El enemigo puede estar dentro


Uno de los factores críticos a la hora de gestionar la seguridad de la información en las organizaciones, es el factor humano.





Aún así, es frecuente observar cómo, por norma general, los esfuerzos
de seguridad técnica suelen ser muy considerados, pero sin embargo, la
seguridad del factor humano a veces es menospreciada o en el peor de
los casos, pasada por alto. En éstos casos, hablamos del enemigo que
está dentro, bien sea por la intencionalidad de sus actos, bien sea
por negligencia en el tratamiento de los activos de la información.

Si nos ceñimos al marco normativo más reconocido, el que nos ofrece ISO
17799:2000, hay varios puntos de control que tienen que ver con el
factor humano. Además de la seguridad física y del entorno, el punto
de control principal viene reflejado claramente en lo que se suele
denominar seguridad ligada al personal. La idea de controlar al personal
no está relacionada con la restricción de la libertad y la comodidad de
los empleados en las organizaciones: se trata de imponer puntos de
control en el factor humano que opera con la información, de modo que se
eviten fugas de información, errores en el manejo de datos, brechas en
la confidencialidad y que la protección de aspectos importantes, como
los secretos industriales y el "know-how" de los negocios, sea una
realidad no sujeta a posibles fisuras causadas por el espionaje
industrial o la competencia desleal.

En las labores de consultoría de seguridad es frecuente que se realicen
muchos trabajos para definir radiográficamente la situación de una
empresa determinada en cuanto a la robustez de su infraestructura
técnica. Los análisis generales, las auditorías perimetrales, los test
de intrusión, la analítica forense y otros tipos de pruebas son muy
útiles para saber si las puertas de entrada aguantarán los golpes de los
arietes, o si la cerradura será suficientemente segura para que ninguna
ganzúa pueda abrirla. Es el enfoque tradicional de seguridad ante los
ataques de fuerza bruta y ante los intentos de intrusión sigilosos y
técnicamente depurados, metodologías de ataque que aunque pueden actuar
por separado, normalmente, suelen ir de la mano.

Llegados a este punto, sería conveniente plantearnos un paso más allá
de la seguridad tradicional basada en las pruebas técnicas. Según lo que
se plantea, abordar las cuestiones de seguridad relativas al personal
parece una medida muy interesante, ya que a fin de cuentas, el hardware
y el software está operado, supervisado y administrado por usuarios. En
otra ocasión, desde Hispasec Sistemas, hemos hablado de la gestión del
riesgo. Hoy complementaremos esa información con las nociones
elementales de la seguridad ligada al personal.

La seguridad ligada al personal debe ser meticulosamente planificada.
El tratamiento de las medidas de control, aplicadas a seres humanos,
requiere tacto y requiere tener en cuenta que cada empleado tiene sus
propias determinaciones y condiciones laborales. Aún así, es posible
planificar la seguridad del personal como un conjunto de medidas de
control general, que hagan que éstas sean efectivas independientemente
del sujeto afecto, y sin que éstas medidas supongan un menoscabo de
los derechos y el confort de los trabajadores.

Las principales medidas de control que se suelen recomendar son las
siguientes:

* Reducción del riesgo del factor humano, debido a errores, pérdidas,
robos y usos indebidos de la información. Los acuerdos de
confidencialidad, la selección rigurosa del personal y la inclusión de
la seguridad dentro de las responsabilidades contractuales son buenas
prácticas aconsejables en este punto.

* Concienciación del personal en cuanto a política de seguridad y
medidas que deben contemplar para evitar riesgos. La única manera de
propagar la esencia de la gestión de la seguridad es que el personal
conozca los riesgos y sus consecuencias, con lo que la empresa debe
invertir en la formación sobre los principios básicos de gestión
segura de la información.

* Minimización de las consecuencias de los incidentes provocados por
el factor humano, tomando el error como fuente de aprendizaje para la
prevención de futuros problemas. El error es una importante fuente de
retroalimentación que puede permitir que en futuras repeticiones de una
problemática hayamos aprendido a minimizar los impactos. Es imperativo
ajustar y dar a conocer los medios de difusión de los incidentes una
vez ocurran, de modo que todos los integrantes de la cadena de
responsabilidad sepan qué han de hacer y a quién deben informar en
todo momento. Cuando exista intencionalidad en el personal infractor,
temerario o negligente, es evidente que la empresa debe recurrir a
procesos disciplinarios y represalias legales.

* Estudio del personal crítico, es decir, del personal que debe cubrir
las tareas críticas de la organización cuya importancia es vital para la
empresa. Los procesos críticos son más importantes que los procesos de
apoyo, luego el personal que debe atenderlos es más importante para la
empresa, independientemente que todos los empleados son de importancia
vital para las organizaciones. De esto se deduce claramente que un error
o mala intención de un asalariado crítico normalmente será más dañino
que un error de un empleado adscrito a un proceso no crítico.

Existen otras medidas que pueden complementar a estas cuatro medidas
generales. No son las únicas, ni tienen por que ser el referente a la
hora de gestionar la seguridad del personal, pero en circunstancias
normales, son cuatro conjuntos de factores que deberían ser vigilados
estrechamente.

