Uno de los factores críticos a la hora de gestionar la seguridad de
la información en las organizaciones, es el factor humano.
Aún así, es frecuente observar cómo, por norma general, los esfuerzos
de seguridad técnica suelen ser muy considerados, pero sin embargo, la
seguridad del factor humano a veces es menospreciada o en el peor de
los casos, pasada por alto. En éstos casos, hablamos del enemigo que
está dentro, bien sea por la intencionalidad de sus actos, bien sea
por negligencia en el tratamiento de los activos de la información.
Si nos ceñimos al marco normativo más reconocido, el que nos ofrece ISO
17799:2000, hay varios puntos de control que tienen que ver con el
factor humano. Además de la seguridad física y del entorno, el punto
de control principal viene reflejado claramente en lo que se suele
denominar seguridad ligada al personal. La idea de controlar al personal
no está relacionada con la restricción de la libertad y la comodidad de
los empleados en las organizaciones: se trata de imponer puntos de
control en el factor humano que opera con la información, de modo que se
eviten fugas de información, errores en el manejo de datos, brechas en
la confidencialidad y que la protección de aspectos importantes, como
los secretos industriales y el «know-how» de los negocios, sea una
realidad no sujeta a posibles fisuras causadas por el espionaje
industrial o la competencia desleal.
En las labores de consultoría de seguridad es frecuente que se realicen
muchos trabajos para definir radiográficamente la situación de una
empresa determinada en cuanto a la robustez de su infraestructura
técnica. Los análisis generales, las auditorías perimetrales, los test
de intrusión, la analítica forense y otros tipos de pruebas son muy
útiles para saber si las puertas de entrada aguantarán los golpes de los
arietes, o si la cerradura será suficientemente segura para que ninguna
ganzúa pueda abrirla. Es el enfoque tradicional de seguridad ante los
ataques de fuerza bruta y ante los intentos de intrusión sigilosos y
técnicamente depurados, metodologías de ataque que aunque pueden actuar
por separado, normalmente, suelen ir de la mano.
Llegados a este punto, sería conveniente plantearnos un paso más allá
de la seguridad tradicional basada en las pruebas técnicas. Según lo que
se plantea, abordar las cuestiones de seguridad relativas al personal
parece una medida muy interesante, ya que a fin de cuentas, el hardware
y el software está operado, supervisado y administrado por usuarios. En
otra ocasión, desde Hispasec Sistemas, hemos hablado de la gestión del
riesgo. Hoy complementaremos esa información con las nociones
elementales de la seguridad ligada al personal.
La seguridad ligada al personal debe ser meticulosamente planificada.
El tratamiento de las medidas de control, aplicadas a seres humanos,
requiere tacto y requiere tener en cuenta que cada empleado tiene sus
propias determinaciones y condiciones laborales. Aún así, es posible
planificar la seguridad del personal como un conjunto de medidas de
control general, que hagan que éstas sean efectivas independientemente
del sujeto afecto, y sin que éstas medidas supongan un menoscabo de
los derechos y el confort de los trabajadores.
Las principales medidas de control que se suelen recomendar son las
siguientes:
* Reducción del riesgo del factor humano, debido a errores, pérdidas,
robos y usos indebidos de la información. Los acuerdos de
confidencialidad, la selección rigurosa del personal y la inclusión de
la seguridad dentro de las responsabilidades contractuales son buenas
prácticas aconsejables en este punto.
* Concienciación del personal en cuanto a política de seguridad y
medidas que deben contemplar para evitar riesgos. La única manera de
propagar la esencia de la gestión de la seguridad es que el personal
conozca los riesgos y sus consecuencias, con lo que la empresa debe
invertir en la formación sobre los principios básicos de gestión
segura de la información.
* Minimización de las consecuencias de los incidentes provocados por
el factor humano, tomando el error como fuente de aprendizaje para la
prevención de futuros problemas. El error es una importante fuente de
retroalimentación que puede permitir que en futuras repeticiones de una
problemática hayamos aprendido a minimizar los impactos. Es imperativo
ajustar y dar a conocer los medios de difusión de los incidentes una
vez ocurran, de modo que todos los integrantes de la cadena de
responsabilidad sepan qué han de hacer y a quién deben informar en
todo momento. Cuando exista intencionalidad en el personal infractor,
temerario o negligente, es evidente que la empresa debe recurrir a
procesos disciplinarios y represalias legales.
* Estudio del personal crítico, es decir, del personal que debe cubrir
las tareas críticas de la organización cuya importancia es vital para la
empresa. Los procesos críticos son más importantes que los procesos de
apoyo, luego el personal que debe atenderlos es más importante para la
empresa, independientemente que todos los empleados son de importancia
vital para las organizaciones. De esto se deduce claramente que un error
o mala intención de un asalariado crítico normalmente será más dañino
que un error de un empleado adscrito a un proceso no crítico.
Existen otras medidas que pueden complementar a estas cuatro medidas
generales. No son las únicas, ni tienen por que ser el referente a la
hora de gestionar la seguridad del personal, pero en circunstancias
normales, son cuatro conjuntos de factores que deberían ser vigilados
estrechamente.
Los consejos, a modo de resumen, que pueden emitirse son de diversa
índole. Estos diez consejos, basados en la documentación de la
consultora norteamericana Covelight Systems, pueden ser un buen resumen
para la amenaza interna de carácter intencionada. Las recomendaciones
para la amenaza no intencionada, son obvias: formación de los empleados
y políticas de concienciación y aprendizaje.
1. Vigile las cajas que contienen las joyas, no las salidas del
edificio. Es decir, céntrese en las medidas y objetivos a priori, y no
en las medidas a posteriori. Éstas son secundarias.
2. Sea proactivo. Trate de anticiparse a los movimientos de los posibles
infractores.
3. Trate la seguridad con independencia y objetividad.
4. Ordene a los empleados en función a los privilegios a los que pueden
acceder. La relación entre riesgo y privilegios de los que se gozan es
directamente proporcional.
5. Esté atento al comportamiento sospechoso de los usuarios. Suele
ser el primer indicativo de que puede haber en curso un problema de
seguridad.
6. No pase por alto lo obvio. La mayoría de las veces, la amenaza
interna es relativamente fácil de visualizar. No busque amenazas
intrincadas, trate primero de analizar lo evidente.
7. Apóyese en sistemas automatizados de vigilancia. Pueden complementar
los resultados de la gestión.
8. Registre toda la actividad crítica, siempre y cuando la legislación
y el respeto a los derechos de los trabajadores se lo permita.
9. Informe claramente a los empleados de cuáles son los riesgos y las
consecuencias de los mismos. Asegúrese de que la política de seguridad
y las condiciones de responsabilidad sean conocidas y practicadas por
todos.
10. La seguridad de la información es un concepto amplio y con
interrelaciones. Consulte a los responsables de todas las áreas
implicadas y establezca los vínculos oportunos.
Poco a poco, las empresas van invirtiendo en una adecuada gestión de
la seguridad, pero el camino para que el factor humano sea un factor
controlado y seguro es largo y tortuoso. Quizás es buen momento para
que usted comience la andadura, si todavía no lo ha hecho.
shernando@hispasec.com
Más información:
La gestión del riesgo
http://www.hispasec.com/unaaldia/2417
Malware diseñado para el espionaje industrial
http://www.hispasec.com/unaaldia/2410
Addressing The Insider Threat
http://www.covelight.com/documents/library_22.pdf
Can you trust your trusted users?
http://www.covelight.com/documents/library_21.pdf
The «Authenticated User» Threat
http://www.covelight.com/documents/library_20.pdf
