El Blog de Enrique Dans

La seguridad y los eslabones débiles

Escrito a las 9:02 am
9

ImagenEste caso me recuerda poderosamente a uno de los que utilizamos habitualmente en el Instituto de Empresa para discutir sobre la seguridad, su coste, el diseño de sistemas, etc., escrito por mi amigo Fernando Aparicio. En él se cuenta una “historia para no dormir”, construida a base de reunir los muchísimos episodios de problemas de seguridad vividos por el propio Fernando en su empresa, en la que se ven innumerables malas prácticas, problemas de actitud y falta de sensibilidad con los problemas y la valoración económica de la falta de seguridad y privacidad, y los alumnos tienden a pensar, de entrada, que es una soberana exageración. Pues bien, aquí tenemos el caso “en modo real”:

Fidelity Investments, una empresa de fondos de pensiones, “pierde” accidentalmente los datos personales de 196.000 empleados y ex-empleados de Hewlett-Packard (ver noticia en ComputerWorld). Al investigar el incidente, leo en el WSJ ($) cómo se descubre que el problema ha estado en un empleado de Fidelity, que dejó su ordenador portátil en un coche de alquiler aparcado en un restaurante. Una de las personas que estaba en la comida regresó un momento al coche a recoger algo y, simplemente… lo dejó abierto. El coche, evidentemente, no mostraba signo de violencia alguno. ¿Que hacían los datos de 196.000 empleados en un laptop y en un archivo no encriptado? No lo saben, y aseguran que tal proceder no es conforme a sus estrictas políticas de seguridad. Pero mucho me temo que las políticas de seguridad no basta con escribirlas…

Lo normal es que este tipo de robos y denuncias acaben siendo simplemente un robo de un portátil, que es convenientemente revendido lo antes posible tras haberlo borrado. Se desconocen, por la naturaleza de la materia, casos en los que se haya hecho uso de la información contenida en ellos. Pero en este caso, la información incluía nombres, apellidos, números de la seguridad social, salarios, cumpleaños, etc. En manos de según quién…

1 trackbacks

001
Seguridad
02.07.2006 a las 04:16 Permalink

[…] Bloggers prestigiosos como Enrique Dans dedican comentarios a la Seguridad y ratifican el interés general en una disciplina que nos parece esencial a los que nos dedicamos a ella. También nos parece que no es suficientemente valorada. Además me ha … […]

8 comentarios

001
Gorki
27.03.2006 a las 09:50 Permalink

En efecto el eslabón más débil de la seguridad siempre es el usuario. Me tocó trabajar en un banco poco después que se produjera el típico desfalco millonario de una transferencia fraudulanta hecha desde el banco a una cuenta numerada a Suiza.
Las normas de seguridad que pusieron nos hacían casi imposible trabajar a los informáticos. Sin embargo lo que hizo posible el desfalco, podia poderse volverse a repetir, un jefe con nivel para permitir la transeferencia, dio su password al subordinado que tenia que autorizar. Debido a mil circunstancias que se dan a diario, unas vacaciones, una ausencia por enfermedad, … cualquiera de esos motivos llevan a cualquiera a dar su password a otro compañero y luego vienen las consecuencias imprevistas.
Cosas como llevarse trabajo a casa y mil asuntos derivados del exceso de confianza del usuario, son la causa reales de los fallos de seguridad, muy por encima de hackers y virus.
Simplemente, dejar tu terminal abierto, permite que segundos, alguien introduzca un programita lector de pulsaciones, para descubrir tu password. ¿Quién no ha abandonado su puesto de trabajo montones de veces dejando abierta la sesión?

003
CarlosML
27.03.2006 a las 11:34 Permalink

Que el eslabón más débil es el individuo es una obviedad que siempre ha de tenerse en cuenta. No sólo hay que implantar un sistema de seguridad de la información, hay que gestionarlo. Si en su día se consideró que la información era un activo lo suficientemente importante para crear una función dedicada dentro de una organización, hoy para que esa información siga siendo un activo estratégico hay que dotarla de seguridad y ésta ha de ser gestionada. Efectivamente, no basta con escribirlas.

Separation of duties & Rotation of duties

Saludos

004
jm
27.03.2006 a las 12:08 Permalink

Je, de todos modos me gustaría añadir que seguro, seguro, seguro, que todos los empleados de esa empresa han realizado “mega succsessfully” el curso “virtual” por supuestísimo y “mandatory” de las “policy?Ŝs” de uso de herramientas y de ética en la empresa y de seguridad y bla bla bla.. Esto pasará cada vez más en un mundo donde “todos los departamentos de soporte y atención a clientes internos/externos” están siendo sustituidos por el maldito doit yourself de una página web de la maldita intranet/extranet… reivindico el derecho al “en que te puedo ayudar” de un “ser humano”
Pos eso..

005
Antoine
27.03.2006 a las 13:25 Permalink

Cuando la seguridad de una empresa se pone en peligro porque un empleado se deje el coche abierto, es un problema de incompetencia de su top management, más que del pobre trabajador.

Es como si el Banco de España le diera las llaves de la caja fuerte a un cajero, y no estableciese ninguna otra medida de seguridad. Si el cajero pierde las llaves, y el Banco de España es desvalijado ¿quién es el responsable?

Muchos en Fidelity Investment “should be fired inmediately”, y no refiero al que se dejó el coche abierto, que entre otras cosas, igual se iba meando, y se metió corriendo en el restaurante a aliviarse, y logicamente no se acordó de echar el seguro.

006
troll
27.03.2006 a las 13:28 Permalink

El punto mas debil siempre es el administrador, es posible que este usuario fuera una administrador de la base de datos y que para pruebas se llevo a su portatil una descarga de una tabla.

Con un disco USB y algunas password, me puedo llevar a casa todos los datos que quiera, si trabajo en una empresa de seguros me puedo llevar toda la informacion de todas las polizas, hay discos USB como el de Enrique que pueden contener todos los datos sin problemas.

El USB no esta encriptado y es el principal enemigo.

Hace mas de 10 años nos robaron en mi departamento todas CPUs, HD, grabadoras etc, no robaron un servidor SUN que era lo que mas valia, pero dio la casualidad que se llevaron los discos duros de nuestro repositorio en RED, un proyecto de mas de 200 millones de los de antes.

Las pruebas con gaseosa.

007
JFT
27.03.2006 a las 16:20 Permalink

No se si es el más débil pero si el que provoca más problemas de seguridad. Dentro de este zoo esta el primero el “empleado descontento”. De todas formas, la ingeniería social es uno de los primeros pasos para llegar a la información golosa.
Lo que ahora toca es la valoración de los activos y defender sólo lo necesario para no caer en políticas que no son asumibles por la mayoría. Quizás el mejor ejemplo de esa nueva política que supera a todas las anteriores sera la SRM. Pero aún no llegamos a ello en España. Tenemos aún un problema de seguridad física más que lógica aunque ahora todo huele a esperanza…

008
JULEN
29.03.2006 a las 18:46 Permalink

Enrique: ¿controlas el sector de la seguridad informática? ¿Conoces la empresa de San Sebastián S21sec?

Comentarios cerrados

Logotipo de Blogestudio Logotipo de Acens