Los consejos, a modo de resumen, que pueden emitirse son de diversa
índole. Estos diez consejos, basados en la documentación de la
consultora norteamericana Covelight Systems, pueden ser un buen resumen
para la amenaza interna de carácter intencionada. Las recomendaciones
para la amenaza no intencionada, son obvias: formación de los empleados
y políticas de concienciación y aprendizaje.

1. Vigile las cajas que contienen las joyas, no las salidas del
edificio. Es decir, céntrese en las medidas y objetivos a priori, y no
en las medidas a posteriori. Éstas son secundarias.

2. Sea proactivo. Trate de anticiparse a los movimientos de los posibles
infractores.

3. Trate la seguridad con independencia y objetividad.

4. Ordene a los empleados en función a los privilegios a los que pueden
acceder. La relación entre riesgo y privilegios de los que se gozan es
directamente proporcional.

5. Esté atento al comportamiento sospechoso de los usuarios. Suele
ser el primer indicativo de que puede haber en curso un problema de
seguridad.

6. No pase por alto lo obvio. La mayoría de las veces, la amenaza
interna es relativamente fácil de visualizar. No busque amenazas
intrincadas, trate primero de analizar lo evidente.

7. Apóyese en sistemas automatizados de vigilancia. Pueden complementar
los resultados de la gestión.

8. Registre toda la actividad crítica, siempre y cuando la legislación
y el respeto a los derechos de los trabajadores se lo permita.

9. Informe claramente a los empleados de cuáles son los riesgos y las
consecuencias de los mismos. Asegúrese de que la política de seguridad
y las condiciones de responsabilidad sean conocidas y practicadas por
todos.

10. La seguridad de la información es un concepto amplio y con
interrelaciones. Consulte a los responsables de todas las áreas
implicadas y establezca los vínculos oportunos.

Poco a poco, las empresas van invirtiendo en una adecuada gestión de
la seguridad, pero el camino para que el factor humano sea un factor
controlado y seguro es largo y tortuoso. Quizás es buen momento para
que usted comience la andadura, si todavía no lo ha hecho.

Más información:

Malware diseñado para el espionaje industrial
http://www.hispasec.com/unaaldia/2410

Addressing The Insider Threat
http://www.covelight.com/documents/library_22.pdf

Can you trust your trusted users?
http://www.covelight.com/documents/library_21.pdf

The "Authenticated User" Threat
http://www.covelight.com/documents/library_20.pdf


Fuente:
Sergio Hernando
hispasec.com



Otras noticias de interés:

Parche de Adobe Acrobat/Reader no funciona
Un parche recientemente lanzado por Adobe y que, en teoría, resolvía un agujero de seguridad del tipo Zero Day Exploit finalmente no cumple con este propósito....
Safari con fallo de seguridad
Los sitios webs atacantes que visita el usuario con el navegador podrían acceer a la información a través de la función autocompletar....
La crisis sigue recortando los presupuestos en TI
Como consecuencia de la crisis, tres de cada cuatro organizaciones (73%) se han visto obligadas a recortar costes en el área de TI, mientras que otro 10% tiene la intención de llevar a cabo a corto plazo iniciativas de este tipo....
Google Chrome 17 disponible
Pocas horas después de la presentación oficial de Google Chrome para Android, los de Mountain View, han liberado una nueva versión estable del navegador para el escritorio, llegando de esta manera a Google Chrome 17....
Fallos descubiertos en el servidor Apache podrían ser usados para realizar diferentes tipos de ataques.
Infohacking acaba de publicar varias vulnerabilidades en servidores web Apache 2.0.59 y Apache 1.3.33, este servidor web es uno de los mas usados en el mundo, el problema radica que la vulnerabilidad podría ser usada para realizar en un futuro desde...
INFORMACIÓN
Debido a que el exploit remoto usado para la incursión lo colocamos hoy (23/01/2003) en nuestro propio server y estaban conex un número bastante significativo de usuarios, aunado a eso recibimos tambien ataques DoS, por lo que el Ancho de Banda dis...
Vulnerabilidad en Safari
El navegador web del sistema operativo 'más seguro del mundo', MacOS X, tiene un fallo que puede ser aprovechado por los hackers para infiltrarse en este tipo de máquinas....
Sentencia: validez de las licencias copyleft
Quizás el caso les suene porque tiene ya algunos meses y se comentó en algunos medios (aunque es ahora cuando he conseguido acceder a la sentencia de primera instancia): un autor que usa una licencia libre para algunas de las obras que publica en I...
El malware sigue cebandose con las vulnerabilidades de los ficheros PDF
Un informe elaborado por G Data SecurityLabs saca a la luz que a lo largo del mes de abril la mayor parte del malware, presente en los ordenadores, sigue valiéndose de las vulnerabilidades de los ficheros PDF y del componente JavaScript....
Aparece el primer troyano secuestrador de archivos
La imaginación de aquellos que quieren aprovechar Internet para su beneficio personal, defraudando a otros, no tiene límite. Ahora, los virus encriptan archivos y piden un “rescate” por su recuperación....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • dentro
  • enemigo
  • estar
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra