Enrique Dans

Me temo que lo de la conciencia a nivel de empleados es más que difícil cuando el encargado de seguridad informática de cualquier empresa es «ese tío que se dedica a joderte la marrana cerrando puertos y evitando que te desgargues porno y colapses las cuentas de correo con basura y spam».
Los buenos, al final, siempre terminan siendo los malos.

Recuerdo un «youÃ?Åœr fired» masivo del santander en madrid, cuando todos los ya desempleados llegaban a sus puestos de trabajo y veían como sus tarjetas de acceso estaban bloqueadas, y como todos sus enseres personales de sus cubículos fueron metidos en cajas, sin que pudiesen acceder en ningún momento a sus ordenadores y hacer la última perrería antes de irse.
Yo ahora mismo tengo un becario q se dedica a copiar en su USB todos los planos q va realizando en la oficina, y cuando se le pregunta q hace, pues nada, «llevarmelos a casa» como que a casa?-digo yo- bueno si es que son para mirar ehhh ahhhhh, uhhhhhhh, ah bueno, mejor los dejo no?
Total se ha quedado sin internet, porque también adjuntaba planos en su correo, y por azares de la vida, he conseguido volcar toda su llave USB en el disco duro y descubrir proyectos de su anterior ocupación en otra empresa!!
Yo no se si estaré histérico o no, pero que no he dormido bien un par de días eso fijo!!

Mientras se conciencia a los empleados, las soluciones de SecureWave, distribuídas en España por Adanta Systems, pueden ser una solución.

En ciertas compañías, telefónica móviles sin ir más lejos, estás cuestiones rozan la más absoluta paranoia.

Puertos capados, portátiles configurados por sus sistemas de seguridad, etc.

Es un problema grave.

Lo peor es que, pese a la paranoia, luego algún empleado de dentro, un insider, llegue y venda los datos que pueda conseguir a un buen postor.

Windows Vista incorpora un sistema para que el administrador pueda automáticamente bloquear el uso de discos USB. Alguien ha pensado ya en esto ;-)

Querido Enrique, me tocas la fibra con estos temas, como sabes…En fin, soluciones…haberlas, haylas, pero si contrapesas el «mal rollo» resultante de su implantación al disparar la sensación de Gran Hermano, cualquier Responsable de Seguridad se lo piensa dos veces. Mi opinión es que el cóctel óptimo es una combinación de educación del empleado, herramientas preventivas (con la granularidad que se quiera y llegando a controlar hasta el Impr. Pant), responsabilidad legal y…tachan, la gran missing, la cobertura aseguradora. Para ello deberíamos disponer de una valoración realista de la información, algo, por desgracia, muy traido por los pelos ante la falta de herramientas de análisis de riesgo fiables desde un punto de vista cuantitativo. Pero oiremos hablar mucho sobre ello…

Efectivamente, los que tenemos como responsabilidad velar por la seguridad de la información de nuestras empresas debemos lidiar con el equilibrio entre la productividad de nuestros empleados y la protección de la información que gestionan. La seguridad debe entenderse como una gestión de riesgos en la que la empresa debe decidir hasta que punto puede perder productividad (las medidas de seguridad siempre tienen un coste) y hasta que punto puede arriegarse a una perdida, corrupción, modificación indebida o fuga de información.

Al final del tunel siempre se llega al que el activo de seguridad más importante son los propios empleados/usuarios, y la mejor inversión de seguridad es educarlos y concienciarlos aducadamente adecuadamente. La información debe ser accedida por alguien, si no no tendría razón de ser, así que la única forma que tenemos de minimizar un incidente es poder confiar en la gente que debe acceder y protegerla de accidentes y de quienes no deben tener acceso. Los bits, cómo sueles decir, son libres, y quien tiene acceso a una información, por más trabas que le pongamos, si quiere la acabará haciendo circular.

Un saludo,

Christian

Por cierto, un saludo a Fernando. He leido tu comentarios después de publicar el mío (me ha llevado un rato entre que hacía otras cosas). No me acordaba que Enrique y tu sois colegas en el Instituto.

Como siempre, se atribuyen maldades a la herramienta cuando, en realidad, residen en la persona.

Supongo que también se bloquearán las impresoras para que el becario de los planos no pueda llevárselos en papel, o incluso se optará por lobotomías masivas para que nadie se lleve nada en el coco.

Para acciones ilegales – las menos – ya hay todo un sistema judicial que penaliza dichas infracciones, lo mismo que hay que fundir al que copia en un examen y no por eso demonizar la formación virtual, o meter en la cárcel al terrorista que se coordina por e-mail sin tener que espiar los correos de todo el mundo.

