Uno de los factores críticos a la hora de gestionar la seguridad de
la
información en las organizaciones, es el factor humano. Aún así, es
frecuente observar cómo, por norma general, los esfuerzos
de
seguridad técnica suelen ser muy considerados, pero sin embargo, la
seguridad del factor humano a veces es menospreciada o en el peor de
los casos, pasada por alto. En éstos casos, hablamos del enemigo que
está dentro, bien sea por la intencionalidad de sus actos, bien sea por
negligencia en el tratamiento de los activos de la información.
Si nos ceñimos al marco normativo más reconocido, el que nos ofrece ISO
17799:2000, hay varios puntos de control que tienen que ver con el
factor humano. Además de la seguridad física y del entorno, el punto de
control principal viene reflejado claramente en lo que se suele
denominar seguridad ligada al personal. La idea de controlar al
personal no está relacionada con la restricción de la libertad y la
comodidad de los empleados en las organizaciones: se trata de imponer
puntos de control en el factor humano que opera con la información, de
modo que se eviten fugas de información, errores en el manejo de datos,
brechas en la confidencialidad y que la protección de aspectos
importantes, como los secretos industriales y el "know-how" de los
negocios, sea una realidad no sujeta a posibles fisuras causadas por el
espionaje industrial o la competencia desleal.
En las labores
de consultoría de seguridad es frecuente que se realicen muchos
trabajos para definir radiográficamente la situación de una empresa
determinada en cuanto a la robustez de su infraestructura técnica. Los
análisis generales, las auditorías perimetrales, los test de intrusión,
la analítica forense y otros tipos de pruebas son muy útiles para saber
si las puertas de entrada aguantarán los golpes de los arietes, o si la
cerradura será suficientemente segura para que ninguna ganzúa pueda
abrirla. Es el enfoque tradicional de seguridad ante los ataques de
fuerza bruta y ante los intentos de intrusión sigilosos y técnicamente
depurados, metodologías de ataque que aunque pueden actuar
por separado, normalmente, suelen ir de la mano.
Llegados
a este punto, sería conveniente plantearnos un paso más allá de la
seguridad tradicional basada en las pruebas técnicas. Según lo que se
plantea, abordar las cuestiones de seguridad relativas al personal
parece una medida muy interesante, ya que a fin de cuentas, el hardware
y el software está operado, supervisado y administrado por usuarios. En
otra ocasión, desde Hispasec Sistemas, hemos hablado de la gestión del
riesgo. Hoy complementaremos esa información con las nociones
elementales de la seguridad ligada al personal.
La
seguridad ligada al personal debe ser meticulosamente planificada. El
tratamiento de las medidas de control, aplicadas a seres humanos,
requiere tacto y requiere tener en cuenta que cada empleado tiene sus
propias determinaciones y condiciones laborales. Aún así, es posible
planificar la seguridad del personal como un conjunto de medidas de
control general, que hagan que éstas sean efectivas independientemente
del sujeto afecto, y sin que éstas medidas supongan un menoscabo de los
derechos y el confort de los trabajadores.
Las principales medidas de control que se suelen recomendar son las siguientes:
*
Reducción del riesgo del factor humano, debido a errores, pérdidas,
robos y usos indebidos de la información. Los acuerdos de
confidencialidad, la selección rigurosa del personal y la inclusión de
la seguridad dentro de las responsabilidades contractuales son buenas
prácticas aconsejables en este punto.
* Concienciación del personal en cuanto a política de seguridad y
medidas
que deben contemplar para evitar riesgos. La única manera de propagar
la esencia de la gestión de la seguridad es que el personal conozca los
riesgos y sus consecuencias, con lo que la empresa debe invertir en la
formación sobre los principios básicos de gestión segura de la
información.
* Minimización de las consecuencias de los
incidentes provocados por el factor humano, tomando el error como
fuente de aprendizaje para la prevención de futuros problemas. El error
es una importante fuente de retroalimentación que puede permitir que en
futuras repeticiones de una problemática hayamos aprendido a minimizar
los impactos. Es imperativo ajustar y dar a conocer los medios de
difusión de los incidentes una
vez ocurran, de modo que todos los integrantes de la cadena de
responsabilidad
sepan qué han de hacer y a quién deben informar en todo momento. Cuando
exista intencionalidad en el personal infractor, temerario o
negligente, es evidente que la empresa debe recurrir a procesos
disciplinarios y represalias legales.
* Estudio del personal
crítico, es decir, del personal que debe cubrir las tareas críticas de
la organización cuya importancia es vital para la empresa. Los procesos
críticos son más importantes que los procesos de apoyo, luego el
personal que debe atenderlos es más importante para la empresa,
independientemente que todos los empleados son de importancia vital
para las organizaciones. De esto se deduce claramente que un error o
mala intención de un asalariado crítico normalmente será más dañino que
un error de un empleado adscrito a un proceso no crítico.
Existen
otras medidas que pueden complementar a estas cuatro medidas generales.
No son las únicas, ni tienen por que ser el referente a la hora de
gestionar la seguridad del personal, pero en circunstancias normales,
son cuatro conjuntos de factores que deberían ser vigilados
estrechamente.
Los consejos, a modo de resumen, que pueden
emitirse son de diversa índole. Estos diez consejos, basados en la
documentación de la consultora norteamericana Covelight Systems, pueden
ser un buen resumen para la amenaza interna de carácter intencionada.
Las recomendaciones para la amenaza no intencionada, son obvias:
formación de los empleados y políticas de concienciación y aprendizaje.
1. Vigile las cajas que contienen las joyas, no las salidas del
edificio. Es decir, céntrese en las medidas y objetivos a priori, y no en las medidas a posteriori. Éstas son secundarias.
2. Sea proactivo. Trate de anticiparse a los movimientos de los posibles infractores.
3. Trate la seguridad con independencia y objetividad.
4.
Ordene a los empleados en función a los privilegios a los que pueden
acceder. La relación entre riesgo y privilegios de los que se gozan es
directamente proporcional.
5. Esté atento al comportamiento
sospechoso de los usuarios. Suele ser el primer indicativo de que puede
haber en curso un problema de seguridad.
6. No pase por alto lo obvio. La mayoría de las veces, la amenaza
interna es relativamente fácil de visualizar. No busque amenazas
intrincadas, trate primero de analizar lo evidente.
7. Apóyese en sistemas automatizados de vigilancia. Pueden complementar los resultados de la gestión.
8.
Registre toda la actividad crítica, siempre y cuando la legislación y
el respeto a los derechos de los trabajadores se lo permita.
9.
Informe claramente a los empleados de cuáles son los riesgos y las
consecuencias de los mismos. Asegúrese de que la política de seguridad
y las condiciones de responsabilidad sean conocidas y practicadas por
todos.
10. La seguridad de la información es un concepto amplio y con
interrelaciones. Consulte a los responsables de todas las áreas
implicadas y establezca los vínculos oportunos.
Poco
a poco, las empresas van invirtiendo en una adecuada gestión de la
seguridad, pero el camino para que el factor humano sea un factor
controlado y seguro es largo y tortuoso. Quizás es buen momento para
que usted comience la andadura, si todavía no lo ha hecho.
|
Geo Noticias 
