseño, así como los usuarios de
diseño tendrán acceso a este directorio, pero no al programa contable.
Además, debe de preverse una
instalación básica del puesto de trabajo de cada departamento. Que
programas son necesarios, que versiones y que sistema operativo. Una vez
definido, deberá configurarse así cada puesto y establecer controles, bien
mediante las herramientas de los sistemas, como las Group Policies
de Windows, bien mediante inspecciones (y sanciones correspondientes). De
esta forma evitaremos encontrarnos con la desagradable sorpresa de que en
el programa de contabilidad aparezcan datos corruptos enviados por un
usuario juguetón del departamento comercial. O descubrir un cuello de
botella en la salida a Internet porque un administrativo instaló un
programa P2P.
Todas estas medidas deben de
ser apoyadas desde la dirección y departamento de recursos humanos, para
que la efectividad en la empresa sea máxima.
Luisma
Miembro de la
AIH |
Responder a este mensaje