JdM: ¿Cuánto crees que tardarán en desarrollar un «desactivador» para ese sistema de bloqueo? :)
Lo que me preocupa de este tema no son las cortapisas para copiar información, imprimirla o enviarnosla por correo a casa. Siempre habrá formas de hacerlo por más barreras que pongan. Lo que me preocupa es la justificación que este tema dará a algunos para «sobrecontrolar» todo lo que se mueve por los discos duros y las pantallas de una empresa. Todo. Lo profesional y lo personal. Al final el tema es el de siempre: ¿dónde está el límite que separa lo que es un control necesario y lo que es una intromisión indeseada?

Fernando, ¿para cuando un blog tuyo? A ver si te animas, que no será por falta de cosas que contar… :-)

Cuando eres el desarrollador de una web corporativa y no puedes informarte sobre las últimas técnicas de ‘hacking’ porque el proxy de tu empresa no te lo permite… Es cuando no sabes si llorar o reir.

como siempre primero se culpabiliza a todos para poder meter más seguridad paranoica, es dceir, yo pensaba que todos eramos inocentes hasta que se demostrase lo contrario, pero ya veo que no, como se sospecha de todos los trabajadores se tomasn medidas de seguridad paranoicas. Señores, ¿se han parado a apensar que a la inmensa mayoría de los trabajadores nos importa una mierda los datos que contienen la empresa para la que trabajamos? ¿que solo queremos usar los usb para mejorar nuestro trabajo, o simplemente, para intercambiar mp3 con el compañero de al lado? menos paranoias, please!

«En ciertas compañías, telefónica móviles sin ir más lejos, estás cuestiones rozan la más absoluta paranoia.»

Pues yo he visto en Telefónica Móviles esos carteles invitando a sus empleados a no anotar contraseñas en un post-it y me han parecido asombrosamente elegantes. Comparando, claro está, con mi empresa. Aquí simplemente hemos recibido un email de IT donde se nos dice que de hacer algo así seremos despedidos. Parece que he caído en un extravagante lugar donde IT despide.

Las amenazas de despido se extienden a todos aquellos casos donde pongamos en peligro la seguridad de la compañía. Curiosamente nunca hemos recibido un manual de seguridad ni nada parecido que quite de mí la sospecha de que sé más sobre seguridad que mis IT. Por supuesto, yo sé que poder entrar en la workstation de un cliente desde un ordenador situado en nuestra DMZ es un riesgo de seguridad. Por eso a ese ordenador sólo se puede entrar por ssh, sólo desde dos IP públicas, y sólo usando una clave RSA que no está copiada en ninguna parte y siempre llevo conmigo en una llave USB.

Así que sirva como amenaza, si se me capa el USB, tendré que activar contraseñas en ese servidor ssh. :)

El problema tiene dífícil solución. Yo ahora mismo soy sufridor de medidas de seguridad muy restrictivas a la hora de acceder a datos de mi empresa (que sin embargo, como se apunta en otros comentarios al final se pueden eliminar a poco que uno rasque algo) me pongo en la piel de los responsables de seguridad y no sé que hacer. Bueno si se me ocurre un apunte de una idea para desarrollar mejor.
En el caso de mi empresa la mayoría trabajamos con equipos de sobremesa (y los elegidos para la gloria con portátiles) y solemos usar memorias USB o el correo electrónico para llevarnos documentos a casa y terminar allí el trabajo. Luego la idea que se me ocurre es centralizar toda la información en un buen servidor de documentos y permitir el acceso desde fuera de la red corporativa a esos datos, incluso mejor usando herramientas de edición tipo writely (http://www.writely.com/BasePage.aspx) que controlasen quién entra a la información y permisesn trabajar con ella pero sin admitir la copia a local. En el peor de los casos quedaría constancia de quién ha accedido a los datos.
Y otro problema añadido, estaís planteando que la información se puede sustraer para llevarla a otras empresas, venderla… pero en el caso de mi empresa nuestra información no puede salir fuera por temas legales…

Yo creo que al final llegaremos al extremo que se ve en la peli Paycheck, lavado de cerebro tras realizar un trabajo…

La informacion deberia ser libre. Si ocultamos informacion es para engañar a otros seres humanos. ¿Es eso etico?

;)

(yo es que sigo siendo un idealista)

Si puedes acceder a la información con un poco de ingenio siempre la podrás duplicar.

Las aplicaciones que se instalan para ver que hace el usuario suelen ser servicios que dejan de funcionar con una visita rápida al panel de control, si los usuarios no tienen acceso por ser usuarios con pocos privilegios siempre pueden arrancan con un disco de arranque y uno de esos miles de programas que circulan por la red y hacer lo mismo que si fueran administradores…

Con poner trabas solo se consigue agudizar el ingenio de la gente por llegar a la información.

Yo ahora mismo no tendría que poder comentar este post de Enrique :P

Es un reto al que se enfrenta la sociedad, conseguir el equilibrio.Por un lado se quiere fomentar el teletrabajo o el trabajar en cualquier lugar, el estar siempre conectados (y esto implica tener accesible la información para poder hacer aquella u otra oferta, presentación) y por otra los temas de seguridad.
No es fácil la solución.

En cuestión de seguridad, yo he trabajado en la industria militar, y solo dejar un papel sobre la mesa cuando te ibas de la oficina, era causa de una bronca de cuidado por parte de los responsables de seguridad.
No obstante, frenar a un empleado infiel es imposible, hay excesivas formas de sacar información sensible y hoy más, mediante cualquiera de los aparatos que indicais, la solución es tener empleados fieles que deseen seguir trabajando en la compañía durante muchos años, pues ellos serán los más preocupados de que los datos sensibles no salgan de la compañía.
El problema radica en como conseguir tener un empleado así motivado, cuando no le das un contrato de trabajo indefinido, un sueldo digno y no le ofreces formación para promocionar dentro de la empresa.
Las nuevas técnicas de Management han acabado con aquel empleado fiel que despues de 25 años en la compañia, recibía un relloj de oro, pero no han pensado en el riesgo de cambiar estas personas por puros asalariados que tiene la seguridad que su puesto es inestable. Hoy empezamos a ver los defectos del nuevo sistema.

Interesantísima conexión al hilo del tema, gorki… en el fondo, lo importante son las personas, y seguro que una empresa con personas comprometidas está en una situación mucho más segura que una con los mejores sistemas de última tecnología aprobados por el FBI… :-).

Tu pregunta a un empleado de IBM si se llevaria la lista de clientes de la empresa. Veras como te dice que no.
Tu haz la misma pregunta a una bodyshop y compara las respuestas

Muy fácil, Enrique: usa Linux. Es realmente sencillo deshabilitar el soporte para dichos dispositivos o, al menos, restringirlo a ciertas cuentas de usuario (como cuentas administrativas).

Para increíble que en Windows, ese «sistema operativo tan novedoso», sea necesario recurrir a soluciones de terceros para hacer algo que en Linux es tan sencillo como cambiar unos simples permisos o crear una regla UDEV.

A todos los que estais a favor de los USB os dire que trabajo en un sitio en el que tengo acceso a mas de 400000 millones de tarjetas y demas datos.

Si me los meto en el USB y me pongo a ponerlos en CHAT mas de uno va a flipar.

La seguridad esta bien, pero es mas importante la responsabilidad.

Si no puedes confiar en tu administrador de base de datos o en tu administrador de sistemas, mejor que contrates a otros.

Es cierto que si alguien quiere hacer algo, y si sabe y puede hacerlo lo hará. Pero creo que vincular la seguridad de un sistema a la buena voluntad de la gente es un poco utópico sobre todo si lo ligamos a temas como el espionaje industrial.

¿Que condiciones laborales debe tener un empleado para ser inmune a una oferta de la competencia?

Evidentemente el factor humano es importante, pero también el aspecto técnico de la seguridad.

La clave está en que cada cual pueda utilizar los recursos que necesita utilizar. Ni más ni menos, ambos casos producen falta de productividad.

Lo que si que considero imprescindible es un manual de seguridad, en el que queden descritos protocolos de uso de información. Lo que suele pasar es que queda a criterio de cada cual, y si se produce una fuga, pagas las consecuencias de una falta de estrategia desde arriba.

Como comienzo de poema depositar la confianza en terceros, vale. Para que se llegue a ese estado, son las compañías las que tendrían que cambiar su política de RRHH.
Pero, además, las principales vías de inseguridad siguen siendo los empleados, cabreados o no.
Por otro lado, la sofisticación de los ataques es cada vez más indetectable. Las empresas no saben lo que se juegan y, por supuesto, no saben discriminar los datos criticos para ellos de los que son para el atacante. Ahora mismo, la pasta esta en juego, no la curiosidad. Cualquier paranoia es poca.
Cuando hablas de seguridad parece que algo parecido al garaje de mi casa: tenemos guardias jurado porque roban. Lo importante es guardar el coche, no la inseguridad. El guardia es un gasto por culpa de indeseables. La seguridad en IT es mucho más: no guardo bits con seguridad. Son un componente de roles personales y profesionales creando valor dentro de procesos. La criticidad de los datos es secundaría y los ataques buscán los roles esenciales y la posibilidad de seguir los procesos para detectar el valor en juego. Los virus y demás malware como que son ruido de redes que se echan sin mirar, arrastreros de la red. La seguridad informática son personas y roles jugando un juego que no se puede preveer. Por eso entrán y esperán….

Medidas de seguridad que se toman en las empresas son en general suficientes, (hasta cierto punto), para parar golpes que vengan de fuera. Menos eficaces para los golpes de enmpleados de la propia oficina y absolutamente ineficaces para golpes de empleados del departamento de informática, tanto en la vertiente de explotación como la de programación y desarrollo. Por la naturaleza de su trabajo tienen acceso a los datos, y pueden copiarlos de cien mil maneras, igualmente es dificil detectar bonbas lógicas y otros fraudes informáticos.
Desde luego mas vale procurar tener empleados fieles que controlarlos al minuto, pues en ese caso, engañar se transformar en un deporte y por otra parte, quien controla a los controladores.

En ni larga carrera de informático he trabajado en empresas con cuidada seguridad como la mentada empresa de armamento, bancos y compañias de seguros, y otras de menos riesgo como son empresas industriales y comerciales, en todas han pasado por mis manos, (y por las de mis compañeros), ficheros con listas de clientes, de morosos, propietarios de primas únicas, movimientos en divisas, y clientes de armamento. Creo que mucho de estos datos daban para conseguir jugosas primeras páginas de muchas revistas o para extorsionar a más de uno. Nunca lo he hecho, (ni mis compañeros), porque al menos antes, el secreto profesional del informático era tan sagrado como el del abogado o del sacerdote, pero desde luego alguna vez el pensamiento se me ha cruzado por mi cabeza.
No conozco ningun medio posible para evitar que ese material pasara por mis manos, ni evitar que a partir de el hiciera una copia digital o impresa del mismo. Pienso que si quisiera me habría hecho con ese material.
La seguridad nos guste o no está en manos de los que trabajan en las empresas. Eso no quita que periódicamente se hagan auditorias de seguridad y se mejoren los procedimientos. Pero eso solo aleja las tentaciones, no las elimina.

Yo en esto de la informática soy un simple aficionado, nada que ver con la mayoría de los que escriben aquí.
Pero en la empresa en la que estaba antes, era el que más informática sabía de mi departamento. Los de Informática nos obligaban a cambiar a todos de contraseña cada 15 días por seguridad. Nosotros no percibíamos que los datos que manejábamos fueran tan «apetitosos» y lo de la contraseña nos mosqueaba bastante porque entorpecía nuestro trabajo.
Al final, todos tomamos una decisión: nuestra contraseña sería nuestro nombre + el mes en curso + el número de quincena de mes. Así, mi contraseña ahora sería diegoenero2. De esta forma todos sabíamos entrar en la base de datos desde el ordenador de cualquiera (algo que era realmente útil). Los de informática nunca lo supieron. La verdad es que los percibíamos como gente celosa de su poder que sólo nos obligaban a cambiar contraseñas para demostrarnos que podían hacerlo.
Me temo que ésta es la percepción de muchos trabajadores.

Cierto, incluso entre de los profesionales de informática no hay
la opercepción del peligro. La seguridad es una tabarra, terminas dando tu contraseña a cualquiera porque te vas de vacaciones. Aun ne se de memoria la de mi jefe.
Como pasa en la vida física, en la digital, siempre se pone la puerta blindada el dia DESPUES de que entren los ladrones, para al cabo de unos meses, mantenerla abierta con una cuña de madera.

…Que bonito… eso de empleados responsables y comprometidos!!!!…que en cuanto no les funciona un equipo, «vierten» pestes contra I.T. y resulta que en la mayoría de los casos…se ha descargado/ instalado/ con cientos de virus/ etc. en un equipo que no es de su propiedad.

las medidas de seguridad en una Empresa, se ponen precisamente para los que no son responsables, además muchos de los responsables….dejan de serlo…no por temas I.T., seguro que por otros temas…vete tu a saber….

Una técnica del management, llamada Benchmarking!!!! también podría haber influido…

Claro está que pagan justos por pedadores!!!….Esta vida no es justa, en general!!! Pero que las Empresas se gastan una pasta en estos temas, es una realidad!!!

No hay duda que la primera medida debe ser la educación. Tampoco sobre la importancia de confiar en nuestros empleados y que estos deben sentirse motivados.

También está claro que por muchas medidas que IT imponga siempre habrá quien pueda saltárselas si se lo propone (con soluciones tecnológicas o «simple» ingeniería social).

