El enemigo puede estar dentro

i nos ceñimos al marco normativo más reconocido, el que nos ofrece ISO 17799:2000, hay varios puntos de control que tienen que ver con el factor humano. Además de la seguridad física y del entorno, el punto de control principal viene reflejado claramente en lo que se suele denominar seguridad ligada al personal. La idea de controlar al personal no está relacionada con la restricción de la libertad y la comodidad de los empleados en las organizaciones: se trata de imponer puntos de control en el factor humano que opera con la información, de modo que se eviten fugas de información, errores en el manejo de datos, brechas en la confidencialidad y que la protección de aspectos importantes, como los secretos industriales y el "know-how" de los negocios, sea una realidad no sujeta a posibles fisuras causadas por el espionaje industrial o la competencia desleal.

En las labores de consultoría de seguridad es frecuente que se realicen muchos trabajos para definir radiográficamente la situación de una empresa determinada en cuanto a la robustez de su infraestructura técnica. Los análisis generales, las auditorías perimetrales, los test de intrusión, la analítica forense y otros tipos de pruebas son muy útiles para saber si las puertas de entrada aguantarán los golpes de los arietes, o si la cerradura será suficientemente segura para que ninguna ganzúa pueda abrirla. Es el enfoque tradicional de seguridad ante los ataques de fuerza bruta y ante los intentos de intrusión sigilosos y técnicamente depurados, metodologías de ataque que aunque pueden actuar
por separado, normalmente, suelen ir de la mano.

Llegados a este punto, sería conveniente plantearnos un paso más allá de la seguridad tradicional basada en las pruebas técnicas. Según lo que se plantea, abordar las cuestiones de seguridad relativas al personal parece una medida muy interesante, ya que a fin de cuentas, el hardware y el software está operado, supervisado y administrado por usuarios. En otra ocasión, desde Hispasec Sistemas, hemos hablado de la gestión del riesgo. Hoy complementaremos esa información con las nociones
elementales de la seguridad ligada al personal.

La seguridad ligada al personal debe ser meticulosamente planificada. El tratamiento de las medidas de control, aplicadas a seres humanos, requiere tacto y requiere tener en cuenta que cada empleado tiene sus propias determinaciones y condiciones laborales. Aún así, es posible planificar la seguridad del personal como un conjunto de medidas de control general, que hagan que éstas sean efectivas independientemente del sujeto afecto, y sin que éstas medidas supongan un menoscabo de los derechos y el confort de los trabajadores.

Las principales medidas de control que se suelen recomendar son las siguientes:

* Reducción del riesgo del factor humano, debido a errores, pérdidas, robos y usos indebidos de la información. Los acuerdos de confidencialidad, la selección rigurosa del personal y la inclusión de la seguridad dentro de las responsabilidades contractuales son buenas prácticas aconsejables en este punto.

* Concienciación del personal en cuanto a política de seguridad y
medidas que deben contemplar para evitar riesgos. La única manera de propagar la esencia de la gestión de la seguridad es que el personal conozca los riesgos y sus consecuencias, con lo que la empresa debe invertir en la formación sobre los principios básicos de gestión segura de la información.

* Minimización de las consecuencias de los incidentes provocados por el factor humano, tomando el error como fuente de aprendizaje para la prevención de futuros problemas. El error es una importante fuente de retroalimentación que puede permitir que en futuras repeticiones de una problemática hayamos aprendido a minimizar los impactos. Es imperativo ajustar y dar a conocer los medios de difusión de los incidentes una
vez ocurran, de modo que todos los integrantes de la cadena de
responsabilidad sepan qué han de hacer y a quién deben informar en todo momento. Cuando exista intencionalidad en el personal infractor, temerario o negligente, es evidente que la empresa debe recurrir a procesos disciplinarios y represalias legales.

* Estudio del personal crítico, es decir, del personal que debe cubrir las tareas críticas de la organización cuya importancia es vital para la empresa. Los procesos críticos son más importantes que los procesos de apoyo, luego el personal que debe atenderlos es más importante para la empresa, independientemente que todos los empleados son de importancia vital para las organizaciones. De esto se deduce claramente que un error  o mala intención de un asalariado crítico normalmente será más dañino que un error de un empleado adscrito a un proceso no crítico.

Existen otras medidas que pueden complementar a estas cuatro medidas generales. No son las únicas, ni tienen por que ser el referente a la hora de gestionar la seguridad del personal, pero en circunstancias normales, son cuatro conjuntos de factores que deberían ser vigilados estrechamente.

Los consejos, a modo de resumen, que pueden emitirse son de diversa índole. Estos diez consejos, basados en la documentación de la consultora norteamericana Covelight Systems, pueden ser un buen resumen para la amenaza interna de carácter intencionada. Las recomendaciones para la amenaza no intencionada, son obvias: formación de los empleados y políticas de concienciación y aprendizaje.

1. Vigile las cajas que contienen las joyas, no las salidas del
edificio. Es decir, céntrese en las medidas y objetivos a priori, y no en las medidas a posteriori. Éstas son secundarias.

2. Sea proactivo. Trate de anticiparse a los movimientos de los posibles infractores.

3. Trate la seguridad con independencia y objetividad.

4. Ordene a los empleados en función a los privilegios a los que pueden acceder. La relación entre riesgo y privilegios de los que se gozan es directamente proporcional.

5. Esté atento al comportamiento sospechoso de los usuarios. Suele ser el primer indicativo de que puede haber en curso un problema de seguridad.

6. No pase por alto lo obvio. La mayoría de las veces, la amenaza
interna es relativamente fácil de visualizar. No busque amenazas
intrincadas, trate primero de analizar lo evidente.

7. Apóyese en sistemas automatizados de vigilancia. Pueden complementar los resultados de la gestión.

8. Registre toda la actividad crítica, siempre y cuando la legislación y el respeto a los derechos de los trabajadores se lo permita.

9. Informe claramente a los empleados de cuáles son los riesgos y las consecuencias de los mismos. Asegúrese de que la política de seguridad y las condiciones de responsabilidad sean conocidas y practicadas por todos.

10. La seguridad de la información es un concepto amplio y con
interrelaciones. Consulte a los responsables de todas las áreas
implicadas y establezca los vínculos oportunos.

Poco a poco, las empresas van invirtiendo en una adecuada gestión de la seguridad, pero el camino para que el factor humano sea un factor controlado y seguro es largo y tortuoso. Quizás es buen momento para que usted comience la andadura, si todavía no lo ha hecho.


Más Información:

Addressing The Insider Threat
http://www.covelight.com/documents/library_22.pdf

Can you trust your trusted users?
http://www.covelight.com/documents/library_21.pdf

The "Authenticated User" Threat
http://www.covelight.com/documents/library_20.pdf