Pero las generalizaciones no son buenas y las medidas tecnológicas (eliminar puertos USB, por ejemplo) no tienes por qué ser (siempre) algo malo. En el ecosistema que constituye una empresa encontramos especies muy variopintas, desde fieles empleados hasta consultores externos o becarios amargados. Cada uno tiene unos intereses y éticas propios, no siempre coincidentes con los de la organización.

Las medidas tecnológicas están ahí. Utilizadas en su justa medida resultan buenas, medida que depende de muchos factores como la cultura de la empresa. Y utilización que no debe ser sustituto de una completa educación o un seguro ante incidentes.

Los de IT son siempre los «malos» pero su trabajo, que a veces nos disgusta, necesario.

Los de IT son los malos siempre. Somos la cara y la cruz del tema. Estamos en otro nivel de juego con lops mismos problemas de todos los juegos. Las reglas, los maradonas y los que pinchan el balón. La seguridad ha sufrido un cambio cualititativo estos meses. Lo que me da pena es ver que ninguna empresa española esta en disposición de invertir a esos niveles. Curioso.

Como bien he comentado en «Diario de un Director de Sistemas», creo que se debe hacer conjugar las medidas técnicas con el buen hacer del trabajador o como aquí se comenta la «conciencia».

Dejar todo el peso en las medidas técnicas, puede llegar a bajar bastante la productividad. Todo se resuelve intentando buscar un punto intermedio entre una cosa y la otra. A
demás, creo, que es «punible penalmente» el divulgar información de la empresa en la que trabajas (código penal) aunque las empresas no recurran a ello. Y por otro lado están las «cláusulas de confidencialidad», que en algunas grandes multinacionales norteamericanas las firman todos los empleados: ¡menudo libro tuve que firmar yo en mi antigua empresa!.

Obviamente están las labores de «supervisión» para comprobar quien no está teniendo tan «buen hacer».

Saludos cordiales,

Por poner un ejemplo sencillo, supongamos una organización de 30 personas con un «dueño», dos «jefes», un «informático» y veintiséis «profesionales» bien cualificados y tratados. Todos sabemos que hay que transmitir confianza a los clientes cuyos datos manejamos, además de cumplir con la normativa. ¿Lo dejamos todo abierto creyendo que los humanos somos buenos por naturaleza, o ponemos algunos controles auditables externamente?. Mis años de trabajo, sin llegar a los de gorki, me recomiendan hacer lo segundo.

Con el wifi que haran ?

Ya que muchas empresa lo usan .

Una buena solucion al tema de la «evasion de datos» es el uso del terminal remoto, o de Citrix.

Desde casa puedes acceder via 56K modem o +, a tu puesto y seguir currando. Ademas, puede ir por SSL lo cual es … y encima puedes imprimir en tu casa.

Soluciones hay, pero como dicen en los manuales de seguridad:

La seguridad empieza por el Administrador y lo unico seguro es el ordenador desenchufado.

Y que tal una solución de Zitralia:
http://www.zitralia.com/es/

Esta bien creer en la bondad de las personas, pero seamos realistas, no nos engañemos siempre hay quien derrapa.

Teorías como esa que he leído de trabajadores del Body Shop o IBM… el nivel retributivo no hace que una persona sea honesta o deje de serlo, eso solo depende de sus convicciones.

Pienso que no esta nunca de mas una serie de medidas de seguridad que auditen y controlen cualquier acción que pueda poner en riesgo información sensible si la primera barrera imprescindible, que es la honestidad de la gente falla.

www.juanignacioacosta.com

Mientras la administración pública -yo me refiero a ellas porque es lo que conozco desde hace ya más de 30 años- siga instalada en el Autismo, la única medida que emplearán será la «guerra preventiva». En la sanidad pública catalana, los ordenadores están «capados»: no USB ni tampoco se pueden usar programas como Firefox «por directivas de seguridad». Lo dicho: la libertad para ellos empieza y termina por prohibir. Una pena.

Mi opinion sobre este tema es un poco confunsa ya que yo trabajo en dos sitios el tema de los datos esta tratados de diferentes maneras.
En una parte esta capando el tema de usb, cd, por le peligro de que se pueda hacer un mal uso de los datos… pero tb tengo que decir que no se le capa a todo el mundo, o en el caso que se solicite se le pueden dar acceso.
En cambio en la otra empresa donde estoy desde hace cosa de menos de un año nos hicieron firmar un contrato de confidencialidad y protecion de datos ( la empresa fue a un gabitene juridico para ajustar la ley a la empresa) y esta todo abierto (usb, cdrom.., etc).
Creo que lo primero de todo que hay poca informacion sobre este tema sobre todo a los trabajadores.
Saludos